Datenübertragbarkeit Art. 20 DSGVO einfach erklärt
Das Recht auf Datenübertragbarkeit gibt Ihnen ein wirksames Instrument an die Hand, um personenbezogene Daten unkompliziert von einem Anbieter zum nächsten mitzunehmen. Ob E-Mail-Postfach, Fitness-App oder Social-Media-Profil – an vielen Stellen entstehen Datensammlungen, die Sie identifizieren oder etwas über Ihr Verhalten aussagen. Datenportabilität erleichtert den Anbieterwechsel, schafft Wettbewerb und fördert nutzerfreundliche, offene Schnittstellen. Für Unternehmen bedeutet das Recht nicht nur Pflichten, sondern auch Chancen: Wer saubere Exportfunktionen anbietet, zeigt Transparenz und senkt den Aufwand in Support und Compliance.
Was Sie mitnehmen sollten
Datenübertragbarkeit betrifft personenbezogene Daten, die Sie einem Unternehmen bereitgestellt haben oder die bei der Nutzung eines Dienstes beobachtet wurden. Dazu zählen etwa Stammdaten, von Ihnen stammende Kommunikationsinhalte sowie Protokolle Ihrer Interaktionen. Die Herausgabe erfolgt in einem strukturierten, gängigen und maschinenlesbaren Format, damit die Daten bei einem anderen Dienst weiterverwendet werden können. Auf Wunsch kann auch eine Direktübermittlung an einen anderen Anbieter erfolgen, sofern dies technisch möglich ist und Rechte Dritter gewahrt bleiben; eine Pflicht, Verarbeitungssysteme technisch kompatibel zu machen, besteht dabei nicht (Erwägungsgrund 68 DSGVO). Das Recht greift nur, wenn die Verarbeitung automatisiert erfolgt und auf Ihrer Einwilligung (Art. 6 Abs. 1 lit. a bzw. Art. 9 Abs. 2 lit. a) oder auf einem Vertrag (Art. 6 Abs. 1 lit. b) beruht – beide Voraussetzungen müssen kumulativ vorliegen. Praktisch heißt das: Sie behalten die Kontrolle und können Datensilos leichter aufbrechen.
Wo Datenportabilität im Alltag greift
Im Alltag zeigt sich der Nutzen an vielen Stellen. Wenn Sie den E-Mail-Anbieter wechseln, möchten Sie Postfächer, Adressbücher und Kalender nicht neu aufbauen. Bei Fitness- und Gesundheits-Apps geht es häufig um Trainings- und Vitalwerte, die Sie in einer anderen Anwendung weiter analysieren möchten. Musik- und Streamingdienste arbeiten mit Playlists, Bewertungen und Verlaufsdaten, die sich zu einem neuen Dienst mitnehmen lassen. In sozialen Netzwerken spielen Kontakte, Fotos, Beiträge und Nachrichten eine Rolle, etwa wenn Sie eine Plattform verlassen oder parallel nutzen möchten. Auch in der Smart-Home- oder Mobilitätswelt – vom vernetzten Thermostat bis zur Carsharing-App – entstehen Daten, die sich übertragen lassen, um Dienste zu kombinieren oder zu wechseln, ohne erneut bei null zu starten.
Nutzen für Betroffene und Unternehmen
Für Betroffene steht die Selbstbestimmung im Vordergrund. Daten lassen sich komfortabler zwischen Diensten bewegen, Doppelpflege wird reduziert und die Abhängigkeit von einzelnen Anbietern nimmt ab. Das stärkt die Verhandlungsposition, weil der Wechsel weniger Hürden hat und Innovation leichter zugänglich wird. Unternehmen profitieren, wenn sie Portabilität ernst nehmen: Klare Exportwege und verständliche Prozesse verringern Rückfragen und Beschwerden, erleichtern Audits und steigern das Vertrauen. Gleichzeitig eröffnet sich die Möglichkeit, neue Kundinnen und Kunden mit einfachen Importfunktionen zu gewinnen, Datensätze sauber zu konsolidieren und Kooperationen über standardisierte Schnittstellen zu realisieren. So wird aus einer Compliance-Pflicht ein Qualitätsmerkmal für nutzerorientierte Produkte.
Rechtsgrundlage und Zielsetzung von Art. 20 DSGVO
Anwendungsbereich – Wann greift das Recht?
Welche Daten sind „bereitgestellt“?
Empfänger und Übermittlungswege
Technische und organisatorische Anforderungen
Ablauf in der Praxis – So setzen Sie Ihr Recht durch
Typische Stolperfallen und wie Sie sie vermeiden
Pflichten des Unternehmens
Besondere Konstellationen
Verhältnis zu anderen Rechtsquellen
Durchsetzung und Haftungsrisiken
Praxisszenarien – anschauliche Beispiele
FAQ zum Recht auf Datenübertragbarkeit
Fazit – Was Sie jetzt konkret tun können
Rechtsgrundlage und Zielsetzung von Art. 20 DSGVO
Art. 20 DSGVO verleiht Ihnen das Recht, personenbezogene Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten und diese ohne Hindernisse an einen anderen Anbieter zu übertragen. Erfasst sind Verarbeitungen, die automatisiert erfolgen und auf Ihrer Einwilligung oder auf einem Vertrag beruhen. Auf Wunsch kann auch eine Direktübermittlung zwischen zwei Verantwortlichen erfolgen, sofern dies technisch möglich ist und Rechte Dritter gewahrt bleiben. Der Normkern zielt darauf ab, Ihre Datenmobilität zu stärken und Lock-in-Effekte zu verringern, ohne die berechtigten Interessen anderer zu beeinträchtigen.
Sinn und Zweck des Rechts
Das Recht auf Datenübertragbarkeit verfolgt eine doppelte Zielsetzung. Zum einen stärkt es Ihre Kontrolle über eigene Daten. Sie sollen Dienste leichter wechseln, Daten übergreifend nutzen und Innovationen ausprobieren können, ohne alles neu eingeben zu müssen. Zum anderen fördert die Norm Interoperabilität und fairen Wettbewerb. Anbieter werden motiviert, Schnittstellen zu entwickeln und Importfunktionen bereitzustellen, damit ein Wechsel für Sie praktisch handhabbar wird. So wird aus Datenschutz gelebte Datenökonomie: Ihre Informationen bleiben nutzbar, während Transparenz, Datensicherheit und Vertraulichkeit gewahrt werden.
Abgrenzung zu Auskunfts- und Löschrecht
Gegenüber dem Auskunftsrecht nach Art. 15 DSGVO hat Art. 20 DSGVO eine andere Stoßrichtung. Die Auskunft dient vor allem der Information darüber, welche Daten verarbeitet werden, zu welchen Zwecken und auf welcher Grundlage. Die Datenübertragbarkeit geht einen Schritt weiter und ermöglicht Ihnen die tatsächliche Weiterverwendung dieser Daten in einem anderen System. Es geht weniger um vollständige Rechenschaft, sondern um ein nutzbares Exportpaket in tauglichem Format.
