Am 25.Mai 2018 läuft die Übergangszeit der DS-GVO ab. Mit in Kraft treten der Verordnung werden personendatenverarbeitende Stellen verpflichtet sein, Betroffenen weitgehende Rechte einzuräumen. Eines der Betroffenenrechte ist das Recht auf Datenübertragbarkeit aus Art.20 DS-GVO. Es wird auch Recht auf Datenportabilität genannt. Dieses Recht stellt ein Novum für das deutsche Datenschutzrecht dar.

Aufgrund der Neuartigkeit der Norm herrscht große Unsicherheit über die Weite des Anwendungsbereichs und Umfang des Pflichtenkatalogs. Es ist daher unerlässlich zu analysieren, inwiefern Art.20 die „hinein projizierten Erwartungen“ erfüllen kann. Unklar ist, ob sich das Recht auf Datenübertragbarkeit lediglich zu einem modifizierten Auskunftsanspruch entwickeln wird, der weniger Daten als Art.15 umfasst und damit kaum praktische Relevanz entfalten wird, oder ob der Verantwortliche zukünftig die Pflicht haben wird, ein Datenpaket zu schnüren, was dem Betroffenen in Umfang und Format das Nutzen neuer Dienste tatsächlich erleichtern wird. Es stellt sich daher in Bezug auf das Recht auf Datenübertragbarkeit die Frage: Amur- oder Papiertiger?

Excerpt

Inhaltsverzeichnis

A) Einleitung

B) Recht auf Datenübertragbarkeit gem. Art.20 DS-GVO

I. Allgemeines

1. Zweck und Bedeutung

2. Systematik

II. Voraussetzungen

1. Persönlicher Anwendungsbereich

a) Verantwortlicher

b) Betroffener

2. Sachlicher Anwendungsbereich

a) Personenbezogene Daten

b) Bereitstellen

c) Verarbeitungsgrundlage und Verarbeitungsverfahren

3. Ausnahmen

a) Öffentlicher Bereich gem. Art.20 III S.2 DS-GVO

b) Rechte und Freiheiten Dritter gem. Art.20 IV DS-GVO

c) Einschränkungen und Ausnahmen außerhalb des Art.20 DS-GVO

4. Zwischenfazit

III. Pflichten

1. Indirekte Übertragung gem. Art.20 I DS-GVO

a) Pflichten des übertragenden Anbieters aus Art.20 DS-GVO

b) Pflichten des übertragenden Anbieters aus Art.20 i.V.m. Art.12 DS-GVO

c) Pflichten des übertragenden Anbieters aus Art.5 DS-GVO

d) Pflichten des aufnehmenden Anbieters

2. Direkte Übertragung gem. Art.20 II DS-GVO

a) Pflichten des übertragenden Anbieters

b) Pflichten des aufnehmenden Anbieters

IV. Strafen bei Pflichtverletzung

C) Praxisbeispiele

I. Student – Universität

II. Nutzer – Musikstreaming-Plattform

III. Nutzer – Google-Account

E) Fazit

Zielsetzung & Themen

Die vorliegende Masterarbeit analysiert die Pflichten, die sich für Anbieter von Software-as-a-Service (SaaS) aus dem Recht auf Datenübertragbarkeit gemäß Art. 20 der Datenschutz-Grundverordnung (DS-GVO) ergeben. Dabei wird insbesondere untersucht, inwieweit die Norm für SaaS-Modelle anwendbar ist und welche operativen Anforderungen an die Datenbereitstellung sowie die Interoperabilität zwischen Systemen gestellt werden.

