Die in der DS-GVO neu eingeführte Datenportabilität zählt zu den Betroffenenrechten. Der Betroffene kann vom Verantwortlichen verlangen, dass ihm seinen personenbezogenen Daten (pbD) bereitgestellt (Abs. 1) oder direkt an einen anderen Verantwortlichen übermittelt werden (Abs. 2). Der Zweck dieser Bestimmung liegt in der Erleichterung des Anbieterwechsels, etwa bei sozialen Netzwerken, aber nicht nur hier. Die folgenden wichtigen Punkte sind hierbei zu beachten:
- Das Recht auf Datenportabilität besteht nur, wenn die pbD aufgrund einer Einwilligung oder eines Vertrages verarbeitet werden.
- Es betrifft nur pbD, die vom Betroffenen bereitgestellt worden sind. So etwa die Adresseingabe bei einer Bestellung, aber auch Daten die durch die Nutzung eines Dienstes erzeugt worden sind (Gesundheitsdaten, Bewegungsprofile, Playlists …).
- Die Datenübertragung ist ausgeschlossen, wenn dadurch Rechte und Freiheiten anderer Personen beeinträchtigt werden (Art. 20 Abs. 4 DS-GVO).
- Die Übermittlung muss unentgeltlich erfolgen.
- Die Identität des Antragstellers muss eindeutig gewährleistet sein.
- Das verwendete Datenformat muss „strukturiert, gängig und maschinenlesbar“ sein. CSV, HTML oder XML wären geeignete Datei-Formate.
- Die Bereitstellung muss spätestens innerhalb von einem Monat erfolgen (Art. 12 Abs. 3 DS-GVO).
- Bei einem Verstoß kann von der zuständigen Aufsichtsbehörde ein Bußgeld verhängt werden (Art. 83 abs. 5 lit. b DS-GVO).
Unternehmen sind gut beraten, bereits frühzeitig einen entsprechenden Prozess der Datenportabilität zu modellieren und diesen dann Mitarbeitern transparent zu vermitteln.