09.10.2017 // Andreas Dewes ‹ zurück zum Blog

Die Datenportabilität, oder -übertragbarkeit ist in Paragraph 20 der DS-GVO geregelt und dürfte uns als Verbraucher alle freuen. Unternehmen jedoch wird sie vermutlich zusätzliche Arbeit bescheren. Der Paragraph räumt Personen nämlich das Recht ein, die einem Anbieter zur Verfügung gestellten personenbezogenen Daten in einem strukturierten und maschinenlesbaren Format zu erhalten oder auch zu einem anderen Anbieter übertragen zu lassen. Hier ist der entsprechende Paragraph im genauen Wortlaut (Hervorhebungen vom Autor):

Art. 20 DS-GVO: Recht auf Datenübertragbarkeit

(1): Die betroffene Person hat das Recht, die sie betreffenden personenbezogenen Daten, die sie einem Verantwortlichen bereitgestellt hat, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten, und sie hat das Recht, diese Daten einem anderen Verantwortlichen ohne Behinderung durch den Verantwortlichen, dem die personenbezogenen Daten bereitgestellt wurden, zu übermitteln, sofern

  1. die Verarbeitung auf einer Einwilligung gemäß Artikel 6 Absatz 1 Buchstabe a oder Artikel 9 Absatz 2 Buchstabe a oder auf einem Vertrag gemäß Artikel 6 Absatz 1 Buchstabe b beruht und
  2. die Verarbeitung mithilfe automatisierter Verfahren erfolgt.

(2): Bei der Ausübung ihres Rechts auf Datenübertragbarkeit gemäß Absatz 1 hat die betroffene Person das Recht, zu erwirken, dass die personenbezogenen Daten direkt von einem Verantwortlichen einem anderen Verantwortlichen übermittelt werden, soweit dies technisch machbar ist.

(3): Die Ausübung des Rechts nach Absatz 1 des vorliegenden Artikels lässt Artikel 17 unberührt. Dieses Recht gilt nicht für eine Verarbeitung, die für die Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde.

(4): Das Recht gemäß Absatz 2 darf die Rechte und Freiheiten anderer Personen nicht beeinträchtigen.

Wie man sieht liegt der Hauptgedanke hier weniger auf dem Datenschutz. Vielmehr geht es um die Möglichkeit, als Nutzer den Anbieter einer Dienstleistung wechseln zu können ohne befürchten zu müssen, dass die womöglich über Jahre angelegten Daten dabei verlorengehen. Für Verbraucher also eine großartige Sache, denn die Regelung sollte Lock-In Effekte erheblich reduzieren und gleichzeitig die Konkurrenz zwischen Anbietern fördern.

Die Formulierung des Paragraphen selbst lässt allerdings viele Fragen offen. Im Dezember 2016 hat die "Artikel 29 Arbeitsgruppe" der Europäischen Union daher eine Richtlinie veröffentlicht, die als Grundlage zur Anwendung der Daten-Portabilität dienen soll (Webseite der Artikel-29 Arbeitsgruppe). Wir haben uns diese Richtlinie etwas genauer angeschaut und präsentieren hier unsere Schlussfolgerungen.

Zu übermittelnde Daten

Die vielleicht grundlegendste Frage in Bezug auf die Portabilität ist natürlich: Welche Daten muss ich als Anbieter hierbei überhaupt übermitteln? Die Richtlinie definiert hierfür zwei Kriterien:

  • Die Daten müssen die Person betreffen.
  • Die Daten müssen dem Anbieter von der Person zur Verfügung gestellt worden sein.

Beim Lesen des zweiten Punkts mag man sich fragen, wie "zur Verfügung gestellt" hier genau auszulegen ist. Glücklicherweise präzisiert der Leitfaden dies: Gemeint sind nicht nur Daten, die aktiv vom Nutzer generiert wurden — also z.B. durch die Eingabe von Daten in ein Formular — sondern auch solche Daten, die durch das Verhalten des Nutzers erzeugt wurden, also z.B. durch das Klicken auf einen "Like" Button. Aus Nutzerperspektive ist dieser Punkt enorm wichtig, denn in vielen Fällen werden ein Großteil der personenbezogenen Daten verhaltensbasiert erzeugt.

Eine Einschränkung gibt es allerdings: Aus den gerade genannten Daten abgeleitete Daten — beispielsweise Kennzahlen oder abgeleitete Charakteristika zu Nutzern — müssen nicht transferiert werden. Hier wurde wohl zugunsten des Geschäftsgeheimnisses der Anbieter abgewogen, denn eine Übertragungspflicht für abgeleitete Daten würde sie dazu zwingen, die mittels Datenanalyse oder manueller Arbeit gewonnenen Erkenntnisse über Nutzer offenzulegen, was es wiederum erleichtern würde, die hierfür eingesetzten Algorithmen oder Verfahren zu dekonstruieren (reverse-engineering). Für Verbraucher ist dies natürlich schade, denn viele Nutzer hätten sicher ein starkes Interesse daran, über die von ihnen gebildeten Profiling-Daten Kenntnis zu erlangen.

