Die bevorstehende Datenschutz-Grundverordnung hält einige Neuerungen parat. Zu den meistdiskutiertesten Vorschriften zählt das in Art. 20 DSGVO normierte „Recht auf Datenübertragbarkeit“. Dieses neue Instrument soll dem Einzelnen einen Anspruch bieten, seine personenbezogenen Daten von einer verantwortlichen Stelle auf die andere zu übertragen. Bei der Gestaltung hatte der Gesetzgeber den Schutz des freien Verkehrs personenbezogener Daten und der besseren Kontrolle über die eigenen Daten vor Augen.
In der Theorie soll der Nutzer seine Profildaten bei einem Dienst exportieren und bei einem vergleichbaren Dienst importieren können. Und das mit wenigen Klicks. In der Praxis dürfte sich dieses Vorgehen schwieriger gestalten, denn es werden standardisierte Datensätze und Schnittstellen (APIs) vorausgesetzt. Diese existieren derzeit weitestgehend noch nicht, zumal solche in die Programmierung des jeweiligen Anbieters und folglich in dessen Geschäftsbetrieb eingreifen.
Nicht zu Letzt müssen also die Unternehmen mitspielen und die erforderlichen Voraussetzungen schaffen. Allerdings möchten diese ungern ihre Nutzer (mit samt den wertvollen Daten) an die Konkurrenz verlieren. Auch ein (externer) Einblick in die im Hintergrund ablaufenden Prozesse wird nur selten gewollt sein. Dies könnte sich zum Nadelöhr für das Recht auf Datenübertragbarkeit entwickeln.
Welche Stellen sind angesprochen?
Der Gesetzgeber hatte (ursprünglich) offenbar vor allem Facebook im Visier. Im finalen Verordnungstext gilt nunmehr als der „Verantwortliche“, derjenige, der im Sinne der DSGVO personenbezogene Daten mithilfe von automatisierter Verfahren verarbeitet. Das kann praktisch jeder sein. Unter Hinzuziehung der Erwägungsgründe lässt sich allenfalls eine negative Abgrenzung vornehmen: Es sind keine verantwortlichen Stellen gemeint, die die personenbezogenen Daten „in Erfüllung ihrer öffentlichen Aufgabe verarbeiten“.
Die europäischen Datenschützer befürworten ein weites Anwendungsfeld. So sieht die Art.-29-Gruppe der europäischen Datenschutzbeauftragen in einer ersten Stellungnahme vom 13.12. 2016 (WP 242) sogar Anbieter von Fitnesstrackern, Stromzählern, Suchmaschinen oder Versicherungen wie auch Banken, Businessportale und Online-Shops als Adressat der Vorschrift an. Dies erscheint auch plausibel, sind diese privatwirtschaftlichen Anbieter im elektronischen Rechtsverkehr immer mehr an der Erhebung von personenbezogenen Daten und eventuell sogar dessen Auswertung interessiert. Für viele ist es gar ein weiterer Geschäftszweig.
Was für Daten sind erfasst?
Das Gesetz bezieht sich allgemein auf die dem Einzelnen „betreffenden personenbezogenen Daten“. Das Datenpaket lässt sich also nicht auf wesentliche Profildaten (z.B. Name, Alter, Wohnort, E-Mail-Adresse, Foto) beschränken, sondern dürfte angesichts des weiten Verständnisses dieser Begrifflichkeiten nahezu alle Informationen enthalten, die dem Betroffenen zuzuschreiben sind.
Die Art.-29-Gruppe bezieht sogar in ihrer Stellungnahme (WP 242) die Meta- und Rohdaten mit ein, die insbesondere bei der Kommunikation sehr viel über den Nutzer verraten können (Es könnten z.B. Daten zum Standort und Gesprächspartner enthalten sein).
Vor diesem Hintergrund verstehen sich die Forderungen, dass neben Nutzern von klassischen Portalen auch Kunden von Online-Shops oder vernetzten Geräten (Internet der Dinge) ihre durch den Anbieter gesammelten Daten in einem konkurrierenden Dienst einführen können. Aber auch der verbraucherfreundliche Wechsel des Stromanbieters kann hiermit begünstigt werden.
Dies alles gilt – dem Wortlaut der Norm nach – nur solange die Verarbeitung mithilfe automatisierter Verfahren erfolgt. Aber ist das nicht im heutigen EDV-Zeitalter nahezu immer der Fall?
Export/Import von Daten: In welchem Format?
Der Einzelne hat diese Datensätze nach Art. 20 Abs. 1 DSGVO „in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten“. Offen bleibt die Frage, ob dies nun die Etablierung von Standards oder sogar den Zwang zur Datenkompatibilität vergleichbarer Dienste bedeutet?
