21.09.2021

Datenportabilität: Wissenswertes zur Datenportabilität bei Anbieterwechsel

Das revidierte Schweizer Datenschutzgesetz statuiert in Art. 28 ein neu geschaffenes Recht auf Datenherausgabe und -übertragung. Damit soll die Verfügungsgewalt von Privatpersonen über ihre Daten gestärkt und ein Wechsel von einem Anbieter zu einem anderen durch das Recht auf Datenübertragung erleichtert werden. Was in rechtlicher und technischer Hinsicht zu beachten ist, zeigt der folgende Artikel.

Von: Urs Freytag   Drucken Teilen  

Urs Freytag

Urs Freytag, lic. iur. HSG, ist selbstständiger Rechtsanwalt und Notar in der Kanzlei factum advocatur, St. Gallen. Er ist spezialisiert auf die Beratung von KMU in den Bereichen Vertrags- und Gesellschaftsrecht, Technisches Recht, Informatikrecht und Datenschutzrecht.

Datenportabilität

Schutzobjekt und Normzweck

Das Recht auf Datenherausgabe und -übertragung beinhaltet im Wesentlichen das Recht einer natürlichen Person, die Herausgabe ihrer personenbezogenen Daten in einem gängigen elektronischen Format zu verlangen. Gleichzeitig muss der bisherige Anbieter (d.h. der datenschutzrechtlich Verantwortliche) die Daten zu einem anderen Anbieter transferieren, wenn dies gewünscht wird. Man spricht daher auch vom Recht auf «Datenportabilität». Vgl. dazu auch Artikel «DSG-Revision: das neue Recht auf Datenportabilität» in Ausgabe 5/2020; das nDSG stand damals noch in der parlamentarischen Beratung).

Dieses neu geschaffene Recht wurde vom Schweizer Gesetzgeber in den groben Zügen aus Art. 20 DSGVO übernommen. Ziel und Schutzzweck der Bestimmung ist es, den Konsumenten die Verfügungsmacht und Kontrolle über ihre Daten zu geben und die Schwelle für einen Anbieterwechsel zu verringern, namentlich weil die Neueingabe sämtlicher Daten entfällt. Insofern dient dieses Recht dem Konsumentenschutz und fördert den Wettbewerb.

Ursprünglich wurde auf europäischer Ebene das Ziel verfolgt, Online-Grosskonzerne und Social-Media-Anbieter wie Facebook zu disziplinieren. Der Anwendungsbereich betrifft jedoch grundsätzlich alle Branchen gleichermassen, d.h. überall dort, wo Daten der User automatisiert bearbeitet werden und ein Datentransfer für die Privatperson einem praktischen Bedürfnis entspricht, ist die Norm relevant. 

Praktische Bedeutung

Was es mit dem neu geschaffenen Recht auf sich hat, lässt sich anschaulich am Beispiel der eigenen Mobiltelefonnummer darstellen: Schon seit Jahrzehnten ist es möglich, beim Wechsel des Mobilfunkanbieters die bisherige Mobiltelefonnummer – rechtlich ein personenbezogenes Datum – mitzunehmen, d.h. auf den neuen Anbieter zu transferieren. Obwohl dieses Recht im aktuell (noch) geltenden Datenschutzgesetz nie verankert war, einigten sich die Mobilfunkanbieter innerhalb der Branche eigenständig auf dieses Vorgehen.

Zu mühsam und umständlich wäre es für die Kunden gewesen, würde sich bei einem Wechsel des Anbieters auch die Telefonnummer ändern. Dies hatten die Anbieter erkannt, was nicht verwundert, da schliesslich auch sie bei der Neuakquise wechselwilliger Kunden von der Regelung profitieren.

Welche Daten fallen unter dieses Recht?

Nicht alle personenbezogenen Daten fallen unter das neue Recht. Gemäss dem Gesetzeswortlaut (siehe Box) sind nur Daten erfasst, welche die betroffene Person dem Verantwortlichen bekannt gegeben hat. Unter eine Bekanntgabe fällt z.B. das Hochladen von Fotos oder Videos auf einer Social-Media-Plattform. Was aber gilt hinsichtlich Daten, welche durch den Anbieter selbst produziert werden wie beispielsweise medizinische Daten im Rahmen einer Behandlung oder die Zuweisung der Mobilfunknummer? Solche Daten, die erst im Laufe der Vertragsbeziehung entstehen, ohne dass diese im eigentlichen Sinne von der Privatperson bekannt gegeben werden, müssen ebenfalls unter die Regelung fallen, andernfalls der Normzweck vereitelt würde (und z.B. die Weitergabe der Mobilfunknummer verweigert werden könnte). Gleichermassen verhält es sich bei medizinischen Daten, die im Laufe einer Behandlung und im Einverständnis mit der Privatperson erhoben werden. Solche Daten müssen bei einem Arzt- oder Spitalwechsel übertragen werden können.

