Datenportabilität: Eine Gefahr für daten-getriebene Unternehmen?

Die Europäische Kommission beabsichtigte von Beginn an – als Bestandteil eines zukunftsfähigen europäischen Rechtsrahmens – die Ausformung neuer Instrumente in der Datenschutz-Grundverordnung (DSGVO), um den Herausforderungen des digitalen Zeitalters zu begegnen. Ein wesentlicher regulatorischer Gesichtspunkt der Grundverordnung liegt darin, die rechtliche Stellung der Betroffenen zu stärken, ihnen die Kontrolle über die sie betreffenden Verarbeitungsprozesse zu erleichtern. Zeugnisse dieser Zielsetzung sind z. B. die Pflicht der verantwortlichen Stellen, den Betroffenen Datenschutzverstöße zu melden, das Recht auf „Vergessenwerden“ sowie das Recht auf Datenportabilität bzw. Datenübertragbarkeit. Das letztgenannte Recht sollte den Nutzern von sozialen Netzwerken ursprünglich den Wechsel zu einem anderen Anbieter erleichtern, indem ihnen die Möglichkeit zur Übertragung „ihrer Daten“ eröffnet wird.

Im finalen Kompromisstext zur DSGVO, auf den sich die Parteien des informellen Trilogs am 15.12.2015 geeinigt haben, ist nun allerdings ein generelles Recht auf Datenportabilität enthalten. Die gewählte Formulierung rückt die Frage nach dem Anwendungsbereich der Vorschrift, der wesentlich weitreichender als erwartet ausfallen könnte, sowie die potentiellen Implikationen für die daten-getriebene Wirtschaft in den Vordergrund. Die Signifikanz der Fragestellung folgt insbesondere daraus, dass zwar einerseits die ökonomische Bedeutung der Daten, einschließlich der personenbezogenen Nutzerdaten, als wichtiger Wettbewerbsfaktor zunehmend ansteigt, andererseits kein kohärentes Konzept der Inhaberschaft an ihnen als virtuelle Vermögenswerte besteht. Aus diesem Grunde ist es für die betreffenden Unternehmen, insbesondere für jene mit daten-getriebenen Geschäftsmodellen, von essentieller Bedeutung, dass das Recht auf Datenportabilität in seiner Reichweite nicht ausufernd ausgeformt ist. Ansonsten besteht die Gefahr, dass bei der Ausübung des Rechts Geschäftsgeheimnisse offengelegt werden.*

 

1. Das Recht auf Datenportabilität

Artikel 18 DSGVO eröffnet dem Betroffenen das Recht, „die sie betreffenden personenbezogenen Daten, die sie einem für die Verarbeitung Verantwortlichen bereitgestellt hat, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten, und […] das Recht, diese Daten einem anderen für die Verarbeitung Verantwortlichen ohne Behinderung durch den für die Verarbeitung Verantwortlichen, dem die Daten bereitgestellt wurden, zu übermitteln […]“.

Der Anwendungsbereich der Vorschrift beschränkt sich auf Verarbeitungsprozesse, welche auf die Einwilligung des Betroffenen gestützt werden oder zur Durchführung eines Vertrages, dessen Vertragspartei die betroffene Person ist, erforderlich sind. Das Instrument kommt demzufolge nicht zur Anwendung, wenn die Datenverarbeitung auf einer anderen rechtlichen Grundlage oder sogar im öffentlichen Interesse vorgenommen wird, z. B. um einer gesetzlichen Verpflichtung nachzukommen, welche sich an die verantwortliche Stelle richtet, oder in Ausübung öffentlicher Gewalt, die dem für die Verarbeitung Verantwortlichen übertragen wurde.

 

Darüber hinaus dürfen im Rahmen der Offenlegung die Grundfreiheiten und Grundrechte Dritter nicht außer Betracht bleiben. Nicht selten werden Datensätze die personenbezogenen Daten Dritter enthalten. Der für die Verarbeitung Verantwortliche hat davon ausgehend zu beachten, dass sich das Recht der betroffenen Person naturgemäß nicht auf solche Informationen erstrecken kann.

Des Weiteren gilt es zu beachten, dass die von der Verarbeitung betroffenen Personen nicht nur die Bereitstellung der Daten in einem interoperablen Format verlangen kann. Das Recht auf Datenübertragbarkeit erstreckt sich überdies auf die direkte Übermittlung der Daten an eine vom Betroffenen ausgesuchte verantwortliche Stelle.

