Datenportabilitäts-Pflichten nach der DS-GVO für Anbieter von "Software-as-a-Service"

Inhaltsverzeichnis

Literaturverzeichnis

Abkürzungsverzeichnis

A) Einleitung

B) Recht auf Datenübertragbarkeit gem. Art.20 DS-GVO
I. Allgemeines
1. Zweck und Bedeutung
2. Systematik
II. Voraussetzungen
1. Persönlicher Anwendungsbereich
a) Verantwortlicher
b) Betroffener
3. Sachlicher Anwendungsbereich
a) Personenbezogene Daten
b) Bereitstellen
c) Verarbeitungsgrundlage und Verarbeitungsverfahren
4. Ausnahmen
a) Öffentlicher Bereich gem. Art.20 III S.2 DS-GVO
b) Rechte und Freiheiten Dritter gem. Art.20 IV DS-GVO
c) Einschränkungen und Ausnahmen außerhalb des Art.20 DS-GVO
5. Zwischenfazit
III. Pflichten
1. Indirekte Übertragung gem. Art.20 I DS-GVO
a) Pflichten des übertragenden Anbieters aus Art.20 DS-GVO
b) Pflichten des übertragenden Anbieters aus Art.20 i.V.m. Art.12 DS-GVO
c) Pflichten des übertragenden Anbieters aus Art.5 DS-GVO
d) Pflichten des aufnehmenden Anbieters
2. Direkte Übertragung gem. Art.20 II DS-GVO
a) Pflichten des übertragenden Anbieters
b) Pflichten des aufnehmenden Anbieters
IV. Strafen bei Pflichtverletzung

C) Praxisbeispiele
I. Student – Universität
II. Nutzer – Musikstreaming-Plattform
III. Nutzer – Google-Account

E) Fazit

Literaturverzeichnis

Albrecht, Jan Philipp, Das neue Datenschutzrecht – von der Richtlinie zur Verordnung, Computer und Recht 2016, 88 – 98 Ders. / Jotzo, Florian, Das neue Datenschutzrecht der EU, 1. Aufl., Baden-Baden 2017

Almunia, Joaquín, Rede beim Privacy Platform Event: Competition and Privacy in Markets of Data v. 26.11.2012, abrufbar unter http://europa.eu/rapid/press-release_SPEECH-12-860_en.htm (Abruf 9.4.2018)

Armbrust, Michael/ Fox, Armando/ Griffith, Rean/ Joseph, Anthony D./ Katz, Randy/ Konwinski, Andy/ Gunho, Lee/ Patterson, David/ Rabkin, Ariel/ Stoica, Ion/ Zaharia, Matei, A View of Cloud Computing, Communications of the ACM 2010, Vol. 53 Nr. 4, 50 – 58

Artikel 29-Datenschutzgruppe, Leitlinien zum Recht auf Datenübertragbarkeit, WP 242, Verabschiedet am 13.12.2016, https://www.datenschutz-grundverordnung.eu/wp-content/uploads/2017/07/WP242de_Art_29-Gruppe_Datenubertragbarkeit.pdf (Abruf 9.4.2018)

Dies., Guidelines on the right to data portability, WP 242 rev.01, Überarbeitet und verabschiedet am 5.4.2017, http://ec.europa.eu/newsroom/just/document.cfm?doc_id=48142 (Abruf 9.4.2018)

Dies., Stellungnahme 05/2012 zum Cloud Computing, WP 196, Angenommen am 1.7.2012, https://www.lda.bayern.de/media/wp196_de.pdf (Abruf 9.4.2018)

Auer-Reinsdorff, Astrid/ Conrad, Isabell (Hrsg.), Handbuch IT- und Datenschutzrecht, 2. Aufl. 2016

Benedikt, Kristin, Datenportabilität – das neue Recht des Betroffenen, Recht der Datenverarbeitung 2017, 189 – 190

BITKOM, Stellungnahme zum Recht auf Datenübertragbarkeit nach Art.20 Datenschutz-Grundverordnung v. 14.3.2017, abrufbar unter https://www.bitkom.org/noindex/Publikationen/2017/Positionspapiere/20170411-Stellungnahme-Datenportabilitaet-Fin.pdf (Abruf 9.4.2018);

Borges, Georg/ Meents, Jan Geert (Hrsg.), Rechtshandbuch Cloud Computing, 1. Aufl. 2016

Brennscheidt, Kirstin, Cloud Computing und Datenschutz, 1. Aufl. 2013

Brink, Stefan/ Eckhardt, Jens, Wann ist ein Datum ein personenbezogenes Datum? – Anwendungsbereich des Datenschutzrechts, Zeitschrift für Datenschutz 2015, 205 – 212

Budszus, Jens/ Berthold, Oliver/ Filip, Alexander/ Polenz, Sven/ Probst, Thomas/ Thiermann, Maren, Arbeitskreise Technik und Medien, Orientierungshilfe-Cloud Computing, Stand 9.10.2014, abrufbar unter https://www.datenschutz-bayern.de/technik/orient/oh_cloud.pdf (Abruf 1.3.2018)

Bundesamt für Sicherheit in der Informationstechnologie (Hrsg.), Eckpunktepapier: Sicherheitsempfehlungen für Cloud Computing Anbieter, Bonn 2012

Cebulla, Manuel, Umgang mit Kollateraldaten, Zeitschrift für Datenschutz 2015, 507 – 512

Dehaye, Paul-Oliver/ Poikola, Antti, Comments on Data Portability guidelines, abrufbar unter https://medium.com/mydata/comments-on-data-portability-guidelines-2102d447f73b (Abruf 9.4.2018)

Dehmel, Susanne/ Hullen, Nils, Auf dem Weg zu einem zukunftsfähigen Datenschutz in Europa?, Zeitschrift für Datenschutz 2013, 147 – 153

Deister, Jochen/ Meyer-Spasche, Georg, Rechtliche Aspekte des Cloud Computings, HMD Praxis der Wirtschaftsinformatik 2014, Vol. 51, Issue 6, 795 – 809

Deussen, Peter H./ Strick, Linda/ Peters, Johannes, Fraunhofer-Allianz Cloud Computing, Cloud Computing für die öffentliche Verwaltung – ISPRAT-Studie November 2010, abrufbar unter https://www.cloud.fraunhofer.de/content/dam/allianzcloud/de/documents/ISPRAT_cloud_studievorabversion20101129tcm421-76759.pdf (Abruf 9.4.2018)

Ehmann, Eugen/ Selmayr, Martin (Hrsg.), Kommentar zur Datenschutz-Grundverordnung, 1. Aufl., München 2017

Engels, Barbara, Data portability among online platforms, Internet Policy Review 2016, Vol. 5, Issue 2

Eßer, Martin/ Kramer, Philipp/ v. Lewinski, Kai, Auernhammer DSGVO/ BDSG, 5. Aufl., Köln 2017

Gierschmann, Sybille/ Schlender, Katharina/ Stentzel, Rainer/ Veil, Winfried (Hrsg.), Kommentar Datenschutz-Grundverordnung, 1. Aufl., Köln 2018

Graef, Inge, Mandating portability and interoperability in online social networks: Regulatory and competition law issues in the European Union, Telecommunications Policy 2015, Vol. 39, Issue 6, 502 – 514

Grünwald, Andreas/ Döpkens, Harm-Randolf, Cloud Control? – Regulierung von Cloud Computing-Angeboten, MultiMedia und Recht 2011, 287 – 290

Gola, Peter (Hrsg.), Kommentar zur Datenschutz-Grundverordnung VO (EU) 2016/679, 1. Aufl., München 2017

Ders. / Schomerus, Rudolf (Hrsg.), Bundesdatenschutzgesetz, 12. Aufl., München 2015

Härting, Niko, Datenschutz-Grundverordnung. Das neue Datenschutzrecht in der betrieblichen Praxis, 1. Aufl., Köln 2016

Ders., DSGVO: Auftragsdatenverarbeitung – was ändert sich?, CR-online.de Blog v. 10.5.2016, abrufbar unter https://www.cr-online.de/blog/2016/05/10/dsgvo-auftragsdatenverarbeitung-was-aendert-sich/ (Abruf 9.4.2018)

Heidkamp, Peter/ Pols, Axel, KPMG/ BITKOM, Cloud-Monitor 2017, abrufbar unter http://hub.kpmg.de/hubfs/LandingPages-PDF/kpmg-cloud-monitor-2017.pdf?t=1519130790293&utm_campaign=Cloud%20Monitor%202017&utm_source=hs_automation&utm_medium=email&utm_content=52200295&_hsenc=p2ANqtz-9Zz-Poi3eR34T9wTNTUuLATCLACTW-O1rcQ614s8XbCgmAhYdJJ4bZxJG5eHovsm-iDUKRIXhbFIm2at2LE6AVnuvEzg&_hsmi=52200295 (Abruf 9.4.2018)

Hennemann, Moritz, Datenportabilität, Privacy in Germany 2017, 5 – 8

Hornung, Gerrit, Eine Datenschutz-Grundverordnung für Europa?, Zeitschrift für Datenschutz 2012, 99 – 106

Judt, Ewald/ Klausegger, Claudia, Customer Centricity, Bank und Markt 05/2012, 42

Jülicher, Tim/ Röttgen, Charlotte/ von Schönfeld, Max, Das Recht auf Datenübertragbarkeit, Zeitschrift für Datenschutz 2016, 358 – 362

Kazemi, Robert, Die EU-Datenschutz-Grundverordnung in der anwaltlichen Beratungspraxis, 1.Aufl. 2017

Konferenz der Datenschutzbeauftragten des Bundes und der Länder, Orientierungshilfe „Soziale Netzwerke“, Stand 14.3.2013, abrufbar unter https://www.datenschutz-bayern.de/technik/orient/oh_soziale-netze.pdf (Abruf 9.4.2018)

Körber, Torsten, „Ist Wissen Marktmacht?“ Überlegungen zum Verhältnis von Datenschutz, „Datenmacht“ und Kartellrecht – Teil 1, Neue Zeitschrift für Kartellrecht 2016, 303 – 310

Kühling, Jürgen/ Buchner, Benedikt (Hrsg.), Kommentar zur Datenschutz-Grundverordnung, 1. Aufl., München 2017

Ders. / Martini, Mario, Die Datenschutz-Grundverordnung: Revolution oder Evolution im europäischen und deutschen Datenschutzrecht?, Europäische Zeitschrift für Wirtschaftsrecht 2016, 448 – 454

Laue, Philip/ Nink, Judith/ Kremer, Sascha, Das neue Datenschutzrecht in der betrieblichen Praxis, 1. Aufl., Baden-Baden 2016

Nebel, Maxi/ Richter, Philipp, Datenschutz bei Internetdiensten nach der DS-GVO, Zeitschrift für Datenschutz 2012, 407 – 413

Noormaa, Irmen/ Šulskutė, Raminta/ Terjuhana, Jūlija, Data Portability – IT Law Lab Study, abrufbar unter https://www.oi.ut.ee/sites/default/files/oi/data_portability_noormaa_sulskute_terjuhana.pdf (Abruf 9.4.2018)

Paal, Boris P./ Pauly, Daniel A. (Hrsg.), Beck’scher Kompakt-Kommentar zur Datenschutz-Grundverordnung, 1. Aufl., München 2017

Petri, Thomas, Datenschutzrechtliche Verantwortlichkeit im Internet – Überblick und Bewertung der aktuellen Rechtsprechung, Zeitschrift für Datenschutz, 103 – 106

Plath, Kai-Uwe (Hrsg.), BDSG/ DS-GVO, 2. Aufl., Köln 2016

Piltz, Carlo, Die Datenschutz-Grundverordnung Teil 2: Rechte der Betroffenen und korrespondierende Pflichten des Verantwortlichen, Kommunikation & Recht 2016, 629 – 636

