POLITIK UND REGULIERUNG
Datenportabilität
Definition und Abgrenzung
Das Recht auf Datenübertragbarkeit (RaDÜ) zählt in der Datenschutz-Grundverordnung (DSGVO) zu den Rechten der Berichtigung und Löschung der betroffenen Person. Zu unterscheiden ist zwischen den beiden Ansätzen von Artikel 20 (1) und (2), die das Recht auf Datenübertragbarkeit wie folgt konkretisieren:
„1. Die betroffene Person hat das Recht, die sie betreffenden personenbezogenen Daten, die sie einem Verantwortlichen bereitgestellt hat, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten, und sie hat das Recht, diese Daten einem anderen Verantwortlichen ohne Behinderung durch den Verantwortlichen, dem die personenbezogenen Daten bereitgestellt wurden, zu übermitteln, sofern
a. die Verarbeitung auf einer Einwilligung gemäß Artikel 6 Absatz 1 Buchstabe a oder Artikel 9 Absatz 2 Buchstabe a oder auf einem Vertrag gemäß Artikel 6 Absatz 1 Buchstabe b beruht und
b. die Verarbeitung mithilfe automatisierter Verfahren erfolgt.
2. Bei der Ausübung ihres Rechts auf Datenübertragbarkeit gemäß Absatz 1 hat die betroffene Person das Recht, zu erwirken, dass die personenbezogenen Daten direkt von einem Verantwortlichen einem anderen Verantwortlichen übermittelt werden, soweit dies technisch machbar ist.“
Der erste Ansatz Art. 20 (1) DSGVO impliziert einen zweistufigen Datentransfer, bei dem Nutzende zunächst einen Datenexport von ihrem aktuellen Onlinediensteanbieter (ODA) und anschließend einen Datenimport genau dieser Daten von einem neuen ODA anfordern. Art. 20 (2) DSGVO hingegen vereint diese beiden Schritte in einen direkten Datentransfer, ohne die Notwendigkeit des Nutzenden als Mittelsmann.
Für einzelne Bestandteile des RaDÜ wurden vom Gesetzgeber keine genauen Definitionen vorgegeben, weshalb eine präzise Abgrenzung schwierig ist. So ist zum einen unklar, ob unter die Formulierung „einem Verantwortlichen bereitgestellt hat“ Art. 20 (1) DSGVO lediglich rezipierte (bewusst eingegebene Daten, wie bspw. eine Restaurant-Rezension) oder rezipierte und beobachtete Daten (via Sensoren aufgenommene Daten, wie bspw. der Standort des Restaurants) fallen [1]. Des Weiteren mangelt es an einer präzisen Spezifikation zum „strukturierten, gängigen und maschinenlesbaren Format“ Art. 20 (1) DSGVO. Lediglich der Begriff „maschinenlesbar“ wurde von der EU als ein Format definiert, das so strukturiert ist, dass es bestimmte Daten, wie z. B. einzelne Sachverhaltsdarstellungen und deren interne Struktur, für Anwendungen leicht identifizierbar, erkennbar und extrahierbar macht [2].
Geschichte
Die Einführung der DSGVO, und somit auch das Recht auf Datenübertragbarkeit, dient dem Ziel, die individuelle Datenhoheit und den Schutz personenbezogener Daten zu stärken. Die theoretischen Intentionen des RaDÜ sind die Reduzierung von Transaktionskosten und Lock-In-Effekten, die Stärkung der Wahlmöglichkeiten und der Privatsphäre der Nutzer und folglich die Intensivierung des Wettbewerbs auf dem hoch konzentrierten Markt von ODA [1].
Anwendung und Beispiele
Eine direkte Datenportierung von einem ODA zu einem anderen im Sinne des Art. 20 (2) DSGVO ist aufgrund fehlender Infrastruktur derzeit kaum möglich [3]. Der Aufbau einer solch umfangreichen Infrastruktur ist ein zeitaufwendiges und komplexes Unterfangen, das verschiedene Projekte auf sich genommen haben, wie bspw.:
• Data Transfer Project
• Data Portability Cooperation
Alternativ können Einzelpersonen auf eine indirekte Datenportierung im Sinne des Art. 20 (1) DSGVO zurückgreifen. Hierbei muss zunächst ein Antrag auf Datenexport bei dem bisherigen ODA gestellt werden, um anschließend den Import dieser Daten bei dem gewünschten neuen Anbieter zu beauftragen oder eigens manuell vorzunehmen. Die Anforderungen des Rechts auf Datenübertragbarkeit hinsichtlich Dauer, Format und Umfang der Daten eines Datenexports werden jedoch größtenteils nicht erfüllt: Lediglich 28,6 % einer Stichprobe von 182 ODA erfüllten alle Anforderungen und sind somit konform mit Art. 20 (1) DSGVO. Gleichzeitig stellten die meisten Anbieter dieser Stichprobe keine (76,8 %) Importoptionen zur Verfügung [3].
Kritik und Probleme
Das Recht auf Datenübertragbarkeit verfehlt sein hohes Potenzial, den digitalen Wettbewerb zu forcieren und die Privatsphäre der Nutzer und ihre Kontrolle über ihre Daten zu stärken.
Es ist sowohl das am wenigsten bekannte Recht der DSGVO [4] als auch das am schwierigsten zu erfassende und begreifende. Dies hat zur Folge, dass, obwohl Einzelpersonen in manchen Fällen ein Interesse an einem Wechsel ihres derzeitigen ODAs haben, viele dies nicht umsetzen – oft aufgrund unzureichender Kenntnisse über vergleichbare, alternative Anbieter, mangelnder Wechselerfahrung oder der Befürchtung, dass eine Portierung sehr komplex ist und Daten und Informationen verloren gehen könnten [5].