Zum Löschrecht nach Art. 17 DSGVO besteht ebenfalls ein klarer Unterschied. Die Löschung beendet die weitere Verarbeitung und verlangt die Entfernung Ihrer Daten, soweit keine entgegenstehenden Gründe vorliegen. Die Datenübertragbarkeit erhält demgegenüber die Nutzungsmöglichkeit Ihrer Daten, indem sie den Wechsel oder die parallele Nutzung anderer Dienste unterstützt. Praktisch kann beides zusammenwirken: Sie können Daten erst übertragen und anschließend beim bisherigen Anbieter die Löschung beantragen, wenn dies zu Ihrer Strategie passt. Wichtig bleibt in jeder Konstellation, dass Rechte und Freiheiten Dritter gewahrt werden und keine Geschäftsgeheimnisse offenbart werden.
Anwendungsbereich – Wann greift das Recht?
Das Recht auf Datenübertragbarkeit setzt dort an, wo personenbezogene Daten in einem digitalen Umfeld automatisiert verarbeitet werden und die Verarbeitung auf Ihrer Einwilligung oder einem Vertrag beruht. Ziel ist die praktische Mitnahme Ihrer Informationen zu einem anderen Dienst, ohne dass Rechte Dritter beeinträchtigt werden oder Geschäftsgeheimnisse offengelegt werden.
Personenbezogene vs. anonyme und aggregierte Daten
Erfasst sind personenbezogene Daten, also Informationen, die Sie identifizieren oder identifizierbar machen. Dazu gehören etwa Stammdaten, Nutzungsdaten oder Kommunikationsinhalte. Anonyme Daten fallen in der Regel nicht darunter, weil ein Bezug zu Ihnen nicht mehr hergestellt werden kann. Bei statistisch aggregierten Daten kommt es darauf an, ob ein Rückschluss auf einzelne Personen möglich bleibt. Ist das ausgeschlossen, spricht vieles dafür, dass das Recht auf Portabilität hier nicht greift.
„Bereitgestellte“ und „beobachtete“ Daten im Blick
Art. 20 DSGVO erfasst nicht nur Angaben, die Sie aktiv bereitgestellt haben, sondern auch Daten, die bei der Nutzung eines Dienstes beobachtet wurden. Aktiv bereitgestellt sind beispielsweise Name, Adresse, Profilangaben, hochgeladene Fotos oder Nachrichten. Beobachtete Daten entstehen während der Nutzung, etwa Logins, Klickpfade, Standortverläufe, Suchhistorien, Sensordaten von Wearables oder Smart-Home-Telemetrie. Der gemeinsame Nenner: Die Informationen stammen aus Ihrer Interaktion mit dem Dienst und lassen sich grundsätzlich in ein strukturiertes, gängiges und maschinenlesbares Format exportieren.
Abgeleitete Daten, Profile und Scores
Abgeleitete oder durch den Anbieter berechnete Werte sind regelmäßig nicht umfasst. Dazu zählen etwa Profile, Empfehlungen, Credit- oder Risikoscores sowie interne Bewertungen oder Segmentierungen. Hintergrund ist, dass diese Ergebnisse auf Analysen, Algorithmen oder Know-how des Unternehmens beruhen und häufig Geschäftsgeheimnisse berühren. In Einzelfällen stellen Anbieter solche Informationen freiwillig bereit, etwa wenn sie ohne Offenlegung sensibler Logik sinnvoll übertragbar sind. Ein Anspruch im engeren Sinne ergibt sich daraus jedoch meist nicht.
Verantwortlicher, gemeinsame Verantwortliche und Auftragsverarbeiter
Adressat Ihres Antrags ist der Verantwortliche, also die Stelle, die über Zwecke und Mittel der Verarbeitung entscheidet. Auftragsverarbeiter sind Dienstleister im Hintergrund und nicht anspruchsgegnerisch, sie unterstützen den Verantwortlichen bei der Erfüllung. Bei gemeinsam Verantwortlichen können Sie sich an jede beteiligte Stelle wenden. In Plattform-Ökosystemen ist daher wichtig, wer tatsächlich Verantwortung für die jeweilige Datenverarbeitung trägt.
Erforderliche Rechtsgrundlage: Einwilligung oder Vertrag
Das Recht greift typischerweise, wenn die Verarbeitung auf Ihrer Einwilligung oder auf der Durchführung eines Vertrags beruht. Klassische Beispiele sind Kundenkonten, App-Nutzungen oder Abonnements, die Sie aktiv eingegangen sind. Liegt die Verarbeitung auf einer anderen Rechtsgrundlage – z. B. zur Erfüllung gesetzlicher Pflichten (Art. 6 Abs. 1 lit. c), bei Aufgaben im öffentlichen Interesse/hoheitlicher Befugnis (Art. 6 Abs. 1 lit. e) oder auf berechtigten Interessen (Art. 6 Abs. 1 lit. f) – greift Art. 20 DSGVO nicht. Nicht zuletzt muss die Verarbeitung automatisiert erfolgen. Eine Direktübermittlung an einen neuen Anbieter kommt in Betracht, soweit dies technisch möglich ist und die Rechte Dritter – etwa von Kommunikationspartnern – gewahrt werden. In der Praxis bedeutet das oft, dass personenbezogene Daten Dritter vorab geschwärzt, separiert oder mit deren Einwilligung einbezogen werden.
Welche Daten sind „bereitgestellt“?
„Bereitgestellt“ sind Daten, die aus Ihrer Interaktion mit einem Dienst stammen und die sich sinnvoll in ein strukturiertes, gängiges und maschinenlesbares Format exportieren lassen. Der gesetzliche Fokus liegt auf Informationen, die Sie selbst liefern oder die bei der Nutzung eines Dienstes über Sie beobachtet werden. Damit lassen sich Datensilos öffnen, ohne Geschäftsgeheimnisse offenzulegen oder Rechte Dritter zu verletzen.
Von Ihnen aktiv übermittelte Informationen
Hierunter fallen Daten, die Sie bewusst eingeben oder hochladen. Dazu zählen Stammdaten wie Name, Anschrift, E-Mail-Adresse, Benutzername und Profilangaben ebenso wie Inhalte, die Sie in einem Dienst erstellen oder einspeisen. Typische Beispiele sind Kontaktlisten, Kalendereinträge, Nachrichten, Fotos, Dokumente oder Formularangaben im Bestellprozess. Auch Einstellungen, die Sie im Konto vornehmen, gehören meist dazu, etwa Benachrichtigungspräferenzen oder Spracheinstellungen. In der Praxis werden solche Daten häufig in Formaten wie CSV, JSON, XML, ICS oder MBOX bereitgestellt, damit ein anderer Anbieter sie einlesen kann.
Von Ihnen beobachtete Nutzungsdaten
Erfasst sind außerdem Informationen, die während der Nutzung eines Dienstes entstehen und Sie betreffen. Das können Protokolle Ihrer Aktivitäten sein, etwa Login-Zeitpunkte, Suchhistorien, Klickpfade, Standortverläufe, Geräte- und Sitzungsdaten oder Sensormessungen aus Wearables und Smart-Home-Geräten. Bei Streaming- und Musikdiensten kommen etwa Playlists und Verlaufseinträge in Betracht, bei Fitness-Apps Trainingsdaten und Messwerte, bei E-Mail-Diensten Ordnerstrukturen und Zustellereignisse. Entscheidend ist, dass diese Informationen aus Ihrem Nutzerverhalten hervorgehen und technisch so aufbereitet werden können, dass ein anderer Dienst sie weiterverarbeiten kann.
