Einführung

Mit der neuen Datenschutz-Grundverordnung (DS-GVO) haben Nutzer seit Mai 2018 die Möglichkeit, eigene Daten beim Wechsel eines Informationssystems zu übernehmen. Dieses Recht wird „Datenportabilität“ oder auch Datenübertragbarkeit genannt und findet in Art. 20 DS-GVO seinen Niederschlag.

Inhalt der Vorschrift

Nach Art. 20 DS-GVO können Betroffene die sie betreffenden personenbezogenen Daten, die sie einem Verantwortlichen bereitgestellt haben, in einem strukturierten, gängigen und maschinenlesbaren Format erhalten. Wenn die automatisierte Datenverarbeitung auf einer Einwilligung beruhte oder zur Durchführung eines Vertrages erfolgte, können Betroffene diese Daten einem anderen Verantwortlichen übermitteln und zwar ohne Behinderung durch den Verantwortlichen, dem die personenbezogenen Daten bereitgestellt wurden. Soweit technisch machbar, kann der Betroffene die Übermittlung direkt von einem für die Verarbeitung Verantwortlichen einem anderen Verantwortlichen für die Verarbeitung erwirken.

Voraussetzungen der Geltendmachung

Art. 20 DS-GVO setzt für die Geltendmachung des Rechts folgende Voraussetzungen voraus: Es muss sich um personenbezogene Daten im Sinne des Art. 4 Nr. 1 DS-GVO handeln, die dem Verantwortlichen bereitgestellt worden sind. Weiter muss die Verarbeitung der personenbezogenen Daten auf einer Einwilligung oder einem Vertrag beruhen und mithilfe automatisierter Verfahren erfolgen. Zweck der Einführung einer Datenportabilität ist die Stärkung der Kontrolle der Betroffenen über ihre personenbezogenen Daten, die automatisch verbreitet werden. Ebenso soll durch die Regelung die Mitnahme eingestellter Daten erleichtert werden.

Praktische Bedeutung

Die Meinungen über die neu eingeführte Datenportabilität gehen auseinander. Von Datenschützern wird die Änderung als ein „Meilenstein“ gesehen, indem sie mehr Rechtssicherheit auch für Unternehmer sowie für alle Marktteilnehmer gleiche Bedingungen schafft. Es geht um eine Anpassung des Datenschutzes an den Wandel des digitalen Zeitalters sowie eine Vereinheitlichung der Regelungen in den einzelnen Mitgliedstaaten der EU. Besonders aus der Wirtschaft hagelt es Kritik gegen die Vorschrift. Die Regelung sei zu vage und unklar formuliert und finde einen zu großen Anwendungsbereich. Ferner entstünden für alle betroffenen Unternehmen zusätzliche Kosten. Bezüglich der Datenportabilität wird eingewandt, dass der Nutzer nicht immer von seinem in Art. 20 DS-GVO eingeräumten Recht Gebrauch machen möchte. Zudem ziele der Gesetzgeber auf die Social Media Plattform „Facebook“ ab, wobei auch andere Unternehmen in den Adressatenkreis der Vorschrift fielen. Diese Kritik kann aber leicht beanstandet werden. Ein Anspruch ist ein Recht und eben keine bindende Verpflichtung für den Berechtigten. Er kann geltend gemacht werden, muss aber nicht. Ferner hat die Art.-29-Gruppe der europäischen Datenschutzbeauftragten bereits in ihrer Stellungnahme vom 13. Dezember 2016 den weitergefassten Anwendungsbereich der Datenportabilität thematisiert.

