Gegenstand des Rechts auf Datenübertragbarkeit sind personenbezogene Daten, die Verantwortlichen von betroffenen Personen bereitgestellt werden. Eine Unterscheidung, auf welche Art und Weise die Daten (technisch) bereitgestellt werden, z. B. auf einem Papier-Formular, in einem Online-Formular, in einem Account, per E-Mail, per App, etc., ist Art. 20 DS-GVO nicht zu entnehmen. Hierauf wird es folglich nicht ankommen.
1. Definition personenbezogener Daten
Alle personenbezogenen Daten einer betroffenen Person können Gegenstand des Rechts auf Datenübertragbarkeit sein. Art. 4 der DS-GVO gibt eine Legaldefinition der personenbezogenen Daten. Hierbei handelt es sich um alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person („betroffene Person”) beziehen. Als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann. Klassische Beispiele für personenbezogene Daten sind Name, Anschrift, E-Mail, Alter, Beruf, Krankheiten oder die Religion einer Person.
2. Aktiv von betroffenen Personen bereitgestellte personenbezogene Daten
In der Regel werden durch Verantwortliche auch während der Vertragslaufzeit bzw. während der Geltungsdauer einer Einwilligung personenbezogene Daten aggregiert und im Zusammenhang mit und zur Erbringung von Leistungen gegenüber den betroffenen Personen verarbeitet. Damit stellen sich folgende wichtige Abgrenzungsfragen: Welche dieser Daten gehören noch zu den personenbezogenen Daten, die von einer betroffenen Person bereitgestellt werden? Welchen Daten sind (neue) Daten eines Verantwortlichen, die das Recht auf Datenübertragbarkeit nicht mehr einschließt?
Die Antworten auf diese Fragen werden letztlich erst durch die Gerichte beantwortet werden.
Es spricht viel dafür, dass zu den bereitgestellten personenbezogenen Daten solche gehören, die Verantwortliche während der Vertragslaufzeit oder während der Geltungsdauer einer Einwilligung infolge eines aktiven Handelns einer betroffenen Person erlangen. Denn ein aktives Handeln ist das, was der Tätigkeit des „Bereitstellens“ im Kern zugrunde liegt. Es liegt auf der Hand, dass in der Praxis die anzutreffenden personenbezogenen Daten, die den Gegenstand des Rechts auf Datenübertragung bilden können, sehr vielfältig und unterschiedlich sein werden.
Zu den betroffen Daten werden Daten zu getätigten Einkäufen in Online-Shops und im stationären Einzelhandel, zur Auswahl von Filmen und Musiktiteln bei entsprechenden (Streaming-)Diensten, zu Überweisungsaufträgen bei Banken, bei Finanzdienstleistern, bei Versicherungen, beim Leasing, Kundenrezensionen oder Bewertungen auf einem Händlerportal über Daten aufgerufener Online-Artikel und Webseiten bis hin zu Posts, Tweets, Freundelisten und Likes sowie Profilen, Kontakten, geteilten Inhalten etc. in Sozialen Medien, Formen des Cloud-Computing, der Surfhistorie einer Webseite und Suchanfragen in Suchmaschinen gehören, vorausgesetzt, die bereitgestellten Daten weisen einen Personenbezug auf.
3. Automatisiert erfasste personenbezogene Daten
Muss der Begriff des Bereitstellens noch weiter verstanden werden? Fallen hierunter auch personenbezogene Daten, die Verantwortliche nicht als Folge aktiver Handlungen einer betroffenen Person, sondern infolge einer automatisiert ablaufenden Datenerfassung und -übermittlung erlangen? Fallen also auch personenbezogene Daten unter den Begriff des Bereitstellens, die technische Geräte, Anwendungen, Applikationen etc. in automatisiert ablaufenden Prozessen erfassen und an Verantwortliche übermitteln, ohne dass die betroffenen Personen vor der Erfassung und Übermittlung eines jeden Datums noch aktiv war?
