Pfef­fer­les Open Web

SCREENGUIDE - - Inneres - TEXT: Mat­thi­as Pfef­fer­le

Kolumne: Das Recht auf Da­ten­über­trag­bar­keit in der DSGVO

Fast genau zehn Jah­re nach der gro­ßen Da­ta­Por­ta­bi­li­ty-Be­we­gung wird das „Recht auf Da­ten­über­trag­bar­keit” nun ein fes­ter Be­stand­teil der eu­ro­päi­schen Da­ten­schutz-Gr­und­ver­ord­nung (DSGVO). Die Ge­set­zes­tex­te zu dem The­ma sind sehr va­ge ge­hal­ten und er­lau­ben ei­nen gro­ßen In­ter­pre­ta­ti­ons­spiel­raum. Wie genau ih­re wirk­li­che Um­set­zung aus­sieht, bleibt ab­zu­war­ten.

Die Da­ten­schutz-Gr­und­ver­ord­nung (kurz DSGVO) ist ei­ne Ver­ord­nung der Eu­ro­päi­schen Uni­on, mit der die Re­geln zur Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Da­ten durch pri­va­te Un­ter­neh­men und öf­fent­li­che Stel­len EU-weit ver­ein­heit­licht wer­den. Sie be­inhal­tet The­men wie die „In­for­ma­ti­ons­pflicht”, das „Recht auf Aus­kunft zu per­so­nen­be­zo­ge­nen Da­ten” und das „Recht auf Ver­ges­sen­wer­den” [dsgvo-ge­setz.de/ka­pi­tel-3]. Die meis­ten Punk­te wer­den schon aus­führ­lich im Netz dis­ku­tiert, wes­halb ich auch nicht wei­ter auf sie ein­ge­hen möch­te. Ein Punkt, der bis­her aber eher sel­ten an­ge­spro­chen wur­de, ist Ar­ti­kel 20 – „Recht auf Da­ten­über­trag­bar­keit”: „Die be­trof­fe­ne Per­son hat das Recht, die sie be­tref­fen­den per­so­nen­be­zo­ge­nen Da­ten, die sie ei­nem Ver­ant­wort­li­chen be­reit­ge­stellt hat, in ei­nem struk­tu­rier­ten, gän­gi­gen und ma­schi­nen­les­ba­ren For­mat zu er­hal­ten, und sie hat das Recht, die­se Da­ten ei­nem an­de­ren Ver­ant­wort­li­chen oh­ne Be­hin­de­rung durch den Ver­ant­wort­li­chen, dem die per­so­nen­be­zo­ge­nen Da­ten be­reit­ge­stellt wur­den, zu über­mit­teln […]” [dsgvo-ge­setz.de/art-20-dsgvo]. In gro­ben Zü­gen wird da­mit die Idee der Da­ta­Por­ta­bi­li­ty-Or­ga­ni­sa­ti­on in ein Ge­setz ge­gos­sen. Die Or­ga­ni­sa­ti­on wur­de 2007 von Chris Saad und Ash­ley An­gell ins Le­ben ge­ru­fen, mit dem Ziel, Da­ten über meh­re­re An­wen­dun­gen hin­weg aus­tausch­bar und nutz­bar zu ma­chen [da­ta­por­ta­bi­li­ty.org]. Die Jah­re 2008 und 2009 wa­ren die gro­ße Zeit von Da­ta­Por­ta­bi­li­ty.org, und vie­le nam­haf­te Fir­men wie Face­book, Yahoo, Goog­le und Mi­cro­soft be­tei­lig­ten sich an der Initia­ti­ve. Iro­ni­scher­wei­se schei­ter­te die Da­ta­Por­ta­bi­li­ty-Idee an ganz ähn­li­chen Pro­ble­men, vor de­nen auch die DSGVO steht.

