Navigation und Service

Direkt zu:

Logo der Stiftung Datenschutz

Eine Plattform für die Datendebatte

Wie können personenbezogene Daten effektiv und effizient geschützt werden? Wie bleibt Innovation trotzdem möglich? Die Bundesstiftung bietet ein Forum für die notwendige Diskussion.

Eine Plattform für die Datendebatte

Wie können personenbezogene Daten effektiv und effizient geschützt werden? Wie bleibt Innovation trotzdem möglich? Die Bundesstiftung bietet ein Forum für die notwendige Diskussion.

Inhalt

Das Recht auf Datenübertragbarkeit

Wenn im Mai 2018 die EU-Datenschutzgrundverordnung in Kraft tritt, hat erstmals jede Person das „Recht, die sie betreffenden personenbezogenen Daten, die sie einem Verantwortlichen bereitgestellt hat, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten“.

Der Artikel 20 soll es für Bürgerinnen und Bürger deutlich vereinfachen, ihre bei dem einen Anbieter gespeicherten Daten zu einem anderen Anbieter zu übertragen. Für die Anbieter von datenverarbeitenden Diensten wird es damit erforderlich, personenbezogene Daten so vorzuhalten, dass diese in einem gängigen Format "mitgenommen" werden können.  

Bislang kommt es noch regelmäßig zu sogenannten "Lock-In"-Effekten: Wenn der Wechsel zu einem anderen Anbieter für Kunden mit erheblichen Kosten oder Behinderungen verbunden ist, verzichten sie oftmals ganz auf den Wechsel, auch wenn ein anderer Anbieter günstigere Konditionen bietet. Mit dem neuen datenschutzrechtlichen Instrument zur Portabilität sollen nun die betroffenen Personen bessere Kontrolle über ihre Daten erhalten. Das neue Recht könnte sich damit auf die Marktsituation auswirken.

Wie dies theoretisch plausible Übertragbarkeit in der Praxis funktionieren wird, ist noch völlig unklar, denn eine vergleichbare Vorgängerregelung gibt es nicht, und - da das Recht auf Datenübertragbarkeit erst mit der Europäischen Datenschutzgrundverordnung im Mai 2018 wirksam wird - auch keine richterliche Rechtsfortbildung.

 

Das Projekt und die Ergebnisse

Die Stiftung Datenschutz erörterte in einem Projekt mögliche Wege zur praktischen Umsetzung des Rechts auf Datenübertragbarkeit. Ziel des Projekts war es, praxisrelevante Vorschläge für die Ausgestaltung der Datenübertragbarkeit zu entwickeln, wie eng oder weit ist das Merkmal des Bereitstellens von Daten zu verstehen ist, auf welche Weise der Transfer eines Datensatzes von einem zum anderen Anbieter erfolgen kann und welche Maßnahmen von den betroffenen Unternehmen für die Umsetzung des Rechts ergriffen werden sollen.

Die Autoren kommen zu dem Schluss, dass den mutmaßlich positiven Auswirkungen der Pflicht zur Übertragbarkeit von Daten durchaus Risiken gegenüberstehen können. Der Gesetzgeber hat gegenüber dem bisherigen Dateninhaber keinen automatischen Anspruch auf Löschung der zu übertragenden Daten vorgesehen. Daher schätzen die Experten, dass die mit der Übertragung der Daten meist einhergehende Vervielfältigung das Schutzniveau der Bürger senken kann und dem Gedanken der Datensparsamkeit zuwiderlaufe.

Da oftmals geeignete Konkurrenten großer Datenunternehmen wie Google oder Facebook fehlten, könne laut Ansicht der Autoren zudem die ursprüngliche Idee der Verordnung leerlaufen, den Wechsel der Anbieter zu erleichtern und Monopole im Digitalmarkt aufzubrechen. Demgegenüber warten gerade auf kleinere und mittlere Unternehmen große Herausforderungen. Die Studie zeigt auf, welche Unterstützung die Wirtschaft bei der Auslegung des neuen EU-Rechts noch benötigt. Beispielsweise sei die Frage, welche Daten von Übertragbarkeit und Übertragung umfasst sein müssen, noch offen. Das schaffe rechtliche Risiken für die Wirtschaft und erhöhten Aufwand.