2. Zugrundeliegende Zielsetzung

Aus dem Erwägungsgrund 55 der DSGVO folgt die regulatorische Richtschnur, die Kontrolle der von Verarbeitungsprozessen Betroffenen über ihre eigenen Daten zu erhöhen. Davon ausgehend überrascht die Aufnahme des Instruments in den Rechtsrahmen der DSGVO in gewissem Maße, weil es sich bei der Inhaberschaft an Daten um keine im Kern datenschutzrechtliche Fragestellung handelt. Das Instrument adressiert den sogenannten „Lock-in-Effekt“, der z. B. in sozialen Netzwerken auftreten kann. Das Phänomen lässt sich als potentielles Ungleichgewicht zwischen den Nutzern von sozialen Netzwerken (sowie unter Umständen auch anderer Dienste) und den Betreibern solcher Plattformen beschreiben. Die Kräfteasymmetrie kann dazu führen, dass die Nutzer vor einem Anbieterwechsel abgehalten werden. Die Regelung lässt sich davon ausgehend eher dem Wettbewerbs- als dem Datenschutzrecht zuordnen. Ein Bezug zum informationellen Selbstbestimmungsrecht des Betroffenen kann allerdings dann auftreten, wenn das Ungleichgewicht dazu führt, dass ein Nutzer vor die Wahl gestellt wird, entweder neue sowie überflüssige Datenverarbeitungsprozesse zu akzeptieren oder aber vor dem Hintergrund des hohen Arbeitsaufwandes, der in der Übermittlung der Datenbestände liegt, zu einem anderen Wettbewerber zu wechseln. Vor diesem Hintergrund wird der Zweck des Instruments deutlich. Es soll verhindern, dass eine verantwortliche Stelle den beschriebenen Lock-in-Effekt ausnutzt, um in unlauterer Weise seine Datenverarbeitungsprozesse auszuweiten.

3. Implikationen für die Wirtschaft

Die Auswirkungen des Rechts auf Datenportabilität auf Geschäftsmodelle im Internet sind nicht zu überschätzen. Das folgt schon aus der allgemeinen Formulierung des Artikels 18 DSGVO, auf die sogleich näher eingegangen wird. Von entscheidender Bedeutung wird es in diesem Zusammenhang sein, dass sowohl die verpflichteten Unternehmen als auch die Datenschutzbehörden und die zuständigen Gerichte eine differenzierte Herangehensweise wählen und das Instrument vor dem Hintergrund der erheblichen ökonomischen Implikationen in der Anwendung auf die Fälle beschränken, in denen der Schutz des Rechts der Privatsphäre der betroffenen Person es erfordert. Im Einzelnen:

  • Betroffene Unternehmen: Artikel 18 DSGVO richtet sich ausdrücklich an die „für die Verarbeitung Verantwortlichen“, insofern das Recht auf Datenportabilität nicht auf Auftragsdatenverarbeiter, also Dienstleister, die Datenverarbeitungen weisungsgebunden und ohne Entscheidungsfreiheit durchführen, Anwendung findet. In den meisten Fällen sind Cloud-Anbieter sowie IT-Service-Provider als Auftragsdatenverarbeiter einzustufen, sodass sie von der Vorschrift nicht unmittelbar betroffen sein werden. Die Regelung kann sich allerdings durchaus mittelbar auf die erwähnten Wirtschaftssubjekte auswirken, wenn der für die Verarbeitung Verantwortliche sich im Falle eines Anspruchsbegehrens im Hinblick auf die Übermittlung der betreffenden Daten an sie als Dienstleister wendet. Vor diesem Hintergrund erscheint es sinnvoll, dass Auftragsdatenverarbeiter ihre Verträge hinsichtlich der Pflicht zur Datenübermittlung im Falle von Anspruchsbegehren nach Artikel 18 DSGVO

Im Hinblick auf den weiten Anwendungsbereich der Vorschrift ist überdies darauf zu verweisen, dass das Recht der betroffenen Personen auf Datenportabilität im Kontext mit sozialen Netzwerken diskutiert wurde, die finale Ausformung des Instruments in der DSGVO allerdings nicht auf die Betreiber solcher Plattformen beschränkt geblieben ist. Vielmehr kann jedes Geschäftsmodell, in dessen Rahmen personenbezogene Daten erhoben werden, vom Anwendungsbereich der Vorschrift erfasst sein. Dies ist insbesondere deshalb zu kritisieren, weil der beschriebene Lock-in-Effekt aller Wahrscheinlichkeit nach lediglich in bestimmten Geschäftsmodellen und auftreten wird und demnach kein allgemeines – jede Datenverarbeitung betreffendes – Problem darstellt.