Grenzen bei abgeleiteten Werten
Nicht umfasst sind in der Regel abgeleitete oder intern berechnete Ergebnisse. Dazu zählen Scores, Risikoprofile, Segmentierungen, Empfehlungsmodelle oder Rankings, die auf Analyseverfahren und Know-how des Anbieters beruhen. Solche Ergebnisse sind oft eng mit internen Algorithmen, Trainingsdaten und Geschäftsgeheimnissen verknüpft und werden deshalb rechtlich anders behandelt. Teilmengen können freiwillig bereitgestellt werden, etwa wenn sie ohne Offenlegung sensibler Logik sinnvoll nutzbar sind. Ein Anspruch auf Herausgabe ergibt sich daraus allerdings meist nicht. Für die Portabilität maßgeblich bleiben die von Ihnen bereitgestellten und beobachteten Rohdaten, die eine Weiterverwendung bei einem anderen Anbieter ermöglichen.
Empfänger und Übermittlungswege
Das Recht auf Datenübertragbarkeit ist darauf ausgerichtet, den reibungslosen Wechsel oder die parallele Nutzung von Diensten zu erleichtern. Entscheidend ist, dass Sie Ihre Daten in einem Format erhalten, das sich praktisch weiterverwenden lässt, und dass auf Wunsch eine Übergabe an einen anderen Anbieter erfolgt, soweit dies technisch möglich ist und Rechte Dritter gewahrt bleiben.
Aushändigung an Sie als Betroffene
Die klassische Variante ist die Herausgabe direkt an Sie. Üblich sind Download-Links in Ihrem Konto oder die Bereitstellung über ein sicheres Portal. In der Praxis werden die Daten häufig in einem gebündelten Archiv bereitgestellt, damit Sie alles geordnet erhalten. Sinnvoll ist eine strukturierte Ordnerlogik und eine kurze Readme-Datei mit Hinweisen zu Inhalt, Feldern und Datumsformaten.
Wichtig bleibt eine verlässliche Identitätsprüfung, damit keine unbefugte Herausgabe erfolgt. Für die Übertragung bewähren sich verschlüsselte Kanäle und, je nach Sensibilität, zusätzliche Schutzmechanismen wie Passwortschutz oder zeitlich befristete Links. Je klarer die Datensätze und Feldbezeichnungen, desto einfacher wird ein späterer Import.
Direktübermittlung an einen anderen Anbieter
Sie können verlangen, dass der bisherige Anbieter die Daten unmittelbar an einen anderen Verantwortlichen übermittelt, sofern dies technisch machbar ist. Diese Direktübermittlung reduziert Medienbrüche und verringert Fehlerquellen beim manuellen Import. In der Abstimmung zwischen den Anbietern kommt es auf kompatible Schnittstellen und ein abgestimmtes Datenmodell an. Rechte Dritter, etwa Kommunikationspartner in E-Mails oder Messengern, sind dabei zu berücksichtigen. In sensiblen Konstellationen kann eine Teilübermittlung oder eine Anonymisierung angezeigt sein, damit nur die für den Wechsel erforderlichen Informationen übertragen werden.
Interoperabilität und gängige Formate in der Praxis
Für eine echte Weiterverwendbarkeit braucht es strukturierte, gängige und maschinenlesbare Formate. In vielen Bereichen haben sich offene Standards etabliert. Häufig anzutreffen sind CSV oder JSON für tabellarische beziehungsweise verschachtelte Daten, XML in etablierten Branchenstandards, vCard für Kontakte, ICS für Kalender, MBOX oder EML für E-Mails, sowie JPEG, PNG und MP4 für Medieninhalte. Ein ZIP-Container eignet sich, um größere Datenmengen inklusive Metadateien kompakt zu bündeln.
Interoperabilität lebt von klaren Schemas, Feldbeschreibungen und konsistenten Zeichensätzen. Nützlich sind begleitende Datenwörterbücher oder Mapping-Hinweise, aus denen hervorgeht, welche Felder Pflichtangaben sind und wie Datums- und Zeitangaben kodiert wurden. Proprietäre Spezialformate oder reine PDF-Exports sind für die Weiterverarbeitung meist ungeeignet. Viele Anbieter unterstützen zusätzlich APIs oder Self-Service-Exporte, die wiederkehrende Datenübertragungen erleichtern, ohne dass interne Geschäftslogiken offengelegt werden müssen.
Technische und organisatorische Anforderungen
Das Recht auf Datenübertragbarkeit entfaltet seinen Nutzen erst dann vollständig, wenn Ausgabeformate, Prozesse und Sicherheitsmaßnahmen praxisnah gestaltet sind. Ziel ist eine Übergabe, die bei einem anderen Anbieter ohne größeren Aufwand weiterverwendet werden kann, ohne Rechte Dritter oder Geschäftsgeheimnisse zu gefährden.
Strukturierte, gängige und maschinenlesbare Formate
Für eine echte Weiterverarbeitbarkeit eignen sich Formate, die klar dokumentiert sind und breite Unterstützung in gängigen Systemen finden. Häufig bewährt sich eine Kombination aus CSV für tabellarische Daten und JSON oder XML für verschachtelte Strukturen. Für Kontakte, Kalender und E-Mails kommen vCard, ICS sowie MBOX oder EML in Betracht. Medieninhalte werden üblicherweise in offenen Formaten wie JPEG, PNG oder MP4 ausgegeben. Sinnvoll ist eine konsistente Zeichenkodierung, etwa UTF-8, eindeutige Zeitangaben inklusive Zeitzone sowie sprechende Feldbezeichnungen. Metadateien mit Feldbeschreibungen, Datentypen und Beispielen erleichtern Import und Mapping. Bei großen Datenmengen helfen Paketierung in ZIP-Archiven, sinnvolle Ordnerstrukturen und Prüfsummen, um die Integrität zu kontrollieren.
APIs und Self-Service-Portale – was praktikabel ist
In der Praxis zeigen Self-Service-Exporte im Kundenkonto und standardisierte Schnittstellen ihre Stärken. Ein Exportbereich im Profil mit klarer Auswahl der Datenkategorien, einer verständlichen Statusanzeige und einer Benachrichtigung nach Fertigstellung reduziert Rückfragen. Für wiederkehrende oder umfangreiche Übertragungen bietet sich eine API an. Empfehlenswert sind stabile Endpunkte mit Versionsangabe, gut lesbare Dokumentation und eine Authentifizierung über etablierte Verfahren wie OAuth 2.0. Rate Limits, Paginierung und inkrementelle Exporte unterstützen eine ressourcenschonende Nutzung. Für die Nachvollziehbarkeit lohnt sich ein einfaches Protokoll, das Zeitpunkte, angeforderte Datensätze und den Ausgabestatus dokumentiert.
Identitätsprüfung und Datensicherheit
Vor der Herausgabe steht eine verlässliche Identitätsprüfung. In vielen Fällen genügt die Authentifizierung über das bestehende Konto, ergänzt um eine zweite Sicherheitsstufe wie eine Zwei-Faktor-Bestätigung. Bei höherem Risiko kann eine zusätzliche Prüfung angezeigt sein, etwa bei besonders sensiblen Daten. Die Übertragung sollte über verschlüsselte Kanäle erfolgen. Passwörter oder Entschlüsselungscodes werden getrennt vom Download-Link bereitgestellt. Zeitlich befristete Links, begrenzte Download-Versuche und Session-Timeouts verringern Missbrauchsrisiken. Auf Systemebene helfen klare Rollen- und Rechtekonzepte, Protokollierung der Zugriffe und eine sorgfältige Löschroutine für temporäre Exportdateien, sobald der Zweck erreicht ist.