Pürsing, Monika, Datenqualitäts- und Stammdatenmanagement Eine Herausforderung moderner Unternehmensführung, ERP Management 4/2016, 22 – 24

Riesenhuber, Karl (Hrsg.), Europäische Methodenlehre, 3.Aufl., Berlin 2015

Roßnagel, Alexander (Hrsg.), Europäische Datenschutz-Grundverordnung, 1. Aufl., Baden-Baden 2017

Schätzle, Daniel, Ein Recht auf die Fahrzeugdaten, Privacy in Germany 2016, 71 – 75

Seibel, Mark, Abgrenzung der „allgemein anerkannten Regeln der Technik“ vom „Stand der Technik“, Neue Juristische Wochenschrift 2013, 3000 – 3004

Simitis, Spiros (Hrsg.), Bundesdatenschutzgesetz, 8. Aufl., Baden-Baden 2014

Soanes, Catherine/ Stevenson, Angus (Hrsg.), Concise Oxford English Dictionary, 11. Edition (revised), Oxford 2008

Spindler, Gerald, Verträge über digitale Inhalte, MultiMedia und Recht 2016, 147 – 153

Ders., Verträge über digitale Inhalte, MultiMedia und Recht 2016, 219 – 224

Stiftung Datenschutz, Praktische Umsetzung des Rechts auf Datenübertragbarkeit, 3. Aufl., Leipzig 2018

Strubel, Michael, Anwendungsbereich des Rechts auf Datenübertragbarkeit, Zeitschrift für Datenschutz 2016, 355 – 361

SWD Rechtsanwälte, Datenportabilität: Neue Rechte durch die Datenschutzgrundverordnung, Online Blog, abrufbar unter https://www.swd-rechtsanwaelte.de/blog/recht-auf-datenportabilitaet_dsgvo/ (Abruf 9.4.2018)

Sydow, Gernot (Hrsg.), Kommentar zur Europäischen Datenschutzgrundverordnung, 1. Aufl., Baden-Baden 2017

Taeger, Jürgen/ Gabel, Detlev, Bundesdatenschutzgesetz, 2. Aufl., Frankfurt a.M. 2013

Wolff, Heinrich Amadeus/ Brink, Stefan (Hrsg.), Beck’scher Online-Kommentar Datenschutzrecht, 22. Edition, Stand: 1.11.2017, abrufbar unter https://beck-online.beck.de/?vpath=bibdata%2fkomm%2fBeckOKDatenS_22%2fcont%2fBECKOKDATENS%2ehtm (Abruf 9.4.2018)

Wybitul, Tim (Hrsg.), Handbuch EU-Datenschutz-Grundverordnung, 1.Aufl., Frankfurt a.M. 2017

Zanfir, Gabriela, The right to Data portability in the context of the EU data protection reform, International Data Privacy Law 2012, Vol. 2, Issue 3, 149 – 162

Abkürzungsverzeichnis

Abbildung in dieser Leseprobe nicht enthalten

A) Einleitung

Am 25.Mai 2018 läuft die Übergangszeit der DS-GVO ab. Mit in Kraft treten der Verordnung werden personendatenverarbeitende Stellen verpflichtet sein, Betroffenen weitgehende Rechte einzuräumen. Eines der Betroffenenrechte ist das Recht auf Datenübertragbarkeit aus Art.20 DS-GVO.^[1] Es wird auch Recht auf Datenportabilität genannt.^[2] Dieses Recht stellt ein Novum für das deutsche Datenschutzrecht dar.^[3] Aufgrund der Neuartigkeit der Norm herrscht große Unsicherheit über die Weite des Anwendungsbereichs und Umfang des Pflichtenkatalogs. Es ist daher unerlässlich zu analysieren, inwiefern Art.20 die „hinein projizierten Erwartungen“ erfüllen kann.^[4] Unklar ist, ob sich das Recht auf Datenübertragbarkeit lediglich zu einem modifizierten Auskunftsanspruch entwickeln wird, der weniger Daten als Art.15 umfasst und damit kaum praktische Relevanz entfalten wird, oder ob der Verantwortliche zukünftig die Pflicht haben wird, ein Datenpaket zu schnüren, was dem Betroffenen in Umfang und Format das Nutzen neuer Dienste tatsächlich erleichtern wird. Es stellt sich daher in Bezug auf das Recht auf Datenübertragbarkeit die Frage: Amur- oder Papiertiger?

B) Recht auf Datenübertragbarkeit gem. Art.20 DS-GVO

I. Allgemeines

1. Zweck und Bedeutung

Dem Betroffenen wird mit dem Recht auf Datenübertragbarkeit ermöglicht, seine ihn betreffenden, personenbezogenen Daten vom Verantwortlichen zu erhalten und an einen anderen Verantwortlichen zu übermitteln, sofern sie dem ursprünglichen Verantwortlichen durch den Betroffenen bereitgestellt wurden, die Verarbeitung auf einer Einwilligung oder einem Vertrag beruht und mithilfe automatisierter Verfahren erfolgt (Art.20 I). Als Alternative kann der Betroffene verlangen, die Daten direkt vom ursprünglichen Verantwortlichen an den neuen Verantwortlichen übermitteln zu lassen , sofern das technisch machbar ist (Art.20 II).

Zweck des Rechts auf Datenportabilität ist es, dem Betroffenen eine bessere Kontrollmöglichkeit über seine personenbezogenen Daten zu geben, ErwG 68 S.1. Die Kontrollmöglichkeit ist dabei nicht nur als Mittel zur Feststellung der Richtigkeit der Daten zu verstehen, sondern primär um dem Betroffenen Zugang zu den eigenen Daten zu verschaffen und das eigene Datenpaket „steuern“ zu können.^[5] Neben datenschutzrechtlichen Zielen verfolgt das Recht auf Datenübertragbarkeit auch wettbewerbsrechtliche und verbraucherschützende Ziele.^[6] Es soll der Wettbewerb zwischen Anbietern gefördert werden, indem Nutzer die Möglichkeit erhalten, problemlos und schnell ihre Daten vom bisherigen Anbieter zu einem konkurrierenden Anbieter übertragen zu können. Die anbieterseitige Neukundengewinnung wird durch den Abbau von sog. Lock-in-Effekten und den vereinfachten Anbieterwechsel für Nutzer erleichtert. Folglich können Monopol- oder Oligopolstellungen geschwächt und der Markt für Wettbewerb geöffnet werden. Lock-in-Effekte entstehen, wenn ein Anbieter umfangreiche Datenmengen vom Nutzer gespeichert hat. Ein Anbieterwechsel unterbleibt, weil die Übertragung der Daten zum neuen Anbieter aufgrund zu hoher sog. Switching Costs unzumutbar ist. Hohe Switching Costs entstehen u.a. durch Inkompatibilität der Dateiformate, Komplexität des Vorgangs oder weil die bloße Datenmenge die manuelle Übertragung zu aufwändig macht.^[7] Diese „erzwungene“ Nutzerloyalität soll durch das Recht auf Datenportabilität abgebaut und verhindert werden. Außerdem soll die Datensouveränität des Verbrauchers gegenüber Unternehmen gestärkt werden.^[8] Während bisher v.a. der Anbieter die Daten des Betroffenen kommerziell genutzt hat, kann nun der Betroffene sein Datenpaket ohne Verlust duplizieren, die Kopie dem bisherigen Verantwortlichen entziehen und dem Anbieter zur Verfügung stellen, der das für ihn attraktivste Angebot hat. Ob das der Beginn der bewussten Kommerzialisierung der eigenen Daten ist, lässt sich momentan noch nicht absehen.^[9] Mindestens schafft man damit aber eine bessere Anbieter-Nutzer-Balance und kommt einer Begegnung dieser beiden Gruppen auf Augenhöhe näher, was in Zeiten von „Customer Centricity“ zu befürworten ist.^[10]

Im Gesetzgebungsprozess wurde angemerkt, dass der wettbewerbsrechtliche Charakter Art.20 dominieren würde.^[11] Eine datenschutzrechtliche Schutzwirkung würde Art.20 nur entfalten, wenn ein höheres Datenschutzniveau beim aufnehmenden Verantwortlichen der Grund des Anbieterwechsels sein würde.^[12] Ob Auslöser des Anbieterwechsels datenschutzrechtliche Aspekte sein werden oder bspw. neue Funktionalitäten, eine verbesserte Bedienbarkeit oder Trends, sei dahingestellt. Der Kritik, das Recht auf Datenübertragbarkeit sei wegen des starken wettbewerbsrechtlichen Charakters „systemfremd“, ist jedoch nicht zu folgen.^[13] Das zunehmende Verwischen der Grenze zwischen Datenschutz- und Wettbewerbsrecht ist nicht zu verhindern in Zeiten, in denen Daten eine wichtige wirtschaftliche Ressource sind.^[14] Die Aufnahme dieser Verzahnung in die Verordnung spiegelt daher die Realität wieder und ist zu befürworten. Betrachtet man zudem Gegenstand und Ziele der DS-GVO, fügt sich das Recht auf Datenübertragbarkeit in den Kontext der DS-GVO ein. Die DS-GVO schützt die Grundrechte und -freiheiten natürlicher Personen, Art.1 II. Grundfreiheiten sind u.a. das Recht auf Achtung des Privatlebens und auf Schutz personenbezogener Daten, Art.7, 8 I GRCh und Art.16 I AEUV. Das Recht aus Art.20 gibt dem Betroffenen ein Werkzeug zur Kontrolle seiner Daten. Das ist der zentrale und primäre Zweck des Art.20. Er war seit Beginn des Gesetzgebungsverfahrens Bestandteil der Erwägungsgründe.^[15] Seine Wichtigkeit wird durch die Nennung in ErwG 68 S.1 zusätzlich hervorgehoben. Die Bedeutung der Datenportabilität für den Wettbewerb wurde in der Verordnungsentstehung angemerkt, fand dagegen jedoch nie Einzug in die Verordnung.^[16]

Die Kontrollmöglichkeit gibt dem Betroffenen die Gelegenheit über die Verwendung und Preisgabe seiner personenbezogenen Daten zu entscheiden. Dies tut der Betroffene indem er auswählt, wem er seine Daten übertragen möchte. Dass das Recht auf Achtung des Privatlebens und auf Schutz personenbezogener Daten in dieser positiven Form der Zugriffsverschaffung geltend gemacht werden kann, und nicht nur negativ in Form von Zugriffsverweigerung bzw. -entzug, ergibt sich aus der informationellen Selbstbestimmung. Sie soll Betroffenen ermöglichen über die Verwendung der eigenen personenbezogenen Daten zu entscheiden.^[17] Aufgrund technischer und gesellschaftlicher Weiterentwicklungen existieren heutzutage viele personenbezogenen Daten eines Betroffenen nur auf Servern von Unternehmen, also in der direkten Einflusssphäre Dritter und nicht mehr beim Betroffenen selbst. Während früher viele Daten auf Papier in Ordnern verfügbar waren oder zumindest auf dem Computer des Betroffenen lokal gespeichert wurden, sind heute viele Fotos, Dokumente, Vertragsdetails etc. nur noch in Online-Accounts, -Speichermedien oder, anders gesagt, „der Cloud“ verfügbar. Der Betroffene hat keine direkte faktische Kontrollmöglichkeit, sondern muss auf den Dritten vertrauen, der die Daten verwaltet. Die Steuer-/ Kontrollmöglichkeit aus Art.20 macht den Betroffenen wieder zum „Herrn über seine Daten“. Sie ist deshalb als Teil einer weiterentwickelten informationellen Selbstbestimmung zu betrachten.^[18] Daraus folgt, dass die Steuermöglichkeit dem Schutz der Grundrechte des Betroffenen auf Achtung des Privatlebens und auf Schutz personenbezogener Daten gem. Art.7, 8 I GRCh und Art.16 I AEUV dient.^[19] Schlussfolgernd lässt sich daher sagen, dass das Recht auf Datenübertragbarkeit nicht systemfremd ist, weil es primär den Schutzzielen aus Art.1 II dient.

