Datenübertragbarkeit beim Anbieterwechsel nach Artikel 20 DSGVO

Obwohl beide Rechte darauf abzielen, dem Nutzer Kontrolle über seine Daten zu geben, unterscheiden sie sich fundamental in Zielsetzung und technischer Umsetzung. Das Auskunftsrecht nach Art. 15 DSGVO dient primär dazu, dass eine Person erfährt, welche Daten zu welchem Zweck verarbeitet werden, wer die Empfänger sind und wie lange die Speicherung andauert. Hier reicht oft eine einfache Auflistung oder eine Kopie der Daten aus, die durchaus auch in einem für Menschen lesbaren Format wie PDF oder sogar in Papierform erfolgen kann, sofern dies den Informationszweck erfüllt. Es geht um die reine Wissensvermittlung über den Status quo der Verarbeitung im aktuellen System.

Die Datenübertragbarkeit nach Art. 20 DSGVO geht jedoch einen entscheidenden Schritt weiter: Sie ist ein Instrument der wirtschaftlichen Mobilität. Das Ziel ist es, die Daten so zu erhalten, dass sie in einem anderen System technisch weiterverarbeitet werden können. Daher verlangt Art. 20 zwingend ein strukturiertes, gängiges und maschinenlesbares Format. Zudem ist der Umfang enger gefasst: Während Art. 15 alle personenbezogenen Daten umfasst, bezieht sich Art. 20 nur auf Daten, die der Betroffene bereitgestellt hat und deren Verarbeitung auf einer Einwilligung oder einem Vertrag basiert. Kurz gesagt: Art. 15 ist für die Kontrolle, Art. 20 für den Umzug der Daten gedacht.

Dies ist eine der komplexesten Fragen der Datenübertragbarkeit und erfordert eine sorgfältige Abwägung. Grundsätzlich darf die Ausübung des Rechts nach Art. 20 DSGVO die Rechte und Freiheiten anderer Personen nicht beeinträchtigen. Wenn Sie beispielsweise Ihre Kontakte aus einem sozialen Netzwerk oder Ihre E-Mail-Korrespondenz exportieren, enthalten diese Daten zwangsläufig Informationen über Dritte (Namen, E-Mail-Adressen, Chatnachrichten). Die Leitlinien der Aufsichtsbehörden stellen hier klar, dass die Übertragbarkeit nicht verweigert werden darf, nur weil Daten Dritter enthalten sind, sofern diese Daten untrennbar mit dem Datensatz des Antragstellers verbunden sind.

Allerdings darf der empfangende Verantwortliche (also der neue Anbieter) diese Daten Dritter nicht ohne eigene Rechtsgrundlage für seine Zwecke verarbeiten. Wenn Sie also Ihre Freundesliste zu einem neuen Anbieter umziehen, darf dieser die Freunde nicht ohne deren Einwilligung kontaktieren oder eigene Profile für sie erstellen. Der ursprüngliche Anbieter wiederum muss bei der Bereitstellung des Exports darauf achten, dass keine übermäßigen Daten Dritter preisgegeben werden, die für den Zweck des Anbieterwechsels nicht erforderlich sind. In der Praxis bedeutet dies meist, dass Kontaktlisten übertragen werden können, da sie für den Nutzwert des Dienstes essenziell sind, während tiefergehende Profildetails von Freunden im Export weggelassen werden müssen.

Gemäß Art. 12 Abs. 5 DSGVO müssen alle Maßnahmen, die im Rahmen der Ausübung von Betroffenenrechten (einschließlich Art. 20) ergriffen werden, grundsätzlich unentgeltlich erfolgen. Das bedeutet, dass ein Unternehmen weder für die Zusammenstellung des Datenpakets noch für die Bereitstellung eines Download-Links oder die Freischaltung einer Export-Schnittstelle Gebühren verlangen darf. Die Kosten für die Implementierung der notwendigen IT-Infrastruktur zur Erfüllung dieser gesetzlichen Pflicht werden als allgemeine Betriebskosten betrachtet und dürfen nicht auf den einzelnen Nutzer abgewälzt werden, der von seinem Recht Gebrauch macht.

Eine Ausnahme besteht lediglich dann, wenn der Verantwortliche nachweisen kann, dass die Anträge einer betroffenen Person offenkundig unbegründet sind oder – insbesondere im Fall von häufiger Wiederholung – einen exzessiven Charakter haben. In einem solchen sehr seltenen Fall könnte der Anbieter ein angemessenes Entgelt verlangen, das sich an den Verwaltungskosten orientiert, oder sich weigern, aufgrund des Antrags tätig zu werden. Die Hürden für den Nachweis der “Exzessivität” sind jedoch extrem hoch. Ein Nutzer, der einmal im Jahr seine Daten portieren möchte, handelt keineswegs exzessiv. Unternehmen sollten daher davon ausgehen, dass der Prozess für den Nutzer immer kostenfrei bleiben muss.

