Skip to content
Rechte & Anfragen calendar_today Aktualisiert: 11. April 2026 schedule 5 Min. Lesezeit

Recht auf Datenportabilitaet: Was Sie Bereitstellen Muessen

Ein Kunde moechte seine Daten in einem Format erhalten, das er zu einem anderen Anbieter mitnehmen kann. Das ist ein Antrag auf Datenportabilitaet. Dieser Artikel erklaert Schritt fuer Schritt, welche Daten Sie liefern muessen, in welchem Format und wann Sie ablehnen duerfen.

summarize Kernaussagen
  • check_circle Datenportabilitaet gilt nur fuer Daten, die die Person selbst bereitgestellt hat, nicht fuer Daten, die Sie abgeleitet oder geschlussfolgert haben
  • check_circle Sie muessen die Daten in einem strukturierten, gaengigen und maschinenlesbaren Format wie CSV oder JSON bereitstellen
  • check_circle Nur Daten, die auf Grundlage einer Einwilligung oder eines Vertrags verarbeitet werden, sind betroffen
  • check_circle Sie haben einen Monat Zeit zu antworten, wie bei allen anderen Betroffenenrechten

Einen Portabilitaetsantrag erkennen

Ein Antrag auf Datenportabilitaet liegt vor, wenn jemand sagt: “Geben Sie mir meine Daten, damit ich sie zu einem anderen Anbieter mitnehmen kann.” Er unterscheidet sich von einem normalen Auskunftsersuchen. Das Ziel ist nicht nur, die Daten einzusehen, sondern sie anderswo wiederzuverwenden.

Der Antrag muss nicht die Worte “Datenportabilitaet” enthalten. Wenn ein Kunde schreibt “Ich moechte meine Daten exportieren” oder “Senden Sie meine Daten an [anderes Unternehmen]”, gilt das als Portabilitaetsantrag.

Schritt 1: Den Antrag registrieren

Wie bei jedem Betroffenenantrag, erfassen Sie ihn sofort:

  • Wer stellt den Antrag
  • Wann haben Sie ihn erhalten (die Einmonatsfrist beginnt jetzt)
  • Ueber welchen Kanal kam er herein
  • Was genau wird verlangt - moechte die Person die Daten selbst erhalten, oder sollen Sie sie direkt an einen anderen Verantwortlichen senden?
description

Vorlage: Antragsregister

Erfassen Sie jeden Antrag in einem Register: wer, wann, was wurde verlangt und wie wurde er bearbeitet.

Vorlage ansehen arrow_forward

Schritt 2: Pruefen, ob Portabilitaet anwendbar ist

Hier wird Portabilitaet spezifisch. Sie gilt nur, wenn alle drei Voraussetzungen erfuellt sind:

  1. Die Daten wurden von der betroffenen Person bereitgestellt. Dies umfasst Daten, die sie aktiv angegeben hat (Name, E-Mail, hochgeladene Dateien) und Daten, die durch ihre Aktivitaet generiert wurden (Kaufhistorie, Nutzungsprotokolle, Standortdaten). Es umfasst nicht Daten, die Sie selbst erstellt haben, wie interne Notizen, Risikobewertungen oder Analysen.

  2. Die Verarbeitung basiert auf Einwilligung oder Vertrag. Wenn Sie die Daten auf Grundlage eines berechtigten Interesses, einer gesetzlichen Verpflichtung oder des oeffentlichen Interesses verarbeiten, gilt die Portabilitaet fuer diese Daten nicht.

  3. Die Verarbeitung erfolgt mithilfe automatisierter Verfahren. Reine Papierakten sind ausgeschlossen, aber in der Praxis ist heute nahezu jede Verarbeitung automatisiert.

Wenn diese Voraussetzungen nicht erfuellt sind, muessen Sie dem Portabilitaetsantrag nicht nachkommen. Moeglicherweise muessen Sie ihn dennoch als normales Auskunftsersuchen behandeln.

Schritt 3: Bestimmen, was aufzunehmen und auszuschliessen ist

Hier kommen die meisten Unternehmen durcheinander. Verwenden Sie diese Tabelle als Orientierung:

DatentypIn Portabilitaet aufnehmen?Warum?
Name, E-Mail, Adresse, vom Kunden angegebenJaVon der betroffenen Person bereitgestellt
Kaufhistorie, BestelldatenJaDurch die Aktivitaet der betroffenen Person generiert
Hochgeladene Fotos oder DokumenteJaVon der betroffenen Person bereitgestellt
Nutzungsprotokolle, KlickverhaltenJaBeobachtete Daten aus ihrer Aktivitaet
Ihre internen Notizen ueber den KundenNeinVon Ihnen erstellt, nicht von der Person bereitgestellt
Bonitaetsscore oder Risikoprofil, das Sie berechnet habenNeinAbgeleitete Daten
Daten, die nur auf Grundlage berechtigter Interessen verarbeitet werdenNeinFalsche Rechtsgrundlage fuer Portabilitaet
Mitarbeiterdaten, die aufgrund gesetzlicher Verpflichtungen verarbeitet werdenNeinFalsche Rechtsgrundlage fuer Portabilitaet

Im Zweifelsfall fragen Sie sich: Stammen diese Daten von der Person, oder haben wir sie erstellt? Wenn Sie sie erstellt haben, gehoeren sie nicht in die Portabilitaetsantwort.

