Gemäß der Datenschutz-Grundverordnung haben betroffene Personen ein Recht auf Datenübertragbarkeit (siehe Unterabschnitt „Recht auf Datenübertragbarkeit“, Abschnitt „Rechte der betroffenen Personen“des allgemeinen Teils dieser Leitlinien). Um dieser Anforderung gerecht zu werden, sollten die Verantwortlichen die Daten in standardisierten Formaten speichern, die es den betroffenen Personen ermöglichen, die von ihnen bereitgestellten Daten von einer automatisierten Anwendung, z. B. einem sozialen Netzwerk, auf eine andere zu übertragen.[1]
In jedem Fall muss betont werden, dass das Recht auf Datenübertragbarkeit nur für Daten gilt, die die betroffene Person „betreffen“ und die sie dem Verantwortlichen „zur Verfügung gestellt“ hat. Folglich fallen sowohl anonymisierte als auch aus Rückschlüssen erzeugteoder abgeleitete Daten nicht unter das Recht auf Übertragbarkeit, da anonymisierte Daten die betroffene Person nicht betreffen und aus Rückschlüssen erzeugte oder abgeleitete Daten nicht von der betroffenen Person bereitgestellt wurden.
| Checkliste: Rechte der betroffenen Personen
☐ Die Verantwortlichen haben die erforderlichen Verfahren eingeführt, um sicherzustellen, dass die Rechte der betroffenen Personen angemessen gewahrt werden, unabhängig davon, ob es sich um Endnutzer oder Dritte handelt. ☐ Die Verantwortlichen haben die erforderlichen Verfahren eingeführt, um sicherzustellen, dass die Rechte der betroffenen Person rechtzeitig wahrgenommen werden (maximal ein Monat nach Antragstellung, verlängerbar um zwei weitere Monate im Hinblick auf die Komplexität der Aufgabe und die Anzahl der Anträge). ☐ Die Verantwortlichen haben effiziente Instrumente eingeführt, um sicherzustellen, dass die betroffenen Personen ihre Rechte auf praktische Weise wahrnehmen können, beispielsweise durch die Einführung von Standards für die Interoperabilität von Daten. ☐ Die betroffenen Personen haben Zugang zu allen sie betreffenden personenbezogenen Daten, einschließlich der beobachteten, erhaltenen, auf Rückschlüssen erzeugten und abgeleiteten Daten ☐ Die Verantwortlichen haben den betroffenen Personen einen Fernzugriff auf ihre personenbezogenen Daten ermöglicht. Insbesondere die Verantwortlichen, die Online-Dienste auf der Grundlage personenbezogener Daten anbieten, haben zu diesem Zweck ein Online-Tool bereitgestellt. ☐ Die Verantwortlichen haben Instrumente eingeführt, die es ermöglichen, jedem Empfänger, dem die personenbezogenen Daten mitgeteilt wurden, berichtigte Daten zu übermitteln, es sei denn, dies erweist sich als unmöglich oder ist mit einem unverhältnismäßigen Aufwand verbunden. ☐ Die Verantwortlichen haben Instrumente eingeführt, mit denen sichergestellt werden kann, dass alle Daten auf Antrag der betroffenen Personen wirksam gelöscht werden, wenn keine rechtmäßigen Gründe gegen diesen Antrag sprechen. ☐ Die Verantwortlichen haben benutzerfreundliche Schnittstellen für Nutzer eingeführt, die sowohl aggregierte Daten als auch Rohdaten, die sie noch speichern, erhalten möchten. Diese Werkzeuge ermöglichen es den betroffenen Personen, ihre Daten einfach in ein strukturiertes und allgemein verwendetes Format zu exportieren. ☐ Die Verantwortlichen haben alle Informationen zu diesen Fragen dokumentiert. |
Quellenangaben
1Siehe I. GRAEF, Mandating Portability and Interoperability in Online Social Networks: Regulatory and Competition Law Issues in the European Union (22. Juli 2013). Telecommunications Policy 2015, Vol. 39, Nr. 6, S. 502-514. ↑