Schutz von Rechten Dritter und Geschäftsgeheimnissen
Bei Kommunikations- oder Nutzungsdaten können Informationen Dritter enthalten sein. Hier ist Zurückhaltung geboten. Erforderlich ist eine Abwägung zwischen Ihrem Portabilitätsinteresse und den Rechten der betroffenen Personen. In vielen Konstellationen bietet sich eine Teilübermittlung an, bei der personenbezogene Daten Dritter geschwärzt oder getrennt bereitgestellt werden, soweit dies für den Wechsel nicht zwingend benötigt wird. Interne Bewertungen, abgeleitete Scores oder geschützte Logiken werden in der Regel nicht übertragen, um Geschäftsgeheimnisse zu wahren. Transparent ist, offen zu legen, welche Datenkategorien enthalten sind, welche aus Schutzgründen fehlen und welche Alternativen bestehen, um die Zielsetzung Ihres Wechsels dennoch zu erreichen. So bleibt der Export zweckdienlich, rechtssicher und für beide Seiten handhabbar.
Ablauf in der Praxis – So setzen Sie Ihr Recht durch
Ein wirksamer Antrag auf Datenübertragbarkeit lebt von Klarheit, Nachweisbarkeit und einem Format, das beim neuen Anbieter ankommt. Mit den folgenden Schritten erhöhen Sie die Chancen auf eine zügige und vollständige Erfüllung.
Ihr Antrag: Inhalte, Form und Nachweise
Formfrei ist möglich, präzise ist besser. Bewährt hat sich ein schriftlicher Antrag per E-Mail oder über das Kundenkonto mit folgenden Angaben:
- Bezug auf Art. 20 DSGVO und der ausdrückliche Wunsch nach Datenübertragbarkeit
- eindeutige Identifikationsdaten (Kundennummer, Benutzername, Registrier-E-Mail)
- genaue Beschreibung der gewünschten Datenkategorien und eines sinnvollen Zeitraums
- das gewünschte Ausgabeformat (z. B. CSV, JSON, XML, vCard, ICS, MBOX)
- der bevorzugte Übermittlungsweg: Download für Sie oder Direktübermittlung
- bei Direktübermittlung: Name und Kontakt des empfangenden Anbieters, ggf. Import-Schnittstelle
- Nachweis Ihrer Identität; bei Vertretung eine Vollmacht
Kurze, klare Sätze und eine Aufzählung der Kategorien helfen, Rückfragen zu vermeiden. Für sensible Daten empfiehlt sich die Bitte um einen gesicherten Übertragungskanal.
Fristen, Verlängerungen und Reaktionspflichten
In der Regel reagiert der Verantwortliche innerhalb eines Monats ab Eingang Ihres Antrags. Bei komplexen oder umfangreichen Exporten kann eine Verlängerung um bis zu zwei weitere Monate angezeigt sein; hierzu sollte der Verantwortliche innerhalb der ersten Frist informieren und Gründe nennen.
Wenn der Antrag elektronisch gestellt wurde, muss die Bereitstellung grundsätzlich in einem gängigen elektronischen Format erfolgen, es sei denn, Sie wünschen etwas anderes. Der Export wird üblicherweise unentgeltlich bereitgestellt. Für offenkundig exzessive oder wiederholte Anträge kann eine angemessene Gebühr verlangt werden.
Umfang der Erfüllung und sinnvolle Alternativen
Bereitgestellt werden personenbezogene Daten, die Sie aktiv übermittelt haben oder die bei der Nutzung beobachtet wurden, in einem strukturierten, gängigen und maschinenlesbaren Format. Bei sehr großen Datenmengen bietet sich eine gestaffelte Bereitstellung an, etwa nach Kategorien oder Zeitabschnitten.
Sind Daten Dritter betroffen, kommen Schwärzungen, getrennte Dateien oder eine Teilübermittlung in Betracht. Lässt sich eine Direktübermittlung technisch nicht umsetzen, ist ein Export an Sie ein praktikabler Zwischenschritt. Hilfreich sind begleitende Hinweise zu Feldbezeichnungen, Datumsformaten und Zeichensätzen, damit der Import beim neuen Anbieter gelingt.
Ablehnung, Teilablehnung und Begründungspflicht
Eine Ablehnung kann in Betracht kommen, wenn die gesetzlichen Voraussetzungen nicht vorliegen, beispielsweise wenn die Verarbeitung nicht auf Einwilligung oder Vertrag beruht, Ihre Identität nicht hinreichend feststeht oder Rechte und Freiheiten Dritter überwiegen. In vielen Fällen erfolgt dann eine Teilablehnung mit nachvollziehbarer Begründung.
Sie sollten in einer Absage eine verständliche Erläuterung, Hinweise zu alternativen Formaten und Informationen zu Ihren weiteren Möglichkeiten erhalten. Dazu zählen die Beschwerde bei der Aufsichtsbehörde sowie der zivilrechtliche Weg. Praktisch ist es oft sinnvoll, den Antrag zu präzisieren, einen engeren Zeitraum zu wählen oder ergänzende Nachweise zur Identität vorzulegen. Wenn es um technische Hürden geht, hilft eine kurze Abstimmung mit dem empfangenden Anbieter, welches Format und welche Feldstruktur dort am besten verarbeitet werden kann.
Wenn Sie möchten, formulieren wir Ihren Antrag so, dass Umfang, Formate und Übermittlungsweg passgenau auf Ihren Zielanbieter abgestimmt sind.
Typische Stolperfallen und wie Sie sie vermeiden
Unklare Reichweite des Antrags
Unpräzise Anträge führen häufig zu verzögerten oder lückenhaften Exporten. Formulierungen wie „alle Daten“ sind zwar verständlich, helfen in der Praxis aber wenig. Benennen Sie die betroffenen Konten, Dienste und Datenkategorien so konkret wie möglich und legen Sie einen Zeitraum fest. Nützlich sind zusätzlich Hinweise auf konkrete Anwendungsfälle, etwa den geplanten Import bei einem bestimmten Zielanbieter. So entsteht ein klares Arbeitsprofil, das Rückfragen reduziert und die Qualität des Exports erhöht.
Ungeeignete oder proprietäre Dateiformate
Rein bildhafte oder proprietäre Formate lassen sich selten weiterverarbeiten. Ein PDF-Export ist für die Portabilität kaum geeignet, weil strukturierte Felder fehlen. Bitten Sie um strukturierte, gängige und maschinenlesbare Formate wie CSV für Tabellen, JSON oder XML für verschachtelte Daten, vCard für Kontakte, ICS für Kalender, MBOX oder EML für E-Mails. Fragen Sie nach einer kurzen Schema-Beschreibung (Feldnamen, Datentypen, Zeichensatz), damit der Import beim neuen Anbieter funktioniert. Bei großen Datenmengen hat sich ein gezipptes Archiv mit nachvollziehbarer Ordnerstruktur bewährt.