Lesen Sie hier mehr über die Ergebnisse in der Kurzversion der Studie!

Darüber hinaus bot die Stiftung Datenschutz im Rahmen von Veranstaltungen und Veröffentlichungen allen Beteiligten - Aufsichtsbehörden, die datenverarbeitende Wirtschaft, die Zivilgesellschaft - die Möglichkeit, in eine sachliche Debatte zur möglichen Rechtsanwendung eintreten.

 

 

Gegenstände der Datenübertragbarkeit

Durch den Artikel 20 der Datenschutzgrundverordnung soll die Übertragbarkeit der Daten zwischen verschiedenen Anbietern ermöglicht und die informationelle Selbstbestimmung des Nutzers gestärkt werden. Teil des Projekt soll es sein, hierbei zu untersuchen, ob der Nutzer mehr Kontrolle über seine Daten bekommt, denn im Gesetzestext ist kein automatisierter auf Datenlöschung vorgesehen. Es könnte dazu führen, dass Daten an mehreren Stellen gespeichert werden – und somit zu mehr Datenverlust.

Zur Klarstellung gehören insbesondere folgende Fragen:

  • Wie eng oder weit ist das Merkmal des Bereitstellens von Daten zu verstehen?
  • Ist die Regelung in der Praxis dazu tauglich, ein Mehr an informationellen Selbstbestimmung zu schaffen?
  • In welchem Verhältnis steht die Datenportabilität zu Interoperabilität zwischen verschiedenen Systemen?

Betroffene Branchen

Beim Recht auf Datenübertragbarkeit hatte der Verordnungsgeber vor allem soziale Netzwerke wie Facebook oder Google+ vor Augen. Der Anwendungsbereich des Rechts ist jedoch keinesfalls auf solche Geschäftsmodelle begrenzt. Grundsätzlich betrifft das Recht auf Datenübertragbarkeit alle Branchen.

Für die wirtschaftliche Betrachtung ergaben sich folgende Fragen:

  • Welche Branchen sind überhaupt von Lock-In-Effekten betroffen?
  • Wie wollen diejenigen Branchen Art. 20 DSGVO umsetzen, die nicht von „Lock-In“-Effekten betroffen sind?
  • Welche bereichsspezifischen Herausforderungen ergeben sich für die einzelnen Geschäftsmodelle?
  • Welche Investitionen kommen auf die Wirtschaft zu?

Praktische Umsetzbarkeit

Eine der wesentlichen Herausforderungen bei der Umsetzung der Datenübertragbarkeit besteht in ihrer technischen Realisierbarkeit. Die Art. 29-Datenschutzgruppe der EU-Kommission stellt zwar klar, dass die Daten in einem strukturierten, gängigen und maschinenlesbaren Format zur Verfügung gestellt werden müssen. Wie ein solches Format auszusehen hat und auf welche Standards dabei zurückgegriffen werden soll, bleibt allerdings offen.

In unserer umfassenden Studie beantworten wir folgende Fragen:

  • Was könnte in der Praxis als „gängiges interoperables Format“ gelten?
  • Wie kann die Kompatibilität zwischen verschiedenen Formaten hergestellt werden?
  • Welche konkreten Anforderungen sollen an ein kompatibles Format gestellt werden?
  • Welche Standards sollen bei der Format-Entwicklung herangezogen werden und an wen soll deren Festlegung übertragen werden? 