  • Betreffende Datenverarbeitungsprozesse: Das Recht auf Datenportabilität bezieht sich lediglich auf Verarbeitungen, die auf der Grundlage der Einwilligung der betroffenen Personen oder einer vertraglichen Beziehung zu ihnen beruhen. Demzufolge besteht die Verpflichtung zur Übermittlung der Daten nicht, wenn die Verarbeitung auf einer anderen Grundlage, z. B. auf einer Interessenabwägung im Sinne des Artikel 6 Absatz 1 Buchstabe f DSGVO, durchgeführt wird. Eine solche sachliche Einschränkung des Anwendungsbereichs ist zwar sinnvoll. Dagegen ist es unklar, wie eine Situation zu bewerten ist, in der die Verarbeitung personenbezogener Daten zugleich auf mehrere Rechtsgrundlagen gestützt wird – ein durchaus übliches Szenario. So kann etwa die Verarbeitung von bestimmten personenbezogenen Daten für die Durchführung eines Vertrages erforderlich sein, während dies für andere Daten aus demselben Datensatz nicht gilt; deren Verarbeitung kann aber z. B. auf der Grundlage einer Interessenabwägung zulässig sein. In dieser Hinsicht lässt sich auf zahlreiche Anschauungsbeispiele verweisen: Das können etwa aus dem E-Commerce hervorgegangene Verbraucherdaten sein. Die beschriebene Situation wird regelmäßig auch im Hinblick auf Beschäftigtendaten vorliegen. In zahlreichen Fällen wird es sich um vermischte Datensätze handeln, die etwa auf Einwilligungen, Arbeitsverträgen oder den berechtigten Interessen des Arbeitgebers basieren. Davon ausgehend sollten die verantwortlichen Stellen im Hinblick auf jedes Anspruchsbegehren überprüfen, auf welcher Rechtsgrundlage die betreffenden personenbezogenen Daten verarbeitet wurden.
  • Betreffende Daten: Das Recht auf Datenportabilität bezieht sich überdies lediglich auf personenbezogene Daten, welche die betroffene Person dem für die Verarbeitung Verantwortlichen bereitgestellt hat. Es geht hieraus allerdings nicht deutlich hervor, welche Datenarten das Recht umfasst. Angemessen erscheint insoweit allerdings eine restriktive Auslegung, die nur Inhaltsdaten in den Anwendungsbereich fallen lässt. Unter diesen Begriff fallen solche Daten, die als Inhalte vom Nutzer an den Anbieter online übermittelt werden – z. B. die vom Nutzer eines sozialen Netzwerks in ein Profil eingetragene und damit dem Betreiber des Netzwerks übermittelte Daten. Andernfalls besteht die Gefahr, dass die Verpflichtung zur Datenübermittlung zu weit geht und sich auf Sachgebiete erstreckt, in denen keine „Lock-in-Effekte“ auftreten können – z. B. auf die einem Arbeitgeber zur Bewerbung oder einem E-Commerce-Anbieter im Rahmen eines Bestellvorgangs übermittelten Daten.

Von den dargelegten rechtlichen Unsicherheiten ausgehend sollten die betroffenen Unternehmen bei der Bewertung ihrer Übermittlungspflicht mit besonderer Vorsicht vorgehen. In Abhängigkeit vom konkreten sachlichen Anwendungsbereich der Vorschrift können sich für die Adressaten der Vorschrift weitere Kosten ergeben, etwa wenn Anpassungen der IT-Systeme erforderlich werden.