Das Recht auf Datenübertragbarkeit nach Art. 20 DSGVO ist explizit auf die automatisierte Verarbeitung beschränkt. Das bedeutet, dass es nur für Daten gilt, die digital verarbeitet werden. Papierakten, handschriftliche Notizen in physischen Ordnern oder Karteikarten fallen nicht unter den Anwendungsbereich von Art. 20. Der Grund hierfür liegt in der Zielsetzung der Norm: Die Interoperabilität und der barrierefreie Wechsel zwischen IT-Systemen sollen gefördert werden. Bei analogen Datenbeständen fehlt die technische Basis für einen automatisierten Transfer, weshalb der Gesetzgeber hier keine Übertragungspflicht vorgesehen hat.

Für papiergebundene Daten bleibt dem Betroffenen jedoch weiterhin das allgemeine Auskunftsrecht nach Art. 15 DSGVO. Hier kann er eine Kopie der Daten verlangen, was in der Regel durch Fotokopien oder Scans erfolgt. Wenn ein Unternehmen allerdings Papierakten digitalisiert und in einem Dokumentenmanagement-System (DMS) speichert, werden diese Daten Teil einer automatisierten Verarbeitung. In diesem Moment unterliegen sie theoretisch wieder dem Recht auf Übertragbarkeit, sofern die anderen Voraussetzungen (Einwilligung/Vertrag) erfüllt sind. In der Praxis konzentriert sich Art. 20 jedoch fast ausschließlich auf strukturierte Daten in Datenbanken und Cloud-Services.

Die Formulierung “technisch machbar” in Art. 20 Abs. 2 DSGVO ist eine der am heftigsten diskutierten Klauseln. Sie besagt, dass der Nutzer verlangen kann, dass seine Daten direkt von einem Verantwortlichen zu einem anderen gesendet werden. Dies setzt voraus, dass zwischen den beiden Systemen eine technische Kommunikationsmöglichkeit besteht. Der Gesetzgeber wollte hiermit jedoch nicht vorschreiben, dass Unternehmen gezwungen sind, spezifische Schnittstellen für jeden potenziellen Wettbewerber zu entwickeln. “Technisch machbar” bedeutet vielmehr, dass eine Übermittlung erfolgen muss, wenn bereits standardisierte Schnittstellen (APIs) vorhanden sind oder wenn branchenübliche Standards für den Datenaustausch existieren.

Wenn ein kleiner Nischenanbieter keine API hat, kann er nicht gezwungen werden, mit hohem finanziellem Aufwand eine solche nur für einen einzigen Nutzer zu programmieren. In diesem Fall ist die direkte Übermittlung nicht “machbar”, und der Anbieter erfüllt seine Pflicht, indem er dem Nutzer die Daten zum Selbst-Download bereitstellt. Große Plattformen hingegen, die bereits über Export-Tools oder öffentliche APIs verfügen, können sich kaum auf die technische Unmöglichkeit berufen. Die Tendenz in der EU geht klar dahin, durch ergänzende Gesetze wie den Data Act oder den Digital Markets Act (DMA) die technische Machbarkeit durch die Verpflichtung zu offenen Standards zur Norm zu machen.

Ein Format ist dann im Sinne der DSGVO konform, wenn es softwareunabhängig ist und von einem Computer ohne menschliches Eingreifen korrekt interpretiert werden kann. Als Goldstandard gelten heute textbasierte, strukturierte Formate wie JSON (JavaScript Object Notation), XML (Extensible Markup Language) oder das klassische CSV (Comma-Separated Values). Diese Formate erlauben es dem empfangenden System, die Datenfelder (z.B. “Name”, “Datum”, “Betrag”) automatisch zu identifizieren und in die eigene Datenbankstruktur einzuordnen. Proprietäre Formate, die nur mit der Software des ursprünglichen Anbieters geöffnet werden können, sind strikt untersagt.

Wichtig ist, dass “maschinenlesbar” nicht mit “für Menschen gut lesbar” gleichzusetzen ist. Eine PDF-Datei ist zwar digital und für Menschen perfekt lesbar, aber für Computer extrem schwer strukturiert auszulesen (da die Semantik der Datenfelder fehlt). Daher ist ein PDF in der Regel kein geeignetes Format für die Datenübertragbarkeit nach Art. 20. Ebenso wenig genügen einfache Screenshots oder Bilddateien. Die Anbieter sind gehalten, Formate zu wählen, die interoperabel sind, also einen breiten Standard in der jeweiligen Branche darstellen. Je komplexer die Daten sind, desto wichtiger wird eine begleitende Dokumentation (Schema), die erklärt, was die einzelnen Datenfelder bedeuten.

Ja, nach der Auslegung des Europäischen Datenschutzausschusses (EDSA) fallen auch sogenannte “beobachtete Daten” unter das Recht auf Übertragbarkeit. Dies sind Daten, die durch die Nutzung eines Geräts oder Dienstes generiert wurden, ohne dass der Nutzer sie aktiv in ein Formular eingegeben hat. Typische Beispiele sind die Historie besuchter Webseiten, Suchanfragen, GPS-Koordinaten einer Fitness-Uhr oder auch das Protokoll über die Nutzung von Smart-Home-Geräten. Da diese Daten direkt mit der Aktivität des Nutzers verknüpft sind und auf Basis des Nutzungsvertrags erhoben wurden, hat der Betroffene ein Anrecht darauf, diese Historie mit zu einem neuen Anbieter zu nehmen.

