DSGVO: Das Recht auf Datenübertragbarkeit
Bild: @istock.com/Pe3check
Mit dem Recht auf Datenübertragbarkeit haben Anwender die Chance, Cloud-Dienste einfach zu wechseln, da ihre personenbezogenen Daten von einer verantwortlichen Stelle auf die andere übertragen werden können. Wie diese Regelung aber konkret umgesetzt werden soll, steht noch offen.
Ab dem 25.05.2018 gilt die neue EU-Datenschutzgrundverordnung (DSGVO) und damit auch das Recht auf Datenübertragbarkeit. Dieses neue Rechtsinstrument ist in Art. 20 DSGVO normiert und soll dem Betroffenen einen Anspruch geben, seine personenbezogenen Daten von einer verantwortlichen Stelle auf die andere zu übertragen oder übertragen zu lassen. Damit soll erreicht werden, dass der Einzelne eine bessere Kontrolle über seine Daten erhält und dass der Wettbewerb um datenschutzfreundliche Produkte und Dienstleistungen gestärkt wird.
Anwendungsbereich
Die Frage, was unter personenbezogenen Daten zu verstehen ist, die von der betroffenen Person „bereitgestellt wurden“, ist derzeit noch nicht hinreichend geklärt. Es spricht viel dafür, dass dieses Kriterium nicht zu eng auszulegen ist, sondern dass es sich über die wesentlichen Profildaten hinaus auf nahezu alle Informationen erstreckt, die dem Betroffenen zuzuordnen sind.
Bei Einführung des Rechts auf Datenübertragbarkeit hatte der Gesetzgeber insbesondere die Fälle im Sinn, in denen z.B. der Nutzer eines sozialen Netzwerks, eines Film-oder Musikportals, eines Cloud-Anbieters oder von Treue- und Bonuskarten den Anbieter wechseln möchte. Dies kennt man bereits aus der Versicherungs- und Telekommunikationsbranche. Das Recht auf Datenportabilität soll einen noch einfacheren und unkomplizierteren Anbieterwechsel ermöglichen, den heute noch viele Nutzer scheuen (sog. „Lock-in-Effekt“).
Zielerreichung
Ob dieses Ziel erreicht wird, hängt entscheidend davon ab, ob das neue Recht praktikabel und funktional umgesetzt werden kann. In der Theorie soll der Nutzer seine Daten bei einem Anbieter exportieren und bei einem anderen (konkurrierenden) Anbieter importieren können – und das mit möglichst wenigen „Klicks“. In der Realität könnte sich dieses Vorgehen allerdings schwieriger gestalten, da es standardisierte Datensätze und Schnittstellen (AIP’s) voraussetzt, die derzeit noch nicht existieren und überdies in die Programmierung des jeweiligen Anbieters und damit dessen Geschäftsbetrieb eingreifen.
Format der Bereitstellung
Nach Art. 20 I DSGVO hat der Nutzer die Datensätze „in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten.“ Was genau unter einem solchen Format zu verstehen ist, lässt der Gesetzgeber jedoch offen. Nach Erwägungsgrund 68 der DSGVO sollen die Verantwortlichen „dazu aufgefordert werden, interoperable Formate zu entwickeln, die die Datenübertragbarkeit ermöglichen.“
Es wird im Zweifel auf den aktuellen Stand der Technik abzustellen sein, also allgemeine, gängige Standards, die bei modernen Datenbanksystemen häufig Anwendung finden. Wer also die Daten in den gängigen Formaten XML oder CSV übermittelt, erfüllt diese Anforderungen bereits überwiegend. In jedem Fall sollte bei der Datenübertragung der Datensicherheit große Bedeutung zugemessen werden, z.B. per Verschlüsselung.
Überdies muss mithilfe geeigneter Identifizierungsmaßnahmen gewährleistet werden, dass die zu portierenden Daten auch die des tatsächlich Anspruchsberechtigten sind und auch nur an ihn oder den von ihm benannten Empfänger übermittelt werden. Ansonsten liegt immer eine meldepflichtige Datenpanne vor.
Mögliche Umsetzungsstrategien
Es wird unumgänglich sein, dass sich Aufsichtsbehörden, Verbände und Unternehmen zusammen setzen und Standards für die Datenportabilität entwickeln. Dabei empfiehlt sich ein branchenspezifisches Vorgehen, denn typischerweise werden die Nutzer ihre Daten von einem Anbieter zum anderen des gleichen Bereichs übertragen (lassen) wollen. Der Vorteil und auch die Vereinfachung besteht darin, dass Datenarten, Formate und besondere Datenschutzaspekte den speziellen Anforderungen der jeweiligen Branche angepasst werden können.
Weitere Voraussetzungen
Der Nutzer kann sich auf das neue Recht nur berufen, wenn er dem Verantwortlichen seine personenbezogenen Daten auf Grundlage einer Einwilligung zur Verfügung gestellt hat oder die Verarbeitung zur Erfüllung eines Vertrages erforderlich ist.
Desweiteren soll gewährleistet sein, dass die Daten in einer solchen Form herausgegeben werden, dass Betriebsgeheimnisse unberührt bleiben. Alles andere würde zu massiven finanziellen und rechtlichen Risiken führen. Schlussendlich muss die Datenübertragung überhaupt technisch möglich sein, Art. 20 II DSGVO.
Zu beachten ist, dass das Recht auf Datenübertragbarkeit keinen Anspruch auf Löschung der Daten beim ursprünglich Verantwortlichen impliziert.
Fazit
Es ist nicht zu erwarten, dass die Umsetzung des Rechts auf Datenportabilität reibungslos verlaufen wird. Dazu sind die Anforderungen an das Datenmanagement zu hoch. Die neue Vorschrift wird für Unternehmen enorme administrative Änderungen mit sich bringen, sowie sich deutlich auf deren Geschäfts-und Datenverarbeitungsprozesse auswirken. Zudem wird es viele Unternehmen treffen, die sich technologisch nicht auf einem entsprechenden Niveau bewegen.
Es kann aber auch eine Chance für viele Unternehmen sein, mit ihrem (verbesserten) Angebot neue Kunden zu gewinnen.
Insgesamt werden die Betroffenenrechte durch das neue Recht auf Datenübertragbarkeit deutlich gestärkt und der Wettbewerb um datenschutzfreundliche Technologien ist eröffnet.
Dieser Artikel erschien ursprünglich auf Digitales-Wirtschaftswunder.de, dem Themenblog der QSC AG