Das Recht auf Datenübertragbarkeit in der Datenschutz-Grundverordnung
In Art. 18 der geplanten Datenschutz-Grundverordnung (DS-GVO) soll ein Recht auf Datenübertragbarkeit für Betroffene geschaffen werden. Nach Erwägungsgrund 55 geht es der Kommission darum, dass die betroffene Person befugt sein soll, „die von ihr zur Verfügung gestellten Daten von einer automatisierten Anwendung, etwa einem sozialen Netzwerk, auf eine andere Anwendung zu übertragen“. Betroffene sollen dadurch eine bessere Kontrolle über ihre Daten erlangen und die bei einem Anbieter in einem strukturierten gängigen Format abgespeicherte Daten leicht und ohne Behinderung auf einen anderen Anbieter übertragen können. Diese Idee klingt zunächst unterstützenswert und nutzerfreundlich, weshalb sich etwa auch Bürgerrechtsorganisationen für eine Ausweitung dieses Rechts aussprechen.
Hinsichtlich seiner Praxistauglichkeit und seiner derzeit geplanten gesetzgeberischen Ausgestaltung, müssen jedoch Bedenken geäußert werden, die sich schlimmstenfalls in dem Gegenteil des angestrebten Zieles der DS-GVO, nämlich einer Einschränkung des ungehinderten Datenflusses oder einer Nicht-Beachtung des Rechts durch Unternehmen äußern werden.
Artikel 18
Recht auf Datenübertragbarkeit1. Werden personenbezogene Daten elektronisch in einem strukturierten gängigen elektronischen Format verarbeitet, hat die betroffene Person das Recht, von dem für die Verarbeitung Verantwortlichen eine Kopie der verarbeiteten Daten in einem von ihr weiter verwendbaren strukturierten gängigen elektronischen Format zu verlangen.
2. Hat die betroffene Person die personenbezogenen Daten zur Verfügung gestellt und basiert die Verarbeitung auf einer Einwilligung oder einem Vertrag, hat die betroffene Person das Recht, diese personenbezogenen Daten sowie etwaige sonstige von ihr zur Verfügung gestellte Informationen, die in einem automatisierten Verarbeitungssystem gespeichert sind, in einem gängigen elektronischen Format in ein anderes System zu überführen, ohne dabei von dem für die Verarbeitung Verantwortlichen, dem die personenbezogenen Daten entzogen werden, behindert zu werden.
3. Die Kommission kann das elektronische Format gemäß Absatz 1 festlegen sowie die technischen Standards, Modalitäten und Verfahren für die Überführung der personenbezogenen Daten gemäß Absatz 2. Die entsprechenden Durchführungsrechtsakte werden in Übereinstimmung mit dem Prüfverfahren gemäß Artikel 87 Absatz 2 erlassen.
Im Datenschutzrecht fehl am Platz?
Zunächst muss darauf verwiesen werden, dass das Recht auf Datenübertragbarkeit bereits nur partiell etwas mit dem in Art. 8 der Charta der Grundrechte der Europäischen Union (EU-Charta) verbürgten Recht auf den Schutz personenbezogener Daten gemein hat. In der Begründung des Entwurfs der DS-GVO wird die Einführung von Art. 18 DS-GVO mit der Verbesserung des Zugangs zu personenbezogenen Daten begründet. Erwägungsgrund 55 der DS-GVO spricht davon, hiermit das Auskunftsrecht der Betroffenen verbessern zu wollen. Dieses Auskunftsrecht ist in Art. 8 Abs. 2 S. 2 der EU-Charta auch ausdrücklich garantiert. Jedoch nur in der Weise, wie dies bereits derzeit in der geltenden Datenschutz-Richtlinie (DS-RL) in Art. 12 a) festgeschrieben ist, nämlich Auskunft, also Informationen, über die zu einem Betroffenen verarbeiteten personenbezogenen Daten zu erhalten (also welche Datenarten dies sind, die Zweckbestimmung der Verarbeitung oder auch die Empfänger der Daten). Von einem Recht auf Übertragbarkeit, also praktisch die Verkehrsfähigkeit der Daten zu fordern, ist jedoch weder in der EU-Charta noch in der DS-RL die Rede.
„(55) Damit die betroffenen Personen eine bessere Kontrolle über ihre eigenen Daten haben und ihr Auskunftsrecht besser ausüben können, sollten sie im Falle einer elektronischen Verarbeitung ihrer personenbezogenen Daten in einem strukturierten gängigen Format ebenfalls Anspruch auf Erhalt einer Kopie der sie betreffenden Daten in einem gängigen elektronischen Format haben. Die betroffene Person sollte auch befugt sein, die von ihr zur Verfügung gestellten Daten von einer automatisierten Anwendung, etwa einem sozialen Netzwerk, auf eine andere Anwendung zu übertragen. Dies sollte dann möglich sein, wenn die betroffene Person die Daten dem automatisierten Verarbeitungssystem mit ihrer ausdrücklichen Einwilligung oder im Zuge der Erfüllung eines Vertrags zur Verfügung gestellt hat.”
