Welche Relevanz hat das Recht auf Datenübertragbarkeit für Unternehmen? Was muss im Datenschutzmanagement des Unternehmens beachtet werden?
1. Bedeutung des Rechts auf Datenübertragbarkeit für Unternehmen
Für Unternehmen wird das Recht auf Datenübertragbarkeit große Bedeutung erlangen. Sofern sie personenbezogene Daten, die ihnen von betroffenen Personen bereitgestellt werden, auf der Grundlage von Verträgen oder Einwilligungen automatisiert verarbeiten, sind sie Anspruchsgegner des Rechts auf Datenübertragbarkeit. Da Unternehmen, denen die bereitgestellten personenbezogenen Daten zu übermitteln sind, auch Mitwirkungspflichten treffen dürften, wird das Recht auf Datenübertragbarkeit für sie beachtliche Relevanz erlangen.
In dem Umfang, in dem ein Unternehmen Anspruchsgegner des Rechts auf Datenübertragbarkeit ist, muss es Vorkehrungen ergreifen und interne Prozesse aufsetzten, die sicherstellen, dass die personenbezogenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format übermittelt werden können, sofern eine betroffene Person ihr Recht auf Datenübertragbarkeit ausübt. Dabei muss sichergestellt werden, dass dies unentgeltlich und unverzüglich, spätestens innerhalb eines Monats nach Eingang eines entsprechenden Antrags, erfolgt. Bei der Ausgestaltung der Prozesse gilt es auch zu berücksichtigen, dass Verantwortliche verpflichtet sind, betroffenen Personen die Ausübung ihrer Rechte, mithin auch des Rechts auf Datenübertragbarkeit, zu erleichtern.
Zu beachten ist: Bei Verstößen gegen das Recht auf Datenübertragbarkeit können mit Geldbußen von bis zu 20 Mio. EUR oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweiten erzielen Jahresumsatzes des vorausgegangenen Geschäftsjahres verhängt werden.
2. Vorkehrungen im Datenschutzmanagement des Unternehmens
Folgende Aspekte werden bezüglich der Integration des Rechts auf Datenübertragbarkeit im Datenschutzmanagement eines Unternehmens relevant werden:
- Ein Unternehmen muss sicherstellen, dass bei Geltendmachung des Rechts auf Datenübertragung die personenbezogenen Daten, ggf. untergliedert nach verschiedenen Standardkonstellationen, jederzeit identifiziert werden können, die ihm von betroffenen Personen, namentlich durch Kunden, auf Basis eines Vertrags oder Einwilligung bereitgestellt wurden.
- Darüber hinaus muss sichergestellt werden, dass betroffene Personen über ihr Recht auf Datenübertragbarkeit informiert werden müssen.
- Im Datenschutzmanagement sollte zusätzlich vorgesehen werden, dass im Falle eines Antrages einer betroffenen Person die Identität dieser überprüft und bestätigt wird und, sollten sich Zweifel ergeben, zusätzliche Informationen von der betroffenen Person angefordert werden, die zur Bestätigung der Identität der betroffenen Person notwendig sind.
- Es empfiehlt sich im Datenschutzmanagement standardisierte Prozesse zu definieren und Standardformulierungen vorzusehen, um auf die Geltendmachung des Rechts auf Datenübertragbarkeit durch Kunden in der vorgesehenen Frist, spätestens innerhalb eines Monats nach Eingang eines entsprechenden Antrags, reagieren zu können. Da die Frist um zwei Monate (sofern die Komplexität und der Anzahl von Anträgen dies erforderlich macht), verlängert werden kann, muss auch diese Option in den standardisierten Prozessen abgebildet und die Möglichkeit eröffnet sein, die betroffene Person innerhalb eines Monats nach Eingang des Antrags über eine Fristverlängerung, zusammen mit den Gründen für die Verzögerung zu unterrichten.
- Außerdem muss der Prozess die Möglichkeit abbilden, dass die betroffene Person bzw. der Kunde im Falle des Nicht-Tätigwerdens unverzüglich, spätestens aber innerhalb eines Monats nach Eingang des Antrags über die hierfür ursächlichen Gründe und die Möglichkeit unterrichtet wird, bei einer Aufsichtsbehörde Beschwerde oder Rechtsbehelf einzulegen.
- Die Erhebung eines Entgelts darf für die Bearbeitung eines Antrags grundsätzlich nicht vorgesehen werden. Etwas anderes gilt bei offenkundig unbegründeten oder – insbesondere im Fall wiederholt gestellter, exzessiver Anträge. Hier kann ein angemessenes Entgelt verlangt werden, bei dem die Bearbeitungskosten für die Unterrichtung, die Mitteilung oder die Durchführung der beantragten Maßnahme berücksichtigt werden. Es bietet sich also an, diesen Aspekt in die Standardprozesse mit zu integrieren. Alternativ wäre es für diesen Fall ebenso zulässig, die Bearbeitung des Antrags zu verweigern. Auch diese Optionen sollten im zu definierenden Prozess festgelegt werden. Dabei ist der Umstand mit abzubilden, dass der Verantwortliche den Nachweis für den offenkundig unbegründeten oder exzessiven Charakter des Antrags zu erbringen hat.
- In den Prozessen ist ebenso die interne Handhabung entsprechender Anträge und Definition besonderer Kommunikationswege festzulegen: z.B. die Nutzung von Online-Formularen, die verantwortlichen internen Stellen, die die Kommunikation mit den betroffenen Personen steuern, ggf. standardmäßig mittels vorformulierter Texte und Dokumente. Dabei muss das Unternehmen stets berücksichtigen, dass es verpflichtet ist, betroffenen Personen die Ausübung ihrer Rechte, mithin auch des Rechts auf Datenübertragbarkeit, zu erleichtern.
- Im Datenschutzmanagement sind auch die technischen Prozesse abzubilden, die erforderlich sind, um die Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu übermitteln. In diesen Standardprozessen muss auch geprüft und sichergestellt sein, dass durch die Übermittlung die Rechte und Freiheiten anderer Personen nicht beeinträchtigt werden. Solche Fälle müssen identifizierbar sein und ggf. durch zusätzliche interne Prozesse Beeinträchtigungen ausgeschlossen werden.