Anwendungsbereich von Art. 20 DS-GVO bei SaaS-Diensten
Kriterien für personenbezogene Daten und deren "Bereitstellung" durch Nutzer
Umgang mit "Multi-Data-Subject"-Konstellationen und Rechten Dritter
Technische Anforderungen an Datenformate und Übermittlungswege
Pflichten des übertragenden vs. aufnehmenden Verantwortlichen

Auszug aus dem Buch

1. Zweck und Bedeutung

Dem Betroffenen wird mit dem Recht auf Datenübertragbarkeit ermöglicht, seine ihn betreffenden, personenbezogenen Daten vom Verantwortlichen zu erhalten und an einen anderen Verantwortlichen zu übermitteln, sofern sie dem ursprünglichen Verantwortlichen durch den Betroffenen bereitgestellt wurden, die Verarbeitung auf einer Einwilligung oder einem Vertrag beruht und mithilfe automatisierter Verfahren erfolgt (Art.20 I). Als Alternative kann der Betroffene verlangen, die Daten direkt vom ursprünglichen Verantwortlichen an den neuen Verantwortlichen übermitteln zu lassen, sofern das technisch machbar ist (Art.20 II).

Zweck des Rechts auf Datenportabilität ist es, dem Betroffenen eine bessere Kontrollmöglichkeit über seine personenbezogenen Daten zu geben, ErwG 68 S.1. Die Kontrollmöglichkeit ist dabei nicht nur als Mittel zur Feststellung der Richtigkeit der Daten zu verstehen, sondern primär um dem Betroffenen Zugang zu den eigenen Daten zu verschaffen und das eigene Datenpaket „steuern“ zu können. Neben datenschutzrechtlichen Zielen verfolgt das Recht auf Datenübertragbarkeit auch wettbewerbsrechtliche und verbraucherschützende Ziele. Es soll der Wettbewerb zwischen Anbietern gefördert werden, indem Nutzer die Möglichkeit erhalten, problemlos und schnell ihre Daten vom bisherigen Anbieter zu einem konkurrierenden Anbieter übertragen zu können. Die anbieterseitige Neukundengewinnung wird durch den Abbau von sog. Lock-in-Effekten und den vereinfachten Anbieterwechsel für Nutzer erleichtert. Folglich können Monopol- oder Oligopolstellungen geschwächt und der Markt für Wettbewerb geöffnet werden. Lock-in-Effekte entstehen, wenn ein Anbieter umfangreiche Datenmengen vom Nutzer gespeichert hat. Ein Anbieterwechsel unterbleibt, weil die Übertragung der Daten zum neuen Anbieter aufgrund zu hoher sog. Switching Costs unzumutbar ist. Hohe Switching Costs entstehen u.a. durch Inkompatibilität der Dateiformate, Komplexität des Vorgangs oder weil die bloße Datenmenge die manuelle Übertragung zu aufwändig macht. Diese „erzwungene“ Nutzerloyalität soll durch das Recht auf Datenportabilität abgebaut und verhindert werden.

Zusammenfassung der Kapitel

A) Einleitung: Die Einleitung beleuchtet die Neuartigkeit des Rechts auf Datenübertragbarkeit nach Art. 20 DS-GVO und wirft die Frage nach dessen praktischer Relevanz im deutschen Datenschutzrecht auf.

B) Recht auf Datenübertragbarkeit gem. Art.20 DS-GVO: Dieses Kapitel erläutert die dogmatischen Grundlagen, Voraussetzungen (persönlich/sachlich) und die systematische Einordnung des Rechts innerhalb der DS-GVO.

III. Pflichten: Hier werden die konkreten Handlungsanforderungen für übertragende und aufnehmende Verantwortliche bei indirekter und direkter Übertragung analysiert, insbesondere im Hinblick auf Formatanforderungen und technische Machbarkeit.

C) Praxisbeispiele: Anhand konkreter Szenarien (Universität, Musikstreaming, Cloud-Account) wird die Anwendung der zuvor erarbeiteten Kriterien auf komplexe Praxisanforderungen demonstriert.

E) Fazit: Das Fazit fasst die Ergebnisse zusammen und fordert eine durch Rechtsprechung und Gesetzgeber zu konkretisierende Auslegung, um eine einheitliche und praktikable Umsetzung für SaaS-Anbieter zu ermöglichen.