Insofern ist die Bestimmung so zu verstehen, dass die betroffene Person im Rahmen des Vertragsverhältnisses ihr Einverständnis zur Erhebung oder Produktion dieser personenbezogenen Daten gibt, worin gleichzeitig die Bekanntgabe (im rechtlichen Sinn) zu erblicken ist.

Dennoch bleibt weitgehend unklar, wo die Grenze zu ziehen ist zu Daten, welche nicht transferiert werden müssen. Der Gesetzgeber grenzt das Recht lediglich insoweit ein, als dass es sich um Daten handeln muss, welche automatisiert bearbeitet werden und in unmittelbarem Zusammenhang mit dem Abschluss oder der Abwicklung eines Vertrags stehen. Andere Daten, welche diese Voraussetzungen nicht erfüllen, fallen somit nicht unter die Regelung, selbst wenn es sich um personenbezogene Daten handelt.

Was gilt als gängiges elektronisches Format?

Aus Firmensicht dürfte die Frage interessieren, was unter einem «gängigen elektronischen Format» zu verstehen ist. Weder nDSG noch DSGVO enthalten konkrete Angaben. Die DSGVO präzisiert immerhin insoweit, dass es sich um ein strukturiertes, maschinenlesbares und interoperables Format handeln muss. Im Übrigen verhalten sich die Gesetzgeber technologieneutral. Klar erscheint, dass das Format bereits existieren und für jedermann erhältlich sein muss, andernfalls es nicht «gängig» sein kann. Die Daten müssen durch einen anderen Verantwortlichen ohne ins Gewicht fallenden eigenen Aufwand auf automatisierte Weise in die eigene Plattform eingelesen werden können. Files mit der Endung CSV, XML oder JSON gelten beispielsweise als anerkannte Formate.

Keine automatische Löschung

Zu beachten gilt es, dass mit der Wahrnehmung des Rechts auf Datenherausgabe oder Datentransfer keine automatische Löschung der Daten beim bisherigen Anbieter verbunden ist, ebenso wenig wie eine Kündigung eines bestehenden Vertragsverhältnisses. Die Löschung der eigenen personenbezogenen Daten stellt ein separates Recht dar, das auch separat ausgeübt werden muss.

Produkt-Empfehlungen

  • Datenschutz kompakt

    Datenschutz kompakt

    Alles rund um den Datenschutz – Vorlagen, Checklisten und aktuelles Know-how.

    ab CHF 148.00

  • Rechtssicher

    Rechtssicher

    Sicherheit bei Rechtsfragen im Geschäftsalltag

    Mehr Infos

  • IT-Verträge

    IT-Verträge

    Die wichtigsten IT-Verträge nach Schweizer Recht – von Experten geprüft und laufend aktualisiert.

    Mehr Infos

Seminar-Empfehlungen

  • Praxis-Workshop, 1 Tag, ZWB, Zürich

    Datenschutz erfolgreich umsetzen

    Schritt-für-Schritt-Anleitung für die Umsetzung der Datenschutz-Mindestanforderungen

    Nächster Termin: 02. Dezember 2021

    mehr Infos

  • Praxis-Seminar, 1 Tag, ZWB, Zürich

    Auskunfts- und Löschungsbegehren sowie Datenschutzverletzung korrekt abwickeln

    Professionelles und rechtssicheres Vorgehen

    Nächster Termin: 03. Mai 2022

    mehr Infos

  • Praxis-Seminar, 1 Tag, ZWB, Zürich

    Data Protection Officer (DPO) nach revidiertem DSG und DSGVO

    Datenschutz-Anforderungen für Schweizer Unternehmen nach DSG und DSGVO (GDPR) erfolgreich umsetzen

    Nächster Termin: 16. November 2021

    mehr Infos

Um unsere Website laufend zu verbessern, verwenden wir Cookies. Durch die Nutzung dieser Website stimmen Sie der Verwendung von Cookies zu. Mehr Infos