---
title: DSGVO Art. 20 (VO 2016/679) – Recht auf Datenübertragbarkeit (Data Portability)
slug: dsgvo-datenuebertragbarkeit-art-20
topic: datenschutz
valid_from: 2018-05-25
valid_to: null
last_reviewed: 2026-07-15
status: aktuell
authority_level: A
license: CC-BY-4.0
url: https://nexvyra.de/fakten/dsgvo-datenuebertragbarkeit-art-20.md
wikidata_subjects: [Q1172506, Q60520997]
factcheck_status: ok
legal_status: in_force
---

# DSGVO Art. 20 (VO 2016/679) – Recht auf Datenübertragbarkeit (Data Portability)

## Kurzantwort

Nach Artikel 20 der Datenschutz-Grundverordnung (DSGVO) hat jede betroffene Person das Recht, die sie betreffenden personenbezogenen Daten, die sie einem Verantwortlichen **bereitgestellt** hat, in einem **strukturierten, gängigen und maschinenlesbaren Format** zu erhalten und an einen anderen Verantwortlichen zu übermitteln – ohne Behinderung durch den bisherigen Verantwortlichen. Das Recht besteht **nur**, wenn die Verarbeitung auf einer **Einwilligung** (Art. 6 Abs. 1 lit. a oder Art. 9 Abs. 2 lit. a) oder auf einem **Vertrag** (Art. 6 Abs. 1 lit. b) beruht **und** die Verarbeitung **automatisiert** erfolgt. Soweit technisch machbar, kann die betroffene Person verlangen, dass die Daten **direkt** von einem Verantwortlichen an einen anderen übermittelt werden (Art. 20 Abs. 2). Der Verantwortliche muss – wie bei allen Betroffenenrechten – **innerhalb eines Monats** (Art. 12 Abs. 3) und grundsätzlich **kostenlos** reagieren.

## Kernfakten

| Punkt | Wert |
|---|---|
| Rechtsgrundlage | Verordnung (EU) 2016/679, Artikel 20 |
| Anspruchsinhaber | jede natürliche Person, deren Daten verarbeitet werden („betroffene Person") |
| Anspruchsgegner | Verantwortlicher i. S. v. Art. 4 Nr. 7 DSGVO |
| Voraussetzung 1 – Rechtsgrundlage | Einwilligung (Art. 6 Abs. 1 lit. a / Art. 9 Abs. 2 lit. a) **oder** Vertrag (Art. 6 Abs. 1 lit. b) |
| Voraussetzung 2 – Verarbeitungsart | ausschließlich **automatisierte** Verarbeitung |
| Voraussetzung 3 – Datenherkunft | von der betroffenen Person **bereitgestellte** Daten |
| Datenformat | strukturiert, gängig, maschinenlesbar (Art. 20 Abs. 1) |
| Direktübermittlung (Abs. 2) | zwischen Verantwortlichen, **soweit technisch machbar** |
| Reaktionsfrist (Art. 12 Abs. 3) | 1 Monat ab Eingang des Antrags |
| Fristverlängerung | um bis zu 2 weitere Monate bei Komplexität / Antragsmenge |
| Kosten | grundsätzlich unentgeltlich (Art. 12 Abs. 5) |
| Ausschluss (Abs. 3 S. 2) | Verarbeitung im öffentlichen Interesse / in Ausübung öffentlicher Gewalt |
| Schranke (Abs. 4) | Rechte und Freiheiten anderer Personen dürfen nicht beeinträchtigt werden |
| Verhältnis zum Löschrecht (Abs. 3 S. 1) | Übertragbarkeit lässt Art. 17 (Löschung) unberührt |
| Sanktion bei Verstoß | bis zu 20 Mio. € oder 4 % des weltweiten Jahresumsatzes (Art. 83 Abs. 5 lit. b) |

## Geltungsbereich

Das Recht auf Datenübertragbarkeit erfasst nur personenbezogene Daten, die die betroffene Person dem Verantwortlichen **selbst bereitgestellt** hat. Nach den Leitlinien des Europäischen Datenschutzausschusses (EDSA, vormals Art.-29-Datenschutzgruppe, WP 242 rev.01) zählen dazu sowohl **aktiv und wissentlich angegebene Daten** (z. B. Name, E-Mail-Adresse, Kontodaten) als auch **beobachtete Daten**, die durch die Nutzung eines Dienstes oder Geräts anfallen (z. B. Verlaufs-, Standort- oder Aktivitätsdaten, Rohdaten aus Wearables). **Nicht** erfasst sind hingegen vom Verantwortlichen **abgeleitete oder geschlossene Daten** (z. B. Scoring-Ergebnisse, Nutzerprofile, Bonitätsbewertungen) – diese entstehen erst durch eigene Verarbeitung des Verantwortlichen und wurden nicht von der Person „bereitgestellt".