Des Weiteren impliziert der restriktivere Ansatz des Begriffs „bereitgestellt“ des Art. 20 (1) DSGVO eine bewusste Handlung des Nutzers, sodass nur rezipierte Daten, die direkt vom Individuum bereitgestellt werden, berücksichtigt werden können. Ein umfassenderer Ansatz, der sowohl rezipierte als auch beobachtete Daten einbezieht, würde jedoch dem Gesamtziel des RaDÜ gerechter werden. Zudem mangelt es nicht nur an einer klaren Definition über das erforderliche „strukturierte[n], gängige[n] und maschinenlesbare[n] Format“ Art. 20 (1) DSGVO, sondern diese Spezifikationen stellen eher ein gefordertes Minimum dar, da das übergeordnete Ziel darin besteht, die Interoperabilität von Daten zu erleichtern [6].
Ebenfalls ungeklärt bleibt die Frage, wie eine direkte Übertragung zwischen Diensten aus technischer Sicht funktionieren soll, da die genaue Umsetzung des RaDÜ vom Gesetzgeber nicht klar definiert wurde. Fehlende Standardisierung, Kompatibilität und Interoperabilität erschweren den Datentransfer zwischen verschiedenen ODA und schaffen zusätzlich Raum für Identitätsdiebstahl bzw. -missbrauch, da die Umgehung eines einzigen Authentifizierungsschritts bereits den Zugriff zu umfangreichen und sensiblen Nutzerdaten ermöglichen kann [7][8]. Zudem sollte sichergestellt werden, dass die Benutzeroberfläche und die Designentscheidungen eine einfache Bedienung und Zuverlässigkeit gewährleisten, um zu vermeiden, dass Personen dazu verleitet werden, unbeabsichtigte und potenziell schädliche Optionen zu wählen [9][10]. Interdependente Datenschutzüberlegungen stellen eine weitere Herausforderung dar, da hierbei die Daten mit mehreren Personen verknüpft sind, z. B. bei sozialen Verbindungen [11][12].
Forschung
Am bidt wird im Projekt „Bewusstsein, Motivation und Implementierung von Datenportabilität – Stärkung radikaler und disruptiver Innovationen durch verbesserte Datenportabilität“ untersucht,
- wie psychologische Faktoren das Bewusstsein für und die Akzeptanz von Datenportabilität beeinflussen,
- welche Präferenz und Akzeptanz Nutzer gegenüber Datenportabilitätslösungen hegen,
- wie sich ökonomische Anreize auf Nutzende und ODA auswirken,
- welche Gestaltungsprinzipien notwendig sind,
- welche Möglichkeiten zur Anwendung des RaDÜ bestehen,
- welche Lösungsvorschläge es für die praktischen Herausforderungen des Rechts gibt.
Weiterführende Links und Literatur
Weitere Information finden sich auf den Seiten des bidt:
- bidt-Blog: „Datenportabilität – Bedeutdungsvoll, aber kaum bekannt“
- bidt-Lexikon: „Datenportabilität“
Literaturempfehlungen:
Quellen
[1] De Hert, P., Papakonstantinou, V., Malgieri, G., Beslay, L., & Sanchez, I. (2018). The right to data portability in the GDPR: Towards user-centric interoperability of digital services. Computer Law & Security Review, 34(2), 193–203.
[2] Richtlinie 2003/98/EG über die Weiterverwendung von Informationen des öffentlichen Sektors.
[3] Syrmoudis, E., Mager, S., Kuebler-Wachendorff, S., Pizzinini, P., Grossklags, J., & Kranz, J. (2021). Data Portability between Online Services: An Empirical Analysis on the Effectiveness of GDPR Art. 20. Proceedings on Privacy Enhancing Technologies, 3, 351–372.
[4] Special Eurobarometer 487a: The General Data Protection Regulation.
[5] bidt-Blog: Datenportabilität – Bedeutungsvoll, aber kaum bekannt.
[6] Article 29 Data Protection Working Party: Guidelines on the right to data portability.
[7] Di Martino, M., Robyns, P., Weyts, W., Quax, P., Lamotte, W., & Andries, K. (2019). Personal Information Leakage by Abusing the {GDPR}’Right of Access‘. Paper presented at the Fifteenth Symposium on Usable Privacy and Security.
[8] Grossklags, J., Christin, N., & Chuang, J. (2008). Secure or insure? A game-theoretic analysis of information security games. Paper presented at the Proceedings of the 17th international conference on World Wide Web.
[9] Bridges, F., Appel, L., & Grossklags, J. (2012). Young adults‘ online participation behaviors: An exploratory study of web 2.0 use for political engagement. Information Polity, 17(2), 163–176.
[10] Mathur, A., Acar, G., Friedman, M. J., Lucherini, E., Mayer, J., Chetty, M., & Narayanan, A. (2019). Dark patterns at scale: Findings from a crawl of 11K shopping websites. Proceedings of the ACM on Human-Computer Interaction, 3(CSCW), 1–32.
[11] Pu, Y., & Grossklags, J. (2017). Valuating friends’ privacy: Does anonymity of sharing personal data matter? Paper presented at the Thirteenth symposium on usable privacy and security.
[12] Weidman, J., Aurite, W., & Grossklags, J. (2018). On sharing intentions, and personal and interdependent privacy considerations for genetic data: A vignette study. IEEE/ACM transactions on computational biology and bioinformatics, 16(4), 1349–1361.