Datenübertragbarkeit: Erste Handlungsempfehlungen

Fachbeitrag

Spricht man von den großen neuen Rechten der Datensubjekte, die sogenannten Betroffenenrechte, wird das Recht auf Datenübertragbarkeit kaum oder allenfalls am Rande erwähnt. Das Recht kennt man auch unter dem Begriff der Datenportabilität, in Anlehnung an das Englische „data portability“. Die Stiftung Datenschutz hat letzte Woche dem Thema einen kompletten „DatenTag“ gewidmet und ihre Studie zu dem Thema vorgestellt.

Fragen über Fragen

Das Recht auf Datenübertragbarkeit bringt viele Fragestellungen mit sich, auf die es noch immer keine deutlichen Antworten gibt. Dies ist zum einen so, weil es nichts Vergleichbares gibt – dieses Recht besteht erst mit und seit der Datenschutz-Grundverordnung (DSGVO).  Zum anderen besteht die Schwierigkeit die Begriffe zu konkretisieren – als Beispiel, was genau bedeutet „bereitgestellte Daten“ – und Branchenübergreifend einheitlich zu gestalten. Von den technischen Herausforderungen ganz zu schweigen. Hier im Blog wurde natürlich bereits darüber berichtet.

Aufgrund der Komplexität des Themas wird sich das Instrument letztlich nur durchsetzen, wenn es geschickt umgesetzt wird, die Datenportabilität als Recht somit auch praktikabel ist.

Probleme und Risiken

Dem Recht auf Datenübertragbarkeit sind auch andere spezifische datenschutzrechtliche Risiken immanent. Mit dem Übertragen der Daten werden diese vervielfältigt, statt einer Datenminimierung findet also eine Datenmultiplizierung statt, da diese beim ersten Anbieter mit der Übertragung nicht automatisch gelöscht werden. Hintergrund ist, dass der Nutzer die Dienste parallel nutzen können soll. Eine Löschung bleibt natürlich möglich.

Die Daten werden somit vervielfältigt und mit der Übertragbarkeit steigt das Risiko der Datensicherheit. Die DSGVO ist technologieneutral und gibt keine Formate oder Standards vor. Bei der Datenübertragung muss somit großen Wert auf die Datensicherheit gelegt werden, beispielsweise durch Verschlüsselung.

Die Studie nennt Handlungsempfehlungen

Die Studie in der Langversion (hier in der Kurzversion) der Stiftung Datenschutz hat für den Umgang mit dem Betroffenenrecht konkrete Handlungsempfehlungen ausgearbeitet.

Neben der Umsetzung der Norm, die sich an der ursprünglich anvisierten Stärkung der informationellen Selbstbestimmung richten soll, und der Auslegung der Norm im Sinne des Verbraucherschutzes, nennt die Studie auch Strategien:

Sie schlägt vor, branchenspezifische Umsetzungsstrategien und Standards für die Datenportabilität im Sinne der „regulierten Selbstregulierung“ zu erarbeiten. Diese sollten unter staatlicher Aufsicht durch Aufsichtsbehörden, NGOs und Unternehmen ausgearbeitet werden, um, soweit erforderlich, eine branchenspezifische Datenübertragung zu gestalten. Ein Beispiel ist insoweit die Übertragung von Daten des Autos und des Fahrverhaltens (soweit diese Daten personenbezogen und bereitgestellt sind, dies ist strittig) zwischen Werkstätten und bspw. das Übertragen von Supermarkt-Einkaufslisten zwischen Online-Händlern.

Bei sektorübergreifenden Sachverhalten schlägt die Stiftung vor, sinnvolle Lösungsansätze auf Grundlage von Personal Information Management Systems (PIMS) auszuarbeiten.

Die Stiftung schließt jedoch nicht aus, dass in bestimmten Fällen eine Datenübertragbarkeit wenig Relevanz haben kann und somit auch Einzelansätze oder gar eine manuelle Zusammenstellung der Daten sinnvoll sein kann.

Vorschläge zur technischen Gestaltung

Bezüglich der technischen Gestaltung nennt die Studie das CSV-Format als Mindestvoraussetzung. Ein Beiblatt würde in dem Fall zur Erklärung der Datenstruktur ausreichen. Für komplexere Lösung schlägt die Stiftung die Lösungen XML oder JSON vor, die in der Lage sind kompliziertere Strukturen abzubilden und neben Inhaltsdaten auch Metadaten erfassen.

Diese Formate sind maschinenlesbar und können über Standardsoftware gelesen werden. Den Aufsichtsbehörden obliegt dann noch die Aufgabe die Anforderungen an die Authentifizierung festzulegen.

Nicht anzuraten ist hingegen das PDF-Format. Diese ist zwar maschinenlesbar, in der Regel jedoch aufgrund der geringen Möglichkeiten der Weiterverwendung nicht optimal.

Kleiner Exkurs

Google kennt die Datenübertragbarkeit schon seit 2011. Über Google Takeout oder Google Takeaway können Nutzer die eigenen Google-Daten im ZIP-Format exportiert werden.

Ebenfalls in den USA hat die Obama-Administration die Idee der Datenportabilität eingesetzt. Mit dem sog. „Blue Button“ (2010) sollten die Bürger auf ihre eigenen Gesundheitsinformationen zugreifen und diese herunterzuladen können. Weitere Informationen gibt es hier. Nach dem Blue Button war auch ein „Green Button“ für Energie eingeführt worden.

Weitere Entwicklung abzuwarten

Interessant wird, in welchem Umfang die Bürger von ihrem Recht tatsächlich Gebrauch machen werden, wie die Branchen und Unternehmen dieses Betroffenenrecht umsetzen werden und inwieweit die Datenübertragbarkeit sich möglicherweise zu einem Geschäftsmodell entwickelt, sei es in dem Zurverfügungstellung von geeigneter Tools, sei es in Form von Anreizen, um Nutzer zur Übertragung ihrer Daten zu neuen Anbietern zu animieren.

Sie haben Fragen?

Wir unterstützen Unternehmen bei der Vorbereitung auf die Datenschutz-Grundverordnung (DSGVO). Bei der Zusammenarbeit mit unseren Beratern können Sie folgendes erwarten:

  • Rundum-Service zur DSGVO: Check, Vorbereitung und laufende Beratung
  • Aufbau und Pflege eines Dokumenten-Management-System
  • Mitarbeiterschulung zu den relevanten Neuerungen der Datenschutz-Grundverordnung

Informieren Sie sich hier über unser Leistungsspektrum: Datenschutz-Grundverordnung (DSGVO)

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.