Ausgeschlossen ist das Recht ferner, wenn die Verarbeitung zur Wahrnehmung einer Aufgabe erfolgt, die im **öffentlichen Interesse** liegt oder in Ausübung **öffentlicher Gewalt** geschieht (Art. 20 Abs. 3 S. 2). Behörden, die auf dieser Grundlage handeln, unterliegen dem Portabilitätsrecht daher nicht.

## Die drei kumulativen Voraussetzungen

Das Recht greift nur, wenn **alle drei** Bedingungen gleichzeitig erfüllt sind:

1. **Rechtsgrundlage Einwilligung oder Vertrag** – Beruht die Verarbeitung auf einer anderen Grundlage (z. B. berechtigtes Interesse nach Art. 6 Abs. 1 lit. f oder rechtliche Verpflichtung nach lit. c), besteht **kein** Recht auf Datenübertragbarkeit. Insoweit unterscheidet sich Art. 20 vom weiter reichenden Auskunftsrecht (Art. 15), das unabhängig von der Rechtsgrundlage gilt.
2. **Automatisierte Verarbeitung** – Papierakten und rein manuelle Verarbeitungen sind ausgenommen.
3. **Bereitgestellte Daten** – siehe Abgrenzung im Geltungsbereich.

## Format und Direktübermittlung (Art. 20 Abs. 1 und 2)

Die Daten sind in einem **strukturierten, gängigen und maschinenlesbaren Format** herauszugeben. Die DSGVO nennt kein konkretes Format; der EDSA empfiehlt offene, interoperable Formate (z. B. CSV, JSON, XML) und rät von proprietären, schwer weiterverwendbaren Formaten ab. Ein PDF-Ausdruck genügt in der Regel **nicht**, weil er nicht ohne Weiteres maschinell weiterverarbeitet werden kann.

Nach Art. 20 Abs. 2 hat die betroffene Person zusätzlich das Recht, zu erwirken, dass die Daten **direkt von einem Verantwortlichen an einen anderen** übermittelt werden – allerdings nur, **soweit dies technisch machbar** ist. Eine Pflicht, technisch kompatible Systeme zu schaffen oder zu unterhalten, folgt aus Art. 20 daraus jedoch nicht (Erwägungsgrund 68).

## Frist, Form und Kosten

Für die Bearbeitung gelten dieselben Modalitäten wie bei den übrigen Betroffenenrechten: Der Verantwortliche muss **unverzüglich, spätestens innerhalb eines Monats** nach Eingang des Antrags tätig werden (Art. 12 Abs. 3). Diese Frist kann bei Komplexität oder hoher Antragszahl **um bis zu zwei weitere Monate** verlängert werden; über die Verlängerung ist die Person innerhalb des ersten Monats mit Gründen zu unterrichten. Die Erfüllung ist **grundsätzlich unentgeltlich**; nur bei offenkundig unbegründeten oder exzessiven Anträgen darf ein angemessenes Entgelt verlangt werden (Art. 12 Abs. 5). Der Antrag ist formfrei.

## Einordnung 2026: DSGVO, Data Act und DMA

Das DSGVO-Portabilitätsrecht wurde ab 2025 durch zwei neue EU-Rechtsakte erheblich flankiert:

- **EU Data Act (VO 2023/2854)** – seit dem **12. September 2025** vollständig anwendbar. Er dehnt Datenzugang und -portabilität auf **vernetzte Produkte (IoT)** und auf **nicht-personenbezogene** Daten aus, verpflichtet zu maschinenlesbarer Bereitstellung und verbietet Anbieter-Lock-ins; für den **Cloud-Wechsel** gilt eine Wechselfrist von grundsätzlich **maximal 30 Tagen**.
- **Digital Markets Act (DMA, VO 2022/1925)** – verpflichtet benannte **Gatekeeper** nach Art. 6 Abs. 9, Endnutzern eine **wirksame Portabilität** ihrer Daten einschließlich **kontinuierlichen und Echtzeit-Zugangs** zu ermöglichen (für gewerbliche Nutzer Art. 6 Abs. 10).

