HR Fachartikel

Sie wollen fachlich in die Tiefe gehen und das möglichst mit geringem Aufwand? Dann nutzen Sie unser für Sie zusammengestelltes HR Magazin. Hier finden Sie mit nur einem Klick Fachartikel zu allen HR relevanten Themen wie Lohn & Gehalt, Talent Management, Employer Branding und vielen mehr. 

 

« Zurück

Datenportabilität gemäß DSGVO: Rechte und Pflichten der Unternehmen

Die EU-Datenschutzgrundverordnung (DSGVO) hat viele Änderungen und auch einige Neuerungen mit sich gebracht. Die sogenannte Datenportabilität zählt zu letzteren: Sie gibt jedem das Recht, die eigenen personenbezogenen Daten von einem Unternehmen zum anderen zu übertragen oder übertragen zu lassen - ob beim Wechsel des Arbeitgebers oder des Telefonanbieters.

Grundlage der Regelung ist Artikel 20 der DSGVO. Darin heißt es, dass betroffene Personen das Recht haben, "die sie betreffenden personenbezogenen Daten, die sie einem Verantwortlichen bereitgestellt haben, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten". Ferner dürfen die Daten an einen anderen Verantwortlichen übermittelt werden. Dies muss ohne Behinderung geschehen. "Die Datenportabilität betrifft aber nur solche Daten, die der Nutzer selbst zur Verfügung gestellt hat und keine sonstigen personenbezogenen Daten", hebt die Service-Agentur Adamicus hervor. Ergebnisse aus unternehmenseigenen Analysen etwa fallen also nicht darunter. Eine Gebühr für die Übertragung darf nur in begründeten Ausnahmefällen erhoben werden.

Mit der Neuregelung sollen etwaige Wechsel von einem Unternehmen zu einem anderen erleichtert und damit der freie Wettbewerb gestärkt werden. In der Vergangenheit kam es in einigen Branchen immer wieder zum sogenannten Lock-in-Effekt: Die Barrieren wurden mitunter so hoch gesetzt, dass auf einen Wechsel verzichtet wurde, weil der Aufwand im Vergleich zum Ertrag zu hoch erschien. Die Datenportabilität betrifft auch HR-relevante Bereiche, denn für einen Arbeitgeberwechsel oder das Bewerberdatenmanagement gelten die Vorgaben der DSGVO ebenso.

Datenportabilität kontra Datenschutz

Ihre Umsetzung ist für Unternehmen leichter gesagt als getan, denn für sie ergeben sich daraus vor allem Pflichten. Darauf weist unter anderem die Kanzlei Schürmann Rosenthal Dreyer hin. Sie müssen der betroffenen Person zunächst einmal die Daten so zur Verfügung stellen, dass diese in andere Systeme "ohne wesentliche Zwischenschritte" eingespeist werden können. Ist es technisch machbar, muss auch die direkte Datenmigration von einem Anbieter zum anderen ermöglicht werden - natürlich verschlüsselt. "Die genauen technischen Anforderungen für das Format der Daten lässt die DSGVO bewusst offen", schreiben die Anwälte. Für Unternehmen, die es bisher versäumt haben, heißt das, dass sie prüfen sollten, ob und inwieweit ihre Dienste unter das Recht auf Datenportabilität fallen. Soweit noch nicht geschehen, sind genutzte Anwendungen um eine Exportfunktion für die Datenportabilität zu erweitern.

Die Kanzlei verweist zudem auf mögliche Konflikte mit dem Recht auf Datensicherheit, das in Artikel 5 DSGVO präzisiert wird. So trägt der Anbieter grundsätzlich auch Verantwortung dafür, dass die Daten beispielsweise gegen eine unbeabsichtigte Offenlegung geschützt sind. Gleichzeitig muss er dafür sorgen, dass die Übertragung der Daten nicht zulasten der Rechte Dritter geht. Dies kann zum Beispiel bei der Übertragung eines E-Mail-Kontos der Fall sein. Das Recht auf Datenübertragbarkeit besteht auch dann nicht, wenn die Verarbeitung der personenbezogenen Daten zur Wahrnehmung öffentlicher Aufgaben erfolgt, erklärt Rechtsanwalt Christian Dürschmied. Ein Hinderungsgrund ist außerdem, wenn eine Übertragung technisch nicht möglich ist.

Die Stiftung Datenschutz kritisiert an der neuen DSGVO-Vorgabe, dass bei der Übertragung der Daten keine automatische Löschung der Daten beim alten Verarbeiter vorgesehen ist, berichtet der Berufsverband der Rechtsjournalisten: "Dies könnte zu einer Vervielfältigung der Daten führen und somit dem Prinzip der Datensparsamkeit entgegenstehen." Betroffene können unter anderem das Recht auf Löschung geltend machen (Artikel 17 DSGVO). Andererseits stellt das Vorgehen sicher, dass die betroffene Person auf Wunsch auch weiterhin die Dienste des alten Verarbeiters in Anspruch nehmen kann. Weitere Implikationen der Umsetzung des Rechts auf Datenportabilität hat die Stiftung in einer ausführlichen Studie dargelegt.

Schnelligkeit ist gefragt

Unternehmen müssen weitere Aspekte beachten: Artikel 13 DSGVO schreibt eine Informationspflicht bei der Erhebung von personenbezogenen Daten bei der betroffenen Person fest. Darunter fällt nach Absatz 2b auch das Recht auf Datenübertragbarkeit. "Dies kann beispielsweise im Rahmen einer Datenschutzerklärung erfolgen", erklärt Rechtsanwalt Matthias Rosa. Artikel 12 DSGVO setzt zudem eine recht enge Frist: Der Anspruch auf Datenübertragbarkeit muss innerhalb eines Monats nach Eingang des Antrags erfüllt sein. In Ausnahmefällen ist eine Verlängerung um weitere zwei Monate möglich, "wenn dies unter Berücksichtigung der Komplexität und der Anzahl von Anträgen erforderlich ist". In diesem Fall muss der Betroffene innerhalb eines Monats über die Verlängerung und die Gründe hierfür informiert werden.

Fazit

Auch wenn die DSGVO vorrangig dem Datenmissbrauch großer amerikanischer Konzerne entgegenwirken sollte, hat sie ebenso weitreichende Auswirkungen auf andere Organisationen und viele ihrer Funktionen. Personaler nehmen eine Querschnittsfunktion im Unternehmen ein und müssen daher besonders Sorge dafür tragen, dass die DSGVO in ihrem Einflussbereich eingehalten wird. Andernfalls drohen Strafen in Höhe bis zu 20 Millionen Euro. In einigen Details hilft allerdings nur, nach bestem Wissen und Gewissen zu handeln: Experten rechnen damit, dass die Auslegung bestimmter, unpräzise formulierter Passagen im Einzelfall erst von Gerichten geklärt wird. Zumindest der von einigen befürchteten Klagewelle wegen DSGVO-Verstößen soll schnell Einhalt geboten werden: Die große Koalition einigte sich auf Gegenmaßnahmen.

Dieser Beitrag wurde erstellt von David Schahinian.

Durchschnitt (0 Stimmen)
Die durchschnittliche Bewertung ist 0.0 von max. 5 Sternen.