  • Beschränkungen und Ausnahmen: Das Recht auf Datenportabilität enthält keinerlei Ausnahmen. Demzufolge können die verantwortlichen Stellen den Anspruchsbegehren der von der Verarbeitung Betroffenen auch keine im Einzelfall durchaus denkbare berechtigte Interessen entgegenhalten. Die betreffenden Daten können z. B. über einen substantiellen ökonomischen Wert verfügen oder aber Geschäftsgeheimnisse der verantwortlichen Stelle enthalten. Die einzige Möglichkeit der verantwortlichen Stelle in derartigen Fällen ist es, sich auf die oben dargelegten (potentiellen) „inhärenten Beschränkungen“ der Vorschrift zu berufen, z. B. im Hinblick auf die betroffenen Unternehmen, die vom Anwendungsbereich umfassten Daten oder die adressierten Datenverarbeitungsprozesse.
  • Technische Realisierbarkeit: Aus dem Recht auf Datenportabilität geht nicht die Verpflichtung der verantwortlichen Stelle hervor, seine Datenverarbeitungsprozesse auf eine konkrete Art technisch auszurichten. Allerdings gilt es in diesem Zusammenhang zu bedenken, dass die betroffene Person „ohne Behinderung durch den für die Verarbeitung Verantwortlichen“ die Übermittlung der Daten verlangen darf, „soweit dies technisch machbar ist“. Es verbleibt diesbezüglich die rechtliche Unsicherheit, in welchen Fällen von der technischen Realisierbarkeit bzw. einer ungerechtfertigten Behinderung auszugehen ist. Es ist davon auszugehen, dass nicht die informationstechnischen Systeme der verantwortlichen Stelle der Beurteilungsmaßstab sein werden, sondern der Marktstandard den Orientierungspunkt darstellen wird. Davon ausgehend kann die verantwortliche Stelle im Einzelfall im Einzelfall dazu verpflichtet werden, die eigenen Informationstechnischen Systeme an den Stand der Technik des betreffenden Marktes auszurichten, um die Pflicht zur Datenübermittlung erfüllen zu können.
  • Löschung und weitere Aufbewahrung der Daten: Einerseits darf das Recht der betroffenen Personen auf Löschung ihrer personenbezogenen Daten in keiner Form vom Recht zur Datenportabilität beeinträchtigt werden. Andererseits, dies ist für die betroffenen Unternehmen von essentieller Bedeutung, impliziert das Recht auf Datenportabilität keine Pflicht zur Löschung von Daten, die noch für die Durchführung des Vertrages oder für die Erfüllung von gesetzlichen Pflichten erforderlich sind. Insofern sind die verpflichteten Unternehmen in Zukunft dazu angehalten, hinsichtlich jeder Anfrage zu überprüfen, ob für die betreffenden Daten gesetzliche Aufbewahrungspflichten bestehen.

4. Stellungnahme

Daten stellen die wesentliche Grundlage der globalisierten digitalen Wirtschaft dar – die DSGVO zielt darauf ab, datenschutzrechtliche Fragestellungen bei allen die Verarbeitung von personenbezogenen Daten betreffenden Geschäftsvorgängen in den Vordergrund zu rücken. Demzufolge wird die datenschutzrechtliche Compliance aus dem europäischen Regulierungsrahmen als signifikante Herausforderung an die Wirtschaftssubjekte dieses Ökosystems hervorgehen. In diesem Kontext wird auch das Recht auf Datenportabilität zu beachten sein. Allerdings gehen die Implikationen dieses Instruments, vor allem die ökonomische Tragweite von Datenübermittlungen an Konkurrenten, weit über das informationelle Selbstbestimmungsrecht der betroffenen Personen hinaus. Davon ausgehend sollten die vom Anwendungsbereich der Vorschrift erfassten Unternehmen die für sie in Zukunft aus dem Recht auf Datenportabilität folgenden Verpflichtungen eingehend analysieren, um die eigene Marktposition nicht unnötig zu gefährden, indem etwa Geschäftsinterna offenbart werden. Vor dem Hintergrund der potentiellen Sanktionsmöglichkeiten der DSGVO stehen die betroffenen Wirtschaftssubjekte vor einer äußerst anspruchsvollen Aufgabe.

 

* Erstveröffentlichung in E-Commerce Law & Policy  (Ausgabe 2/2016)

Dr. Flemming Moos
Geposted von Dr. Flemming Moos

<p>Dr. Flemming Moos ist auf das Datenschutz- und IT-Recht spezialisiert und berät seit über 15 Jahren nationale und internationale Unternehmen der Technologieindustrie sowie deren Kunden.</p>

Kommentieren

Pflichtfelder sind markiert*