Daten von Drittpersonen

Noch komplizierter wird die Sache, wenn neben den Daten der betroffenen Person auch die Daten von Dritten ins Spiel kommen. Dies ist oft der Fall, z.B. wenn ein Nutzer eines sozialen Netzwerks einem anderen Nutzer eine Nachricht schreibt. Die Richtlinie stellt hier klar, dass ein Übertragungsgesuch auch dann zu bewilligen ist, wenn die übertragenen Daten personenbezogene Daten von Dritten beinhalten. Werden diese Daten an einen anderen Anbieter übertragen, ist es diesem jedoch untersagt diese weiter zu verarbeiten, außer es liegt ein Grund für die rechtmäßige Verarbeitung vor. Dies dürfte beispielsweise bei E-Mail Anbietern der Fall sein, wenn diese das Adressbuch einer Person übertragen.

Fristen

In Bezug auf die Frist zur Beantwortung eines Übertragungsantrags definiert die Richtlinie eine maximale Obergrenze von einem Monat, bzw. in begründeten Ausnahmefällen bis zu drei Monaten. Dies ist etwas enttäuschend da man davon ausgehen kann, dass viele Anbieter diese Obergrenzen ausschöpfen werden, zumal sie von einer Übertragung in den meisten Fällen nur Nachteile befürchten können. Eventuell besteht hier jedoch die Hoffnung, dass absichtliche Verzögerungen seitens der Anbieter gerichtlich gekippt werden könnten. Es ist also abzuwarten, wie die Formulierung without undue delay in der Praxis auszulegen ist.

Erlaubte Abfrage-Häufigkeit

Generell hat der Anbieter das Recht, Anträge auf Datenübertragung abzulehnen, wenn diese exzessiv betrieben werden. Hier stellt sich natürlich die Frage, welche Häufigkeit als exzessiv anzusehen ist. Auskunftsanfragen nach § 34 Bundes-Datenschutzgesetz (BDSG) sind beispielsweise nur in langen Zeitabständen möglich. Die Richtlinie spricht sich hingegen deutlich für die Möglichkeit einer häufigen Abfrage aus und geht davon aus, dass der Aufwand für auf automatisierte Datenverarbeitung spezialisierte Anbieter auch bei wiederholten Anfragen im Normalfall keine Ablehnung rechtfertigt. Man kann hier also hoffen, dass eine Übertragung in sehr kurzen Abständen, vielleicht sogar mit einer Frequenz von wenigen Stunden, möglich ist. Das zu übertragende Datenvolumen wird hierbei sicherlich auch eine große Rolle spielen. Die Möglichkeit, inkrementelle Aktualisierungen der eigenen Daten zu erhalten findet sich in der Richtlinie hingegen nicht. Gerade bei großen Datenmengen wäre dies aber eine wichtige Technik um das entstehende Datenvolumen bei der Übertragung zu begrenzen.

Recht auf Weiternutzung

Gemäß der Richtlinie zur Umsetzung darf ein Übertragungsgesuch keine Nachteile für den Nutzer zur Folge haben. Insbesondere soll der Nutzer das Recht haben, den Dienst wie bisher weiternutzen zu können, sowie weiterhin von seinem Recht auf Löschung Gebrauch machen können:

A data subject can continue to use and benefit from the data controller’s service even after a data portability operation. Equally, if the data subject wants to exercise his or her right to erasure, data portability cannot be used by a data controller as a way of delaying or refusing such erasure. Aus Guidelines on the right to data portability (Seite 11)

Art der Übermittlung

Technisch empfiehlt die Richtlinie zur Umsetzung der Portabilität Anbietern, eine API für den Datentransfer anzubieten. Solche APIs werden in anderem Kontext bereits von einer Vielzahl von Anbietern bereitgestellt, ein API-basierter Abruf von Nutzerdaten ist daher naheliegend und sinnvoll. Anbieter wie Facebook haben für Nutzerdaten bereits heute API-Schnittstellen definiert, diese erlauben jedoch nicht immer den vollumfänglichen Abruf der eigenen Daten und bieten oft auch keinen feingranularen Zugang zu einzelnen Attributen.

Zu erwartende Auswirkungen

Artikel 20 hat in Kombination mit dem Recht auf Löschung von Daten sowie des Auskunftsrechts bezüglich automatisierter Entscheidungsverfahren das Potential, Verbrauchern deutlich mehr Kontrolle über ihre eigenen Daten zu geben.

Unternehmen sollten die neuen Anforderungen an die Portabilität als Chance sehen, denn eine Verpflichtung zum Export von Nuterzdaten über eine definierte Schnittstelle bietet auch gleichzeitig die Chance, Daten automatisiert aus anderen Systemen zu importieren. Für die Neukundengewinnung sowie die Bindung von Bestandskunden kann Portabilität daher eine sehr interessantes Werkzeug sein. Um von der Portabilität zu profitieren, müssen Unternehmen jedoch die hierfür nötige, technische Infrastruktur schaffen. Gerade für kleinere Unternehmen kann dies zur Herkules-Aufgabe werden, denn neben den Pflichten aus der Richtlinie müssen eine Vielzahl weiterer Kriterien beachtet werden, insbesondere im Hinblick auf die Sicherung der Daten und die Berechtigung von Nutzern sowie Drittparteien.

