Special: Recht auf Datenübertragbarkeit

Ab dem 25. Mail 2018 gilt die VERORDNUNG (EU) 2016/679 DES EUROPÄISCHEN PARLAMENTS UND DES RATES vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (DS-GVO). Dann ist die zweijährige Phase zur Umsetzung der DS-GVO nach deren Inkrafttreten abgelaufen, die dann unmittelbar in allen Mitgliedstaaten der EU ohne weiteren Rechtsakt Anwendung findet. Das folgende Special gibt einen Überblick über den Regelungsgehalt des Rechts auf Datenübertragbarkeit in Artikel 20 der DS-GVO, über die Anspruchsberechtigten und Anspruchsgegner, den Umfang der vom Recht erfassten Daten, den Herausgabeprozess sowie praktische Tipps für Verantwortliche, die Verpflichtete eines etwaigen Anspruchs sein können.

Beginnend mit dem 15. Februar 2018 erscheinen wöchentlich donnerstags neue Beiträge rund um das Recht auf Datenübertragbarkeit.

Welche Relevanz hat das Recht auf Datenübertragbarkeit für Unternehmen? Was muss im Datenschutzmanagement des Unternehmens beachtet werden?

1. Bedeutung des Rechts auf Datenübertragbarkeit für Unternehmen

Für Unternehmen wird das Recht auf Datenübertragbarkeit große Bedeutung erlangen. Sofern sie personenbezogene Daten, die ihnen von betroffenen Personen bereitgestellt werden, auf der Grundlage von Verträgen oder Einwilligungen automatisiert verarbeiten, sind sie Anspruchsgegner des Rechts auf Datenübertragbarkeit. Da Unternehmen, denen die bereitgestellten personenbezogenen Daten zu übermitteln sind, auch Mitwirkungspflichten treffen dürften, wird das Recht auf Datenübertragbarkeit für sie beachtliche Relevanz erlangen.

In dem Umfang, in dem ein Unternehmen Anspruchsgegner des Rechts auf Datenübertragbarkeit ist, muss es Vorkehrungen ergreifen und interne Prozesse aufsetzten, die sicherstellen, dass die personenbezogenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format übermittelt werden können, sofern eine betroffene Person ihr Recht auf Datenübertragbarkeit ausübt. Dabei muss sichergestellt werden, dass dies unentgeltlich und unverzüglich, spätestens innerhalb eines Monats nach Eingang eines entsprechenden Antrags, erfolgt. Bei der Ausgestaltung der Prozesse gilt es auch zu berücksichtigen, dass Verantwortliche verpflichtet sind, betroffenen Personen die Ausübung ihrer Rechte, mithin auch des Rechts auf Datenübertragbarkeit, zu erleichtern.

Zu beachten ist: Bei Verstößen gegen das Recht auf Datenübertragbarkeit können mit Geldbußen von bis zu 20 Mio. EUR oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweiten erzielen Jahresumsatzes des vorausgegangenen Geschäftsjahres verhängt werden.

2. Vorkehrungen im Datenschutzmanagement des Unternehmens

Folgende Aspekte werden bezüglich der Integration des Rechts auf Datenübertragbarkeit im Datenschutzmanagement eines Unternehmens relevant werden:

  • Ein Unternehmen muss sicherstellen, dass bei Geltendmachung des Rechts auf Datenübertragung die personenbezogenen Daten, ggf. untergliedert nach verschiedenen Standardkonstellationen, jederzeit identifiziert werden können, die ihm von betroffenen Personen, namentlich durch Kunden, auf Basis eines Vertrags oder Einwilligung bereitgestellt wurden. 
  • Darüber hinaus muss sichergestellt werden, dass betroffene Personen über ihr Recht auf Datenübertragbarkeit informiert werden müssen.
  • Im Datenschutzmanagement sollte zusätzlich vorgesehen werden, dass im Falle eines Antrages einer betroffenen Person die Identität dieser überprüft und bestätigt wird und, sollten sich Zweifel ergeben, zusätzliche Informationen von der betroffenen Person angefordert werden, die zur Bestätigung der Identität der betroffenen Person notwendig sind.
  • Es empfiehlt sich im Datenschutzmanagement standardisierte Prozesse zu definieren und Standardformulierungen vorzusehen, um auf die Geltendmachung des Rechts auf Datenübertragbarkeit durch Kunden in der vorgesehenen Frist, spätestens innerhalb eines Monats nach Eingang eines entsprechenden Antrags, reagieren zu können. Da die Frist um zwei Monate (sofern die Komplexität und der Anzahl von Anträgen dies erforderlich macht), verlängert werden kann, muss auch diese Option in den standardisierten Prozessen abgebildet und die Möglichkeit eröffnet sein, die betroffene Person innerhalb eines Monats nach Eingang des Antrags über eine Fristverlängerung, zusammen mit den Gründen für die Verzögerung zu unterrichten.
  • Außerdem muss der Prozess die Möglichkeit abbilden, dass die betroffene Person bzw. der Kunde im Falle des Nicht-Tätigwerdens unverzüglich, spätestens aber innerhalb eines Monats nach Eingang des Antrags über die hierfür ursächlichen Gründe und die Möglichkeit unterrichtet wird, bei einer Aufsichtsbehörde Beschwerde oder Rechtsbehelf einzulegen.
  • Die Erhebung eines Entgelts darf für die Bearbeitung eines Antrags grundsätzlich nicht vorgesehen werden. Etwas anderes gilt bei offenkundig unbegründeten oder – insbesondere im Fall wiederholt gestellter, exzessiver Anträge. Hier kann ein angemessenes Entgelt verlangt werden, bei dem die Bearbeitungskosten für die Unterrichtung, die Mitteilung oder die Durchführung der beantragten Maßnahme berücksichtigt werden. Es bietet sich also an, diesen Aspekt in die Standardprozesse mit zu integrieren. Alternativ wäre es für diesen Fall ebenso zulässig, die Bearbeitung des Antrags zu verweigern. Auch diese Optionen sollten im zu definierenden Prozess festgelegt werden. Dabei ist der Umstand mit abzubilden, dass der Verantwortliche den Nachweis für den offenkundig unbegründeten oder exzessiven Charakter des Antrags zu erbringen hat.
  • In den Prozessen ist ebenso die interne Handhabung entsprechender Anträge und Definition besonderer Kommunikationswege festzulegen: z.B. die Nutzung von Online-Formularen, die verantwortlichen internen Stellen, die die Kommunikation mit den betroffenen Personen steuern, ggf. standardmäßig mittels vorformulierter Texte und Dokumente. Dabei muss das Unternehmen stets berücksichtigen, dass es verpflichtet ist, betroffenen Personen die Ausübung ihrer Rechte, mithin auch des Rechts auf Datenübertragbarkeit, zu erleichtern.
  • Im Datenschutzmanagement sind auch die technischen Prozesse abzubilden, die erforderlich sind, um die Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu übermitteln. In diesen Standardprozessen muss auch geprüft und sichergestellt sein, dass durch die Übermittlung die Rechte und Freiheiten anderer Personen nicht beeinträchtigt werden. Solche Fälle müssen identifizierbar sein und ggf. durch zusätzliche interne Prozesse Beeinträchtigungen ausgeschlossen werden.

Warning: Invalid argument supplied for foreach() in /kunden/freystil.net/webseiten/cms/plugins/system/cookiehint/cookiehint.php on line 171
Cookies erleichtern die Bereitstellung unserer Dienste. Mit der Nutzung unserer Dienste erklären Sie sich damit einverstanden, dass wir Cookies verwenden.
Ok