AUS SICHT DER STIFTUNG DATENSCHUTZ – Wie setzt man Art. 20 DSGVO am besten um?

Wäre es nicht famos, könnten die Bürgerinnen und Bürger die bei einem Unternehmen zu ihnen vorhandenen Daten einfach zu einem anderen Dienstleister mitnehmen? „Ja“, dachte sich der europäische Gesetzgeber und schuf das neue Recht auf Datenübertragbarkeit. Eigentlich müsste es „Recht auf Datenerhalt und Datenübermittlung“ heißen – denn wenn die Datensubjekte bloß verlangen könnten, dass die Daten übertragbar vorgehalten würden, wäre das neue Instrument nur in Verbindung mit dem Auskunftsrecht aus Art. 15 DSGVO komplett. Tatsächlich kann aber allein aus Art. 20 DSGVO ein Erhalt der Daten (Abs. 1) oder deren Übermittlung an Dritte verlangt werden (Abs. 2).

In einem Projekt untersucht die Stiftung Datenschutz derzeit die Möglichkeiten zur praktischen Umsetzung dieses ab dem kommenden Frühjahr anzuwendenden Rechts. Das erstmals neu geregelte Recht auf Datenübertragbarkeit und Datenübertragung spielte auch in dieser Zeitschrift bereits eine Rolle. In einem Workshop zum laufenden Projekt versammelte die Stiftung im September des Jahres in Berlin Fachleute aus Wissenschaft und Wirtschaft, um deren spezifische Einschätzungen kennenzulernen und um mit ihnen zu möglichen Handlungsempfehlungen zu beraten.

Regelungsziel und Anwendungsbereich

Die generelle Einschätzung zu den Chancen der neuen Regelung stand bei vielen Teilnehmerinnen und Teilnehmern unter dem Vorbehalt einer funktionierenden Praxis. Dabei bestand Einigkeit, dass die konkrete Nachfrage nach dem neuen Instrument und eine etwaig massenhafte Nutzung noch in keiner Weise absehbar seien. Dies gelte trotz der Wahrnehmung, dass es sich beim Recht auf Datenübertragung/-übertragbarkeit um eines der „Marketinginstrumente und Hauptargumente bei der Debatte um die Notwendigkeit der EU-Datenschutzreform“ gehandelt habe. Angesichts des sehr weiten Anwendungsbereiches, der beispielsweise auch bei einem Leasingunternehmen gespeicherte Fahrdaten oder bei einer Hochschule gespeicherte Noten umfasse, sei eine großflächige Nutzung durchaus denkbar.

Lesen Sie hier den gesamten Beitrag als PDF.

Angesichts des hauptsächlich verfolgten Schutzzwecks der Norm zum Aufbrechen von „Lock-In-Effekten“ wurde dem neuen Rechtsinstrument ein datenschutzrechtlich durchaus „systemfremder“ Charakter bescheinigt. Art. 20 DSGVO könne vielmehr auch als „überschießendes Wettbewerbsrecht“ aufgefasst werden.

Die Teilnehmenden waren sich jedenfalls einig in der Warnung vor einer extensiven Auslegung des Anwendungsbereichs von Art. 20 DSGVO. Sie bezogen sich vor allem auf den Begriff des „Bereitstellens“. Dieses Tatbestandsmerkmal solle der Klarheit halber und unter Beachtung des Wortlautes der Regelung keine Nutzungsdaten umfassen, sondern lediglich für die Vertragserfüllung erforderliche Daten oder Daten, die auf Grund einer informierten Einwilligung des Betroffenen verarbeitet werden. Bereits bei einer Stiftungsveranstaltung im Frühjahr war seitens der Vertretung der EU-Kommission Kritik am weiten Verständnis der Aufsichtsbehörden von der Norm geäußert worden: Die noch amtierende Artikel-29-Gruppe der EU-Datenschutzbeaufragten sei bei ihrer Interpretation „übers Ziel hinausgeschossen“.

Präzisierung tut not

Die Aufsichtsbehörden sollten daher aufgefordert werden, eine über ihre Leitlinie5 hinausgehende Präzisierung und Eingrenzung vorzunehmen, welche Kategorien die „bereitgestellten Daten“ genau umfassen. Außerdem solle eine klare Abgrenzung zu solchen Unternehmensdaten aufgezeigt werden, die den Anspruchsteller nicht betreffen.

Dabei solle auch beachtet werden, dass die Übertragung vieler Daten (Metadaten) keinen Mehrwert für die informationelle Selbstbestimmung der Nutzer darstelle, zugleich jedoch unverhältnismäßig großen Aufwand beim Kategorisieren und Herausziehen von Datensätzen für die datenverarbeitenden Stellen verursache.