Auswirkungen auf datenverarbeitende Unternehmen

Was bedeutet das Recht auf Daten-Übertragbarkeit aber nun für Unternehmen, die personenbezogene Daten verarbeiten? In den folgenden Paragraphen versuchen wir einen Überblick über die wichtigsten Maßnahmen zu geben.

Datenmodellierung

Mit der Datenportabilität wird es in Zukunft noch wichtiger werden Datenmodelle so zu gestalten, dass die Daten eines gegebenen Nutzers schnell und einfach identifiziert werden können. Gerade bei komplexen Systemen mit vielen Datenquellen dürfte dies nicht immer leicht sein. Zusätzlich müssen effektive und sichere Möglichkeiten geschaffen werden um die Daten eines Nutzers zentral zu sammeln und für den Export vorzubereiten. Gerade bei verteilten IT-Systemen kann dieser Vorgang sehr komplex werden und lang dauern.

Schnittstellendefinition

Weiterhin wird es nötig sein, eine Schnittstelle für die Übertragung dieser Daten bereitzustellen. Artikel 5 verlangt bei der Verarbeitung personenbezogener Daten zudem eine angemessene Sicherheit, dies dürfte auch für die Übertragung der Daten gelten. Dementsprechend sollte der gewählte Übertragungskanal eine Transportverschlüsselung bereitstellen. Eine REST API, die Daten über eine mit TLS verschlüsselte HTTP-Verbindung überträgt erscheint hier als ein mögliches Verfahren, aber auch andere Methoden sind denkbar.

Informationspflichten & Marketing

Falls neben den personenbezogenen Daten des Nutzers selbst auch die Daten anderer Nutzen involviert sind, müssen Unternehmen abwägen, welche Daten sie zur Verfügung stellen. Artikel 20 Absatz 4 verlangt hierbei, dass die Rechte und Freiheiten anderer Personen nicht durch die Übertragbarkeit beeinträchtigt werden dürfen. Dementsprechend dürfen Daten von Drittpersonen nicht in allen Fällen weitergegeben werden, vor allem dann, wenn aus den Daten Risiken für diese entstehen. Die richtige Abwägung zu finden kann hierbei heikel sein, denn oft werden Daten von Dritten (z.B. in Form von E-Mail Adressen) nötig sein, um die Nützlichkeit der Übertragung sicherzustellen, gleichzeitig können diese Daten aber auch problematisch sein und beim Empfänger Informationspflichten gemäß Artikel 14 auslösen.

Unser Beitrag

Wir haben uns bei DP-Kit zum Ziel gesetzt, Unternehmen zu ermöglichen, Daten-Portabilität mit minimalen Aufwand und maximalem Sicherheitsniveau umzusetzen. Gleichzeitig wollen wir Unternehmen ermöglichen, Portabilität als strategisches Werkzeug für die Kundengewinnung und Kundenbindung einzusetzen. Unsere Software-Plattform bietet hierbei Lösungen für folgende Probleme, die bei der praktischen Umsetzung von Daten-Portabilität entstehen:

  • Zusammenführung der Daten für die Übertragung
  • Definition eines Datenschemas für die Übertragung
  • Bereinigung und Standardisierung der Daten
  • Sichere Speicherung der Daten vor der Übertragung
  • Sicherstellung der Integrität, Korrektheit und Echtheit der Daten
  • Authentifizierung des Nutzers bei der Beantragung der Portabilität, sowie von Drittparteien die vom Nutzer beauftragt werden die Daten zu importieren
  • Überwachung der Übertragung und Absicherung des Übertragungskanals
  • Verschlüsselung der Daten (wo nötig und sinnvoll)
  • Löschung zwischengespeicherter Daten nach erfolgreicher Portierung

Für unsere Plattform setzen wir dabei auf bestehende Standards und Best Practices zur Absicherung und Übertragung der Daten, was eine hohe Rechtssicherheit und ein hohes Schutzniveau garantiert. Unser Hauptziel neben dem optimalen Schutz der Daten ist dabei die Reduktion des nötigen Aufwands für das exportierende Unternehmen. Statt aufwendig eigene Lösungen zu implementieren, können unsere Kunden in wenigen Schritten eine rechtssichere Lösung für die Datenportabilität anbieten. Die Integration in die eigenen IT-Systeme ist dabei extrem einfach und erfordert keinerlei Bereitstellungen von zusätzlichen Server-Diensten oder aufwendiger Logik.

Ist Portabilität für Ihr Unternehmen relevant?

Falls Sie Datenportabilität für Ihr Unternehmen nutzbringend einsetzen möchten freuen wir uns, von Ihnen zu hören! Treten Sie mit uns in Kontakt um zu erfahren, wie wir Ihnen bei der Erfüllung Ihrer gesetzlichen Pflichten und bei der strategischen Nutzung von Portabilität weiterhelfen können:

Kontakt aufnehmen

Referenzen