Wie funktioniert das Recht auf Datenübertragbarkeit?

28 czerwca 2019

Angaben

Was ist das Recht auf Datenübertragbarkeit und für wen ist es bestimmt? Unterliegen die angeforderten und extrahierten Daten Dritter diesem Recht? Wir stellen zwei Situationen dar, in denen es möglich ist, personenbezogene Daten an einen anderen Datenverantwortlichen zu übermitteln, sowie die Fristen, die jeder Datenverantwortliche einhalten sollte.

Was ist das Recht auf Datenübertragbarkeit?

Die meisten Online-Shops verfügen über umfangreiche Datenbanken ihrer Kunden - je größer der E-Shop, desto umfangreicher kann die Sammlung sein. Nach dem Inkrafttreten von RODO im E-Commerce (sowie in allen anderen Branchen, die personenbezogene Daten von natürlichen Personen verarbeiten) wurden neue Vorschriften eingeführt, die unter anderem die Übermittlung personenbezogener Daten von natürlichen Personen an einen anderen Datenverantwortlichen ermöglichen.

Jede Person, deren Daten bei einem für die Verarbeitung Verantwortlichen gespeichert sind, hat das Recht, sie in maschinenlesbarer Form zu erhalten. Eine Person kann die Übermittlung der ihr gehörenden personenbezogenen Daten verlangen. Dann werden seine Daten, wenn es eine solche technische Möglichkeit gibt, vom Administrator direkt an einen anderen Administrator gesendet. Die Übermittlung der Daten an einen anderen Administrator unterliegt den folgenden Bedingungen:

  • die Person der Verarbeitung personenbezogener Daten zugestimmt hat oder die Verarbeitung auf der Grundlage eines Vertrages erfolgt,
  • Die Verarbeitung Ihrer personenbezogenen Daten erfolgt automatisiert.

Datenformate

Nach einer Aufforderung an den für die Datenverarbeitung Verantwortlichen, Zugang zu den Daten zu erhalten, sollten die Daten über eine natürliche Person in einem "strukturierten, maschinenlesbaren und gebräuchlichen Format" ausgegeben werden. Welche Formate werden geeignet sein? Dies ist in den Vorschriften nicht festgelegt, aber nach einer der Interpretationen können es gängige Formate wie XML oder CSV sein.

Frist für die Bearbeitung des Antrags

Nach Aufforderung an den für die Datenverarbeitung Verantwortlichen ist dieser verpflichtet, Auskunft über die in diesem Fall getroffenen Maßnahmen zu erteilen. Zu welchem Datum? Maximal einen Monat nach Eingang des Antrags.

Diese Frist kann in bestimmten Situationen um weitere 2 Monate verlängert werden:

  • die komplizierte Art der Anfrage,
  • eine große Anzahl von Anfragen.

Wenn es notwendig ist, den monatlichen Zeitraum um weitere Wochen zu verlängern, ist der für die Datenverarbeitung Verantwortliche verpflichtet, den Nutzer, der den Antrag gestellt hat, zu informieren. Der Grund für diese Verzögerung ist ebenfalls anzugeben.

Ein weiteres Szenario ist es, nicht zu handeln. Der Kontrolleur kann eine solche Entscheidung treffen, dann sollte der Kontrolleur dem Benutzer, der den Antrag gestellt hat, den Grund dafür mitteilen. Der Nutzer kann dann bei der Aufsichtsbehörde Beschwerde einlegen und sein Recht auf einen wirksamen Rechtsbehelf vor einem Gericht ausüben.

Daten von Dritten

Bei bestimmten Dienstleistungen, wie z.B. Telefonaten oder Online-Banküberweisungen, verarbeitet der Datenverantwortliche nicht nur personenbezogene Daten des Kunden, sondern auch Daten anderer Personen. Auch die personenbezogenen Daten Dritter unterliegen dem Recht der Datenübermittlung. Eine Interpretation zeigt, dass diese Daten als Daten der Person behandelt werden, die ihre Übermittlung beantragt.

Angeforderte Daten und abgeleitete Daten

Angeforderte und abgeleitete Daten sind Daten, die nicht direkt vom Benutzer empfangen werden. Aus seinem Datensatz und den Informationen über den Nutzer generiert der für die Datenverarbeitung Verantwortliche weitere Daten, zieht Schlussfolgerungen und zieht Daten ab. Beispiele für abgeleitete Daten: Bonitätsbewertung und die Vergabe einer bestimmten Anzahl von Bonitätspunkten oder Gesundheitsbewertung. Sowohl abgeleitete als auch abgeleitete Daten beinhalten nicht das Recht auf Datenübertragbarkeit.