Vielmehr solle bei der Interpretation des Art. 20 DSGVO die ursprüngliche Intention des Gesetzgebers in den Vordergrund gerückt werden, die den Anwendungsbereich der Norm auf für den Nutzer sinnvolle und für einen Anbieterwechsel notwendige Datensätze fokussierte. Der Aufwand für die Normumsetzung müsse schließlich verhältnismäßig sein, auch im Hinblick auf den effektiven Nutzen für die anzustrebende Datensouveränität des Verbrauchers. In unserem Workshop wurde betont, dass die Datenübertragbarkeit für viele Fälle bestehender Praxis, wo sie erforderlich ist, bereits geregelt sei, z. B. beim klassischen Post-Nachsendeauftrag, bei der Mobilnummer-Portierung oder auch bei der Übertragung von Schadensfreiheitsrabatten.

Bei allem müssten aber auch stets mögliche Datensicherheitsrisiken bedacht werden, welche die Datenübertragung gerade für die Verbraucherseite mit sich bringen kann. So müsse auf eine eindeutige Authentifizierung von Anfragenden/ Datenempfängern sowie auf die Gewährleistung eines gleichwertigen Datenschutz und Datensicherheitsniveaus geachtet werden, da ansonsten missbräuchliche Datenübertragungsbitten leicht möglich seien. Von daher ist der aus dem Bereich der Aufsichtsbehörden kommende Vorschlag zu einer standardmäßigen Identitätsprüfung sicherlich zu befürworten.

Weiterhin wurde darauf hingewiesen, dass die mit der Datenübertragung einhergehende Vervielfältigung des Datensatzes ebenfalls eine Steigerung von Datenschutzrisiken bedeuten kann. Dies gelte jedenfalls für die – anzunehmenderweise häufigen – Fälle, in denen die Anspruchsinhaber vom Adressaten des Übertragungsanspruches nicht zugleich Ansprüche aus Art. 17 DSGVO (Löschungsrecht) geltend machen.

Gefahren des Rechtsmissbrauchs(?)

Eine Missbrauchsgefahr könne aus Sicht eines Workshop-Teilnehmers zudem dann entstehen, wenn das Recht des Kunden auf Datenübertragbarkeit von einem Unternehmen (z. B. einer größeren KfZ-Werkstattskette) über eine „Anstiftung“ seiner Kunden zur Ausübung ihrer jeweiligen Portierungsansprüche instrumentalisiert wird, um durch exzessive Datenabfragen (z. B. bei einem benachbarten kleinen KfZ-Werkstatt) die Konkurrenzfähigkeit des

Mitbewerbers zu beeinträchtigen. Zu dieser skizzierten Konstellation wurde gleichwohl aus dem Teilnehmerkreis darauf verwiesen, dass Fälle exzessiver oder anderweitig missbräuchlicher Anfragen von Art. 12 Abs. 5 DSGVO (Weigerungsmöglichkeit bei offenkundig unbegründeten oder exzessiven Charakter) erfasst sein dürften.

Das Ziel der Regelung, die informationelle Selbstbestimmung zu fördern, könnte sich nach Befürchtungen aus dem Teilnehmerkreis des Workshops ins Gegenteil verkehren, wenn Verbraucher durch Setzung finanzieller Anreize wie vergünstigte Vertragskonditionen dazu verleitet werden, ihre Rechte aus Art. 20 DSGVO übermäßig wahrzunehmen. Es könnten sich ungewollte neue Geschäftsmodelle etablieren, welche das Portabilität-Recht der Verbraucher bewusst für die Akkumulation derer personenbezogener Daten und die Erstellung sektorübergreifender Kundenprofile nutzen könnten.

Umsetzungsstrategien

Für eine effektive Ausgestaltung der Datenübertragbarkeit und Herstellung von Rechtskonformität war aus der Sicht der Workshop-Teilnehmer vor allem eine frühzeitige Einbindung der voraussichtlich besonders intensiv betroffenen Unternehmen und Branchen in formelle Konsultationsprozesse der Aufsichtsbehörden zur rechtskonformen Umsetzung von Art. 20 DSGVO dringend zu empfehlen. Außerdem seien Ansätze zur „Regulierten Selbstregulierung“ begrüßenswert, bei denen unter staatlicher Aufsicht ein Rahmen etabliert wird, in dem die staatliche und nichtstaatliche Institutionen sowie Unternehmen Umsetzungsstrategien und Standards für die Datenportabilität entwickeln. Zur Schaffung von Orientierung solle jedenfalls auf die Entwicklung von Verhaltensregeln (Codes of Conduct) zur Portabilitätspraxis hingewirkt werden (Art. 40 DSGVO).

Und wenn es keiner nutzt?

Mit Blick auf eine kommende Praxis lässt sich jedenfalls betonen, dass zum gegenwärtigen Zeitpunkt noch völlig unklar ist, wie viele Nutzer vom neuen Recht auf Datenportabilität tatsächlich Gebrauch machen werden. Diese nicht absehbare Nachfragesituation ist für die Unternehmen insofern von großer Bedeutung, als dass sie davon die Entscheidung anhängig machen könnten, welchen Aufwand sie im Vorfeld betreiben und welche Systemanpassungen sie durchzuführen. Für den Fall einer ganz geringen Anzahl von Portierungsanfragen könnte sogar einzelfallbezogen agiert werden, mittels manueller Zusammenstellung und direkter Übertragung der Datensätze.

Der Beitrag ist im Fachmagazin PinG erschienen.