Unverhältnismäßiger Aufwand vs. Zumutbarkeit
Bei sehr umfangreichen oder komplexen Datenbeständen wird gelegentlich ein unverhältnismäßiger Aufwand eingewandt. Dem begegnen Sie, indem Sie den Antrag sinnvoll eingrenzen: etwa auf bestimmte Kategorien, Projekte, Kommunikationskanäle oder Zeiträume. Eine gestaffelte Bereitstellung in Etappen kann den Aufwand senken und dennoch zeitnah Ergebnisse liefern. Hilfreich ist zudem, alternative technische Wege zu akzeptieren, etwa einen Self-Service-Export oder eine API-Lösung, wenn die Direktübermittlung an den Zielanbieter nicht ohne Weiteres möglich ist.
Vermischte Datensätze mehrerer Personen
Kommunikations- und Kollaborationsdaten enthalten oft Informationen Dritter. Hier gilt es, die Rechte unbeteiligter Personen zu achten und zugleich Ihr Portabilitätsinteresse zu wahren. Bitten Sie um eine Trennung der Datensätze, etwa durch separate Dateien für Ihre Inhalte, geschwärzte Passagen oder die Beschränkung auf Metadaten, die keinen Rückschluss auf Dritte zulassen. Wenn ein vollständiger Export nur mit Einwilligungen Dritter möglich wäre, kann eine Teilbereitstellung eine tragfähige Lösung sein. Klarheit entsteht, wenn Sie vorgeben, welche Elemente für den geplanten Import tatsächlich benötigt werden und auf welche verzichtet werden kann.
Pflichten des Unternehmens
Unternehmen stehen in der Verantwortung, Anträge auf Datenübertragbarkeit rechtssicher, effizient und nutzerorientiert zu bearbeiten. Entscheidend sind belastbare Nachweise, klare Abläufe und eine Zusammenarbeit über Bereiche hinweg.
Dokumentation und Nachweisbarkeit
Eine saubere Dokumentation ist die Grundlage, um Entscheidungen und Fristen belegen zu können. Zweckmäßig ist ein zentrales Vorgangsprotokoll, das mindestens festhält, wann der Antrag einging, wie die Identität geprüft wurde, welche Datenkategorien und Zeiträume angefordert wurden, welches Ausgabeformat gewählt wurde und welche Übermittlungswege zur Anwendung kamen.
Sinnvoll sind außerdem technische Nachweise, etwa Prüfsummen der bereitgestellten Archive, Versionsstände von Schemas und Exportskripten sowie Protokolle über API-Abfragen. Wenn eine Teil- oder Ablehnung erfolgt, sollte die Begründung mit Verweis auf betroffene Datenkategorien, Rechte Dritter und technische Grenzen nachvollziehbar dokumentiert werden. Für temporär erzeugte Exportdateien empfiehlt sich eine klare Aufbewahrungs- und Löschroutine, damit nur so lange gespeichert wird, wie es für die Bereitstellung nötig ist.
Interne Prozesse, Zuständigkeiten und Schulung
Wirksam wird Datenportabilität durch definierte, wiederholbare Abläufe. Ein praktikables Verfahren umfasst einen einheitlichen Eingangskanal für Anträge, eine strukturierte Vorprüfung (Identität, Anwendungsbereich, Rechtsgrundlage), eine priorisierte Datenerhebung aus den relevanten Systemen sowie eine Qualitätssicherung der Ausgabeformate. Hilfreich ist ein Service-Level für typische Fristen, ergänzt um Eskalationspunkte, wenn eine Verlängerung erforderlich erscheint.
Zuständigkeiten sollten transparent sein: Wer prüft den Antrag, wer extrahiert Daten, wer führt die rechtliche Bewertung durch, wer gibt die Bereitstellung frei? Ein kompaktes Playbook mit Vorlagen für Eingangsbestätigungen, Rückfragen und Abschlussmitteilungen verringert Fehler. Regelmäßige Schulungen – auch für Support und Fachbereiche – schaffen Sensibilität für Identitätsprüfung, Schutz von Dritten und Formatfragen. Ein aktuelles Verzeichnis der Verarbeitungstätigkeiten und ein Systeminventar mit Datenkategorien erleichtern die zügige Zusammenstellung der Exporte.
Zusammenarbeit von IT, Produkt, Legal und Compliance
Datenübertragbarkeit ist eine Teamaufgabe. IT stellt sichere Exportwege, Verschlüsselung und Logging bereit und achtet auf Interoperabilität der Formate. Produkt sorgt dafür, dass Self-Service-Funktionen, Datenfelder und Schnittstellen verständlich und nutzerfreundlich sind. Legal bewertet Anwendungsbereich, Rechte Dritter und Begründungen bei Teil- oder Ablehnungen. Compliance behält Fristen, Dokumentationspflichten und interne Kontrollen im Blick.
Praktisch bewährt sich eine frühe Abstimmung bereits bei der Produktgestaltung, damit Formate, Feldbezeichnungen und Schnittstellen konsistent sind und künftige Exporte ohne Sonderlösungen funktionieren. Bei externen Dienstleistern sollte vertraglich geregelt sein, wie Exportanforderungen unterstützt werden, welche Fristen gelten und welche Sicherheitsstandards eingehalten werden. Regelmäßige Tests – etwa Probeläufe mit Musterexporten – decken Brüche im Prozess auf und erhöhen die Qualität der tatsächlichen Bereitstellungen.
Besondere Konstellationen
Minderjährige und Vertretungsfälle
Bei Minderjährigen rücken Einwilligung und Vertretungsbefugnis in den Vordergrund. Häufig sind die sorgeberechtigten Personen anspruchs- und handlungsbefugt, soweit sie im Interesse des Kindes handeln und sich legitimieren. In der Praxis empfiehlt sich ein klarer Identitäts- und Vertretungsnachweis, etwa durch geeignete Dokumente. Je nach Alter kann eine Beteiligung des Kindes sinnvoll sein, insbesondere wenn es die Tragweite versteht und eigene Konten nutzt. Bei volljährigen Vertretungsfällen – etwa mit Vorsorgevollmacht – sollten Umfang und Dauer der Vollmacht belegt werden. Transparent ist es, den Datenexport so zu strukturieren, dass nur die für den Zweck benötigten Informationen herausgegeben werden.
Beschäftigtendaten
Im Arbeitsverhältnis begegnen sich Portabilität und betriebliche Belange. Daten, die Sie dem Arbeitgeber bereitgestellt haben oder die bei der Nutzung von Diensten entstehen, können grundsätzlich portabel sein, wenn die Verarbeitung auf Vertrag oder Einwilligung beruht und automatisiert erfolgt. Dazu zählen etwa Profile im Employee-Self-Service, persönliche Stammdaten, eigene Dokumente, Trainingshistorien oder Stundennachweise aus Zeiterfassungssystemen. Bei Team- und Projektinformationen ist Zurückhaltung geboten, weil häufig Daten Dritter und Geschäftsgeheimnisse berührt werden. Praktisch kann eine Teilbereitstellung helfen, die nur personenbezogene Inhalte des Beschäftigten erfasst oder Drittdaten separiert.
