Nexvyra

DSGVO Art. 20 (VO 2016/679) – Recht auf Datenübertragbarkeit (Data Portability)

DSGVO Art. 20 (VO 2016/679) – Recht auf Datenübertragbarkeit (Data Portability)

Kurzantwort

Nach Artikel 20 der Datenschutz-Grundverordnung (DSGVO) hat jede betroffene Person das Recht, die sie betreffenden personenbezogenen Daten, die sie einem Verantwortlichen bereitgestellt hat, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten und an einen anderen Verantwortlichen zu übermitteln – ohne Behinderung durch den bisherigen Verantwortlichen. Das Recht besteht nur, wenn die Verarbeitung auf einer Einwilligung (Art. 6 Abs. 1 lit. a oder Art. 9 Abs. 2 lit. a) oder auf einem Vertrag (Art. 6 Abs. 1 lit. b) beruht und die Verarbeitung automatisiert erfolgt. Soweit technisch machbar, kann die betroffene Person verlangen, dass die Daten direkt von einem Verantwortlichen an einen anderen übermittelt werden (Art. 20 Abs. 2). Der Verantwortliche muss – wie bei allen Betroffenenrechten – innerhalb eines Monats (Art. 12 Abs. 3) und grundsätzlich kostenlos reagieren.

Kernfakten

PunktWert
RechtsgrundlageVerordnung (EU) 2016/679, Artikel 20
Anspruchsinhaberjede natürliche Person, deren Daten verarbeitet werden („betroffene Person")
AnspruchsgegnerVerantwortlicher i. S. v. Art. 4 Nr. 7 DSGVO
Voraussetzung 1 – RechtsgrundlageEinwilligung (Art. 6 Abs. 1 lit. a / Art. 9 Abs. 2 lit. a) oder Vertrag (Art. 6 Abs. 1 lit. b)
Voraussetzung 2 – Verarbeitungsartausschließlich automatisierte Verarbeitung
Voraussetzung 3 – Datenherkunftvon der betroffenen Person bereitgestellte Daten
Datenformatstrukturiert, gängig, maschinenlesbar (Art. 20 Abs. 1)
Direktübermittlung (Abs. 2)zwischen Verantwortlichen, soweit technisch machbar
Reaktionsfrist (Art. 12 Abs. 3)1 Monat ab Eingang des Antrags
Fristverlängerungum bis zu 2 weitere Monate bei Komplexität / Antragsmenge
Kostengrundsätzlich unentgeltlich (Art. 12 Abs. 5)
Ausschluss (Abs. 3 S. 2)Verarbeitung im öffentlichen Interesse / in Ausübung öffentlicher Gewalt
Schranke (Abs. 4)Rechte und Freiheiten anderer Personen dürfen nicht beeinträchtigt werden
Verhältnis zum Löschrecht (Abs. 3 S. 1)Übertragbarkeit lässt Art. 17 (Löschung) unberührt
Sanktion bei Verstoßbis zu 20 Mio. € oder 4 % des weltweiten Jahresumsatzes (Art. 83 Abs. 5 lit. b)

Geltungsbereich

Das Recht auf Datenübertragbarkeit erfasst nur personenbezogene Daten, die die betroffene Person dem Verantwortlichen selbst bereitgestellt hat. Nach den Leitlinien des Europäischen Datenschutzausschusses (EDSA, vormals Art.-29-Datenschutzgruppe, WP 242 rev.01) zählen dazu sowohl aktiv und wissentlich angegebene Daten (z. B. Name, E-Mail-Adresse, Kontodaten) als auch beobachtete Daten, die durch die Nutzung eines Dienstes oder Geräts anfallen (z. B. Verlaufs-, Standort- oder Aktivitätsdaten, Rohdaten aus Wearables). Nicht erfasst sind hingegen vom Verantwortlichen abgeleitete oder geschlossene Daten (z. B. Scoring-Ergebnisse, Nutzerprofile, Bonitätsbewertungen) – diese entstehen erst durch eigene Verarbeitung des Verantwortlichen und wurden nicht von der Person „bereitgestellt".

Ausgeschlossen ist das Recht ferner, wenn die Verarbeitung zur Wahrnehmung einer Aufgabe erfolgt, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt geschieht (Art. 20 Abs. 3 S. 2). Behörden, die auf dieser Grundlage handeln, unterliegen dem Portabilitätsrecht daher nicht.

Die drei kumulativen Voraussetzungen

Das Recht greift nur, wenn alle drei Bedingungen gleichzeitig erfüllt sind:

  1. Rechtsgrundlage Einwilligung oder Vertrag – Beruht die Verarbeitung auf einer anderen Grundlage (z. B. berechtigtes Interesse nach Art. 6 Abs. 1 lit. f oder rechtliche Verpflichtung nach lit. c), besteht kein Recht auf Datenübertragbarkeit. Insoweit unterscheidet sich Art. 20 vom weiter reichenden Auskunftsrecht (Art. 15), das unabhängig von der Rechtsgrundlage gilt.
  2. Automatisierte Verarbeitung – Papierakten und rein manuelle Verarbeitungen sind ausgenommen.
  3. Bereitgestellte Daten – siehe Abgrenzung im Geltungsbereich.

Format und Direktübermittlung (Art. 20 Abs. 1 und 2)

Die Daten sind in einem strukturierten, gängigen und maschinenlesbaren Format herauszugeben. Die DSGVO nennt kein konkretes Format; der EDSA empfiehlt offene, interoperable Formate (z. B. CSV, JSON, XML) und rät von proprietären, schwer weiterverwendbaren Formaten ab. Ein PDF-Ausdruck genügt in der Regel nicht, weil er nicht ohne Weiteres maschinell weiterverarbeitet werden kann.

Nach Art. 20 Abs. 2 hat die betroffene Person zusätzlich das Recht, zu erwirken, dass die Daten direkt von einem Verantwortlichen an einen anderen übermittelt werden – allerdings nur, soweit dies technisch machbar ist. Eine Pflicht, technisch kompatible Systeme zu schaffen oder zu unterhalten, folgt aus Art. 20 daraus jedoch nicht (Erwägungsgrund 68).

Frist, Form und Kosten

Für die Bearbeitung gelten dieselben Modalitäten wie bei den übrigen Betroffenenrechten: Der Verantwortliche muss unverzüglich, spätestens innerhalb eines Monats nach Eingang des Antrags tätig werden (Art. 12 Abs. 3). Diese Frist kann bei Komplexität oder hoher Antragszahl um bis zu zwei weitere Monate verlängert werden; über die Verlängerung ist die Person innerhalb des ersten Monats mit Gründen zu unterrichten. Die Erfüllung ist grundsätzlich unentgeltlich; nur bei offenkundig unbegründeten oder exzessiven Anträgen darf ein angemessenes Entgelt verlangt werden (Art. 12 Abs. 5). Der Antrag ist formfrei.

Einordnung 2026: DSGVO, Data Act und DMA

Das DSGVO-Portabilitätsrecht wurde ab 2025 durch zwei neue EU-Rechtsakte erheblich flankiert:

Für private Nutzer bleibt Art. 20 DSGVO die allgemeine Grundlage; Data Act und DMA verschärfen die Anforderungen sektor- bzw. akteursspezifisch.

Häufige Fehler

Quellen

Änderungsverlauf

Stand