Die Grenze wird erst bei den “abgeleiteten” oder “inferierten” Daten gezogen. Wenn ein Streaming-Anbieter aus Ihrem Hörverhalten schließt, dass Sie vermutlich ein Fan von Jazzmusik sind, ist diese Schlussfolgerung (“Jazz-Fan”) ein Ergebnis der internen Datenverarbeitung des Anbieters. Diese Ableitung muss nicht portiert werden. Die zugrunde liegenden Rohdaten (welches Lied wurde wann wie oft gehört) hingegen schon. Diese Unterscheidung ist in der Praxis oft schwierig, aber für den Schutz von Geschäftsgeheimnissen der Anbieter essenziell. Der Nutzer hat Anspruch auf seine Historie, nicht aber auf die analytische Intelligenz des Dienstleisters.

Die Fristenregelung für Art. 20 folgt den allgemeinen Bestimmungen des Art. 12 Abs. 3 DSGVO. Das bedeutet: Der Verantwortliche muss dem Nutzer “unverzüglich”, in jedem Fall aber innerhalb eines Monats nach Eingang des Antrags Informationen über die ergriffenen Maßnahmen zur Verfügung stellen. Das Ziel sollte sein, den Export so schnell wie technisch möglich abzuwickeln, insbesondere wenn automatisierte Tools vorhanden sind. Ein Hinauszögern ohne sachlichen Grund kann bereits als Verstoß gewertet werden, da es den Wettbewerb behindert.

Sollte das Ersuchen besonders komplex sein oder eine Vielzahl von Anträgen vorliegen, kann die Frist um weitere zwei Monate auf insgesamt maximal drei Monate verlängert werden. In diesem Fall muss das Unternehmen den Nutzer jedoch innerhalb des ersten Monats über die Verzögerung und die Gründe hierfür informieren. In der modernen Plattformökonomie wird von großen Anbietern erwartet, dass solche Prozesse nahezu in Echtzeit oder zumindest innerhalb weniger Tage abgewickelt werden. Eine dreimonatige Frist für einen simplen E-Mail-Listen-Export wäre rechtlich kaum zu rechtfertigen und würde bei einer Beschwerde kritisch hinterfragt werden.

Wenn ein Anbieter den Antrag ablehnt oder Daten in einem Format liefert, das offensichtlich nicht maschinenlesbar ist (z.B. verschlüsselt oder unstrukturierte Textwüsten), stehen dem Nutzer mehrere Eskalationsstufen offen. Zunächst sollte man den Datenschutzbeauftragten des Unternehmens förmlich kontaktieren und auf die spezifischen Anforderungen von Art. 20 DSGVO und die Leitlinien des EDSA hinweisen. Oft hilft die Androhung einer Beschwerde bei der Aufsichtsbehörde, um den Prozess zu beschleunigen, da Unternehmen Bußgelder und langwierige Prüfverfahren vermeiden wollen.

Führt dies nicht zum Erfolg, ist die Einreichung einer formellen Beschwerde bei der zuständigen Datenschutzaufsichtsbehörde der nächste logische Schritt. Die Behörde kann den Anbieter anweisen, die Daten in einem konformen Format bereitzustellen, und im Falle einer beharrlichen Weigerung empfindliche Strafen verhängen. Zudem besteht die Möglichkeit einer Zivilklage auf Erfüllung und gegebenenfalls auf Schadensersatz, falls durch die verweigerte Portabilität nachweisbare wirtschaftliche Schäden entstanden sind (z.B. Migrationskosten durch manuelles Abtippen). In der EU-Rechtsprechung wird die Durchsetzung von Betroffenenrechten zunehmend streng gehandhabt.

Nein, ein vertraglicher Ausschluss oder eine Einschränkung des Rechts auf Datenübertragbarkeit in den Allgemeinen Geschäftsbedingungen (AGB) ist absolut unwirksam. Bei den Rechten aus der DSGVO handelt es sich um zwingendes Recht, das nicht durch Individualabreden oder vorformulierte Vertragsbedingungen abbedungen werden kann. Jede Klausel, die besagt, dass der Nutzer auf seine Portabilitätsrechte verzichtet oder dass die Daten Eigentum des Anbieters bleiben und nicht exportiert werden können, ist rechtswidrig und kann zudem von Verbraucherschutzverbänden abgemahnt werden.

Unternehmen sind vielmehr dazu verpflichtet, ihre Nutzer bereits bei der Datenerhebung (gemäß Art. 13 und 14 DSGVO) proaktiv über die Existenz des Rechts auf Datenübertragbarkeit zu informieren. Ein Verstecken dieser Rechte oder das Errichten unnötiger bürokratischer Hürden (wie die Forderung nach einer postalischen Kündigung für einen digitalen Datenexport) widerspricht dem Gebot der Transparenz und der Erleichterung der Betroffenenrechte nach Art. 12 DSGVO. In der Praxis führt ein transparenter Umgang mit diesen Rechten zu einer höheren rechtlichen Sicherheit und einer besseren Reputation des Anbieters.