Gesundheits- und Telemediendaten
Gesundheitsdaten sind besonders sensibel. Portabilität ist möglich, erfordert aber erhöhte Sorgfalt bei Identitätsprüfung, Transportverschlüsselung und Zugangsschutz. Sinnvoll sind abgestufte Sicherheitsmaßnahmen, etwa zusätzliche Bestätigungen oder getrennte Übermittlung von Entschlüsselungscodes. In Telemedizin- und Gesundheits-Apps geht es häufig um Messreihen, Befunde, Medikationspläne oder Trainingsdaten. Ein strukturierter Export mit klaren Feldbeschreibungen erleichtert die Weiterverwendung, ohne interne Bewertungslogiken offenlegen zu müssen. Wo Daten Dritter involviert sind – etwa bei Nachrichten mit Behandlern – kann eine Schwärzung oder Trennung erforderlich sein. Wenn der Zielanbieter bestimmte Standards unterstützt, lohnt sich ein Format, das an diese Schnittstellen anschlussfähig ist.
Daten aus vernetzten Geräten und Plattformen
Im Internet der Dinge fallen kontinuierlich Nutzungs- und Sensordaten an, etwa Smart-Home-Telemetrie, Wearables, Fahrzeug- oder Ladeinfrastruktur-Daten. Die Portabilität zielt hier vor allem auf die von Ihnen erzeugten oder beobachteten Rohdaten. Daten aus Mehrnutzer-Umgebungen – beispielsweise gemeinsam genutzte Haushaltsgeräte – sollten so aufgeteilt werden, dass Rechte anderer gewahrt bleiben. Aufgrund der Datenmengen bietet sich eine gestaffelte Bereitstellung an, etwa nach Zeiträumen oder Datenkanälen. Für eine reibungslose Weiterverwendung ist ein konsistentes Schema hilfreich, das Einheiten, Zeitstempel mit Zeitzone und Sensorbezeichnungen eindeutig macht. Wenn proprietäre Formate im Einsatz sind, kann eine begleitende Mapping-Tabelle den Import beim neuen Anbieter spürbar erleichtern.
Verhältnis zu anderen Rechtsquellen
Art. 15, 17 und 21 DSGVO im Vergleich
Das Recht auf Datenübertragbarkeit ergänzt andere Betroffenenrechte, verfolgt aber eine eigene Zielrichtung. Art. 15 DSGVO verschafft Ihnen Transparenz: Sie erfahren, welche Daten verarbeitet werden, zu welchen Zwecken und auf welcher Grundlage – häufig in berichtsartigen Formaten. Art. 20 DSGVO zielt dagegen auf Weiternutzung: Die Daten sollen in einem strukturierten, gängigen und maschinenlesbaren Format bei einem anderen Dienst ankommen.
Mit Art. 17 DSGVO (Löschung) beenden Sie die weitere Verarbeitung beim bisherigen Anbieter. In der Praxis kann es sinnvoll sein, erst die Übertragung zu veranlassen und anschließend die Löschung zu verlangen, sofern keine Aufbewahrungspflichten entgegenstehen.
Art. 21 DSGVO (Widerspruch) adressiert vor allem auf berechtigte Interessen gestützte Verarbeitungen, etwa Profiling zu Werbezwecken. Das Portabilitätsrecht ist hier oft nicht einschlägig, weil es typischerweise Einwilligung oder Vertrag voraussetzt. Rechte Dritter und technische Grenzen sollten in allen Konstellationen mitgedacht werden, damit der Export zweckgerecht und rechtssicher bleibt.
Urheber-, Geschäftsgeheimnis- und Datenbankrechte
Datenübertragbarkeit bedeutet nicht, interne Modelle oder geschützte Logiken offenzulegen. Abgeleitete Werte, Scorings, Empfehlungen oder Segmentierungen berühren häufig Geschäftsgeheimnisse sowie urheber- oder datenbankrechtlich geschützte Elemente. In solchen Fällen bietet sich ein Export der von Ihnen bereitgestellten und beobachteten Rohdaten an, ohne interne Bewertungslogik preiszugeben.
Greift das Datenbankrecht, ist ein ausschnittsweiser Export der Sie betreffenden Datensätze regelmäßig der pragmatische Weg. Begleitende Feldbeschreibungen, Datentypen und Zeitstempel erhöhen die Interoperabilität, ohne Schutzrechte zu entwerten. Wo Geheimhaltungsinteressen betroffen sind, helfen organisatorische und technische Maßnahmen – etwa Maskierungen, Separierungen oder abgestufte Zugänge –, um Ihr Portabilitätsinteresse und Schutzrechte in Einklang zu bringen.
Telekommunikations- und Telemedienrecht
Bei Kommunikationsdiensten treffen Portabilität und Kommunikationsgeheimnis aufeinander. Inhalte und Verkehrsdaten unterliegen besonderen Vertraulichkeitsanforderungen. Das wirkt sich auf Übermittlungswege und Datenzuschnitt aus. Häufig ist eine Bereitstellung an Sie als betroffene Person der sichere erste Schritt; eine Direktübermittlung an Dritte erfordert eine sorgfältige Abwägung, insbesondere wenn Kommunikationspartner identifizierbar wären.
Im Telemedien- und Plattformkontext spielen zudem Einwilligungen für Endgerätezugriffe sowie Cookies und ähnliche Technologien eine Rolle. Für den Export ist wesentlich, dass die Daten technisch sauber strukturiert werden, ohne Schutzstandards zu unterlaufen. Wo Ende-zu-Ende-Verschlüsselung genutzt wird, können technische Grenzen bestehen, die eine Teilbereitstellung oder alternative Formate nahelegen.
EU-Data-Act und weitere Spezialregime – was sich verändert
Der EU-Data-Act (VO (EU) 2023/2854) gilt seit dem 12. September 2025 und ergänzt die DSGVO um Zugangs- und Nutzungsregeln für Daten aus vernetzten Produkten und dazugehörigen Diensten. Nutzerinnen und Nutzer vernetzter Geräte erhalten erleichterten Zugang zu Nutzungs- und Telemetriedaten – unabhängig davon, ob es sich um personenbezogene oder nicht-personenbezogene Daten handelt; soweit technisch machbar, auch fortlaufend bzw. in Echtzeit. Für personenbezogene Daten bleibt die DSGVO maßgeblich; der Data-Act schafft zusätzliche Zugangswege, ersetzt die Rechtsgrundlagen der DSGVO aber nicht.
Praktisch bedeutet das für Hersteller und Serviceanbieter: Zugang „by design“, klare Schnittstellen, faire und diskriminierungsarme Bedingungen, Schutz von Geschäftsgeheimnissen sowie Vorkehrungen gegen missbräuchliche Weitergabe. Für Sie als Betroffene steigt die Chance, dass IoT-Rohdaten in nahe Echtzeit oder wiederkehrend per API bereitgestellt werden und damit besser bei Drittanbietern ankommen.
Daneben existieren branchenspezifische Regelwerke, die Portabilität faktisch vorstrukturieren – etwa Zahlungsdienste mit standardisierten Schnittstellen oder sektorale Interoperabilitätsvorgaben. Für Unternehmen lohnt sich daher ein Abgleich: Welche Spezialnormen gelten im eigenen Markt, und wie lassen sie sich mit Art. 20 DSGVO zu einem stimmigen Export- und Importkonzept verbinden?