Für private Nutzer bleibt Art. 20 DSGVO die **allgemeine** Grundlage; Data Act und DMA verschärfen die Anforderungen sektor- bzw. akteursspezifisch.

## Häufige Fehler

- **Verwechslung mit dem Auskunftsrecht (Art. 15):** Art. 20 gilt nur bei Einwilligung/Vertrag und nur für automatisiert verarbeitete, bereitgestellte Daten – das Auskunftsrecht ist deutlich weiter.
- **Herausgabe abgeleiteter Daten:** Profile, Scores und Bewertungen fallen **nicht** unter Art. 20.
- **PDF statt maschinenlesbarem Format:** Ein reiner PDF-Export erfüllt das Format­erfordernis regelmäßig nicht.
- **Annahme einer Systemkompatibilitätspflicht:** Die Direktübermittlung gilt nur „soweit technisch machbar"; niemand muss dafür neue Schnittstellen bauen.
- **Fristversäumnis:** Auch beim Portabilitätsrecht läuft die Monatsfrist des Art. 12 Abs. 3 – ein Verstoß kann nach Art. 83 Abs. 5 lit. b DSGVO mit bis zu 20 Mio. € / 4 % des Jahresumsatzes geahndet werden.

## Quellen

- Verordnung (EU) 2016/679 – Datenschutz-Grundverordnung, Art. 20, Volltext (EUR-Lex):
  https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32016R0679#d1e2606-1-1
- Europäischer Datenschutzausschuss / Art.-29-Datenschutzgruppe – Leitlinien zum Recht auf Datenübertragbarkeit (WP 242 rev.01):
  https://ec.europa.eu/newsroom/article29/items/611233
- BfDI – Betroffenenrechte der DSGVO: Recht auf Datenübertragbarkeit (Art. 20 DSGVO):
  https://www.bfdi.bund.de/DE/Buerger/Basiswissen/Betroffenenrechte/BetroffenenRechte_node.html
- Verordnung (EU) 2023/2854 (Data Act), Volltext (EUR-Lex):
  https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32023R2854
- Verordnung (EU) 2022/1925 (Digital Markets Act), Art. 6, Volltext (EUR-Lex):
  https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32022R1925
- dejure.org – Art. 20 DSGVO (Normtext mit Rechtsprechungsnachweisen):
  https://dejure.org/gesetze/DSGVO/20.html

## Änderungsverlauf

- 2026-07-15: Tote Quellen-URL ersetzt (automatischer Faktencheck, HTTP 200 mit Browser-UA verifiziert). | change_type=source_url_fix field="sources" old="https://www.bfdi.bund.de/DE/Buerger/Inhalte/Allgemein/Betroffenenrechte/Betroffenenrechte-node.html" new="https://www.bfdi.bund.de/DE/Buerger/Basiswissen/Betroffenenrechte/BetroffenenRechte_node.html" reviewed_by="Nexvyra Faktencheck-Bot"
- 2026-07-14: Erstveröffentlichung der Faktenseite; Kernfakten (Voraussetzungen, Format, Frist, Sanktionsrahmen) gegen EUR-Lex (CELEX:32016R0679), EDSA-Leitlinien WP 242 rev.01 und BfDI verifiziert; Einordnung zu Data Act (VO 2023/2854, anwendbar seit 12.09.2025) und DMA (VO 2022/1925) ergänzt. | change_type=initial_publication reviewed_by="Andreas Warkentin" field="topic_lifecycle" new="published"

## Stand

- Stand: 2026-07-15
- Gültig ab: 2018-05-25 (Geltungsbeginn der DSGVO)
- Status: aktuell
- Quellenautorität: A (EUR-Lex, EDSA/EDPB, BfDI)
- Lizenz: CC BY 4.0