Weiterhin schützt die Verordnung auch den freien Verkehr personenbezogener Daten, Art.1 I. Zweifelsohne dient die Datenportabilität diesem Zweck, indem eine behinderungsfreie Übertragung der eigenen Daten gewährleistet wird. Damit in Verbindung steht auch der Zweck, die Innovationsfähigkeit zu fördern.^[20] Das Zusammenführen verschiedener Kategorien von Daten, welche von unterschiedlichen Dienstleistern erhoben wurden, ermöglicht das Kreieren neuer Dienste. Ein Beispiel ist das Verbinden von Krankenversicherungsdaten mit Daten aus Fitness-Apps. Daten über sportliche Aktivitäten, Schlaf- und Ruhezeiten, welche durch die Apps gesammelt werden, können von Versicherungen ausgewertet werden, um ein personalisiertes Beitragsangebot zu erstellen. So könnte die Innovationskraft in Europa durch die Datenübertragbarkeit gesteigert werden.

Wie eben gezeigt, entfaltet die Datenportabilität Bedeutung in verschiedenen Bereichen. Neben dem Schutz personenbezogener Daten, dient Art.20 auch der Unterstützung des freien Verkehrs personenbezogener Daten, der Wettbewerbsförderung, dem Verbraucherschutz und der Stärkung der Innovationsfähigkeit. Man sollte bei der Interpretation der Norm jedoch im Hinterkopf behalten, dass es sich trotz starker Auswirkungen in vielen Bereichen vorrangig um eine datenschutzrechtliche Regelung handelt. Die Norm ist deshalb im Kontext der Ziele des Datenschutzes und der Kontrollmöglichkeit auszulegen.^[21] Nicht-datenschutzrelevante Zwecke dürfen bei der Interpretation maximal hilfsweise hinzugezogen werden und sollten eine untergeordnete Rolle spielen.^[22]

2. Systematik

Das Recht auf Datenübertragbarkeit (Art. 20) ist in 4 Absätze unterteilt. Absatz 1 gibt dem Betroffenen das Recht, seine ihn betreffenden personenbezogenen Daten, welche er dem Verantwortlichen bereitgestellt hat, in einem strukturierten, gängigen, maschinenlesbaren Format zu erhalten. Außerdem darf der Betroffene die erhaltenen Daten an einen anderen Verantwortlichen übermitteln, ohne dass der bisherige Verantwortliche diese Übermittlung behindert. Voraussetzung für die Inanspruchnahme des Rechts ist zum einen, dass die Verarbeitung auf einer Einwilligung gem. Art.6 I lit. a) oder Art.9 II lit. a) oder auf einem Vertrag gem. Art.6 I lit. b) beruht, und zum anderen, dass die Verarbeitung mithilfe automatisierter Verfahren geschieht. Absatz 2 gibt dem Betroffenen die Option, seine Daten direkt vom bisherigen Verantwortlichen an den neuen Verantwortlichen übertragen zu lassen, sofern die technische Machbarkeit gegeben ist. Absatz 3 dient zunächst der Klarstellung, dass das Recht auf Löschung (Art.17) unberührt bleibt, trotz Ausübung des Rechts auf Datenübertragbarkeit. Weiterhin besagt Abs.3, dass das Recht nicht ausgeübt werden kann, sofern die Datenverarbeitung für die Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde. Absatz 4 beschränkt das Recht auf Datenübertragbarkeit insofern, dass die Ausübung die Rechte und Freiheiten anderer Personen nicht beeinträchtigen darf.

Das Recht auf Datenübertragbarkeit ist Teil der Betroffenenrecht in Kapitel III der DS-GVO. Es bildet zusammen mit den Rechten auf Berichtigung (Art.16), auf Löschung (Art.17), auf Verarbeitungseinschränkung (Art.18) und der Mitteilungspflicht (Art.19) den Abschnitt 3, „Berichtigung und Löschung“. Nutzt ein Betroffener sein Datenportabilitätsrecht, schließt das nicht die Inanspruchnahme der anderen Betroffenenrechte aus.^[23] Der Betroffene kann weiterhin die Dienste des bisherigen Verantwortlichen nutzen oder seine Daten nach der Übertragung löschen lassen.^[24]

Ähnlichkeit des Rechts aus Art.20 besteht zum Auskunftsrecht (Art.15 I, II) und zum Recht auf Erhalt einer Kopie (Art.15 III, IV). Während jedoch Art.20 I nur die vom Betroffenen selbst bereitgestellten personenbezogenen Daten umfasst, schließt Art.15 I zusätzlich den Betroffenen betreffende, personenbezogene Daten ein, die nicht durch ihn bereitgestellt wurden, sondern die der Verantwortliche anderweitig erhalten hat.^[25] Weiterhin verlangt Art.20, dass der Verantwortliche die Daten in einem strukturierten, gängigen und maschinenlesbaren Format überträgt (Art.20 I), um im nächsten Schritt eine Weiterverarbeitung des Datensatzes zu ermöglichen. Art.15 III schreibt dagegen lediglich eine Kopie der Daten in einem gängigen elektronischen Format vor, und das auch nur, wenn auch der Antrag elektronisch gestellt wurde. Der nächste Schritt soll anstatt der Weiterverwendung des Datensatzes, die Berichtigung, Vervollständigung, Löschung oder der Widerspruch sein.^[26] Folglich ist der Anwendungsbereich des Art.15 weiter gefasst als beim Datenportabilitätsrecht, es werden jedoch geringere Anforderungen an das Ausgabeformat gestellt.

II. Voraussetzungen

1. Persönlicher Anwendungsbereich

a) Verantwortlicher

Adressat der DS-GVO ist der Verantwortliche, da er die Einhaltung der Regelungen zu beachten hat. Der Verantwortliche ist Verpflichteter des Betroffenenrechts aus Art.20. Eine Legaldefinition des Begriffs findet sich in den Begriffsbestimmungen unter Art.4 Nr.7. Demnach ist Verantwortlicher jede „natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet“.

Es muss sich um eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle handeln. Unbeachtlich ist dabei die Organisationsform, was sich aus der Aufzählung ergibt.^[27] Dabei können öffentlich-rechtliche Organisationen ebenso Verantwortliche i.S.d. DS-GVO sein, wie privatrechtliche Organisationen. Zu ermitteln ist, ob die datenverarbeitenden Handlungen einzelner Personen der Organisation zugerechnet werden können, für die sie tätig sind. Die Feststellung der Zurechnung erfolgt mithilfe der nationalen zivil-, verwaltungs- oder strafrechtlichen Normen.^[28] Die Verantwortlichkeit soll in diesen Fällen regelmäßig bei der Organisation liegen, anstatt bei der einzelnen Person.^[29] Eine natürliche Person ist Verantwortlicher, wenn sie Daten für ihre eigenen Zwecke und nicht innerhalb ihrer beruflichen Sphäre verarbeitet. Findet die Datenverarbeitung durch eine juristische Person statt, so kann nur die juristische Person als selbstständige Einheit Verantwortlicher sein. Abzustellen ist auf die rechtliche, nicht auf die wirtschaftliche Einheit.^[30] Abteilungen eines Unternehmens oder unselbstständige Zweigstellen können daher nicht Verantwortliche sein.

Entscheidendes Merkmal für die Qualifizierung als Verantwortlicher ist die Entscheidungskraft über Zwecke und Mittel der Verarbeitung. Die Art.29-Gruppe konkretisiert, dass sich „Zweck“ definieren lässt als „erwartetes Ergebnis, das beabsichtigt ist oder die geplanten Aktionen leitet“, und „Mittel“ die „Art und Weise, wie ein Ergebnis oder Ziel erreicht wird“ ist.^[31] Der Verantwortliche entscheidet außerdem über Art, Umfang und Umstände der Verarbeitung, Art.24 I. Gem. ErwG 78 ist darunter wiederum die Entwicklung, Gestaltung, Auswahl und Nutzung von Anwendungen, Diensten und Produkten zur Verarbeitung zu verstehen. Verantwortlicher ist wer über die o.g. Aspekte entscheidet. Im Laufe des Gesetzgebungsverfahren wurde diskutiert, den Anwendungsbereich für Art.20 auf bestimmte Verantwortliche zu beschränken.^[32] Da eine Beschränkung jedoch keinen Einzug ins Gesetz fand, sind alle datenverarbeitenden Anbieter einbezogen.

In dieser Master-Arbeit sollen Verantwortliche betrachtet werden, die Dienste in der Form von sog. Software as a Service (SaaS) erbringen. SaaS ist eine Anwendungsform des Cloud Computing. Cloud Services werden in 3 Ebenen unterteilt: Infrastructure as a Service (IaaS), Platform as a Service (PaaS) und SaaS.^[33] Eine präzise Trennung der 3 Ebenen in der Praxis ist aufgrund der teilweise fließenden Übergänge zwischen den Diensten oft nur schwer möglich.^[34] IaaS und PaaS bieten dem Nutzer eher grundlegende Funktionen wie Rechenleistung, Speicher, Programmiermodelle und Entwicklerwerkzeuge. SaaS ist eine fertige Anwendung zur Bereitstellung für den Endnutzer. Da es sich bei SaaS um einen direkt nutzbaren Dienst handelt, ist die Konfigurierbarkeit eingeschränkt.^[35] Der Nutzer hat Zugriff auf die komplette Anwendungslogik in Form eines Dienstes, während die Verwaltung von Infrastruktur, Software und Anwendung durch den SaaS-Anbieter erfolgt.^[36] Das Speichern von Inhalten und der Anwendung selbst erfolgt dabei nicht direkt auf dem Rechner des Nutzers, sondern beim Anwendungsanbieter.^[37] Der Service wird zentral gehostet. Zugang zum Dienst erhält der Nutzer z.B. über seinen Internetbrowser.^[38] SaaS-Lösungen dienen regelmäßig der Automatisierung von Geschäftsprozessen und der Ausführung fachlicher Services, weshalb die Zielgruppe eher in Fachabteilungen zu finden ist als in IT-Abteilungen.^[39] Die populärsten Anwendungsfelder für SaaS sind momentan Office Anwendungen aus der Cloud, Security as a Service, Groupware (E-Mail, Kalender) und Collaboration-Anwendungen.^[40] Anbieter von SaaS-Lösungen sind u.a. SalesForce, SAP, Microsoft sowie Cisco, IBM und Citrix.^[41]

Fraglich ist, inwiefern diese Anwendungsfälle relevant sind. SaaS-Anbieter werden im o.g. Kontext von einem Unternehmen eingekauft, um die eigenen Geschäftsprozesse in der Anwendung auszuführen. Es entsteht eine vertragliche Beziehung zwischen SaaS-Anbieter und einem Unternehmen als SaaS-Nutzer.^[42] Dabei handelt es sich um Business-to-Business-Konstellationen (B2B). Die DS-GVO dient jedoch ausschließlich dem Schutz natürlicher Personen, Art.1 sowie ErwG 14. Das SaaS-nutzende Unternehmen kann als juristische Person damit nicht Betroffener i.S.d. DS-GVO sein und sich damit auch nicht auf das Recht auf Datenübertragbarkeit berufen. Eine weitere vertragliche Beziehung würde zwischen dem Endnutzer und dem Unternehmen als SaaS-Nutzer bestehen. Ein Beispiel dafür wäre die Beziehung zwischen einem Kunden und einem Unternehmen, welches eine SaaS-Anwendung (z.B. SalesForce SalesCloud) auf der eigenen Unternehmenswebseite einbindet, um die vom Kunden bereitgestellten Daten direkt im CRM-System zu speichern. Der Endnutzer ist in diesem Fall Betroffener und besitzt damit ein Recht auf Datenübertragbarkeit. Verantwortlicher und damit primär Verpflichteter bleibt aber der SaaS-Nutzer. Der SaaS-Anbieter ist nicht Verantwortlicher. Der SaaS-Anbieter verarbeitet die Daten weisungsgebunden und im Auftrag für den SaaS-Nutzer und ist damit Auftragsverarbeiter, Art.4 Nr.8.^[43] Im B2B-Kontext liegt daher beim Cloud Computing regelmäßig eine Auftragsverarbeitung vor.^[44] Rechte und Pflichten für den SaaS-Anbieter ergeben sich aus Art.24 ff. . Da sich diese Master-Arbeit auf SaaS-Anbieter als Verantwortliche beschränken soll, ist die Nutzung von SaaS im B2B-Kontext hier nicht zu betrachten.