Durchsetzung und Haftungsrisiken
Beschwerde bei der Aufsichtsbehörde
Wenn Ihr Antrag auf Datenübertragbarkeit liegen bleibt oder nur unzureichend beantwortet wird, kommt eine Beschwerde bei der zuständigen Datenschutzaufsicht in Betracht. Zuständig ist meist die Behörde am Sitz des Unternehmens oder an Ihrem gewöhnlichen Aufenthaltsort.
Hilfreich sind eine klare Sachverhaltsdarstellung, Kopien der Korrespondenz, Zeitpunkte der Antragsstellung und eventuelle Reaktionen des Unternehmens. In vielen Fällen informiert die Behörde innerhalb eines überschaubaren Zeitraums über den Stand des Verfahrens und kann auf Abhilfe hinwirken, etwa durch Hinweise, Auflagen oder andere Maßnahmen. Für Sie entsteht dadurch ein strukturierter Rahmen, in dem Fristen, Formate und Schutzinteressen Dritter noch einmal bewertet werden.
Zivilrechtliche Ansprüche und Schadensersatz
Neben der Beschwerde stehen zivilrechtliche Wege offen. Möglich sind Unterlassungs- oder Beseitigungsansprüche, wenn eine rechtswidrige Verweigerung oder Verzögerung vorliegt. Ein Schadensersatzanspruch kommt in Betracht, wenn Ihnen durch die Pflichtverletzung ein materieller oder immaterieller Schaden entstanden ist und ein Kausalzusammenhang dargelegt werden kann.
Für die Durchsetzung lohnt sich eine gute Beleglage: Dokumentieren Sie Anträge, Identitätsnachweise, gewünschte Datenkategorien, Formate und Übermittlungswünsche sowie Auswirkungen einer verspäteten oder unvollständigen Bereitstellung. Je genauer der konkrete Nachteil beschrieben wird, desto besser lässt sich die Anspruchsgrundlage untermauern. In vielen Situationen empfiehlt sich zudem eine letzte, kurze Fristsetzung mit Hinweis auf die beabsichtigten Schritte.
Bußgelder und Reputationsrisiken
Unternehmen, die Anträge auf Datenübertragbarkeit nicht ordnungsgemäß behandeln, setzen sich einem Sanktionsrisiko aus. Bußgelder orientieren sich regelmäßig an Faktoren wie Art, Schwere und Dauer des Verstoßes, Vorsatz oder Fahrlässigkeit, getroffenen Abhilfemaßnahmen sowie früheren Verstößen. Häufig wirkt sich auch die Kooperationsbereitschaft gegenüber der Aufsicht aus.
Unabhängig von formalen Sanktionen wiegt der Reputationsschaden oft schwer: Negative Nutzererfahrungen, öffentliche Beschwerden oder Medienberichte können Vertrauen spürbar beeinträchtigen. Unternehmen sind daher gut beraten, Exportprozesse transparent zu gestalten, Formate sinnvoll zu dokumentieren und Rückfragen zügig zu klären. Für Betroffene steigt damit die Chance auf einen tragfähigen, rechtssicheren Datentransfer – und für Unternehmen wird Datenportabilität zu einem Qualitätsmerkmal statt zu einem reinen Compliance-Thema.
Praxisszenarien – anschauliche Beispiele
Wechsel des E-Mail-Anbieters
Beim Anbieterwechsel möchten Sie Postfächer, Kontakte und Kalender ohne Medienbruch mitnehmen. In der Praxis bedeutet das einen Export Ihrer Nachrichten als MBOX oder EML, Kontakte als vCard und Termine als ICS. Sinnvoll ist eine Ordnerstruktur, die Ihre bisherigen Labels oder Posteingangsordner widerspiegelt, damit der Import beim neuen Dienst nicht in einer einzigen Sammeldatei landet. Achten Sie auf konsistente Zeichensätze und auf eindeutige Zeitstempel mit Zeitzone. Bei großen Postfächern hilft eine Staffelung nach Jahren oder Ordnern. Wenn eine Direktübermittlung angeboten wird, kann diese den Import beschleunigen; andernfalls ist ein gesicherter Download mit separatem Passwort ein praxistauglicher Weg. Enthalten E-Mails Dritte, sollten deren Daten nur in dem Umfang exportiert werden, der für den Wechsel tatsächlich erforderlich ist.
Fitness-App und Wearables
Wearables erzeugen fortlaufend Messreihen – etwa Herzfrequenz, Aktivitätsminuten, Schlafphasen oder GPS-Tracks. Für die Portabilität sind CSV oder JSON mit klaren Feldbezeichnungen, Einheiten und Zeitstempeln geeignet. Häufig ist es sinnvoll, die Daten in thematische Pakete zu trennen, zum Beispiel Training, Schlaf und Standort. Der Zielanbieter profitiert von einem kurzen Datenwörterbuch, das Samplingraten, Messintervalle und eventuelle Glättungen beschreibt. Bei sensiblen Gesundheitsdaten empfiehlt sich eine zusätzliche Bestätigung Ihrer Identität und ein verschlüsselter Transfer. Falls Ihr neues System bestimmte Schnittstellen erwartet, lohnt ein Export, der Feldnamen und Einheiten daran anlehnt, damit keine unnötigen Umrechnungen entstehen.
Online-Banking und Finanz-Apps
Finanzanwendungen arbeiten mit strukturierten Buchungsdaten. Üblich sind Exporte als CSV; in professionellen Umgebungen kommen auch standardisierte Bankaustauschformate in Betracht. Für einen reibungslosen Import sind eindeutige Spaltenbezeichnungen, ISO-Datumsformate und ein konsistenter Dezimaltrenner wichtig. Bei Verwendungszwecken und Empfängerdaten ist Zurückhaltung angezeigt, wenn Informationen Dritter berührt sind. Manche Dienste ermöglichen wiederkehrende Abrufe über standardisierte Schnittstellen; in anderen Fällen ist ein gestaffelter Export nach Konten, Zeiträumen oder Kategorien praktikabel. Wenn Regeln zur Kategorisierung proprietär sind, lässt sich oft zumindest die Rohbuchung inklusive Kategoriebezeichnung übertragen, damit Sie diese beim Zielanbieter zuordnen können.
Social-Media-Plattformen
In sozialen Netzwerken stehen Beiträge, Fotos, Nachrichten, Kontakte und Interaktionen im Mittelpunkt. Portabel sind vor allem Inhalte, die Sie selbst eingestellt haben, sowie beobachtete Nutzungsdaten wie Verlaufseinträge. Medien sollten in gängigen Formaten bereitgestellt werden, ergänzt um Metadaten wie Upload-Datum, Bildunterschrift oder Alt-Text. Nachrichtenverläufe enthalten regelmäßig Informationen Dritter; eine Teilbereitstellung ohne identifizierende Angaben kann hier die Rechte aller Beteiligten wahren. Für Kontakte ist ein Export mit eindeutigen Kennungen und, soweit zulässig, den von Ihnen gespeicherten Zusatznotizen hilfreich. Wenn eine Direktübermittlung zu einem Zieldienst angeboten wird, kann dies den Wechsel vereinfachen; ansonsten sorgt ein sauber dokumentiertes Archiv mit klaren Unterordnern für einen zügigen Import.
FAQ zum Recht auf Datenübertragbarkeit
Wann darf ein Unternehmen die Herausgabe verweigern?
