Datenportabilität:

Noch viele offene Fragen

Foto: CC-By 2.0 Flickr User Johan Larsson. Bildname: Dropbox. Ausschnitt bearbeitet.

Knapp acht Monate bevor die Regeln der Datenschutz-Grundverordnung (DS-GVO) ab dem 25. Mai 2018 wirksam werden, gibt es weiterhin viele Meinungsverschiedenheiten darüber, was die Vorschriften bedeuten und wie sie umgesetzt haben. Das wurde bei einer Diskussionsrunde der Stiftung Datenschutz am 10. Oktober an einem Beispiel besonders klar: Über das neue Recht der „Datenportabilität“ diskutierten Vertreter von Bundesjustizministerium (BMJV), der Bundesdatenschutzbeauftragen (BfDI) und der Deutschen Telekom.

Dabei wurde deutlich, dass nahezu jeder Halbsatz des Artikel 20 der DS-GVO, in dem die Datenportabilität geregelt ist, umstritten ist und unklar bleibt, was Nutzer ab 2018 von Ihrem Anbieter bekommen, wenn sie sich auf das Recht berufen. Der Kern des Artikel 20 lautet

„Die betroffene Person hat das Recht, die sie betreffenden personenbezogenen Daten, die sie einem verantwortlichen bereitgestellt hat, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten, und sie hat das Recht, diese Daten einem anderen Verantwortlichen ohne Behinderung durch den Verantwortlichen, dem die personenbezogenen Daten bereitgestellt wurden, zu übermitteln. […]“

Die Artikel 29-Arbeitsgruppe der Datenschutzbehörden in der EU hat in ihren „Guidelines on the right of data portability“, die am 5. April 2017 aktualisiert wurden, dieses Rechts sehr weitgehend interpretiert – was bei betroffenen Unternehmen wenig Zustimmung findet. Der Konzernbeauftragte für Datenschutz der Deutschen Telekom, Dr. Claus-Dieter Ulmer, nannte die Interpretation der Artikel 29-Gruppe „in vielen Bereichen gar nicht nachvollziehbar“.

Der Streit beginnt schon bei der Auslegung der Formulierung „bereitgestellt“ („provided by“). Konsens ist, dass damit die Daten gemeint sind, die ein Kunde bei Vertragsabschluss angegeben hat: z.B. Name, Adresse, Geburtsdatum. Die Artikel 29-Gruppe zählt aber auch „observed data provided by the data subject by virtue of the use of the service or the device“ dazu. Als Beispiele nennt das Papier die Suchhistorie einer Person, Verkehrsdaten, Geodaten oder Rohdaten wie den von einem Wearable aufgezeichnet Herzschlag.

Der Telekom erscheint es nach den Worten von Ulmer auch aus Kundensicht wenig sinnvoll, eine Milliarde von Verkehrs- und Ortsdaten zur Verfügung zu stellen. Weder sei klar, was der Kunde damit anfangen soll, noch was das mit dem Wechsel zu einem anderen Anbieter zu tun habe.

Nächste Streitfrage: Was ist ein „strukturiertes, gängiges und maschinenlesbares Format?“ Die Artikel 29-Gruppe „strongly encourages cooperation between industry stakeholders und trade associations to work together on a common set of interoperable standards and formats to deliver the requirements of the right to data portability“.

Neue Standards oder PDF und Excel?

Diesem Appell schloss sich Dr. Carsten Hayungs, Referatsleiter Digitale Kundenbeziehungen und Datensouveränität im BMJV an: „Jetzt muss die Wirtschaft von sich aus tätig werden.“ Dem widersprach der Telekom-Beauftragte Ulmer deutlich. Nach der DS-GVO würde zunächst auch ein Excel-Sheet oder ein PDF ausreichen. Und um für viel Geld technische Standards zu implementieren, müsse man erstmal  die Anforderungen rechtssicher kennen. „Da sind die Unternehmen im Moment ziemlich allein gelassen.“ Auch sei noch gar nicht absehbar, wie viele Kunden das neue Recht nutzen würden. Die Telekom erhalte derzeit bei 60 Millionen Kunden lediglich etwa 1.100 Auskunftsersuche pro Jahr. Aus dem Publikum kamen bei der Diskussion der Stiftung Datenschutz noch andere Bedenken gegen Gespräche der Unternehmen zu Austausch-Standards auf eigene Initiative. So könnten die Firmen dabei in Konflikt mit dem Kartellrecht geraten.

Die Leiterin des Telekommunikationsreferates bei der Bundesdatenschutzbeauftragten, Anja Hartmann, versuchte, die weitreichende Auslegung durch die Artikel 29-Gruppe zu erklären. Sie komme durch Unterschiede in den EU-Staaten zu Stande. So hätten Kunden in anderen Ländern schon jetzt das Recht, Verkehrs- oder Standortdaten abzurufen.

„Wenn wir sagen, das geht in Deutschland bisher nicht, dann wird man auf internationalen Konferenzen immer irritiert angeschaut.“

Offene Fragen auch beim Datenschutz

Auch Hartmann als Vertreterin der Aufsichtsbehörde, die ab Mai 2018 die Einhaltung der DS-GVO überwacht, konnte allerdings nicht klären, was denn beim Thema Datenportabilität künftig gilt: „Auch auf der Datenschutz-Seite sind noch viele Fragen offen“, sagte sie und zählte einige Beispiele auf: Wie wird sichergestellt, dass der richtige Nutzer, die Daten abruft? Wie weist der sich aus? Werden die Daten von einem Unternehmer zum anderen transferiert oder dem Nutzer gegeben? Wie sieht die Übertragung aus? Wie werden die Daten verschlüsselt?

Während das Hauptthema der Datenschutz-Kontrolleurin Hartmann und des Telekom-Beauftragten Ulmer der Wechsel von einem Anbieter zum anderen war, hatte BMJV-Referatsleiter Hayungs mehrere Ideen für andere Anwendungen. Er nannte beispielsweise den Uuniwechsel, bei dem Studierende ihre Punkte und Urkunden von der alten zur neuen Hochschule übertragen lassen können oder Patienten, die beim Umzug Daten zu ihrem neuen Hausarzt schicken lassen könnten. Aus dem Publikum kam die Anregung, bei der Umsetzung der Datenportabilität auch neue Geschäftsmodelle zu berücksichtigen. So könnten Besitzer eines Smart Home beispielsweise aufgezeichnete Daten einem Dienstleistergeben, damit der sie analysiert und Vorschläge zum Energiesparen macht. Hayungs forderte die Unternehmen auf, nicht nur im Gesetzesstext zu schauen, welche Mindestpflichten sie erfüllen müssten, sondern das Recht als Datenportabilität als Chance zu sehen, um ihren Kundenservice zu verbessern.

Der vorstehende Artikel erscheint im Rahmen einer Kooperation mit dem Tagesspiegel Politikmonitoring auf UdL Digital. Sascha Klettke ist Chef vom Dienst und Analyst für Netzpolitik.