Probleme

Die neue Regelung bringt aber auch viele offene Fragen mit sich. Beispielsweise ist unklar, welche Schnittstellen und Datenformate die verschiedenen Diensteanbieter für die Datenportabilität zur Verfügung stellen sollen. Aus technischer Sicht ist einzuwenden, dass die meisten Diensteanbieter keine separaten Datenbanken für Rohdaten haben, was zur Aufdeckung von Kerntechniken und Geschäftsinformationen und somit zum Verstoß gegen geistige Eigentumsrechte und Geschäftsgeheimnisse führen könne. Grund dafür wäre, dass mit der Übermittlung der Daten auch detaillierte Hintergrundinformationen über die technische Einrichtung des ursprünglichen Verantwortlichen und die verwendeten Algorithmen transportiert werden können. Zudem ist noch nicht geklärt, wie kompatibel die untereinander übertragenden Dienste sein müssen. Probleme ergeben sich bei den unterschiedlichen Angeboten der Dienste. Ein Beispiel ist die Angabe des Geschlechts in sozialen Netzwerken. Während Facebook zwischen 60 verschiedenen Geschlechtern unterscheidet, tut Google+ es nur zwischen „männlich“, „weiblich“ und „unbestimmt“. Hier wäre die Datenportabilität praktisch nicht einfach umzusetzen und stellt die Diensteanbieter also vor große Probleme. Ein weiteres Problem ist die Konstellation in einem Drei-Personen-Verhältnis, wenn also etwa bei Kommunikationspartnern per Telefon oder E-Mail Daten von Dritten hinzukommen. Die Privatheit von Außenstehenden ist zu schützen, womit Datenschützer vermuten, dass die Diensteanbieter erst einmal alle Ordner nebst Inhalten eines Webmail-Services oder Listen von Anrufen herausgeben. Keinesfalls dürfe es aber zu einer Nutzung der Informationen für den Fall der Kundengewinnung durch die Kontaktliste Dritter kommen. Auch der Bundesverband für Informationswirtschaft, Telekommunikation und Neue Medien e.V. (bitkom) sieht die Daten Dritter bei der Geltendmachung personenbezogener Daten problematisch und fordert zur Erleichterung für die Entscheidung im konkreten Einzelfall detaillierte Ergänzungen. Als Beispiel kann der Begriff „Bereitstellung der Daten“ durch den Betroffenen genannt werden. Im Rahmen der Auslegung des Zwecks der Vorschrift, auch durch die Gesetzesbegründung der EU-Kommission ist die bessere Kontrolle über die Daten durch den Betroffenen maßgeblich, wonach es ausreichen sollte, lediglich die entsprechenden benötigten Daten zur Weiternutzung des neuen Dienstes zu transportieren. Bezüglich der praktischen Umsetzung wird bemängelt, dass die dafür benötigten technischen Standards für die unproblematische Ausübung des Rechts im Moment fehlen. Aufgrund des hohen dafür beanspruchten Zeitaufwands wird ein Vorliegen einer rechtzeitigen Lösung bis zum Inkrafttreten der Vorschrift als sehr unrealistisch gesehen. Standards seien gerade für den Anbieterwechsel innerhalb einzelner Sektoren wie Gesundheitswesen und Telekommunikation wichtig, um die Umsetzung der Datenportabilität zu vereinfachen. Um das Recht der Datenportabilität ausüben zu können, müsse allerdings zunächst die Identität der Betroffenen durch die Diensteanbieter geprüft werden. Das Verfahren einer Identitätsprüfung sei allerdings den Verantwortlichen bislang unbekannt. Auch das verdeutlicht wieder die Notwenigkeit eines möglichen Leitfadens der Aufsichtsbehörden zur allgemeinen Regelung des Authentifizierungsverfahrens.

Fazit

Zusammenfassend ist zu sagen, dass die Einführung der Datenportabilität das Datenschutzrecht wesentlich ändert. Die direkte Datenübermittlung spielt eine größere Rolle als zunächst für hauptsächlich die Social Media Plattformen vorgesehen, in dem auch kleinere Unternehmen unter den Anwendungsbereich der Vorschrift fallen. Befürwortet wird der vereinfachte Anbieterwechsel für Kunden und damit die Anpassung des Datenschutzrechts an das digitale Zeitalter. Probleme sind allerdings noch hinsichtlich der Umsetzung der Datenportabilität aus Gründen der Kapazitäten der Unternehmen zu sehen. Es wird sich zeigen, wie Unternehmen die volle Gewährleistung dieses Rechts sichern wollen. Bezüglich der einheitlichen und vereinfachten praktischen Umsetzung der Neuerung bleiben allerdings noch Leitlinien und Auslegungshilfen abzuwarten.