Beispiele hierfür sind Gesundheits-Tracker oder -Apps sowie Geräte mit Sensoren von Pharmaherstellern, die Gesundheits (Sensor-) daten erfassen und übermitteln, Navigations-Apps, die Standort-Daten nutzen, Daten aus Connected Cars und anderen smarten Geräten, wie smarten Stromzählern, Lichtschaltern etc. Qualitativ handelt es sich um Daten, die durch und anlässlich von Nutzungshandlungen entstehen.
Es spricht Einiges dafür, dass auch solche automatisiert erfassten und an Verantwortliche übermittelten personenbezogenen Daten unter den Begriff des Bereitstellens fallen. Jedoch muss abgewartet werden, wie sich die Rechtsprechung hierzu entwickelt.
4. Personenbezogene Daten, die durch den Verantwortlichen generiert werden
Oft wird ein Verantwortlicher auf der Basis der bereitgestellten personenbezogenen Daten neue Daten generieren, die einen Personenbezug aufweisen. Beispiele für solche neu gewonnen Daten sind z.B. Kreditscores und Profiling-Daten, Gesundheitsbewertungen, erstellte Trainingspläne etc. Es stellt sich dann die Frage, ob auch solche neu generierten personenbezogenen Daten, die Verantwortliche mithilfe der von betroffenen Personen zuvor bereitgestellten personenbezogenen Daten generieren, ebenfalls von dem Recht auf Datenübertragbarkeit erfasst werden.
Die Antwort auf diese Frage wird zu verneinen sein. Denn bei diesen Daten handelt es sich um neu generierte Daten, die nicht mehr die ursprünglich bereitgestellten personenbezogenen Daten selbst sind. Daten die z.B. infolge einer Auswertung (mittels Algorithmen) der bereitgestellten personenbezogenen Daten gewonnenen werden, sind nicht mehr die ursprünglichen bereitgestellten Daten, sondern Daten des Verantwortlichen, die durch sein Handeln erzeugt werden. Es spricht viel dafür, dass sie nicht mehr vom Recht auf Datenübertragbarkeit miteingeschlossen sind. Aber auch insoweit bleibt die Entwicklung der Rechtsprechung abzuwarten.
5. Gelöschte personenbezogene Daten
Wenn ein Verantwortlicher zum Zeitpunkt der Geltendmachung des Rechts auf Datenübertragbarkeit personenbezogene Daten bereits gelöscht hat, können diese Daten nicht mehr Gegenstand des Rechts auf Datenübertragbarkeit. Denn das Recht auf Datenübertragbarkeit kann sich allein auf die personenbezogenen Daten beziehen, die der Verantwortliche (noch) gespeichert hat.
6. Pseudonymisierte und anonymisierte personenbezogene Daten
Schließlich stellt sich die Frage, ob auch pseudonymisierte und anonymisierte Daten den Gegenstand des Rechts auf Datenübertragbarkeit bilden können.
Werden personenbezogene Daten durch den Verantwortlichen pseudonymisiert, also in einer Weise verarbeitet, dass sie ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, stellen sie weiterhin personenbezogene Daten dar. Sie werden Gegenstand des Rechts auf Datenübertragbarkeit sein können, da eine Re-Identifizierung durch den Verantwortlichen im Fall einer Pseudonymisierung weiterhin möglich ist. Kann der Verantwortliche indes nachweisen, dass er nicht in der Lage ist, die betroffene Person zu identifizieren, muss er die betroffene Person hierüber unterrichten, sofern dies möglich ist. In diesem Fall findet das Recht auf Datenübertragbarkeit keine Anwendung mehr, es sei denn die betroffene Person stellt zur Ausübung ihres Rechts zusätzliche Informationen bereit, die ihre Identifizierung ermöglichen.
Bei anonymisierten Daten wird ein Recht auf Datenübertragbarkeit nicht bestehen. Sind die von betroffenen Personen bereitgestellten personenbezogenen Daten anonymisiert, ist eine Identifizierung der betroffenen Personen nicht mehr möglich. Mangels Personenbezug können sie vom Recht auf Datenübertragbarkeit nicht mehr umfasst sein.