Eine relevante Konstellation ergibt sich, wenn ein direktes Verhältnis zwischen SaaS-Anbieter und Endnutzer, also ein Business-to-Customer-Kontext (B2C), gegeben ist. Der Endnutzer könnte Betroffener i.S.d. DS-GVO sein.^[45] Der SaaS-Anbieter entscheidet z.B. über Löschzyklen, technische und organisatorische Fragen. Er entscheidet über Zweck und Mittel bzw. Art, Umfang und Umstände der Verarbeitung und ist deshalb Verantwortlicher i.S.d. DS-GVO. Für SaaS-Anbieter deren Dienste sich an Private richten, ist der persönliche Anwendungsbereich eröffnet. SaaS-Lösungen im Bereich B2C sind u.a. Online-E-Mail-Postfächer (z.B. GMail, GMX.de), Kollaborationstools (z.B. Skype, Sharepoint), Speichermedien (z.B. iCloud, Dropbox, GoogleDrive) und Streaming-Portale (z.B. Netflix, Spotify).

b) Betroffener

Anspruchsinhaber des Rechts auf Datenübertragbarkeit ist gem. Art.20 die „betroffene Person“. Eine eigene Begriffsdefinition existiert innerhalb der DS-GVO nicht. Jedoch findet die „betroffene Person“ oder auch Betroffener in Art.4 Nr.1 Erwähnung, als „eine identifizierte oder identifizierbare natürliche Person“.^[46] Nicht geschützt sind juristische Personen. Klarstellung erhält dies zusätzlich in ErwG 14 S.2, wonach „juristische Personen und insbesondere als juristische Person gegründete Unternehmen, einschließlich Name, Rechtsform oder Kontaktdaten der juristischen Person“ nicht vom Schutzbereich erfasst werden. Betroffener kann demnach nur eine natürliche Person sein. Nicht geschützt sind Verstorbene bzw. deren Daten, ErwG 27. ErwG 27 S.2 eröffnet Mitgliedstaaten jedoch die Möglichkeit, Regelungen für die Verarbeitung personenbezogener Daten von Verstorbenen treffen zu können.

Ob eine natürliche Person Betroffener i.S.d. Verordnung ist, soll ungeachtet der Staatsangehörigkeit oder des Aufenthaltsorts beurteilt werden, ErwG 2 S.1. Betroffene können demnach nicht nur EU-Bürger sein, welche sich in der EU aufhalten, sondern auch EU-Bürger außerhalb der EU sowie Drittstaatenangehörige. Ob die natürliche Person Betroffener und der Anwendungsbereich der DS-GVO eröffnet ist, wird regelmäßig durch die räumliche Ausrichtung des Verantwortlichen bestimmt.^[47] In den o.g. Fällen ist der persönliche Anwendungsbereich eröffnet, wenn EU-Bürger oder Drittstaatenangehörige SaaS-Dienste für private Zwecke nutzen.

2. Räumlicher Anwendungsbereich

Art.20 enthält keine weiteren Angaben zum räumlichen Anwendungsbereich. Daher ist auf den räumlichen Anwendungsbereich der DS-GVO im Allgemeinen zurückzugreifen. Gem. Art.3 I gilt die DS-GVO für die Verarbeitung personenbezogener Daten durch einen Verantwortlichen, soweit diese im Rahmen von Tätigkeiten einer Niederlassung des Verantwortlichen in der EU erfolgt. Ob die tatsächliche Verarbeitung innerhalb oder außerhalb der Union stattfindet ist unbeachtlich.^[48] Man spricht insoweit vom „Niederlassungsprinzip“.^[49] Weiterhin gilt die Verordnung gem. Art.3 II für Verantwortliche, die keine Niederlassung innerhalb der EU besitzen, wenn Betroffenen, die sich in der EU befinden, Waren oder Dienstleistungen angeboten werden (Art.3 II lit. a)) oder wenn das Verhalten Betroffener beobachtet wird, soweit ihr Verhalten in der EU erfolgt (Art.3 II lit. b)). In diesen Fällen spricht man vom „Marktortprinzip“.^[50] Die Verordnung findet außerdem Anwendung, wenn ein Verantwortlicher keine Niederlassung in der EU besitzt, jedoch Daten an einem Ort verarbeitet, der nach dem Völkerrecht dem Recht eines EU-Mitgliedstaates unterliegt (Art.3 III). SaaS-Anbieter die diese Voraussetzungen erfüllen, fallen in den Anwendungsbereich der DS-GVO und müssen die Pflichten aus Art.20 erfüllen.

3. Sachlicher Anwendungsbereich

a) Personenbezogene Daten

Das Recht auf Datenübertragbarkeit kann nur geltend gemacht werden hinsichtlich personenbezogener Daten, die den Verantwortlichen betreffen, Art.20 I. Es müssen personenbezogene Daten i.S.d. DS-GVO verarbeitet werden. Ausgeschlossen sind demnach nicht-personenbezogene Daten. Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen, Art.4 Nr.1. Während es in der EG-DSRL sowie in §3 I BDSG noch auf die „Bestimmbarkeit“ ankam, ist nun die „Identifizierbarkeit“ das wesentliche Merkmal. Nichtsdestotrotz kann bei der Auslegung der Identifizierbarkeit auf Erkenntnisse zur Interpretation der Bestimmbarkeit gem. EG-DSRL bzw. BDSG zurückgegriffen werden.^[51] Als identifiziert gilt eine Person, wenn aus der Information unmittelbar auf die Person geschlossen werden kann.^[52] Identifizierbar ist eine Person, „die direkt oder indirekt, insb. mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der [...] Identität dieser natürlichen Person sind, identifiziert werden kann“, Art.4 Nr.1. Ausgeschlossen von der Datenübertragbarkeit sind deshalb anonyme bzw. anonymisierte Daten, ErwG 26 S.5. Im Fall von pseudonymisierten Daten soll ein Personenbezug herstellbar sein, wenn Informationen bereitgestellt werden, die dem Verantwortlichen die Identifizierung des Betroffenen ermöglicht.^[53] Dies führt zur Identifizierbarkeit und damit der Eröffnung des Anwendungsbereichs. Um festzustellen, ob die Identifizierbarkeit gegeben ist, „sollten alle Mittel berücksichtigt werden, die von dem Verantwortlichen oder einer anderen Person nach allg. Ermessen wahrscheinlich genutzt werden, um die natürliche Person direkt oder indirekt zu identifizieren“, ErwG 26 S.2. Dabei sollen gem. S.3 obj. Faktoren herangezogen werden, wie z.B. Kosten und erforderlicher Zeitaufwand. Strittig ist, ob die Identifizierbarkeit absolut oder relativ zu bestimmen ist.^[54] Insb. bei SaaS-Anbietern ist ein Gefälle in den relativen Möglichkeiten der Herstellung des Personenbezugs gegeben. So hat ein Start-Up, welches zunächst nur rudimentäre Dienste anbietet wie die Dokumentenablage in der Cloud, oft sehr begrenzte finanzielle, technische und organisatorische Ressourcen. Deshalb wird diesen Unternehmen das Herstellen eines Personenbezugs im Zweifel schwerer fallen als Unternehmen wie Google. Folglich wäre der Anwendungsbereich für ressourcenstarke Verantwortliche weiter als für ressourcenschwache Verantwortliche. Fraglich wäre auch, ob sich der Anwendungsbereich nachträglich für bereits erhobene Daten ändern würde, wenn das Start-Up wächst und an Ressourcen gewinnt. Denn dann wäre die relative Möglichkeit der Identifizierbarkeit gegeben. Man muss heutzutage von einem weiten Verständnis von personenbezogenen Daten ausgehen, da das Herstellen eines Personenbezugs im Bereich des Cloud Computing durch die Menge an gesammelten Daten oft mindestens indirekt möglich sein wird.^[55] Daraus folgt, dass es sich bei Daten, die ein Nutzer in eine SaaS-Anwendung lädt, regelmäßig um personenbezogene Daten handeln würde.^[56] Dementsprechend wäre der Anwendungsbereich der Verordnung so gut wie immer eröffnet und kleine Unternehmen würden sich damit vor riesige wirtschaftliche Belastungen gestellt sehen. Es ist deshalb ein interessengerechter, vermittelnder Ansatz mit Tendenz zur relativen Identifizierbarkeit zu wählen.^[57] Die Identifizierbarkeit ist zu bejahen, wenn Informationen einem Betroffenen durch den Verantwortlichen mit aktuellen oder sicher absehbaren zukünftigen Möglichkeiten zuzuordnen sind. Zusatzwissen und Möglichkeiten Dritter sind dem Verantwortlichen nur dann zuzurechnen, wenn das Zusammenführen mit den Mitteln des Verantwortlichen hinreichend wahrscheinlich ist. Die theoretische Möglichkeit ist dabei nicht ausreichend.^[58] Sofern die Identifizierbarkeit nach diesen Grundsätzen zu bejahen ist, handelt es sich um personenbezogene Daten.

Das Recht auf Datenübertragbarkeit besteht nur für personenbezogene Daten, welche den Anspruchsinhaber „betreffen“, Art.20 I. Vom Anwendungsbereich erfasst sind demnach personenbezogene Daten, welche ausschließlich den Anspruchsinhaber betreffen, wie z.B. seine Profildaten oder auch Fotos auf denen nur der Betroffene zu sehen ist. Damit sind Daten ausgeschlossen, welche ausschließlich Dritte betreffen.^[59]

Fraglich ist jedoch, ob auch Daten im Anwendungsbereich liegen, die den Anspruchsinhaber und einen Dritten gleichzeitig betreffen.^[60] Solche sog. „multi-data subject“-Konstellationen sind bspw. bei Bildern gegeben, auf denen mehrere Personen zu sehen sind sowie bei Kommunikationsverläufen in Chats oder E-Mails, die sowohl den Sender als auch den Empfänger betreffen. Man spricht insofern auch von sog. „auch die betroffene Person betreffende Daten“.^[61] Zum Teil wird die Meinung einer engen Auslegung vertreten.^[62] Demnach wären ausschließlich Daten übertragbar, die nur den Anspruchsinhaber betreffen. In Online-Communitys und Kollaborationsanwendungen entsteht durch die Nutzung ein Informations- und Beziehungsgeflecht.^[63] Diese Vernetzung von Informationen ist essentiell für diese Dienste. Nur ein kleiner Bruchteil der Daten betrifft lediglich eine Person (z.B. Profildaten). Der SaaS-Anbieter müsste jedes Datum einzeln überprüfen, ob es neben dem Betroffenen auch Dritte betrifft und die entsprechende Information ausschließen oder anonymisieren. Dieses Auseinanderflechten stellt einen so großen organisatorischen und technischen Aufwand dar, dass es dem Verantwortlichen nicht zugemutet werden kann. Demnach wären regelmäßig nur Basisinformationen des Betroffenen zu übertragen. Das würde das Recht auf Datenübertragbarkeit in seiner Anwendung dermaßen beschränken, dass man vom Leerlaufen der Regelung sprechen kann.^[64] Einer Beschränkung auf „nur den Betroffenen betreffende“ Daten muss daher widersprochen werden. Das lässt sich auch aus ErwG 68 entnehmen. Gem. S.8 sollen in oben beschriebenen „multi-data subject“-Konstellationen „die Grundrechte und Grundfreiheiten anderer betroffener Personen nach dieser Verordnung unberührt“ bleiben. Hätte der Gesetzgeber die enge Beschränkung gewollt, wäre dieser Satz nicht zur Klarstellung geeignet. Er impliziert, dass diese Konstellation nicht direkt zum Ausschluss der Daten führt, sondern unter Wahrung der Rechte Dritter lösbar ist.^[65]