INTEROPERABILITÄT

Die von der Bun­des­re­pu­blik Deutsch­land ge­grün­de­te „Stif­tung Da­ten­schutz” ist ei­ne un­ab­hän­gi­ge Ein­rich­tung zur För­de­rung des Pri­vat­sphä­ren­schut­zes. Sie be­schäf­tigt sich ak­tu­ell mit prak­ti­schen Um­set­zungs­stra­te­gi­en und der tech­ni­schen Gestal­tung des Ge­set­zes [stif­tung­da­ten­schutz.org]. Im Do­ku­ment „Das Recht auf Da­ten­por­ta­bi­li­tät, Ratgeber für Un­ter­neh­men” wei­sen sie auf wich­ti­ge De­tails des Ar­ti­kels 20 der DSGVO hin [goo.gl/8jm­kA5]. Der ers­te Punkt, auf den die Stif­tung Da­ten­schutz ein­geht, ist die Interoperabilität der Da­ten. Laut der DSGVO sol­len die Da­ten in ei­nem „struk­tu­rier­ten, gän­gi­gen und ma­schi­nen­les­ba­ren For­mat” be­reit­ge­stellt wer­den, ei­ne ge­naue Spe­zi­fi­ka­ti­on ist aber nicht Be­stand­teil von Ar­ti­kel 20. Ei­ne Emp­feh­lung der Stif­tung ist, als Ba­sis das CSV-For­mat zu nut­zen und, ab­hän­gig von der Kom­ple­xi­tät, XML oder JSON als Al­ter­na­ti­ve zu be­rück­sich­ti­gen. Die Da­ta­Por­ta­bi­li­ty-Be­we­gung war in die­sem Fall schon we­sent­lich wei­ter und de­fi­nier­te 2007 ei­ne De-fac­to-Stan­dar­di­sie­rung ver­schie­de­ner For­ma­te. Bei dem Aus­tausch der For­ma­te schei­ter­te die Be­we­gung aber. Goog­le und Yahoo stell­ten ih­re Da­ten zwar stan­dar­di­siert be­reit, bo­ten aber kei­ne Mög­lich­keit, die­se auf der an­de­ren Sei­te auch wie­der zu im­por­tie­ren [goo.gl/3FjJ48].

Da­ten­por­ta­bi­li­tät ist die Fä­hig­keit für Be­nut­zer, ih­re Da­ten über in­ter­ope­ra­ble

An­wen­dun­gen hin­weg wie­der­zu­ver­wen­den. Mis­si­on-State­ment der Da­ta­Por­ta­bi­li­ty-Or­ga­ni­sa­ti­on [da­ta­por­ta­bi­li­ty.org]

Chris Saad schrieb im April 2010 da­zu: „Of­fen ist nicht län­ger ge­nug. […] Wir müs­sen die Mess­lat­te hö­her le­gen und be­gin­nen, in­ter­ope­ra­ble Da­ta Por­ta­bi­li­ty an­zu­stre­ben” [goo.gl/b7a1Cf]. Der Ar­ti­kel 20 der DSGVO schreibt da­zu in Ab­satz 2: „Bei der Aus­übung ih­res Rechts auf Da­ten­über­trag­bar­keit ge­mäß Ab­satz 1 hat die be­trof­fe­ne Per­son das Recht, zu er­wir­ken, dass die per­so­nen­be­zo­ge­nen Da­ten di­rekt von ei­nem Ver­ant­wort­li­chen ei­nem an­de­ren Ver­ant­wort­li­chen über­mit­telt wer­den, so­weit dies tech­nisch mach­bar ist.” Nut­zer sol­len da­durch die Mög­lich­keit er­hal­ten, ih­re Da­ten zu ex­por­tie­ren, sie aber auch di­rekt zu ei­nem neu­en Di­enst zu über­tra­gen. Bei­spie­le, die in die­sem Zu­sam­men­hang er­wähnt wer­den, sind Mu­sik-Play­lis­ten oder Ver­si­che­rungs­da­ten. Laut Stif­tung Da­ten­schutz sind Di­ens­te aber nicht da­zu ge­zwun­gen, die Da­ten auch an­zu­neh­men und zu ver­ar­bei­ten: „Neue An­bie­ter, wel­che auf Wunsch des Kun­den die Da­ten von die­sem selbst oder von des­sen frü­he­ren Di­enst­an­bie­ter er­hal­ten sol­len, sind zur An­nah­me oder Ver­ar­bei­tung der Da­ten­sät­ze nicht ver­pflich­tet.” Die Stif­tung Da­ten­schutz hebt au­ßer­dem den letz­ten Ne­ben­satz des zwei­ten Ab­sat­zes her­vor: „So­weit tech­nisch mach­bar”. Sie schreibt da­zu: „Hier­zu gibt es bis­lang kei­ne ob­jek­ti­ven Kri­te­ri­en für die ‚Mach­bar­keit’. Es muss viel­mehr im Ein­zel­fall und un­ter der Be­rück­sich­ti­gung des Ver­hält­nis­mä­ßig­keits­grund­sat­zes ei­ne Ab­wä­gung vor­ge­nom­men wer­den.” Streng ge­nom­men ist die DSGVO bei der De­fi­ni­ti­on wie­der ma­xi­mal auf dem Stand von 2008 und kann in Ein­zel­fäl­len nicht ein­mal ga­ran­tie­ren, ob das Ge­setz wirk­lich zum Tra­gen kommt.

WAS SIND PER­SÖN­LI­CHE DA­TEN?