Hintergrund

Egal ob als Kunde, Nutzer, Teilnehmer, Antragsteller oder Patient – die Bürgerinnen und Bürger geben tagtäglich und fortlaufend Daten an ihre unterschiedlichen Gegenüber und Geschäftspartner. Die Gesamtmenge der Kundendaten wächst und wird zugleich immer mehr ausdifferenziert. So schaut ein Paketdienstleister anders auf den Kunden als ein Call Center, dieses wiederum anders als ein Internetprovider, ein Energieversorger oder ein Autovermieter – ganz zu schweigen von einem sozialen Netzwerk. Hinzu kommt ein weiterer wichtiger Aspekt: Fast alle Dienstleister oder Organisationen ergänzen und vervollständigen Kundendaten mit weiteren Daten, die sich meist auf ihre konkrete Dienstleistung beziehen. Ein Netzbetreiber, Fulfillment-Dienstleister oder Versender baut einen Kunden schon beim ersten ernsthaften Kontakt planerisch in seine Abläufe ein und überprüft Ressourcen, Verfügbarkeiten, Aufwände, mögliche Kosten, Ertragspotential und vieles andere.

Entscheidend für eine zielgerichtete Befriedigung des Bedürfnisses nach Übertragbarkeit von Kundendaten ist eine klare Definition und Abgrenzung der Aufgabe. Der informationstechnische Auftrag zur Auslesung aus den Datenbanksystemen der datenverarbeitenden Stelle muss eindeutig formuliert werden und algorithmisch abbildbar sein. Dies gilt ebenso für einen ggf. gleichzeitig erhobenen Anspruch des Kunden auf Datenlöschung. Mit einer Standardisierung von Abläufen und Formaten und einer festen Implementierung in Datenschutzmanagementsysteme können beide Ziele erreicht werden: Ein verbraucherfreundliches Funktionieren des neuen Übertragbarkeitsrechts und zugleich unternehmensseitige Rechtssicherheit und Gesetzeskonformität. Eine für beide Seiten – Kunde/Nutzer/Datenbürger einerseits, Dienstleister/Plattformbetreiber andererseits – eindeutige, handhabbare und berechenbare Verfahrensregelung erscheint als die beste „Rechtsschutzversicherung“.

Beim Recht auf Datenübertragbarkeit hatte der Verordnungsgeber vor allem soziale Netzwerke und große digitale Plattformen (Facebook, Google+ etc.) vor Augen. Der Anwendungsbereich des Rechts ist jedoch nicht auf solche Strukturen begrenzt, sondern umfasst sämtliche Branchen und Geschäftsmodelle. Die Realisierung des Instruments der Datenübertragbarkeit bringt daher auch etliche bereichsspezifische Herausforderungen mit sich. Laut Art. 20 Abs. 2 DSGVO hat eine Person das Recht „zu erwirken, dass die personenbezogenen Daten direkt von einem Verantwortlichen einem anderen Verantwortlichen übermittelt werden, soweit dies technisch machbar ist.“

Im Erwägungsgrund 68 der Verordnung wird ausgeführt, dass die „Verantwortlichen dazu aufgefordert werden [sollten], interoperable Formate zu entwickeln, die die Datenübertragbarkeit ermöglichen“ und weiterhin, dass dieses Recht für den „Verantwortlichen nicht die Pflicht begründen [sollte], technisch kompatible Datenverarbeitungssysteme zu übernehmen oder beizubehalten“. In ihren im Dezember 2016 erlassenen Leitlinien fordert die Art. 29-Datenschutzgruppe die verantwortlichen Stellen dazu auf, Methoden – z.B. Download-Tools und APIs - zu entwickeln, welche die Datenübertragbarkeit unterstützen. Das Recht auf Datenübertragbarkeit intendiere die Schaffung interoperabler, jedoch nicht zwingend kompatibler Systeme. Eine Präzisierung zu dem Format für die übertragbaren Datensätze und welche Standards dabei verbindlich sein sollen, ist bislang nicht vorhanden.