Die Art.29-Gruppe rät zu einer weiten Auslegung.^[66] Der Anwendungsbereich sollte auch für Daten eröffnet sein, die gleichzeitig den Betroffenen und Dritte betreffen, z.B. Angaben zu Dritten auf Telefonrechnungen.^[67] Ähnlich und bereits in der praktischen Umsetzung ist dies schon bei Bankkonto-Umzügen, bei denen Daten Dritter für Daueraufträge und Zahlungseingänge von einem Kontoanbieter zu einem anderen Anbieter übertragen werden. Auch die Kommission scheint grds. von einer weiten Auslegung auszugehen. Sie bejaht die Übertragung von Fotos von einem sozialen Netzwerk zu einem anderen sozialen Netzwerk ausdrücklich, ungeachtet einer möglichen Drittrechtsbeeinträchtigung.^[68]

Die Lösung der Art.29-Gruppe birgt erhebliche Gefahren für die Rechte Dritter.^[69] Trotzdem ist die weite Auslegung in Form einer zweistufigen Prüfung zu bevorzugen.^[70] Zunächst sind alle anderen Voraussetzungen des Art.20 zu prüfen. Dabei werden Daten ausgeschlossen, die eindeutig nicht zum Anwendungsbereich gehören. Das sind anonyme Daten, personenbezogene Daten, die ausschließlich Dritte betreffen (z.B. Beiträge von Dritten in Diskussionsforen), Daten des Verantwortlichen und nicht-personenbezogene Daten.^[71] Hinsichtlich der nicht-ausgeschlossenen Daten soll insb. die zentrale Voraussetzung des Bereitstellens erfüllt sein.^[72] Sind die Voraussetzungen gegeben, ist der Anwendungsbereich für Daten, die mehrere Personen betreffen, grds. eröffnet. Im zweiten Schritt ist dann eine Interessenabwägung zwischen dem Recht des Betroffenen auf Datenübertragung mit den Grundrechten und Interessen der Dritten zu tätigen, um eine Drittrechtsverletzung zu vermeiden.^[73] Da jeder SaaS-Anbieter unterschiedliche Daten verarbeitet, lässt sich keine allg. Aussage treffen, ob der Anwendungsbereich eröffnet ist. Ob der Anbieter personenbezogene Daten verarbeitet, die den Anspruchsinhaber betreffen und inwiefern Daten zu übertragen sind, die mehrere Personen betreffen, ist daher stets im Einzelfall zu prüfen.^[74]

b) Bereitstellen

Die personenbezogenen Daten müssen vom Betroffenen „bereitgestellt“ worden sein, Art.20 I. Da dieses Merkmal als zentrale Voraussetzung des Rechts auf Datenübertragbarkeit gilt, ist genau zu bestimmen, wann Daten durch den Betroffenen bereitgestellt wurden und der Anwendungsbereich damit eröffnet ist.^[75] Zunächst kann zwischen bereitgestellten und nicht-bereitgestellten Daten unterschieden werden. Unstrittig bereitgestellt durch den Betroffenen sind Daten, welche der Betroffene dem Verantwortlichen bewusst, aktiv und willentlich in Form der Übergabe zur Verfügung stellt.^[76] Beispiele sind eingetippte Profildaten bei der Erstellung eines Nutzerkontos oder die Adresseingabe bei Bestellungen.^[77] Erfasst sind insofern sog. Stammdaten.^[78] Nicht durch den Betroffenen bereitgestellte Daten sind unstreitig sog. „inferred data“ oder „derived data“. Dabei handelt es sich um Daten, die auf Grundlage der bereitgestellten Daten abgeleitet bzw. erzeugt werden.^[79] Das können z.B. Bonitätsbewertungen, Nutzer-Level oder -kategorisierungen sein, da diese Daten aus Rückschlüssen kreiert werden. Dieser Einschränkung ist zu zustimmen, denn sonst besteht die Gefahr, dass Nutzer Dienste von Unternehmen ausnutzen, indem sie den Verantwortlichen bspw. einen Scoring-Wert anhand entwickelter Algorithmen errechnen lassen und diesen errechneten Wert „mitnehmen“. Außerdem bleibt die Gefahr für den Verantwortlichen bestehen, durch das Weitergeben der abgeleiteten Daten Geschäftsgeheimnisse preiszugeben, wie z.B. den Algorithmus auf dem der Service basiert. Damit beschränkt sich der Übertragungsanspruch auf sog. „Rohdaten“. Nicht-bereitgestellte Daten sind ebenso Daten, welche der Verantwortliche auf anderem Wege erhalten hat. Das ist gegeben, wenn der Verantwortliche die Daten aus öffentlich zugänglichen Quellen erlangt hat, von Dritten erhalten hat, aufgrund gesetzlicher Verpflichtung verarbeitet oder ohne Mitwirkung des Anspruchsinhabers erhoben hat.^[80] Fraglich ist dabei, wann die Grenze zur Mitwirkung überschritten ist und es sich um Daten handelt, die durch den Betroffenen bereitgestellt wurden. Wie schon bei der Voraussetzung des „Betreffens“, existiert auch hier eine weite und eine enge Auslegung.^[81] Die weite Auslegung wird v.a. durch die Art.29-Gruppe vertreten. Demnach sind Daten durch den Betroffenen bereitgestellt, wenn sie „aktiv und wissentlich“ bereitgestellt werden, aber auch wenn sie durch Nutzung des Dienstes oder Geräts erzeugt werden.^[82] Darunter fallen Suchhistorie, Verkehrsdaten, Standortdaten und diverse andere Rohdaten. Man spricht insofern von „observed data“.^[83] Gem. der engen Auslegungsvariante sollen dagegen allein „aktive und wissentliche“ Handlungen des Betroffenen zur Qualifikation als „bereitgestellte Daten“ führen.^[84] Nach dieser Variante ist das Erheben von „observed data“ nicht als Bereitstellen durch den Betroffenen einzuschätzen, da dieser nicht aktiv und wissentlich zur Bereitstellung beiträgt.^[85] Als Mindestanforderung wird z.T. das „aktive Einräumen eines Zugriffs“ genannt.^[86] Andere Meinungen sehen die aktive und willentliche Übergabe als Mindestanforderung, auch ein aktives Einräumen des Zugriffs sei demnach nicht ausreichend.^[87]

Leider hat der Gesetzgeber versäumt den so zentralen Begriff des „Bereitstellens“ legal zu definieren. Somit muss der Umfang im Wege der Auslegung ermittelt werden. Im Ausgangpunkt einer jeden Auslegung ist auf den Wortlaut abzustellen.^[88] Im deutschen Sprachgebrauch kann „Bereitstellen“ eine aktive sowie eine passive Handlung meinen.^[89] Beispielsweise meint das Bereitstellen von Fördergeldern die aktive Überweisung des Geldbetrags durch den Förderer, gleichzeitig kann aber auch eine Datei zum Download (passiv) bereitgestellt werden, was ein „Holen“ durch den Interessierten nötig macht. Deshalb lohnt ein Blick in andere Sprachfassungen der DS-GVO, die alle gleich bindend wirken. In der englischen Fassung spricht der Gesetzgeber von „provided“. „Provide“ kann sprachlich auch durch „make available for use“ oder „supply“ ersetzt werden.^[90] Während das erstgenannte Synonym eher dem passiven „Holenlassen“ gleichzusetzen ist, steht „supply“ eher für ein aktives „Liefern“. Die Auslegung nach dem Wortlaut führt zu keinem eindeutigen Ergebnis.

Daher ist der Begriff systematisch auszulegen. Erwähnung findet das Bereitstellen in Art.4 Nr.2 unter „Verarbeitung“. Demnach ist die Verarbeitung ein Vorgang oder eine Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie z.B. das Offenlegen. Offenlegen kann durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung erreicht werden, Art.4 Nr.2. Übermittlung und Verbreitung sind demnach Formen der Bereitstellung, wobei diese Aufzählung nicht abschließend ist. In Art.4 Nr.2 handelt es sich aber um das Bereitstellen durch den Verantwortlichen, in Art.20 dagegen um das Bereitstellen durch den Betroffenen. In Art.4 Nr.2 übersetzt die englische Fassung die Formulierung „oder andere Form der Bereitstellung“ mit „or otherwise making available“ und entscheidet sich damit für die Form des Holenlassens, während in Art.20 „bereitstellen“ mit „provide“ übersetzt wird. Hier besteht also keine sprachliche Vergleichbarkeit. Aufgrund dieses Unterschieds kann die Auslegung des Begriffs „Bereitstellen“ aus Art.20 nicht auf Art.4 Nr.2 gestützt werden.^[91] In ErwG 68 S.3 wird „bereitstellen“ mit „zur Verfügung stellen“ gleichgesetzt. Die Verordnung wählt „zur Verfügung stellen“ auch in Art.13 II und 14 II. Hier wird die Formulierung nicht auf eine aktive Handlung beschränkt. Vielmehr reicht an dieser Stelle das Einräumen des Zugangs zur Information bzw. das „Bereitstellen zum Abruf“.^[92] Auch die englische Version spricht in Art.13 II und Art.14 II erneut von „provide“ und lässt so die Vergleichbarkeit der Begriffe vermuten. Demnach wäre eine Auslegung von „Bereitstellen“ zu vermuten, die auch das passive Einräumen von Zugang einschließt.

Teilweise wird die Meinung vertreten, dass das „Bereitstellen“ aus Art.20 nicht mit dem „zur Verfügung stellen“ aus Art.13, 14 identisch wäre.^[93] Deshalb ist der Begriff auch teleologisch auszulegen. Dabei ist der Sinn und Zweck bzw. das obj. Telos der Norm zu ermitteln. Wie oben erläutert, soll Art.20 dem Betroffenen eine bessere Kontrollmöglichkeit über seine personenbezogenen Daten geben und diese damit schützen, Lock-In-Effekte verhindern, um damit den Verbraucherschutz und den Wettbewerb zu stärken.^[94] Im Rahmen der Auslegung soll der Zweck des Schutzes von personenbezogenen Daten als primärer Faktor herangezogen werden. Der Betroffene soll also v.a. die Möglichkeit bekommen seine Daten zu steuern. In den Fällen, in denen ein Lock-In-Effekt aufgrund zu hoher „Switching Costs“ den Wechsel erschwert, soll der Betroffene wieder „Herr über seine Daten“ werden. Würde man den Anwendungsbereich auf aktiv und willentlich zur Verfügung gestellte Daten verengen und damit Daten ausschließen, zu denen der Betroffene dem Verantwortlichen aktiv und willentlich Zugang eingeräumt hat, dann würde ein Großteil der personenbezogenen Daten nicht übertragen werden können. Vom Anwendungsbereich erfasst wären nur Daten, deren Übermittlung manuell durch den Betroffenen ausgelöst wurden. Nicht erfasst wären Daten, die automatisch durch die Nutzung entstehen. Das automatische Erfassen ist jedoch oft der Grund der Nutzung, da Automatismen den Mehrwert für den Alltag erbringen, indem sie manuelle Arbeit abnehmen. Viele Dienste arbeiten deshalb mit automatisch erzeugten Daten. Da anzunehmen ist, dass die Automatisierung von Standardaufgaben zukünftig zunehmen wird, wäre damit der Großteil der Daten nicht erfasst. Die Kontroll- und Schutzfunktion würde teilweise leerlaufen, da sie faktisch nur für einen kleinen Teil der personenbezogenen Daten bestehen würde. Auch würde das den Lock-In-Effekt nicht verhindern, denn das Eintragen von Stammdaten in ein Formular bei einem neuen Anbieter kann nicht als unzumutbar aufgrund zu hoher Komplexität oder zu hohem Aufwand angesehen werden. Ebenso könnten damit auch keine Innovationen gefördert werden, denn bei diesen Basisinformationen handelt es sich nicht um Daten unterschiedlicher Kategorie, die dazu beitragen neue Services zu kreieren, sondern regelmäßig um ähnliche Informationen (Name, Adresse, Kontaktinformationen etc.). Auch würde dieser verengte Anwendungsbereich den freien Verkehr von Daten nur bedingt fördern. Das Gesetz wäre also aufgrund der geringen Wirkungsentfaltung und Zweckerfüllung obsolet. Das kann nicht der Wille des Gesetzgebers gewesen sein und sollte deshalb nicht das Ergebnis der Auslegung sein. Die enge Auslegung ist daher abzulehnen.^[95]

