DSGVO Art. 20 (VO 2016/679) – Recht auf Datenübertragbarkeit (Data Portability)
DSGVO Art. 20 (VO 2016/679) – Recht auf Datenübertragbarkeit (Data Portability)
Kurzantwort
Nach Artikel 20 der Datenschutz-Grundverordnung (DSGVO) hat jede betroffene Person das Recht, die sie betreffenden personenbezogenen Daten, die sie einem Verantwortlichen bereitgestellt hat, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten und an einen anderen Verantwortlichen zu übermitteln – ohne Behinderung durch den bisherigen Verantwortlichen. Das Recht besteht nur, wenn die Verarbeitung auf einer Einwilligung (Art. 6 Abs. 1 lit. a oder Art. 9 Abs. 2 lit. a) oder auf einem Vertrag (Art. 6 Abs. 1 lit. b) beruht und die Verarbeitung automatisiert erfolgt. Soweit technisch machbar, kann die betroffene Person verlangen, dass die Daten direkt von einem Verantwortlichen an einen anderen übermittelt werden (Art. 20 Abs. 2). Der Verantwortliche muss – wie bei allen Betroffenenrechten – innerhalb eines Monats (Art. 12 Abs. 3) und grundsätzlich kostenlos reagieren.
Kernfakten
| Punkt | Wert |
|---|---|
| Rechtsgrundlage | Verordnung (EU) 2016/679, Artikel 20 |
| Anspruchsinhaber | jede natürliche Person, deren Daten verarbeitet werden („betroffene Person") |
| Anspruchsgegner | Verantwortlicher i. S. v. Art. 4 Nr. 7 DSGVO |
| Voraussetzung 1 – Rechtsgrundlage | Einwilligung (Art. 6 Abs. 1 lit. a / Art. 9 Abs. 2 lit. a) oder Vertrag (Art. 6 Abs. 1 lit. b) |
| Voraussetzung 2 – Verarbeitungsart | ausschließlich automatisierte Verarbeitung |
| Voraussetzung 3 – Datenherkunft | von der betroffenen Person bereitgestellte Daten |
| Datenformat | strukturiert, gängig, maschinenlesbar (Art. 20 Abs. 1) |
| Direktübermittlung (Abs. 2) | zwischen Verantwortlichen, soweit technisch machbar |
| Reaktionsfrist (Art. 12 Abs. 3) | 1 Monat ab Eingang des Antrags |
| Fristverlängerung | um bis zu 2 weitere Monate bei Komplexität / Antragsmenge |
| Kosten | grundsätzlich unentgeltlich (Art. 12 Abs. 5) |
| Ausschluss (Abs. 3 S. 2) | Verarbeitung im öffentlichen Interesse / in Ausübung öffentlicher Gewalt |
| Schranke (Abs. 4) | Rechte und Freiheiten anderer Personen dürfen nicht beeinträchtigt werden |
| Verhältnis zum Löschrecht (Abs. 3 S. 1) | Übertragbarkeit lässt Art. 17 (Löschung) unberührt |
| Sanktion bei Verstoß | bis zu 20 Mio. € oder 4 % des weltweiten Jahresumsatzes (Art. 83 Abs. 5 lit. b) |
Geltungsbereich
Das Recht auf Datenübertragbarkeit erfasst nur personenbezogene Daten, die die betroffene Person dem Verantwortlichen selbst bereitgestellt hat. Nach den Leitlinien des Europäischen Datenschutzausschusses (EDSA, vormals Art.-29-Datenschutzgruppe, WP 242 rev.01) zählen dazu sowohl aktiv und wissentlich angegebene Daten (z. B. Name, E-Mail-Adresse, Kontodaten) als auch beobachtete Daten, die durch die Nutzung eines Dienstes oder Geräts anfallen (z. B. Verlaufs-, Standort- oder Aktivitätsdaten, Rohdaten aus Wearables). Nicht erfasst sind hingegen vom Verantwortlichen abgeleitete oder geschlossene Daten (z. B. Scoring-Ergebnisse, Nutzerprofile, Bonitätsbewertungen) – diese entstehen erst durch eigene Verarbeitung des Verantwortlichen und wurden nicht von der Person „bereitgestellt".
