Skip to content
Rechte & Anfragen calendar_today Aktualisiert: 11. April 2026 schedule 5 Min. Lesezeit

Recht auf Datenportabilität: Was Sie Bereitstellen Müssen

verified Zuletzt überprüft 11. April 2026 · das GDPRWise Rechtsteam

Ein Kunde möchte seine Daten in einem Format erhalten, das er zu einem anderen Anbieter mitnehmen kann. Das ist ein Antrag auf Datenportabilität. Dieser Artikel erklärt Schritt für Schritt, welche Daten Sie liefern müssen, in welchem Format und wann Sie ablehnen dürfen.

summarize Kernaussagen
  • check_circle Datenportabilität gilt nur für Daten, die die Person selbst bereitgestellt hat, nicht für Daten, die Sie abgeleitet oder geschlussfolgert haben
  • check_circle Sie müssen die Daten in einem strukturierten, gängigen und maschinenlesbaren Format wie CSV oder JSON bereitstellen
  • check_circle Nur Daten, die auf Grundlage einer Einwilligung oder eines Vertrags verarbeitet werden, sind betroffen
  • check_circle Sie haben einen Monat Zeit zu antworten, wie bei allen anderen Betroffenenrechten

Einen Portabilitätsantrag erkennen

Ein Antrag auf Datenportabilität liegt vor, wenn jemand sagt: “Geben Sie mir meine Daten, damit ich sie zu einem anderen Anbieter mitnehmen kann.” Er unterscheidet sich von einem normalen Auskunftsersuchen. Das Ziel ist nicht nur, die Daten einzusehen, sondern sie anderswo wiederzuverwenden.

Der Antrag muss nicht die Worte “Datenportabilität” enthalten. Wenn ein Kunde schreibt “Ich möchte meine Daten exportieren” oder “Senden Sie meine Daten an [anderes Unternehmen]”, gilt das als Portabilitätsantrag.

Schritt 1: Den Antrag registrieren

Wie bei jedem Betroffenenantrag, erfassen Sie ihn sofort:

  • Wer stellt den Antrag
  • Wann haben Sie ihn erhalten (die Einmonatsfrist beginnt jetzt)
  • Über welchen Kanal kam er herein
  • Was genau wird verlangt - möchte die Person die Daten selbst erhalten, oder sollen Sie sie direkt an einen anderen Verantwortlichen senden?
description

Vorlage: Antragsregister

Erfassen Sie jeden Antrag in einem Register: wer, wann, was wurde verlangt und wie wurde er bearbeitet.

Vorlage ansehen arrow_forward

Schritt 2: Prüfen, ob Portabilität anwendbar ist

Hier wird Portabilität spezifisch. Sie gilt nur, wenn alle drei Voraussetzungen erfüllt sind:

  1. Die Daten wurden von der betroffenen Person bereitgestellt. Dies umfasst Daten, die sie aktiv angegeben hat (Name, E-Mail, hochgeladene Dateien) und Daten, die durch ihre Aktivität generiert wurden (Kaufhistorie, Nutzungsprotokolle, Standortdaten). Es umfasst nicht Daten, die Sie selbst erstellt haben, wie interne Notizen, Risikobewertungen oder Analysen.

  2. Die Verarbeitung basiert auf Einwilligung oder Vertrag. Wenn Sie die Daten auf Grundlage eines berechtigten Interesses, einer gesetzlichen Verpflichtung oder des öffentlichen Interesses verarbeiten, gilt die Portabilität für diese Daten nicht.

  3. Die Verarbeitung erfolgt mithilfe automatisierter Verfahren. Reine Papierakten sind ausgeschlossen, aber in der Praxis ist heute nahezu jede Verarbeitung automatisiert.

Wenn diese Voraussetzungen nicht erfüllt sind, müssen Sie dem Portabilitätsantrag nicht nachkommen. Möglicherweise müssen Sie ihn dennoch als normales Auskunftsersuchen behandeln.

Schritt 3: Bestimmen, was aufzunehmen und auszuschließen ist

Hier kommen die meisten Unternehmen durcheinander. Verwenden Sie diese Tabelle als Orientierung:

DatentypIn Portabilität aufnehmen?Warum?
Name, E-Mail, Adresse, vom Kunden angegebenJaVon der betroffenen Person bereitgestellt
Kaufhistorie, BestelldatenJaDurch die Aktivität der betroffenen Person generiert
Hochgeladene Fotos oder DokumenteJaVon der betroffenen Person bereitgestellt
Nutzungsprotokolle, KlickverhaltenJaBeobachtete Daten aus ihrer Aktivität
Ihre internen Notizen über den KundenNeinVon Ihnen erstellt, nicht von der Person bereitgestellt
Bonitätsscore oder Risikoprofil, das Sie berechnet habenNeinAbgeleitete Daten
Daten, die nur auf Grundlage berechtigter Interessen verarbeitet werdenNeinFalsche Rechtsgrundlage für Portabilität
Mitarbeiterdaten, die aufgrund gesetzlicher Verpflichtungen verarbeitet werdenNeinFalsche Rechtsgrundlage für Portabilität

Im Zweifelsfall fragen Sie sich: Stammen diese Daten von der Person, oder haben wir sie erstellt? Wenn Sie sie erstellt haben, gehören sie nicht in die Portabilitätsantwort.