Unter Beachtung der Ergebnisse der systematischen und teleologischen Auslegung ist eine weite Auslegung zu wählen. Fraglich bleibt trotzdem, ob die Auslegung auf aktive und willentliche Handlungen des Betroffenen beschränkt sein sollte, jedoch mit dem Hinweis, dass dies auch das „Lesenlassen“ bzw. das Einräumen eines Zugriffs beinhaltet, oder ob der Anwendungsbereich auf alle Nutzungsdaten ausgeweitet werden sollte, die auch ohne aktives Zutun des Betroffenen entstehen und ohne dass er sich der Entstehung bewusst ist.^[96] Nutzungsdaten sind Daten, die den Telemediendienst ermöglichen oder der Abrechnung dienen, §15 I S.1 TMG. Das können z.B. Nutzer-ID, IP-Adresse oder Cookies sein. Sie entstehen bei der Nutzung des Dienstes ohne aktive Handlung des Betroffenen.^[97] In Art.2 Nr.10 des Vorschlags für eine Europäische Richtlinie über bestimmte vertragsrechtliche Aspekte der Bereitstellung digitaler Inhalte wird „Bereitstellen“ als Verschaffung des Zugangs oder Zurverfügungstellung definiert.^[98] Der Wortlaut impliziert mind. eine Handlung bzw. das Bewusstsein über das Bereitstellen. Zusätzlich stellt ErwG 14 S.4 klar, dass „IP- Adressen oder sonstige automatisch generierte Informationen wie durch Cookies gesammelte und übermittelte Informationen“ nicht als bereitgestellt gelten. Das Akzeptieren von Cookies durch den Verbraucher ist kein aktives Bereitstellen von Informationen. Auch wenn es sich nur um den Vorschlag einer Richtlinie handelt, so hilft es doch den Begriff des Bereitstellens auf europäischer Ebene einordnen zu können. Demnach werden Nutzungsdaten nicht durch den Betroffenen bereitgestellt.

Es lässt sich schlussfolgern, dass unter den Begriff „Bereitstellen“ die Daten fallen, welche der Betroffene dem Verantwortlichen aktiv und wissentlich zur Verfügung stellt. Die Zurverfügungstellung bzw. der Bereitstellungsakt kann dabei in Form der Übergabe, aber auch in Form der Zugangsverschaffung getätigt werden.^[99] Entscheidend ist ein wissentliches Verhalten. Der Anwendungsbereich betrifft damit neben Stammdaten des Nutzers v.a. auch personenbezogene Inhaltsdaten, da denen ein wissentliches Element zugrunde liegt. Unter Inhaltsdaten sind Informationen zu verstehen, die den Kern des Service ausmachen und zentraler Bestandteil der Leistungserbringung sind.^[100] Diese können als „observed data“ vorliegen. So handelt es sich z.B. bei Daten über den Herzschlag, welche durch einen Fitnesstracker aufgezeichnet werden um „observed data“, die bereitgestellt werden. Diese Daten machen den Kern des Service aus und sind damit als Inhaltsdaten zu qualifizieren. Der Nutzer stellt diese Daten dem Anbieter wissentlich bereit, indem er ihm Zugriff verschafft. Es handelt sich um bereitgestellte personenbezogene Daten. Anmeldezeiträume bzw. gespeicherte IP-Adressen sind auch „observed data“. Sie sind jedoch nicht zentraler Bestandteil der Leistungserbringung. Sie entstehen bei der Nutzung ohne aktive, wissentliche Handlung des Betroffenen. Es handelt sich um Nutzungsdaten. Diese sind im Gegensatz zu Inhaltsdaten ausgeschlossen, da ihre Generierung nicht als „Bereitstellen“ i.S.d. Art.20 zu verstehen ist. Als Empfehlung lässt sich sagen, dass nach der Unterscheidung zwischen Inhaltsdaten und Nutzungsdaten vorgegangen werden sollte, um zu prüfen, ob ein Bereitstellen der Daten in Form einer aktiven und wissentlichen Handlung zu bejahen ist. Dabei sollte auf den Kern des angebotenen Service abgestellt werden, denn hinsichtlich dieser Daten begehrt der Betroffene regelmäßig die Kontrollmöglichkeit. Eine Bereitstellung wäre dann gegeben, wenn der Datenverarbeitungszweck gerade im Bereitstellen der Daten besteht.^[101] Daher ist jeder SaaS-Dienst einzeln zu betrachten. Eine pauschale Einschätzung kann nicht getroffenen werden.^[102]

c) Verarbeitungsgrundlage und Verarbeitungsverfahren

Die Verarbeitung personenbezogener Daten ist nur zulässig, sofern eine datenschutzrechtliche Rechtfertigung der Verarbeitung gegeben ist, Art 6 I. Ähnlich wie im BDSG, gilt auch in der DS-GVO das Prinzip des Verbots mit Erlaubnisvorbehalt. Art.20 I lit. a) beschränkt die zulässigen Rechtfertigungen, um vom Recht auf Datenportabilität Gebrauch machen zu können. Die Verarbeitung muss demnach auf einer Einwilligung oder einem Vertrag beruhen, Art.20 I lit. a). Nicht vom Recht auf Datenübertragbarkeit erfasst sind deshalb Daten, zu deren Verarbeitung der Betroffene nicht eingewilligt hat oder deren Verarbeitung nicht durch einen geschlossenen Vertrag gedeckt werden. Das wären bspw. heimlich verarbeitete Daten. Hinsichtlich dieser Daten besteht kein Anspruch auf Übertragung. In Betracht kommt allerdings eine nachträgliche Einwilligung zur Verarbeitung, um die Übertragbarkeit zu ermöglichen. Das Recht auf Datenübertragbarkeit kann auch in Anspruch genommen werden, wenn die Verarbeitung auf einer Einwilligung gem. Art.6 I lit. a) beruht, oder auf einer Einwilligung gem. Art.9 II lit. a), sofern es sich um personenbezogene Daten besonderer Kategorie handelt. Weiterhin besteht ein Anspruch auf das Recht aus Art.20, wenn die Verarbeitung auf einem Vertrag gem. Art.6 I lit. b) beruht. Fraglich ist, ob das vorvertragliche Maßnahmen einschließt. ErwG 68 S.3 spricht ausdrücklich von der Vertragserfüllung, weshalb vorvertragliche Maßnahmen vom Anwendungsbereich ausgeschlossen sein könnten.^[103] Jedoch nennt Art.6 I lit. b) auch ausdrücklich die vorvertraglichen Maßnahmen. Da Erwägungsgründe keine Bindungswirkung haben, sollte sich am Wortlaut des Art.6 I lit. b) orientiert werden. Daten, die im Rahmen vorvertraglicher Maßnahmen verarbeitet wurden, sind daher vom Anwendungsbereich des Art.20 erfasst. Das Recht aus Art.20 soll nicht für die betroffene Person gelten, „wenn die Verarbeitung auf einer anderen Rechtsgrundlage als ihrer Einwilligung oder eines Vertrages erfolgt“, ErwG 68 S.4. Es ist daher abzulehnen, dass auch andere Verarbeitungsgrundlagen möglich sind, wie z.B. zweckfremde Verarbeitung (Art.6 IV), Verarbeitung zur Wahrung der berechtigten Interessen (Art.6 I lit. f)), Verarbeitung bei Einwilligungserteilung vor dem 16. Lebensjahr (Art.8 I) oder Verarbeitung nach Verarbeitungseinschränkung (Art.18 II).^[104] Für Daten, deren Verarbeitung auf einer dieser Verarbeitungsgrundlagen basiert, besteht kein Übertragungsanspruch aus Art.20.

SaaS-Anwendungen im B2C-Bereich werden teilweise kostenfrei angeboten. Der Betroffene stellt in diesen Fällen seine Daten zur Verfügung und erhält den Zugang zum Dienst (z.B. Google Apps). Verarbeitungsgrundlage ist hier regelmäßig die Einwilligungserklärung gem. Art.6 I lit. a), die im Rahmen der Registrierung für den Dienst gegeben wird.^[105] Voraussetzungen für eine wirksame Einwilligung sind zu beachten, Art.7, 8. Bei kostenpflichtigen Services, bei denen der Nutzer eine monatliche Abonnementen-Gebühr zahlt, kommt es meist vor der Nutzung zum Vertragsschluss zwischen SaaS-Anbieter und Betroffenem gem. Art.6 I lit. b) (z.B. Netflix). Die Frage der vertragsrechtlichen Einordnung von SaaS-Verträgen kann im Rahmen der Datenübertragbarkeit unbeantwortet bleiben, denn die DS-GVO nennt keine spezielleren Anforderungen hinsichtlich des Vertragstyps. Insofern ist bei der SaaS-Nutzung regelmäßig eine datenschutzrechtliche Rechtfertigung gegeben.

Gem. Art.20 I lit. b) besteht das Recht auf Datenübertragbarkeit nur, wenn die Verarbeitung mithilfe automatisierter Verfahren erfolgt. Nicht-automatisierte Verarbeitung liegt bspw. bei der nicht-elektronischen, manuellen Verarbeitung von Daten vor in Form von Karteikarten oder Papierakten.^[106] In diesen Fällen soll der Verantwortliche nicht gezwungen sein die Daten in ein maschinenlesbares Format zu bringen.^[107] Bei der Verarbeitung durch SaaS-Anbieter ist diese Voraussetzung erfüllt, da die Verarbeitung stets elektronisch mithilfe automatisierter Verfahren erfolgt.