Eine eindeutige Datenkomptabilität wird nicht gefordert, wie Satz 7 vom Erwägungsgrund 68 klarstellt: „Das Recht der betroffenen Person [..] sollte für den Verantwortlichen nicht die Pflicht begründen, technisch kompatible Datenverarbeitungssysteme zu übernehmen oder beizubehalten.“
Vielmehr sollten die Akteure nur „dazu aufgefordert werden, interoperable Formate zu entwickeln, die die Datenübertragbarkeit ermöglichen.“ (Satz 2 vom Erwägungsgrund 68). Dies spricht für allgemeine, gängig Standards, die bei modernen Datenbankensystemen häufig Anwendung finden (wie z.B. die Datenbankensprache SQL). Natürlich besteht noch eine Übergangszeit. Die europäischen Datenschützer geben den Verantwortlichen allerdings jetzt schon die Aufgabe mit auf dem Weg, geeignete Programmierschnittstellen und Werkzeuge zu entwickeln, um zeitnah kompatible Systeme zu etablieren. Es bleibt offen, inwieweit eine Anpassung technisch in naher Zukunft überhaupt umzusetzen sein wird.
Weitere Voraussetzungen
Ferner kann sich der Betroffene auf dieses neue Recht nur berufen, wenn er dem Verantwortlichen seine personenbezogenen Daten auf Grundlage einer Einwilligung zur Verfügung gestellt hat oder die Verarbeitung zur Erfüllung eines Vertrages erforderlich ist.
Die Datenverarbeitung bei Newsletter-Systemen, Social Media Angeboten oder Business-Portalen basiert zumeist im Anmeldeprozess auf die Einwilligung des Betroffenen. Bei kostenpflichtigen Angeboten liegt sogar ein Vertrag (Nutzungsvertrag) vor, der bei der Anmeldung geschlossen wird. Beim Online-Handel, der Verwendung von Fitnesstrackern oder dem Strom-Anbieter besteht nahezu immer eine Vertragsbeziehung zwischen dem Endverbraucher bzw. Kunden und dem Anbieter wie z.B. der Kaufvertrag oder Dienstleistungsvertrag.
Wie können sich die Verantwortlichen schützen?
In Anbetracht des weiten Anwendungsfeldes liegt es nahe, dass sich die Unternehmen vor der Inanspruchnahme durch den Betroffenen zu schützen versuchen oder jedenfalls Gebühren/Kosten für die Ausgabe und Übertragung der Daten verlangen.
Geht es nach den Vorstellungen der Art.-29-Gruppe, dürfen die Diensteanbieter nur in sehr wenigen Ausnahmefällen eine Gebühr für die Umsetzung des Datentransfers verlangen oder das Gesuch des Einzelnen ablehnen. Ein „exzessives“ Verhalten des Betroffenen wie das häufige und wiederholte Stellen von Anträgen (Vgl. Art. 12 Abs. 5 DSGVO), das dem Verantwortlichen die Verweigerung oder Forderung einer Gebühr einräumt, soll demnach nur restriktiv angenommen werden.
Es gelten aber Einschränkungen: Zum einen sollen die Daten in einer solchen Form ausgegeben werden, dass Betriebsgeheimnisse unberührt bleiben. Alles andere würde zu massiven finanziellen und rechtlichen Risiken führen. Ferner muss die Datenübertragung überhaupt technisch möglich sein (Vgl. Art. 20 Abs. 2 DSGVO).
Im Übrigen beinhaltet das Recht auf Datenübertragbarkeit keinen Anspruch auf Löschung der Daten beim (ursprünglich) Verantwortlichen. Insoweit verliert dieser (zunächst) nicht die Daten des Betroffenen. Dies ist im Hinblick auf bestehende Aufbewahrungsfristen und Nachweispflichten auch erforderlich.
Fazit
Insgesamt sollten die Betroffenenrechte durch das neue Recht auf Datenübertragbarkeit deutlich gestärkt werden. Zudem zielt es darauf ab, den Wettbewerb um datenschutzfreundliche Technologie zu fördern und den Lock-in-Effekt zu minimieren. Die Unternehmen können die bevorstehende Situation aber auch als Chance sehen, um mit ihrem (besseren) Angebot neue Kunden zu gewinnen.
Recht auf Datenübertragbarkeit - Die Datenschutzflüsterer
11. April 2017 @ 20:45
[…] Das Recht auf Datenübertragbarkeit (Art. 20 DSGVO) […]