th share video content contact download event event-wifi cross checkmark close xing wko-zahlen-daten-fakten wko-wirtschaftrecht-und-gewerberecht wko-verkehr-und-betriebsstandort wko-unternehmensfuehrung wko-umwelt-und-energie wko-steuern netzwerk wko-innovation-und-technologie wko-gruendung-und-nachfolge wko-bildung-und-lehre wko-aussenwirtschaft wko-arbeitsrecht-und-sozialrecht twitter search print pdf mail linkedin google-plus facebook whatsapp arrow-up arrow-right arrow-left arrow-down calendar user home

EU-Datenschutz-Grundverordnung (DSGVO): Datenschutzrechtliche Pflicht zur Datenübertragbarkeit

Wann muss ich Daten übertragen?

Hinweis:
Die Bestimmungen der DSGVO und des österreichischen Datenschutzgesetzes (DSG) in der Fassung des Datenschutz-Anpassungsgesetzes 2018 gelten ab 25.5.2018. Bis dahin müssen alle Datenanwendungen an die neue Rechtslage angepasst werden. Ab diesem Zeitpunkt drohen hohe Geldstrafen. (Siehe dazu „Zeitplan und Kurzüberblick“).

Die DSGVO räumt der betroffenen Person ein Recht auf Datenübertragbarkeit ein.

Praxishinweis:
Dieses Recht ist nicht an eine Vertragsbeendigung gebunden. Es kann auch in einem aufrechten Vertragsverhältnis geltend gemacht werden.

Wem stehen diese Ansprüche zu?

Jeder betroffenen Person. Diese muss ihre Identität nur dann nachweisen, wenn der Verantwortliche berechtigte Zweifel daran hat. Werden große Mengen an Informationen über die betroffene Person verarbeitet, trifft sie eine Mitwirkungspflicht.

Hinweis:
In der Regel werden solche Zweifel bei telefonischen Anfragen oder wenn der Antrag von einer Fantasie-E-Mail-Adresse versandt wurde, bestehen.
Tipp:
Sollte eine Anfrage zB von Max.Mustermann@domain.at kommen und nicht elektronisch signiert sein, wäre es ratsam, zB eine Ausweiskopie zu verlangen.

Wen trifft diese Pflicht?

Nur der Verantwortliche hat die Datenübertragbarkeit zu gewährleisten.

Wird ein Antrag irrtümlich an einen Auftragsverarbeiter gerichtet, trifft diesen zwar keine ausdrückliche Pflicht, diesen Antrag an den Verantwortlichen weiterzuleiten. Der Auftragsverarbeiter hat jedoch eine Unterstützungspflicht dem Verantwortlichen gegenüber.

Hinweis:
Die Weiterleitung eines Antrages an den Verantwortlichen ist daher zu empfehlen.

Wie muss die Datenübertragung verlangt werden?

Der Antrag kann formlos gestellt werden, allenfalls sogar mündlich. Bei mündlichen Antragstellungen per Telefon werden jedoch in der Regel Zweifel an der Identität bestehen, anders bei einer persönlichen Vorsprache. 

Welche Voraussetzungen hat das Recht auf Datenübertragbarkeit?

Die Verarbeitung erfolgt mithilfe automatisierter Verfahren, und beruht auf einer Einwilligung der betroffenen Person oder auf einem Vertrag mit der betroffenen Person.  

Was ist bei einem Antrag auf Datenübertragung zu tun?

Der Verantwortliche hat der betroffenen Person alle Daten, die letztere dem Verantwortlichen bereitgestellt gestellt hat, in einem strukturierten, gängigen und maschinenlesbaren Format zu übermitteln. 

Das betrifft sowohl Daten, welche die betroffene Person aktiv zur Verfügung gestellt hat (z.B. Fotos auf einer Social-Media-Plattform) als auch solche, die durch Nutzung der Dienstleistung angefallen sind (z.B. Aktivitätsprotokolle).

Auf Wunsch der betroffenen Person hat der Verantwortliche diese Daten direkt einem anderen Verantwortlichen zu übermitteln, sofern dies technisch machbar ist.

Die betroffene Person ist von der Datenübertragung zu informieren. 

Kann der Antrag abgelehnt werden?

Durch Rechtsvorschriften können alle Betroffenenrechte eingeschränkt werden, wenn dadurch bestimmte Ziele erreicht werden sollen. Für den Bereich der gewerblichen Wirtschaft sind wohl lediglich die Tatbestände „den Schutz der betroffenen Person oder der Rechte und Freiheiten anderer Personen“ oder „die Durchsetzung zivilrechtlicher Ansprüche“ relevant.

Offenkundig unbegründete oder – insbesondere im Fall von häufiger Wiederholung – exzessive Anträge einer betroffenen Person kann der Verantwortliche entweder ablehnen oder ein angemessenes Entgelt verlangen. Bei diesem können die Verwaltungskosten für das Verständigungsschreiben berücksichtigt werden. Den Verantwortlichen trifft die Beweislast, dass der Antrag offensichtlich unbegründet war oder einen exzessiven Charakter hatte. 

In welcher Frist ist dem Antrag nachzukommen?

Der Verantwortliche hat den Antrag unverzüglich zu erledigen und zu beantworten, in jedem Fall aber binnen eines Monats ab Eingang. Ist die Erledigung des Antrages komplex und liegen mehrfache Anträge vor, kann die Frist um zwei weitere Monate verlängert werden. Der Verantwortliche muss dies der betroffenen Person unter Angabe von Gründen mitteilen. Wurde der Antrag elektronisch eingebracht, soll auch diese Mitteilung elektronisch übersandt werden (sofern die betroffene Person dem nicht zuvor widersprochen hat).

Lehnt der Verantwortliche den Antrag ab, hat er dies der betroffenen Person binnen eines Monats mitzuteilen. 

Muss die Datenübertragung kostenlos erfolgen?

Grundsätzlich ja. Ein angemessenes Entgelt kann nur bei offenkundig unbegründeten oder insbesondere wegen ihrer Häufigkeit exzessiven Anträgen verlangt werden. 

Wo kann die betroffene Person ihre Ansprüche durchsetzen?

Falls die betroffene Person behauptet, dass ihr Anspruch verletzt worden ist, kann sie zur Durchsetzung dieses Anspruches binnen eines Jahres ab Kenntnis von dem beschwerenden Ereignis eine Beschwerde bei der Datenschutzbehörde einreichen. 

Geldstrafen

Die Verletzung des Rechts auf Datenübertragbarkeit ist mit bis zu EUR 20 Mio oder 4% seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres bedroht.

Relevante Artikel der DSGVO: Artikel 11, 12, 20, 23.
Relevante Erwägungsgründe: 57-60, 68, 73.
Relevante Bestimmungen des DSG (i.d.F. des Datenschutz-Anpassungsgesetzes 2018): § 24 Abs 4


Bitte wählen Sie oben ein Bundesland aus, um Kontakte und Serviceangebote des Bundeslandes zu erhalten.