Ausgeschlossen ist das Recht ferner, wenn die Verarbeitung zur Wahrnehmung einer Aufgabe erfolgt, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt geschieht (Art. 20 Abs. 3 S. 2). Behörden, die auf dieser Grundlage handeln, unterliegen dem Portabilitätsrecht daher nicht.
Die drei kumulativen Voraussetzungen
Das Recht greift nur, wenn alle drei Bedingungen gleichzeitig erfüllt sind:
- Rechtsgrundlage Einwilligung oder Vertrag – Beruht die Verarbeitung auf einer anderen Grundlage (z. B. berechtigtes Interesse nach Art. 6 Abs. 1 lit. f oder rechtliche Verpflichtung nach lit. c), besteht kein Recht auf Datenübertragbarkeit. Insoweit unterscheidet sich Art. 20 vom weiter reichenden Auskunftsrecht (Art. 15), das unabhängig von der Rechtsgrundlage gilt.
- Automatisierte Verarbeitung – Papierakten und rein manuelle Verarbeitungen sind ausgenommen.
- Bereitgestellte Daten – siehe Abgrenzung im Geltungsbereich.
Format und Direktübermittlung (Art. 20 Abs. 1 und 2)
Die Daten sind in einem strukturierten, gängigen und maschinenlesbaren Format herauszugeben. Die DSGVO nennt kein konkretes Format; der EDSA empfiehlt offene, interoperable Formate (z. B. CSV, JSON, XML) und rät von proprietären, schwer weiterverwendbaren Formaten ab. Ein PDF-Ausdruck genügt in der Regel nicht, weil er nicht ohne Weiteres maschinell weiterverarbeitet werden kann.
Nach Art. 20 Abs. 2 hat die betroffene Person zusätzlich das Recht, zu erwirken, dass die Daten direkt von einem Verantwortlichen an einen anderen übermittelt werden – allerdings nur, soweit dies technisch machbar ist. Eine Pflicht, technisch kompatible Systeme zu schaffen oder zu unterhalten, folgt aus Art. 20 daraus jedoch nicht (Erwägungsgrund 68).
Frist, Form und Kosten
Für die Bearbeitung gelten dieselben Modalitäten wie bei den übrigen Betroffenenrechten: Der Verantwortliche muss unverzüglich, spätestens innerhalb eines Monats nach Eingang des Antrags tätig werden (Art. 12 Abs. 3). Diese Frist kann bei Komplexität oder hoher Antragszahl um bis zu zwei weitere Monate verlängert werden; über die Verlängerung ist die Person innerhalb des ersten Monats mit Gründen zu unterrichten. Die Erfüllung ist grundsätzlich unentgeltlich; nur bei offenkundig unbegründeten oder exzessiven Anträgen darf ein angemessenes Entgelt verlangt werden (Art. 12 Abs. 5). Der Antrag ist formfrei.
Einordnung 2026: DSGVO, Data Act und DMA
Das DSGVO-Portabilitätsrecht wurde ab 2025 durch zwei neue EU-Rechtsakte erheblich flankiert:
- EU Data Act (VO 2023/2854) – seit dem 12. September 2025 vollständig anwendbar. Er dehnt Datenzugang und -portabilität auf vernetzte Produkte (IoT) und auf nicht-personenbezogene Daten aus, verpflichtet zu maschinenlesbarer Bereitstellung und verbietet Anbieter-Lock-ins; für den Cloud-Wechsel gilt eine Wechselfrist von grundsätzlich maximal 30 Tagen.