4. Ausnahmen

a) Öffentlicher Bereich gem. Art.20 III S.2 DS-GVO

Die Anwendbarkeit des Rechts auf Datenübertragbarkeit ist zu verneinen, wenn die Verarbeitung für die Wahrnehmung einer Aufgabe im öffentlichen Interesse erforderlich ist oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde, Art.20 III S.2. Nicht verpflichtet sind deshalb Verantwortliche, die klassische Staatsaufgaben wahrnehmen wie z.B. die öffentlich-rechtlich tätige Verwaltung, Universitäten oder staatliche Bibliotheken.^[108] Sollten SaaS-Anbieter in o.g. Bereichen tätig sein oder entsprechende Aufgaben erfüllen, hat der Betroffene kein Recht auf die Übertragung der bereitgestellten personenbezogenen Daten. Es Bedarf auch hier der Einzelfallprüfung, da es stets auf den einzelnen Anbieter ankommt und deshalb keine allgemeingültige Aussage möglich ist.

b) Rechte und Freiheiten Dritter gem. Art.20 IV DS-GVO

Die Ausübung des Rechts auf Datenübertragbarkeit darf nicht die Rechte und Freiheiten Dritter beeinträchtigen, Art.20 IV. Der Wortlaut der deutschen Version bezieht sich auf Abs.2. Hier ist von einem Redaktionsfehler auszugehen. Die Norm ist mit Verweis auf Abs.1 zu lesen ist, wie es in anderen Sprachfassungen der Fall ist.^[109]

Dritter i.S.d. Art.20 IV kann eine natürliche Person sein. Beeinträchtigt können sämtliche Rechte und Freiheiten sein. In Betracht kommt v.a. die Beeinträchtigung der Grundrechte und -freiheiten und insb. des Rechts auf Schutz personenbezogener Daten (Art.8 I GRCh), ErwG 68 S.8.^[110] Der Dritte muss wissen, wer was über ihn weiß und muss in der Lage sein, seine Betroffenenrechte ausüben zu können.^[111] Das wäre jedoch nicht möglich, wenn die personenbezogenen Daten des Dritten durch den Anspruchsinhaber aus Art.20 an beliebige Verantwortliche weitergegeben werden könnten und der Dritte daraufhin nicht wüsste, wo seine Daten verarbeitet werden. Wie bereits erläutert, sind Daten, die ausschließlich Dritte betreffen vom Anwendungsbereich ausgeschlossen.^[112] Deshalb könnte sich eine Drittrechtsverletzung aus der Portierung von „multi-data subject“-Daten ergeben. Eine Rechtsbeeinträchtigung ist bei der Übermittlung der Daten vom übertragenden Verantwortlichen an den Anspruchsinhaber regelmäßig nicht gegeben, da dieser die Daten ursprünglich bereitgestellt hat.^[113] Rechtsverletzungen könnten sich jedoch aus der Übermittlung an einen aufnehmenden Verantwortlichen und aus der Verarbeitung beim aufnehmenden Verantwortlichen ergeben. Ist eine Beeinträchtigung der Rechte des Dritten zu bejahen und fällt die Interessenabwägung zugunsten des Dritten aus, sind die „multi-data subject“-Daten von der Übertragung auszuschließen oder die Verarbeitung beim neuen Verantwortlichen zu rechtfertigen. Ein „Entknüpfen“ der Daten des Dritten von den Daten des Anspruchsinhabers ist aufgrund des hohen Aufwands impraktikabel.^[114] Keine Rechtsbeeinträchtigung würde damit regelmäßig nur bei Stammdaten gegeben sein. Das wiederum würde den Anwendungsbereich des Rechts auf Datenübertragbarkeit unverhältnismäßig verengen, da nur wenige Daten übertragbar wären. Eine weitere Option wäre das Anonymisieren von Daten, die den Dritten betreffen, um den Personenbezug zu lösen. Abgesehen vom ebenfalls entstehenden Aufwand, würde damit wohl auch der eigentliche Sinn der Portierung dieser Daten verloren gehen. Dem Betroffenen wird es gerade darum gehen die Informationen mit Personenbezug beim neuen Verantwortlichen nutzen zu können. Die Verarbeitung der Daten muss also datenschutzrechtlich gerechtfertigt sein. Rechtfertigungsgründe finden sich in Art.6 I. Die Übermittlung der Daten vom Anspruchsinhaber an den aufnehmenden Verantwortlichen stellt eine Verarbeitung i.S.d. Art.4 Nr.2 dar, bei welcher der übermittelnde Anspruchsinhaber selbst über Zweck und Mittel der Verarbeitung entscheidet. Der Anspruchsinhaber ist also Verantwortlicher i.S.d. Art.4 Nr.7 für seine eigenen Daten und für zu übermittelnde Daten Dritter.^[115] Es bedarf daher einer Rechtfertigung, für deren Vorliegen der übermittelnde Anspruchsinhaber verantwortlich ist. Möglicherweise ist jedoch der Anwendungsbereich der DS-GVO nicht eröffnet. Dies ist der Fall, wenn Daten im Rahmen der sog. „Haushaltsausnahme“ verarbeitet werden, d.h. wenn personenbezogene Daten durch natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten verarbeitet werden, Art.2 II lit. c). Die Übermittlung der eigenen Daten und der Daten Dritter erfolgt ohne Bezug zu einer beruflichen oder wirtschaftlichen Tätigkeit (ErwG 18 S.1), wenn es sich um die Nutzung von SaaS im B2C-Bereich handelt. Im Rahmen der privaten Nutzung von SaaS-Anwendungen, ist die Datenübermittlung durch den Anspruchsinhaber daher als Haushaltsausnahme vom Anwendungsbereich ausgeschlossen und damit zulässig.

Weiterhin handelt es sich bei der Verarbeitung beim neuen Verantwortlichen um eine Verarbeitung i.S.d. Art.4 Nr.2. Die Verarbeitung der personenbezogenen Daten des Anspruchsinhabers selbst ist im Rahmen von SaaS-Anwendungen durch Einwilligung (Art.6 I lit. a)) oder Vertragsschluss (Art.6 I lit. b)) gerechtfertigt und daher zulässig.^[116] Fraglich ist jedoch, inwiefern die Verarbeitung der Daten gerechtfertigt ist, die auch den Dritten betreffen. Die Lösung der Art.29-Gruppe, die Rechtfertigung auf Art.6 I lit. f) zu stützen, greift eindeutig zu kurz.^[117] Im Unionsrecht sind Grundrechte von Betroffenen so wenig wie möglich zu belasten und so umfassend wie möglich zu schützen. Das Interesse des Dritten an der Wahrung seiner Grundrechte würde deshalb wohl regelmäßig das Interesse des Verantwortlichen an der Verarbeitung überwiegen. In Betracht kommt das Einholen der Einwilligung des Dritten zur Verarbeitung, Art.6 I lit. a). Diese Option wird jedoch impraktikabel sein, da ein Kontakt zum Dritten nur unter großem Aufwand hergestellt werden kann.^[118] Möglicherweise ist auch hier der Anwendungsbereich der DS-GVO nicht eröffnet. Dies könnte der Fall sein, wenn Daten des Dritten auch beim neuen Verantwortlichen im Rahmen der „Haushaltsausnahme“ verarbeitet werden (Art.2 II lit. c)). Voraussetzung dafür ist zum einen, dass der Anspruchsinhaber aus Art.20 die Daten nur für persönliche oder familiäre Zwecke, d.h. ohne jeglichen Bezug zu einer beruflichen oder wirtschaftlichen Tätigkeit nutzt. Das ist z.B. gegeben, wenn es sich um ein privates Kontaktverzeichnis handelt oder die Nutzung sozialer Netzwerke im privaten Rahmen erfolgt, ErwG 18 S.2. Im Hinblick auf die private Nutzung von B2C-SaaS ist zu beachten, dass der Anspruchsinhaber diese regelmäßig für ausschließlich persönliche oder familiäre Zwecke nutzt. Es werden z.B. Kontaktdaten von Familie und Freunden in einem GMail-Account für persönliche Zwecke gespeichert. Der Anwendungsbereich ist für diese Daten nicht eröffnet. Zum anderen darf der neue Verantwortliche die Daten nicht für eigene Zwecke kommerzialisieren. Eine ausschließliche Nutzung im Rahmen persönlicher oder familiärer Tätigkeiten wäre nicht mehr gegeben, wenn der SaaS-Anbieter auf diese Daten zugreift, sie kommerzialisiert und z.B. für eigene Marketingzwecke nutzt. Daher schlussfolgert die Art.29-Gruppe richtig, dass eine datenschutzrechtliche Beeinträchtigung der Rechte Dritter verhindert werden sollte, indem nur der Anspruchsinhaber nach der Übertragung die alleinige Kontrolle über die „multi-data subject“-Daten behalten können soll und er die Daten auch nur zu persönlichen oder familiären Zwecken verarbeiten darf.^[119] Sollte der aufnehmende SaaS-Anbieter die „multi-data subject“-Daten zu eigenen Zwecken verarbeiten wollen, ist eine Beeinträchtigung der Rechte Dritter anzunehmen. Die Übertragbarkeit ist dann auf die Daten zu beschränken, deren Übertragung nicht die Rechte Dritter beeinträchtigt. Fraglich ist, wer für die Vermeidung der Beeinträchtigung verantwortlich ist und wem damit Prüfpflichten auferlegt werden. Zum Teil wird eine Prüfpflicht des empfangenden Verantwortlichen angenommen.^[120] Diese Ansicht überzeugt nicht, gibt die Verordnung doch keine Hinweise auf eine Prüfpflicht des empfangenden Verantwortlichen. Auch wird anzunehmen sein, dass Export sowie Import der Daten automatisiert ablaufen werden. Den Verantwortlichen wird deshalb bei der Übermittlung weder der Inhalt der Daten bekannt sein, noch wird die Übermittlung zwangsläufig zur Kenntnis genommen werden.^[121] Schlüssiger ist es, den Anspruchsinhaber in die Pflicht zu nehmen. Er ist an der Übertragung der Daten interessiert und kennt das Gefahrenpotential der Daten. Er sollte deshalb die Wahrung der Grundrechte und -freiheiten Dritter vor der Übertragung prüfen. Er ist hinsichtlich der Daten Dritter Verantwortlicher, der SaaS-Anbieter ist Auftragsverarbeiter.^[122]

[...]

---

^[1] Alle nachfolgenden Artikel und Erwägungsgründe ohne nähere Bezeichnung sind solche der DS-GVO

^[2] Piltz, in Gola, DS-GVO, Art.20 Rn.1; in der englischen Fassung der DS-GVO: „Right to Data Portability“

^[3] Jülicher/ Röttgen/ v. Schönfeld, ZD 2016, 358 (359); Dehmel/ Hullen, ZD 2013, 147 (153)

^[4] Hennemann, PinG 2017, 5 (5)

^[5] Sydow, in Sydow, EU-DSGVO, Art.20 Rn.3; Zanfir, International Data Privacy Law 2012, 149 (149 ff.)

^[6] Begründung des Rates zum Standpunkt (EU) 6/2016, ABl. 2016 – C 159, 83 (89), abrufbar unter http://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:52016AG0006(02)&from=DE (Abruf 9.4.2018); Paal, in Paal/Pauly, DSGVO, Art.20 Rn.5 f.

^[7] Hornung, ZD 2012, 99 (103); Laue/ Nink/ Kremer, Das neue Datenschutzrecht in der betrieblichen Praxis, §4 Rn.59

^[8] Veil, in Gierschmann/ Schlender/ Stentzel/ Veil, DS-GVO, Art.20 Rn.6

^[9] Schätzle, PinG 2016, 71 (75); Veil, a.a.O., Art.20 Rn.7

^[10] Zu „Customer Centricity“: Judt/ Klausegger, Bank und Markt 05/2012, 42

^[11] Dehmel/ Hullen, a.a.O., 147 (153); Nebel/ Richter, ZD 2012, 407 (413)

^[12] Albrecht/ Jotzo, Das neue Datenschutzrecht der EU, Teil 4 Rn.19; Kamann/ Braun, in Ehmann/Selmayr, Datenschutz-Grundverordnung, Art.20 Rn.4

^[13] A.A. Dehmel/ Hullen, a.a.O., 147 (153); Nebel/ Richter, a.a.O., 407 (413)

^[14] Körber, NZKart 2016, 348 (349 ff.); Almunia, Competition and Personal Data Protection, Rede beim Privacy Platform Event: Competition and Privacy in Markets of Data v. 26.11.2012

^[15] KOM(2012) 11 endgültig v. 25.1.2012, ErwG 55 S.1, S.29, abrufbar unter http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=COM:2012:0011:FIN:DE:PDF (Abruf 9.4.2018); P7_TA(2014)0212 vom 12.3.2014, ErwG 55 S.1, abrufbar unter http://www.europarl.europa.eu/sides/getDoc.do?pubRef=-//EP//NONSGML+TA+P7-TA-2014-0212+0+DOC+PDF+V0//DE (Abruf 9.4.2018)

^[16] Ratsdok. 7978/1/15 v. 27.4.2015, S.45 Fn.190, abrufbar unter http://data.consilium.europa.eu/doc/document/ST-7978-2015-REV-1/de/pdf (Abruf 9.4.2018)

^[17] Gola/ Klug/ Körffer, in Gola/ Schomerus, BDSG, §1 Rn.10

^[18] Jülicher/ Röttgen/ v. Schönfeld, a.a.O., 358 (360 f.)

