19
Dez
2016

EU-Datenschutz: Stellungnahme der Datenschutzbehörden zur Datenübertragbarkeit

Europäische Datenschutzbehörden veröffentlichen Arbeitshilfe zur Datenübertragbarkeit nach Art. 20 EU-Datenschutz-Grundverordnung

Die sogenannte Artikel 29 Datenschutzgruppe (Art. 29-Gruppe) ist das zentrale Koodinationsorgan der EU-Datenschutzbehörden. Experten haben mit Spannung auf erste Stellungnahmen der Datenschutzbehörden zur Anwendung der EU-Datenschutz-Grundverordnung (DSGVO) gewartet. Nun hat die Art. 29-Gruppe erste Arbeitshilfen zur Auslegung der DSGVO veröffentlicht. Mit Geltung der DSGVO ab dem 25. Mai 2018 tritt der EU-Datenschutzausschuss an Stelle der Art. 29-Gruppe. Fachleute halten es für sehr wahrscheinlich, dass der Datenschutzausschuss vorherige Stellungnahmen der Art. 29-Gruppe übernehmen wird. Daher hat das Arbeitspapier der Art. 29-Gruppe zur Datenübertragbarkeit nach Art. 20 DSGVO erhebliche Bedeutung für die Praxis. Der Beitrag fast einige wesentliche Aspekte des Arbeitspapiers der Datenschutzbehörden zusammen und zeigt die Folgen für die Umsetzung der DSGVO im Unternehmen.

Datenübertragbarkeit

Art. 20 DSGVO erlaubt es betroffenen Personen, ihre personenbezogenen Daten von einem Verantwortlichen zu einem anderen „mitzunehmen“. Die betroffene Person kann von einem Verantwortlichen verlangen, ihre personenbezogenen Daten in einem gängigen Format an einen anderen Verantwortlichen weiterzugeben. So können Nutzer sozialer Netzwerke einfacher von einem Anbieter zum anderen wechseln. Aber auch Bankkunden oder Beschäftigte können verlangen, dass ihre Daten an eine neue Bank oder einen neuen Arbeitgeber übertragen werden.

Umfang des Rechts auf Übertragung von Daten nach Art. 20 DSGVO

Für die Praxis ist bei dem Recht auf Dtenübertragung vor besonders wichtig, in welchem Umfang Unternehmen Daten auf eine Aufforderung der betroffenen Person hin zur Verfügung stellen müssen. Denn wenn man Art. 20 Abs. 1 DSGVO genau liest, stellt man fest, dass der Verantwortliche nicht zur Übertragung sämtlicher verarbeiteter Daten oder aller bei ihm gespeicherten Daten verpflichtet ist. Vielmehr kann die betroffene Person vom Verantwortlichen nur verlangen, dass dieser „die sie betreffenden personenbezogenen Daten, die sie einem Verantwortlichen bereitgestellt hat,“ übermittelt. Die EU-Datenschützer raten zu einer weiten Auslegung von Art. 20 DSGVO. So sollen Protokolle von Telefonaten eines Nutzers auch dann herausgegeben warden, wenn diese Protokolle die Daten anderer betroffener Personen enthalten, mit denen der jeweilige Nutzer telefoniert hat. Nach Ansicht der Datenschutzbehörden soll neben den Stammdaten damit auch das Nutzerverhalten einer betroffenen Person unter Art. 20 DSGVO fallen. Dagegen sollen abgeleitete Daten sowie Rückschlüsse aus vom Nutzer zur Verfügung gestellten Daten nicht unter Art. 20 DSGVO fallen. Damit sollen vom verantwortlichen Unternehmen erstellte oder von Dritten eingeholte Kredit-Scores oder sonstige vom Verantwortlichen erstellte Persönlichkeitsprofile nicht vom Recht auf Datenübertragbarkeit erfasst werden.

Umsetzung der DSGVO in der Praxis

Unternehmen sind gut beraten, die vorliegend angesprochene und weitere Arbeitspapiere der Art. 29-Gruppe bei Implementierungsprojekten zur Umsetzung der DSGVO zu beachten. Als Verantwortliche sollten sie gründlich prüfen, in welchem Umfang sie künftig die Übertragung von Daten anch Art. 20 DSGVO und wie sie unnötige Risiken (aber auch Kosten) vermeiden. Das vollständige Arbeitspapier der Art. 29 Datenschutzgruppe zur Datenübertragbarkeit nach Art. 20 DSGVO können Sie hier abrufen. Eine kurze englischsprachige Zusammenfassung zu den aktuellen Arbeitshilfen der Art. 29-Gruppe finden Sie hier auf unserem internationalen Datenschutz-Blog. Weitere Informationen zur Umsetzung der DSGVO finden Sie hier.

 

Verfasst von Tim Wybitul (aus der Sozietät ausgeschieden)