- Digital Markets Act (DMA, VO 2022/1925) – verpflichtet benannte Gatekeeper nach Art. 6 Abs. 9, Endnutzern eine wirksame Portabilität ihrer Daten einschließlich kontinuierlichen und Echtzeit-Zugangs zu ermöglichen (für gewerbliche Nutzer Art. 6 Abs. 10).
Für private Nutzer bleibt Art. 20 DSGVO die allgemeine Grundlage; Data Act und DMA verschärfen die Anforderungen sektor- bzw. akteursspezifisch.
Häufige Fehler
- Verwechslung mit dem Auskunftsrecht (Art. 15): Art. 20 gilt nur bei Einwilligung/Vertrag und nur für automatisiert verarbeitete, bereitgestellte Daten – das Auskunftsrecht ist deutlich weiter.
- Herausgabe abgeleiteter Daten: Profile, Scores und Bewertungen fallen nicht unter Art. 20.
- PDF statt maschinenlesbarem Format: Ein reiner PDF-Export erfüllt das Formaterfordernis regelmäßig nicht.
- Annahme einer Systemkompatibilitätspflicht: Die Direktübermittlung gilt nur „soweit technisch machbar"; niemand muss dafür neue Schnittstellen bauen.
- Fristversäumnis: Auch beim Portabilitätsrecht läuft die Monatsfrist des Art. 12 Abs. 3 – ein Verstoß kann nach Art. 83 Abs. 5 lit. b DSGVO mit bis zu 20 Mio. € / 4 % des Jahresumsatzes geahndet werden.
Quellen
- Verordnung (EU) 2016/679 – Datenschutz-Grundverordnung, Art. 20, Volltext (EUR-Lex):: https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32016R0679#d1e2606-1-1
- Europäischer Datenschutzausschuss / Art.-29-Datenschutzgruppe – Leitlinien zum Recht auf Datenübertragbarkeit (WP 242 rev.01):: https://ec.europa.eu/newsroom/article29/items/611233
- BfDI – Betroffenenrechte der DSGVO: Recht auf Datenübertragbarkeit (Art. 20 DSGVO):: https://www.bfdi.bund.de/DE/Buerger/Basiswissen/Betroffenenrechte/BetroffenenRechte_node.html
- Verordnung (EU) 2023/2854 (Data Act), Volltext (EUR-Lex):: https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32023R2854
- Verordnung (EU) 2022/1925 (Digital Markets Act), Art. 6, Volltext (EUR-Lex):: https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32022R1925
- dejure.org – Art. 20 DSGVO (Normtext mit Rechtsprechungsnachweisen):: https://dejure.org/gesetze/DSGVO/20.html
Änderungsverlauf
- 2026-07-15: Tote Quellen-URL ersetzt (automatischer Faktencheck, HTTP 200 mit Browser-UA verifiziert). | change_type=source_url_fix field="sources" old="https://www.bfdi.bund.de/DE/Buerger/Inhalte/Allgemein/Betroffenenrechte/Betroffenenrechte-node.html" new="https://www.bfdi.bund.de/DE/Buerger/Basiswissen/Betroffenenrechte/BetroffenenRechte_node.html" reviewed_by="Nexvyra Faktencheck-Bot"
- 2026-07-14: Erstveröffentlichung der Faktenseite; Kernfakten (Voraussetzungen, Format, Frist, Sanktionsrahmen) gegen EUR-Lex (CELEX:32016R0679), EDSA-Leitlinien WP 242 rev.01 und BfDI verifiziert; Einordnung zu Data Act (VO 2023/2854, anwendbar seit 12.09.2025) und DMA (VO 2022/1925) ergänzt. | change_type=initial_publication reviewed_by="Andreas Warkentin" field="topic_lifecycle" new="published"
Stand
- Stand: 2026-07-15
- Gültig ab: 2018-05-25 (Geltungsbeginn der DSGVO)
- Status: aktuell
- Quellenautorität: A (EUR-Lex, EDSA/EDPB, BfDI)
- Lizenz: CC BY 4.0