Navigation und Service

Direkt zu:

Logo der Stiftung Datenschutz

Eine Plattform für die Datendebatte

Wie können personenbezogene Daten effektiv und effizient geschützt werden? Wie bleibt Innovation trotzdem möglich? Die Bundesstiftung bietet ein Forum für die notwendige Diskussion.

Eine Plattform für die Datendebatte

Wie können personenbezogene Daten effektiv und effizient geschützt werden? Wie bleibt Innovation trotzdem möglich? Die Bundesstiftung bietet ein Forum für die notwendige Diskussion.

Inhalt

Datenportabilität - Praktische Umsetzung des Rechts auf Datenübertragbarkeit

Wenn im Mai 2018 die EU-Datenschutzgrundverordnung in Kraft tritt, hat erstmals jede Person das „Recht, die sie betreffenden personenbezogenen Daten, die sie einem Verantwortlichen bereitgestellt hat, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten“.

Das Recht auf Datenübertragbarkeit

Der Artikel 20 soll es für Bürgerinnen und Bürger deutlich vereinfachen, ihre bei dem einen Anbieter gespeicherten Daten zu einem anderen Anbieter zu übertragen. Für die Anbieter von datenverarbeitenden Diensten wird es damit erforderlich, personenbezogene Daten so vorzuhalten, dass diese in einem gängigen Format "mitgenommen" werden können. 

Bislang kommt es noch regelmäßig zu sogenannten "Lock-In"-Effekten: Wenn der Wechsel zu einem anderen Anbieter für Kunden mit erheblichen Kosten oder Behinderungen verbunden ist, verzichten sie oftmals ganz auf den Wechsel, auch wenn ein anderer Anbieter günstigere Konditionen bietet. Mit dem neuen datenschutzrechtlichen Instrument zur Portabilität sollen nun die betroffenen Personen bessere Kontrolle über ihre Daten erhalten. Das neue Recht könnte sich damit auf die Marktsituation auswirken.

Wie dies theoretisch plausible Übertragbarkeit in der Praxis funktionieren wird, ist noch völlig unklar, denn eine vergleichbare Vorgängerregelung gibt es nicht, und - da das Recht auf Datenübertragbarkeit erst mit der Europäischen Datenschutzgrundverordnung im Mai 2018 wirksam wird - auch keine richterliche Rechtsfortbildung.

Das Projekt

Die Stiftung Datenschutz erörtert in einem Projekt mögliche Wege zur praktischen Umsetzung des Rechts auf Datenübertragbarkeit. Ziel des Projekts ist es, praxisrelevante Vorschläge für die Ausgestaltung der Datenübertragbarkeit zu entwickeln, wie eng oder weit ist das Merkmal des Bereitstellens von Daten zu verstehen ist, auf welche Weise der Transfer eines Datensatzes von einem zum anderen Anbieter erfolgen kann und welche Maßnahmen von den betroffenen Unternehmen für die Umsetzung des Rechts ergriffen werden sollen. Darüber hinaus bietet die Stiftung Datenschutz im Rahmen von Veranstaltungen und Veröffentlichungen allen Beteiligten - Aufsichtsbehörden, die datenverarbeitende Wirtschaft, die Zivilgesellschaft - die Möglichkeit, in eine sachliche Debatte zur möglichen Rechtsanwendung eintreten.

Gegenstände der Datenübertragbarkeit

Durch den Artikel 20 der Datenschutzgrundverordnung soll die Übertragbarkeit der Daten zwischen verschiedenen Anbietern ermöglicht und die informationelle Selbstbestimmung des Nutzers gestärkt werden. Teil des Projekt soll es sein, hierbei zu untersuchen, ob der Nutzer mehr Kontrolle über seine Daten bekommt, denn im Gesetzestext ist kein automatisierter auf Datenlöschung vorgesehen. Es könnte dazu führen, dass Daten an mehreren Stellen gespeichert werden – und somit zu mehr Datenverlust.

Zur Klarstellung gehören insbesondere folgende Fragen:

  • Wie eng oder weit ist das Merkmal des Bereitstellens von Daten zu verstehen?
  • Ist die Regelung in der Praxis dazu tauglich, ein Mehr an informationellen Selbstbestimmung zu schaffen?
  • In welchem Verhältnis steht die Datenportabilität zu Interoperabilität zwischen verschiedenen Systemen?

Betroffene Branchen

Beim Recht auf Datenübertragbarkeit hatte der Verordnungsgeber vor allem soziale Netzwerke wie Facebook oder Google+ vor Augen. Der Anwendungsbereich des Rechts ist jedoch keinesfalls auf solche Geschäftsmodelle begrenzt. Grundsätzlich betrifft das Recht auf Datenübertragbarkeit alle Branchen.

Für die wirtschaftliche Betrachtung ergeben sich folgende Fragen:

  • Welche Branchen sind überhaupt von Lock-In-Effekten betroffen?
  • Wie wollen diejenigen Branchen Art. 20 DSGVO umsetzen, die nicht von „Lock-In“-Effekten betroffen sind?
  • Welche bereichsspezifischen Herausforderungen ergeben sich für die einzelnen Geschäftsmodelle?
  • Welche Investitionen kommen auf die Wirtschaft zu?

Praktische Umsetzbarkeit

Eine der wesentlichen Herausforderungen bei der Umsetzung der Datenübertragbarkeit besteht in ihrer technischen Realisierbarkeit. Die Art. 29-Datenschutzgruppe der EU-Kommission stellt zwar klar, dass die Daten in einem strukturierten, gängigen und maschinenlesbaren Format zur Verfügung gestellt werden müssen. Wie ein solches Format auszusehen hat und auf welche Standards dabei zurückgegriffen werden soll, bleibt allerdings offen.

Im Projektzeitraum wollen wir daher folgende Frage klären:

  • Was könnte in der Praxis als „gängiges interoperables Format“ gelten?
  • Wie kann die Kompatibilität zwischen verschiedenen Formaten hergestellt werden?
  • Welche konkreten Anforderungen sollen an ein kompatibles Format gestellt werden?
  • Welche Standards sollen bei der Format-Entwicklung herangezogen werden und an wen soll deren Festlegung übertragen werden?