Schritt 4: Die Daten im richtigen Format vorbereiten

Das Format ist das, was Portabilitaet von einem Auskunftsersuchen unterscheidet. Die DSGVO verlangt, dass die Daten:

  • Strukturiert sind - logisch organisiert, kein roher Datenbank-Dump
  • Gaengig sind - ein Format, das andere Unternehmen und Software verarbeiten koennen
  • Maschinenlesbar sind - Software kann sie automatisch verarbeiten

Akzeptable Formate:

  • CSV (am einfachsten und am weitesten verbreitet)
  • JSON (gut fuer strukturierte, verschachtelte Daten)
  • XML (ausfuehrlicher, aber akzeptabel)

Nicht akzeptabel:

  • PDF (nicht maschinenlesbar)
  • Gescannte Dokumente
  • Screenshots

Fuer die meisten kleinen und mittleren Unternehmen ist eine CSV-Datei die beste Wahl. Sie kann in Excel geoeffnet, in andere Systeme importiert und einfach generiert werden.

Schritt 5: Antraege auf direkte Uebertragung pruefen

Die betroffene Person kann verlangen, dass Sie die Daten direkt an einen anderen Verantwortlichen senden - zum Beispiel an einen Wettbewerber. Gemaess Artikel 20(2) muessen Sie dies tun, wenn es technisch machbar ist.

In der Praxis bedeutet “technisch machbar”:

  • Es gibt eine Standard-API oder ein Datenaustauschprotokoll
  • Der empfangende Verantwortliche verfuegt ueber ein System, das die Uebertragung akzeptieren kann

Wenn keine Standardschnittstelle existiert, muessen Sie keine bauen. Informieren Sie die betroffene Person, dass eine direkte Uebertragung technisch nicht machbar ist, und stellen Sie ihr die Daten direkt bereit.

Schritt 6: Die Antwort senden

  • Frist - innerhalb eines Monats nach Eingang des Antrags
  • Verlaengerung - bei komplexen Antraegen koennen Sie die Frist um zwei Monate verlaengern, muessen den Antragsteller aber innerhalb des ersten Monats informieren
  • Kosten - die Bereitstellung der Daten ist kostenlos
  • Sichere Zustellung - verwenden Sie einen sicheren Kanal, insbesondere wenn die Daten sensible Informationen enthalten

Portabilitaet vs. Auskunftsersuchen - wichtige Unterschiede

Auskunftsersuchen (Art. 15)Portabilitaetsantrag (Art. 20)
UmfangAlle personenbezogenen Daten, die Sie verarbeitenNur Daten, die von der betroffenen Person bereitgestellt wurden
RechtsgrundlageGilt unabhaengig von der RechtsgrundlageNur Einwilligung oder Vertrag
FormatJedes lesbare Format (PDF ist in Ordnung)Muss maschinenlesbar sein (CSV, JSON)
Direkte UebertragungNicht anwendbarJa, wenn technisch machbar
Abgeleitete DatenMuessen enthalten seinDuerfen nicht enthalten sein

Wenn Sie einen Portabilitaetsantrag erhalten, pruefen Sie, ob die Person vielleicht auch ein umfassenderes Auskunftsersuchen meint. Manchmal verwenden Kunden den falschen Begriff, moechten aber eigentlich alles sehen, was Sie ueber sie gespeichert haben.

Haeufige Fehler

  • Ein PDF bereitstellen - dies erfuellt nicht die Anforderung des maschinenlesbaren Formats fuer die Portabilitaet
  • Zu viel aufnehmen - Ihre internen Notizen oder Analysen zu einer Portabilitaetsantwort hinzuzufuegen geht ueber das Erforderliche hinaus
  • Zu wenig aufnehmen - Nutzungsdaten oder Transaktionshistorie vergessen, die die Person durch ihre Aktivitaet generiert hat
  • Rechtsgrundlagen verwechseln - pruefen Sie pro Datenkategorie, ob die Verarbeitung auf Einwilligung oder Vertrag basiert, bevor Sie Daten ausschliessen
auto_awesome Seien Sie auf Antraege vorbereitet

GDPRWise erstellt Antwortvorlagen und hilft Ihnen, ein Register aller eingegangenen Antraege zu fuehren.

GW
GDPRWise Redaktion

Dieser Artikel wurde vom GDPRWise-Team verfasst und von unseren Datenschutzexperten geprüft.