„In der Ent­ste­hungs­ge­schich­te des Rechts hat­te der Ge­setz­ge­ber vor al­lem die gro­ßen so­zia­len Netz­wer­ke vor Au­gen, bei de­nen ein An­bie­ter­wech­sel oh­ne Ver­lust ei­ge­ner Da­ten oft nur schwer zu be­werk­stel­li­gen ist und da­her nur sel­ten vor­ge­nom­men wird”, schreibt die Stif­tung Da­ten­schutz wei­ter. Der Kern ei­nes so­zia­len Netz­werks sind die Kon­tak­te ei­nes Nut­zers und die Re­ak­tio­nen die­ser Kon­tak­te auf des­sen In­hal­te. Laut Ge­setz­ge­ber sind das aber genau die Da­ten, die nicht ge­teilt wer­den dür­fen. Ar­ti­kel 20, Ab­satz 4: „Das Recht ge­mäß Ab­satz 2 darf die Rech­te und Frei­hei­ten an­de­rer Per­so­nen nicht be­ein­träch­ti­gen.” Die Stif­tung nennt kon­kre­te Bei­spie­le für Da­ten, die nicht ex­por­tiert wer­den dür­fen: „Die Mit­nah­me von Face­book‚Freun­den’ zu Ins­ta­gram oder Xing, Über­tra­gung des In­halts ei­nes Chat zu ei­nem an­de­ren Mes­sen­ger-Di­enst.” Auch in die­sem Fall war der Da­ta­Por­ta­bi­li­ty-Dis­kurs wei­ter. Be­kann­te Per­sön­lich­kei­ten wie Ro­bert Sco­b­le (be­kann­ter Blog­ger und Pod­cas­ter) und Micha­el Ar­ring­ton (Grün­der von Tech­crunch) dis­ku­tier­ten 2008 öf­fent­lich über den Be­sitz von Kon­takt­da­ten und wie bzw. ob man sie por­ta­bel ma­chen kann [goo.gl/TjLeCQ] [goo.gl/qBMm6e]. In Ko­ope­ra­ti­on mit der „Kant­ara-Initia­ti­ve”, ei­ner Non-Pro­fitOr­ga­ni­sa­ti­on mit dem Fo­kus auf Di­gi­tal Iden­ti­ty, ent­wi­ckel­te die Da­ta­Por­ta­bi­li­ty-Or­ga­ni­sa­ti­on au­ßer­dem ei­ne ers­te Spe­zi­fi­ka­ti­on, um das ver­teil­te und kom­ple­xe Rech­te­ma­nage­ment ei­nes so­zia­len Netz­werks über ei­ne API ab­zu­bil­den [goo.gl/PT5wk4].

FA­ZIT

Ich mag die Idee, Da­ta-Por­ta­bi­li­ty fest in der Da­ten­schutz-Gr­und­ver­ord­nung zu ver­an­kern, bin aber et­was skep­tisch, was die Um­set­zung an­geht. Es scheint so, als wür­de die gan­ze Dis­kus­si­on neu ge­führt wer­den, oh­ne auf die Pro­ble­me und Er­kennt­nis­se von 2008 und 2009 ein­zu­ge­hen. Wie sinn­voll ist es, den Ex­port der Da­ten zu „er­zwin­gen”, den Im­port aber auf frei­wil­li­ger Ba­sis zu be­las­sen? Auch die In­ter­pre­ta­ti­on der Stif­tung Da­ten­schutz, Kon­tak­te dürf­ten nicht por­ta­bel sein, bie­tet bei so­zia­len Netz­wer­ken kei­nen wirk­li­chen Mehr­wert. Hier wür­de ich mir wün­schen, dass der Dis­kurs auf ei­ner tech­ni­schen Ba­sis bzw. über ei­ne Mach­bar­keits­stu­die ge­führt wer­den wür­de, statt die Funk­tio­na­li­tät ge­ne­rell aus­zu­schlie­ßen. Ich ver­ste­he auch den Zu­satz „So­weit tech­nisch mach­bar”. Es ist wich­tig, den Auf­wand durch Da­ta-Por­ta­bi­li­ty im Ver­hält­nis zu den Res­sour­cen ei­nes klei­nen Start-ups zu se­hen. Es ist aber auch wich­tig, dass die DSGVO hier kei­ne ge­setz­li­che Hin­ter­tür schafft, durch die die Vor­ga­ben ge­ne­rell um­gan­gen wer­den kön­nen. Letzt­end­lich bleibt ab­zu­war­ten, wie das Ge­setz in­ter­pre­tiert bzw. um­ge­setzt wird. Ich hof­fe nur, dass sich die Stif­tung Da­ten­schutz beim The­ma „struk­tu­rier­tes, gän­gi­ges und ma­schi­nen­les­ba­res For­mat” noch ein­mal be­ra­ten lässt und die Emp­feh­lung des CSVFor­mats über­denkt! Bis zum nächs­ten Mal!

Abb. 1: Hugh MacLeod über die Dis­kus­si­on zwi­schen Ro­bert Sco­b­le und Micha­el Ar­ring­ton (2008) [goo.gl/33Ks­sL]

Newspapers in German

Newspapers from Germany

© PressReader. All rights reserved.