Schlüsselwörter

Datenübertragbarkeit, Art. 20 DS-GVO, Datenportabilität, Software-as-a-Service, SaaS, Cloud Computing, Personenbezogene Daten, Interoperabilität, Lock-in-Effekt, Switching Costs, Datenschutzrecht, Betroffenenrechte, Verantwortlicher, Bereitstellung, Datensouveränität

Häufig gestellte Fragen

Worum geht es in dieser Masterarbeit?

Die Arbeit befasst sich mit dem Recht auf Datenübertragbarkeit (Art. 20 DS-GVO) und dessen Auswirkungen auf Anbieter von Cloud-Diensten, speziell im Bereich Software-as-a-Service (SaaS).

Was sind die zentralen Themenfelder?

Im Fokus stehen die Voraussetzungen für das Recht auf Datenübertragbarkeit, die technische Ausgestaltung des Datenexports sowie das Spannungsfeld zwischen Datenschutz und Wettbewerbsrecht.

Was ist das primäre Ziel der Forschungsfrage?

Es soll geklärt werden, wie Art. 20 DS-GVO bei SaaS-Modellen konkret umgesetzt werden kann und ob die Norm eher zu einem "Papiertiger" verkommt oder tatsächlich die Datensouveränität der Nutzer stärkt.

Welche wissenschaftliche Methode wird verwendet?

Die Arbeit stützt sich auf eine juristische Auslegungsmethode unter Einbeziehung von Gesetzestexten, Erwägungsgründen, Fachkommentaren und aktuellen technischen Anforderungen im Cloud-Computing-Bereich.

Was wird im Hauptteil behandelt?

Der Hauptteil analysiert die Voraussetzungen des Anwendungsbereichs, die Pflichten des übertragenden und aufnehmenden Anbieters bei direkter und indirekter Übertragung sowie die Strafbewehrung bei Verstößen.

Welche Schlüsselwörter charakterisieren die Arbeit?

Zentrale Begriffe sind Datenportabilität, SaaS, Lock-in-Effekte, Interoperabilität, Switching Costs und das Recht auf Datenübertragbarkeit.

Warum sind universitäre Dienste ein problematisches Beispiel?

Staatliche Universitäten unterliegen häufig der Ausnahme für öffentliche Aufgaben, wodurch das Recht auf Datenübertragbarkeit in diesen Fällen oft ausgeschlossen ist, was dem Ziel der Nutzerkontrolle entgegenstehen kann.

Wie unterscheidet die Arbeit zwischen "Inhaltsdaten" und "Nutzungsdaten"?

Inhaltsdaten machen den Kern des Dienstes aus und sind eher als bereitgestellt anzusehen, während Nutzungsdaten (z. B. IP-Adressen) systemseitig entstehen und somit meist nicht unter das Recht auf Datenübertragbarkeit fallen.

Wer haftet bei der Übertragung, wenn Rechte Dritter betroffen sind?

Die Arbeit argumentiert, dass der Anspruchsinhaber (Nutzer) eine Sorgfaltspflicht trifft, bei der Übertragung von Daten, die auch Dritte betreffen, die Rechte dieser Dritten zu wahren.

Excerpt out of 57 pages - scroll top

Details

Title: Datenportabilitäts-Pflichten nach der DS-GVO für Anbieter von "Software-as-a-Service"
Subtitle: Art. 20 DS-GVO
College: Dresden Technical University (Juristische Fakultät)
Course: Datenschutzrecht
Grade: 1,3
Author: Peter Krause (Author)
Publication Year: 2018
Pages: 57
Catalog Number: V433889
ISBN (eBook): 9783668759480
ISBN (Book): 9783668759497
Language: German
Tags: Datenschutzrecht DSGVO GDPR Datenportabilität Datenübertragbarkeit Art.20 DSGVO Datenschutz-Grundverordnung Software as a Service SaaS
Product Safety: GRIN Publishing GmbH

Quote paper: Peter Krause (Author), 2018, Datenportabilitäts-Pflichten nach der DS-GVO für Anbieter von "Software-as-a-Service", Munich, GRIN Verlag, https://www.grin.com/document/433889

Datenportabilitäts-Pflichten nach der DS-GVO für Anbieter von "Software-as-a-Service"

Art. 20 DS-GVO