Gemäß Artikel 20 DSGVO haben die betroffenen Personen ein Recht auf Übertragbarkeit. Das bedeutet, dass sie das Recht haben, ihre Daten von einem für die Verarbeitung Verantwortlichen in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten, aber auch das Recht, Daten zwischen für die Verarbeitung Verantwortlichen ungehindert zu verschieben, sofern dies technisch möglich ist. Es gilt jedoch nur für Daten, die die betroffene Person “betreffen” und für Daten, die sie dem für die Verarbeitung Verantwortlichen “zur Verfügung gestellt” hat. Folglich fallen weder anonymisierte noch abgeleitete oder anderweitig “geschaffene” Daten unter das Recht auf Übertragbarkeit (anonymisierte Daten fallen nicht darunter, da sie die betroffene Person nicht mehr betreffen; und abgeleitete Daten, da sie nicht von der betroffenen Person bereitgestellt wurden, sondern das Ergebnis eines von dem für die Verarbeitung Verantwortlichen entwickelten technischen Verfahrens sind). Somit hat die betroffene Person offenbar kein Recht darauf, dass ihre vollständigen Profildaten an einen anderen Anbieter übermittelt werden. Der Grund hierfür ist der Schutz des Know-hows des für die Verarbeitung Verantwortlichen.
Den betroffenen Personen “sollten Instrumente zur Verfügung gestellt werden, die es ihnen ermöglichen, ihre Daten problemlos in ein strukturiertes und allgemein verwendetes Format zu exportieren. Daher ist die Dateninteroperabilität eine technische Schlüsselkomponente für die vollständige Umsetzung dieses Rechts, und die Gerätehersteller sollten eine benutzerfreundliche Schnittstelle für Nutzer bereitstellen, die die von ihnen gespeicherten Daten abrufen wollen.”[1]
Checkliste: Rechte der betroffenen Personen
☐ Die für die Verarbeitung Verantwortlichen haben die erforderlichen Verfahren eingeführt, um sicherzustellen, dass die Rechte der betroffenen Personen angemessen gewahrt werden, unabhängig davon, ob es sich um Endnutzer oder Dritte handelt. ☐ Die für die Verarbeitung Verantwortlichen haben die erforderlichen Verfahren eingeführt, um sicherzustellen, dass die Rechte der betroffenen Person rechtzeitig wahrgenommen werden (höchstens einen Monat nach Antrag). ☐ Die für die Verarbeitung Verantwortlichen haben effiziente Instrumente eingeführt, um sicherzustellen, dass die betroffenen Personen ihre Rechte auf praktische Weise wahrnehmen können, beispielsweise durch die Einführung von Standards für die Interoperabilität von Daten. ☐ Betroffene Personen können auf alle ihre personenbezogenen Daten zugreifen, auch auf die Rohdaten, die von IoT-Geräten registriert werden. ☐ Die IoT-Entwickler haben Tools implementiert, mit denen die Daten lokal gelesen, bearbeitet und geändert werden können, bevor sie an einen für die Datenverarbeitung Verantwortlichen übermittelt werden. Außerdem werden die von einem Gerät verarbeiteten personenbezogenen Daten in einem Format gespeichert, das die Datenübertragbarkeit ermöglicht. ☐ Die für die Verarbeitung Verantwortlichen haben Instrumente eingeführt, die es ermöglichen, jedem Empfänger, dem die personenbezogenen Daten mitgeteilt wurden, berichtigte Daten zu übermitteln, es sei denn, dies erweist sich als unmöglich oder ist mit unverhältnismäßigem Aufwand verbunden. ☐ Die für die Verarbeitung Verantwortlichen haben Instrumente eingeführt, mit denen sichergestellt werden kann, dass alle Daten auf Antrag der betroffenen Personen wirksam gelöscht werden, wenn keine rechtmäßigen Gründe dagegen sprechen. ☐ IoT-Entwickler haben benutzerfreundliche Schnittstellen für Nutzer eingeführt, die die noch gespeicherten und beobachteten personenbezogenen Rohdaten erhalten möchten. Diese Werkzeuge ermöglichen es den betroffenen Personen, ihre Daten einfach in ein strukturiertes und allgemein verwendetes Format zu exportieren. |
- Art. 29 Stellungnahme der Datenschutzgruppe 8/2014 zu den jüngsten Entwicklungen im Internet der Dinge (SEP 16, 2014) https://www.dataprotection.ro/servlet/ViewDocument?id=1088 ↑