^[19] So auch Kamann/ Braun, a.a.O., Art.20 Rn.4

^[20] Art.29-Datenschutzgruppe, in WP 242, Leitlinien zum Recht auf Datenübertragbarkeit, Verabschiedet am 13.12.2016, S.5 f.

^[21] Peitz/ Schweitzer, NJW 2018, 275 (278)

^[22] BITKOM, Stellungnahme zum Recht auf Datenübertragbarkeit nach Art.20 Datenschutz-Grundverordnung, S.4; Veil, a.a.O., Art.20 Rn.8

^[23] Art.29-Datenschutzgruppe, WP 242, S.7

^[24] Siehe Gliederungspunkt: B) III. 1. a) bb), S.34

^[25] Veil, a.a.O., Art.20 Rn.23

^[26] Veil, ebda.

^[27] Hartung, in Kühling/ Buchner, DS-GVO, Art.4 Nr.7 Rn.9

^[28] Hartung, a.a.O., Art.4 Nr.7 Rn.9

^[29] Art.29-Datenschutzgruppe, in WP 196, Stellungnahme 05/2012 zum Cloud Computing, Angenommen am 1.7.2012, S.15 f.

^[30] Plath/ Schreiber, in Plath, BDSG/DSGVO, Art.4 DSGVO Rn.26 i.V.m. Art.4 BDSG Rn.67

^[31] Art.29-Datenschutzgruppe, WP 196, S.16

^[32] Kamann/ Braun, in Ehmann/Selmayr, DS-GVO, Art.20 Rn.5

^[33] BITKOM, Leitfaden Cloud Computing, S.22; BSI, Sicherheitsempfehlungen für Cloud Computing Anbieter – Eckpunktepapier, S.17 f.

^[34] Armbrust et al., Communications of the ACM Vol.53 Nr.4, S.51

^[35] Brennscheidt, Cloud Computing und Datenschutz, 1. Aufl. 2013, S.35

^[36] Deussen/ Peters/ Strick, in Fraunhofer-Allianz Cloud Computing, Cloud Computing für die öffentliche Verwaltung – ISPRAT-Studie November 2010, S.16 f.

^[37] Grünwald/ Döpkens, MMR 2011, 287 (287)

^[38] Berthold/ Budszus/ Filip/ Polenz/ Probst/ Thiermann, in Arbeitskreise Technik und Medien, Orientierungshilfe – Cloud Computing v. 9.10.2014, S.8

^[39] Krcmar, in Borges/ Meents, Cloud Computing, §2 II. Rn. 16, S.23

^[40] Heidkamp/ Pols, Cloud-Monitor 2017, S.14

^[41] Krcmar, a.a.O., §2 II. Nr.3 Rn.33 f., S.28

^[42] Zur Einordnung des Vertragstyps: Meents, in Borges/ Meents, Cloud Computing, §4 III. Rn.1 ff., S.40 ff.

^[43] Härting, DSGVO: Auftragsdatenverarbeitung – was ändert sich?, in CR-online.de Blog v. 10.5.2016, abrufbar unter https://www.cr-online.de/blog/2016/05/10/dsgvo-auftragsdatenverarbeitung-was-aendert-sich/ (Abruf 9.4.2018)

^[44] Borges, in Borges/ Meents, Cloud Computing, §7 I. 3. Rn.8, S.232

^[45] Siehe Gliederungspunkt: B) II. 1. b), S.9

^[46] Siehe Gliederungspunkt: B) II. 3. a), S.11

^[47] Siehe Gliederungspunkt: B) II. 2., S.10

^[48] Zerdick, in Ehmann/ Selmayr, DS-GVO, Art.3 Rn.11

^[49] Wybitul, in Wybitul, Handbuch DS-GVO, Teil 1 Rn.25

^[50] Wybitul, a.a.O., Teil 1 Rn.26

^[51] Schreiber, in Plath, BDSG/DSGVO, Art.4 Rn.7

^[52] Ziebarth, in Sydow, EU-DSGVO, Art.4 Rn.14

^[53] Art.29-Datenschutzgruppe, WP 242, S.9; Veil, a.a.O., Art.29 Rn.90

^[54] Schreiber, a.a.O., Art.4 DSGVO Rn.7 ff.; Weiterführende Erklärungen zu relativer & absoluter Bestimmbarkeit: Dammann, in Simitis, BDSG, §3 Rn.23 ff.

^[55] Spindler, MMR 2016, 219 (220); Brink/ Eckhardt, ZD 2015, 205 (207)

^[56] Deister/ Meyer-Spasche, HMD Praxis der Wirtschaftsinformatik, 2014, Vol. 51, S.795

^[57] So u.a. Buchholtz/ Stentzel, in Gierschmann/ Schlender/ Stentzel/ Veil, DS-GVO, Art.4 Rn.12 ff.

^[58] EuGH, Urt. v. 24.11.2011 – C-70/10, GRUR 2012, 265 – Scarlet Extended; EuGH, Urt. v. 19.10.2016 – C-582/14, NJW 2016, 3579 – Patrick Breyer; Brink/ Eckhardt, ZD 2015, 205 (211)

^[59] Kamann/ Braun, a.a.O., Art.20 Rn.14

^[60] Kamann/ Braun, a.a.O., Art.20 Rn.15

^[61] Kamann/ Braun, a.a.O., Art.20 Rn.15

^[62] Härting, Datenschutz-Grundverordnung, Rn.732; Jülicher/ Röttgen/ v. Schönfeld, a.a.O., 358 (359); wohl auch Kamlah, in Plath, BDSG/ DSGVO, Art.20 DSGVO Rn.5

^[63] Kühling/ Martini, EuZW 2016, 448 (450 f.)

^[64] Schätzle, PinG 2016, 71 (74); Kamann/ Braun, a.a.O., Art.20 Rn.15

^[65] So auch Herbst, in Kühling/ Buchner, DS-GVO, Art.20 Rn.10

^[66] Art.29-Datenschutzgruppe, WP 242, S.9

^[67] Art.29-Datenschutzgruppe, WP 242, S.9

^[68] EU KOM, Webseite zu FAQs zur EU DS-GVO, abrufbar unter https://ec.europa.eu/info/strategy/justice-and-fundamental-rights/data-protection/reform/rights-citizens/my-rights/can-i-ask-company-organisation-send-me-my-personal-data-so-i-can-use-it-somewhere-else_en (Abruf 9.4.2018)

^[69] Veil, a.a.O., Art.20 Rn.89

^[70] Kamann/ Braun, a.a.O., Art.20 Rn.16 f.

^[71] Kamann/ Braun, a.a.O., Art.20 Rn.16; Veil, a.a.O., Art.20 Rn.9

^[72] Siehe Gliederungspunkt: B) II. 3. b), S.14

^[73] Siehe Gliederungspunkt: B) II. 4. b), S.22

^[74] Siehe Gliederungspunkt: C), S.46

^[75] Jülicher/ Röttgen/ v. Schönfeld, a.a.O., 358 (359)

^[76] Piltz, K&R 2016, 629 (634)

^[77] Benedikt, RDV 2017, 189 (190)

^[78] V. Lewinksi, in Wolff/ Brink, BeckOK DatenschutzR, DS-GVO, Art.20 Rn.41

^[79] Art.29-Datenschutzgruppe, WP 242, S.9 f.

^[80] Veil, a.a.O., Art.20 Rn.92

^[81] Siehe Gliederungspunkt B) II. 3. a), S.11

^[82] Art.29-Datenschutzgruppe, WP 242, S.9

^[83] Art.29-Datenschutzgruppe, in WP 242 rev.01, Guidelines on the right to data portability, überarbeitet und verabschiedet am 5.4.2017, S.10

^[84] Piltz, K&R 2016, 629 (634); Kamann/ Braun, a.a.O., Art.20 Rn.13

^[85] Veil, a.a.O., Art.20 Rn.96

^[86] Jülicher/ Röttgen/ v. Schönfeld, a.a.O., 358 (359)

^[87] Piltz, in Gola, DS-GVO, Art.20 Rn.14

^[88] EuGH, Urt. v. 23.3.1982 – Rs. C-53/81, Slg. 1982, 1035, Rn.9 – Levin; EuGH, Urt. v. 11.11.1997 – Rs. C-251/95, Slg. 1997, I-6191, Rn.18 – Sabèl; EuGH, Urt. v. 17.4.2008 – Rs. C-404/06, Slg. 2008, I-2685, Rn.31-33

^[89] Veil, a.a.O., Art.20 Rn.99

^[90] „Provide“, Concise Oxford English Dictionary, 11. Edition (revised) 2008, S.1156

^[91] So auch v. Lewinksi, a.a.O., Art.20 Rn.38; Veil, a.a.O., Art.20 Rn.100

^[92] Kazemi, a.a.O., §6 Rn.144

^[93] Veil, a.a.O., Art.20 Rn.94

^[94] Siehe Gliederungspunkt B) I. 1., S.1

^[95] So u.a. auch Noormaa/ Šulskutė/ Terjuhana, in Data Portability – IT Law Lab Study, S.11 f.; a.A. Piltz, in Gola, DS-GVO, Art.20 Rn.14

^[96] Jülicher/ Röttgen/ v. Schönfeld, a.a.O., 358 (359); Veil, a.a.O., Art.20 Rn.102 ff.; Art.29-Datenschutzgruppe, WP 242 rev.01, S.9 f.

^[97] Zscherpe, in Taeger/ Gabel, BDSG, §15 TMG Rn.12 ff.

^[98] KOM(2015) 634 final v. 9.12.2015, abrufbar unter http://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:52015PC0634&qid=1453386693189&from=DE (Abruf 9.4.2018)

^[99] Spindler, MMR 2016, 147 (149)

^[100] Marbeth-Kubicki, in Auer-Reinsdorff/ Conrad, Handbuch IT- und Datenschutzrecht, §43 Rn.300; Konferenz der Datenschutzbeauftragten des Bundes und der Länder, Orientierungshilfe „Soziale Netzwerke“, S.14 f.

^[101] Im Ergebnis ähnlich: Veil, a.a.O., Art.20 Rn.106; Strubel, ZD 2017, 355 (360)

^[102] Siehe Gliederungspunkt: C), S.46

^[103] Kamann/ Braun, a.a.O., Art.20 Rn.18

^[104] A.A. Veil, a.a.O., Art.20 Rn.76

^[105] Brennscheidt, a.a.O., S.157

^[106] Kamann/ Braun, a.a.O., Art.20 Rn.19

^[107] Herbst, a.a.O., Art.20 Rn.13

^[108] Heberlein, in Ehmann/Selmayr, DS-GVO, Art.6 Rn.19

^[109] Kamann/ Braun, a.a.O., Art.20 Rn.31

^[110] Herbst, a.a.O., Art.20 Rn.18

^[111] Art.29-Datenschutzgruppe, WP 242, S.10 f.

^[112] Siehe Gliederungspunkt: B) II. 3. a), S.10

^[113] Herbst, a.a.O., Art.20 Rn.17

^[114] Veil, a.a.O., Art.20 Rn.130

^[115] Piltz, in Gola, a.a.O., Art.20 Rn.9

^[116] Siehe Gliederungspunkt: B) II. 3. c), S.20

^[117] Art.29-Datenschutzgruppe, WP 242, S.11; Veil, a.a.O., Art.20 Rn.134 ff.

^[118] Cebulla, ZD 2015, 507 (510)

^[119] Art.29-Datenschutzgruppe, WP 242, S.11

^[120] Art.29-Datenschutzgruppe, WP 242, S.9

^[121] Herbst, a.a.O., Art.20 Rn.17

^[122] So auch Veil, a.a.O., Art.20 Rn.131 ff.