Eine Verweigerung kommt in Betracht, wenn zentrale Voraussetzungen fehlen oder überwiegende Schutzinteressen betroffen sind. Das betrifft vor allem Fälle, in denen die Verarbeitung nicht auf Ihrer Einwilligung oder einem Vertrag beruht, die Daten nicht automatisiert verarbeitet werden oder Ihre Identität nicht hinreichend feststeht.
Berührt ein Export Rechte und Freiheiten Dritter in erheblichem Umfang, kann eine Teilbereitstellung oder Anonymisierung naheliegen; wenn das nicht möglich ist, wird die Herausgabe begrenzt. Ebenso kann ein Unternehmen den Umfang anpassen, wenn interne Geschäftsgeheimnisse oder Sicherheitskonzepte offenbart würden. Offenkundig exzessive oder wiederholte Anträge dürfen in vertretbarem Rahmen beschränkt oder mit einer angemessenen Gebühr versehen werden. In der Praxis sollte eine Ablehnung stets nachvollziehbar begründet und auf gangbare Alternativen hingewiesen werden.
Welche Datenformate sind „gängig“?
Gängig sind Formate, die breit unterstützt und maschinenlesbar sind. Für tabellarische Daten bietet sich CSV an, für komplexere Strukturen JSON oder XML. Kontakte werden häufig als vCard bereitgestellt, Kalender als ICS, E-Mails als MBOX oder EML. Medieninhalte wie Bilder und Videos finden sich meist in JPEG, PNG oder MP4.
Sinnvoll ist eine einheitliche Zeichenkodierung wie UTF-8, klare Zeitangaben mit Zeitzone und sprechende Feldnamen. Ein ZIP-Archiv erleichtert die Übergabe größerer Datenpakete. Ein kurzes Datenwörterbuch mit Feldbeschreibungen, Datentypen und Beispielen steigert die Interoperabilität. Reine PDF-Dateien eignen sich eher zur Ansicht und selten für einen automatisierten Import. Wo verfügbar, können auch APIs einen strukturierten, wiederkehrenden Abruf ermöglichen.
Was passiert bei sehr großen Datenmengen?
Bei großen Beständen hat sich eine gestaffelte Bereitstellung bewährt, etwa nach Kategorien, Konten oder Zeiträumen. Paginierung und inkrementelle Exporte reduzieren Lastspitzen und erleichtern die Weiterverarbeitung. Kompression in ZIP-Archiven, Prüfsummen zur Integritätskontrolle und eine klare Ordnerlogik sorgen für Stabilität.
Wenn die Zusammenstellung außergewöhnlich komplex ist, kann eine Fristverlängerung in Betracht kommen; dazu sollte das Unternehmen rechtzeitig informieren und Gründe nennen. Praktisch hilft es, den Antrag einzugrenzen, zum Beispiel auf die für den Wechsel wirklich benötigten Datensätze. Für den Transfer bieten sich verschlüsselte Kanäle und zeitlich befristete Download-Links an.
Wie wirkt sich das Recht auf bestehende Verträge aus?
Die Datenübertragbarkeit ändert einen Vertrag nicht automatisch. Laufzeiten, Kündigungsfristen und Vergütungsansprüche bestehen fort, bis sie nach den vertraglichen oder gesetzlichen Regeln beendet werden. Auch Aufbewahrungspflichten können einer sofortigen Löschung beim bisherigen Anbieter entgegenstehen.
Sie können Portabilität mit anderen Betroffenenrechten kombinieren, etwa einer späteren Löschung. Eine Datenübertragung bedeutet zudem keine pauschale Einwilligung zur weiteren Nutzung beim neuen Anbieter; dort gelten die jeweils einschlägigen Rechtsgrundlagen. Lizenz- oder Nutzungsrechte an Inhalten bleiben unberührt, sofern nicht ausdrücklich etwas anderes vereinbart wurde. Für Unternehmen heißt das: Portabilität ermöglichen und gleichzeitig die vertraglichen Beziehungen sauber fortführen oder beenden, je nachdem, was Sie wünschen.
Fazit – Was Sie jetzt konkret tun können
Soforteinstieg für Betroffene
Wenn Sie Ihre Daten mitnehmen möchten, lohnt sich ein klares, fokussiertes Vorgehen. Formulieren Sie Ihr Ziel: Wechseln Sie den Anbieter vollständig oder möchten Sie Daten parallel nutzen? Benennen Sie anschließend die Datenkategorien und einen sinnvollen Zeitraum. Bitten Sie um ein strukturiertes, gängiges und maschinenlesbares Format und wählen Sie den passenden Übermittlungsweg – Download für Sie oder eine Direktübermittlung an den Zielanbieter.
Prüfen Sie kurz die Voraussetzungen: Die Verarbeitung sollte automatisiert sein und auf Einwilligung oder Vertrag beruhen. Legen Sie einfache Identitätsnachweise bei und verweisen Sie auf Art. 20 DSGVO. Wenn Dritte in den Daten vorkommen, kann es hilfreich sein, von vornherein nur die für den Wechsel erforderlichen Inhalte zu verlangen.
Behalten Sie Fristen im Blick und dokumentieren Sie Ihre Korrespondenz. Falls der Export sehr groß ist, kann eine gestaffelte Bereitstellung nach Kategorien oder Zeiträumen vieles erleichtern. Für den sicheren Umgang nach Erhalt empfiehlt sich eine verschlüsselte Ablage und ein kurzer Abgleich, ob das gewünschte Schema und die Feldbezeichnungen für den Import passen.
To-dos für Unternehmen und Verantwortliche
Unternehmen profitieren von belastbaren Standards. Ein zentraler Eingangskanal für Anträge, klare Zuständigkeiten und ein kompaktes Playbook mit Vorlagen für Eingangsbestätigung, Rückfragen, Bereitstellung und begründete Teilablehnungen sorgen für Tempo und Qualität.
Technisch hilfreich sind ein Exportkatalog mit fest definierten Datenkategorien, dokumentierten Schemas und „Datenwörterbuch“ sowie Self-Service-Funktionen im Kundenkonto. Wo es passt, kann eine API den wiederkehrenden Abruf unterstützen. Sicherheit und Nachweisbarkeit stärken Sie mit verifizierter Identitätsprüfung, verschlüsselter Übertragung, Protokollen, Prüfsummen und einer Löschroutine für temporäre Exportdateien.
Schützen Sie Rechte Dritter durch Trennung oder Maskierung und halten Sie interne Bewertungen, Scores und geschützte Logiken aus den Exporten heraus. Eine enge Zusammenarbeit von IT, Produkt, Legal und Compliance erleichtert Entscheidungen zu Format, Umfang und Fristen. Regelmäßige Probeläufe mit Musterexporten und einfache Kennzahlen – etwa durchschnittliche Bearbeitungszeit, Quote vollständiger Exporte, Rückfragequote – zeigen, wo Prozesse angepasst werden sollten. So wird aus einer Pflicht ein sichtbares Qualitätsmerkmal für nutzerorientierte Produkte.
Ansprechpartner
Andere über uns
WEB CHECK SCHUTZ
Gestalten Sie Ihre Internetseite / Ihren Onlineshop rechts- und abmahnsicher.
Erfahren Sie mehr über die Schutzpakete der Anwaltskanzlei Weiß & Partner für die rechtssichere Gestaltung Ihrer Internetpräsenzen.
Cyber-Sicherheit