Schritt 4: Die Daten im richtigen Format vorbereiten

Das Format ist das, was Portabilität von einem Auskunftsersuchen unterscheidet. Die DSGVO verlangt, dass die Daten:

  • Strukturiert sind - logisch organisiert, kein roher Datenbank-Dump
  • Gängig sind - ein Format, das andere Unternehmen und Software verarbeiten können
  • Maschinenlesbar sind - Software kann sie automatisch verarbeiten

Akzeptable Formate:

  • CSV (am einfachsten und am weitesten verbreitet)
  • JSON (gut für strukturierte, verschachtelte Daten)
  • XML (ausführlicher, aber akzeptabel)

Nicht akzeptabel:

  • PDF (nicht maschinenlesbar)
  • Gescannte Dokumente
  • Screenshots

Für die meisten kleinen und mittleren Unternehmen ist eine CSV-Datei die beste Wahl. Sie kann in Excel geöffnet, in andere Systeme importiert und einfach generiert werden.

Schritt 5: Anträge auf direkte Übertragung prüfen

Die betroffene Person kann verlangen, dass Sie die Daten direkt an einen anderen Verantwortlichen senden - zum Beispiel an einen Wettbewerber. Gemäß Artikel 20(2) müssen Sie dies tun, wenn es technisch machbar ist.

In der Praxis bedeutet “technisch machbar”:

  • Es gibt eine Standard-API oder ein Datenaustauschprotokoll
  • Der empfangende Verantwortliche verfügt über ein System, das die Übertragung akzeptieren kann

Wenn keine Standardschnittstelle existiert, müssen Sie keine bauen. Informieren Sie die betroffene Person, dass eine direkte Übertragung technisch nicht machbar ist, und stellen Sie ihr die Daten direkt bereit.

Schritt 6: Die Antwort senden

  • Frist - innerhalb eines Monats nach Eingang des Antrags
  • Verlängerung - bei komplexen Anträgen können Sie die Frist um zwei Monate verlängern, müssen den Antragsteller aber innerhalb des ersten Monats informieren
  • Kosten - die Bereitstellung der Daten ist kostenlos
  • Sichere Zustellung - verwenden Sie einen sicheren Kanal, insbesondere wenn die Daten sensible Informationen enthalten

Portabilität vs. Auskunftsersuchen - wichtige Unterschiede

Auskunftsersuchen (Art. 15)Portabilitätsantrag (Art. 20)
UmfangAlle personenbezogenen Daten, die Sie verarbeitenNur Daten, die von der betroffenen Person bereitgestellt wurden
RechtsgrundlageGilt unabhängig von der RechtsgrundlageNur Einwilligung oder Vertrag
FormatJedes lesbare Format (PDF ist in Ordnung)Muss maschinenlesbar sein (CSV, JSON)
Direkte ÜbertragungNicht anwendbarJa, wenn technisch machbar
Abgeleitete DatenMüssen enthalten seinDürfen nicht enthalten sein

Wenn Sie einen Portabilitätsantrag erhalten, prüfen Sie, ob die Person vielleicht auch ein umfassenderes Auskunftsersuchen meint. Manchmal verwenden Kunden den falschen Begriff, möchten aber eigentlich alles sehen, was Sie über sie gespeichert haben.

Häufige Fehler

  • Ein PDF bereitstellen - dies erfüllt nicht die Anforderung des maschinenlesbaren Formats für die Portabilität
  • Zu viel aufnehmen - Ihre internen Notizen oder Analysen zu einer Portabilitätsantwort hinzuzufügen geht über das Erforderliche hinaus
  • Zu wenig aufnehmen - Nutzungsdaten oder Transaktionshistorie vergessen, die die Person durch ihre Aktivität generiert hat
  • Rechtsgrundlagen verwechseln - prüfen Sie pro Datenkategorie, ob die Verarbeitung auf Einwilligung oder Vertrag basiert, bevor Sie Daten ausschließen
auto_awesome Seien Sie auf Anträge vorbereitet

GDPRWise erstellt Antwortvorlagen und hilft Ihnen, ein Register aller eingegangenen Anträge zu führen.

Teilen share LinkedIn mail E-Mail
GW
GDPRWise Redaktion

Dieser Artikel wurde vom GDPRWise-Team verfasst und von unseren Datenschutzexperten geprüft.