Erwägungsgrund 55 der geplanten Datenschutz-Grundverordnung
Zudem kann man der Stärkung der Kontrolle über eigene Daten zwar einen mittelbaren Schutzcharakter nicht absprechen. Doch stellen sich in Bezug auf den derzeit völlig ungenauen Umfang (dazu unten) viele Folgefragen. Denn wenn es hier darum gehen soll, etwa aus einem sozialen Netzwerke alle Daten mitzunehmen, so bleiben Effekte auf andere Rechtsgebiete (z. B. das Vertragsrecht) nicht aus. Bedeutet die Ausübung des Rechts eine Kündigung des Vertrages oder kann man nach einer Weile wieder seine Daten von dem Konkurrenz-Angebot auf sein altes Konto zurück übertragen? Insbesondere muss darauf aufmerksam gemacht werden, dass eine solche Pflicht für Unternehmen auch Effekte im Wettbewerbsrecht zeigen kann. Die Pflicht zur Verfügungstellung der erforderlichen Schnittstelle und des kompatiblen Formats gilt unterschiedslos, sobald die DS-GVO Anwendung findet. Eine Monopolstellung oder besondere Marktmacht ist nicht erforderlich. Vom Drei-Mann Start-Up bis zu den Internetriesen wird quasi eine „ungehinderte“ Zusammenarbeit der Wirtschaft verpflichtend vorgeschrieben und in den Wettbewerb regulierend eingegriffen.
Personenbezogene Daten und Informationen
Art. 18 Abs. 2 DS-GVO gibt der betroffenen Person das Recht, personenbezogene Daten, „sowie etwaige sonstige von ihr zur Verfügung gestellte Informationen, die in einem automatisierten Verarbeitungssystem gespeichert sind, in einem gängigen elektronischen Format in ein anderes System zu überführen“. Dass sich das Recht auf Übertragbarkeit auf personenbezogene Daten bezieht, ist aufgrund des hierauf beschränkten Anwendungsbereiches der DS-GVO (Art. 2 Abs. 1) verständlich. Für Unsicherheit sorgt jedoch die Erweiterung dieses Rechts auf „etwaige … sonstige Informationen“. Was unter diesen Informationen zu verstehen ist, wird nicht definiert. Allein in Bezug auf den Bereich des Internets lassen sich für jeden Anbieter die verschiedensten Informationsarten finden, welche bei einem anderen Anbieter gar nicht verwendet und unterstützt werden. Was geschieht aber, wenn man seine Informationen teilweise gar nicht übertragen kann, da das ausgesuchte Angebot zwar das erforderliche gängige Format unterstützt, aber diese Informationsart überhaupt nicht verwendet? Zumindest lässt sich Art. 18 Abs. 2 DS-GVO entnehmen, dass die Übertragung nicht von dem Verantwortlichen behindert werden darf, dem die Daten entzogen werden. Bedeutet dies aber im Umkehrschluss, dass eine Behinderung durch den Ziel-Anbieter sehr wohl erlaubt ist? Hierdurch würde jedoch Art. 18 DS-GVO zu einem großen Teil leerlaufen.
Mitwirkungspflicht des Empfängers?
Ebenfalls nicht klar geht aus Art. 18 DS-GVO hervor, inwieweit eine Mitwirkungspflicht des die Daten erhaltenden Anbieters besteht. Art. 18 Abs. 2 DS-GVO spricht von dem Recht die Daten zu „überführen“. Damit aber ein „Überführen“ überhaupt erfolgreich funktioniert, müsste nach dem Wortlaut auch der Datenempfänger verpflichtet sein, die Daten in sein System zu übernehmen. Eine Behinderung dieser Übertragung darf nach Art. 18 Abs. 2 DS-GVO jedoch nur durch den die Daten abgebenden Anbieter nicht erfolgen. Ist also allein dieser in der Pflicht? Der Wortlaut und auch der Sinn und Zweck der Regelung sprechen dagegen, jedoch wäre insoweit eine Klarstellung wünschenswert. Zudem stellt sich eine systematische Frage: Pflichten treffen grundsätzlich den für die Datenverarbeitung Verantwortlichen, also diejnige Stelle, welche „über die Zwecke, Bedingungen und Mittel der Verarbeitung von personenbezogenen Daten entscheidet“ (Art. 4 Abs. 5 DS-GVO). Der die Daten erhaltende Anbieter ist jedoch in Bezug auf die von der Übertragung betroffenen Daten noch kein Verantwortlicher. Denn diese müssen erst einmal in seinen Macht- und Entscheidungsbereich gelangen, damit er etwa über die Zwecke und Mittel ihrer Verarbeitung entscheiden kann. Im Prinzip wird durch Art. 18 DS-GVO daher einem nicht näher definierten Dritten eine datenschutzrechtliche Pflicht auferlegt, bevor er überhaupt Zugriff auf die Daten erhält.
Sanktionen bei Verstoß
Verstößt der Verantwortliche gegen seine Pflicht zur ungehinderten Ermöglichung der Bereitstellung und Übertragung der Daten gemäß Art. 18 DS-GVO, so droht ihm nach Art. 79 Abs. 5 d) DS-GVO eine Geldbuße bis zu 500.000 EUR oder bis zu 1% seines weltweiten Jahresumsatzes. Auch hier stellt sich jedoch erneut eine wichtige Frage in Bezug auf den unklaren Anwendungsbereich. Art. 79 Abs. 5 d) DS-GVO spricht nur von „personenbezogenen Daten“ und dies auch mit Verweis auf den gesamten Art. 18 DS-GVO, also eigentlich auch auf Art. 18 Abs. 2 DS-GVO und die (nicht personenbezogenen) Informationen. Es muss ein Verstoß gegen Art. 18 DS-GVO vorliegen, jedoch die Behinderung nur in Bezug auf personenbezogene Daten. Für Unternehmen und auch Betroffene lässt sich aus derartigen Formulierungen nicht klar entnehmen, welche konkreten Pflichte und Rechten ihnen auferlegt oder zugesprochen werden.
Widersprüche zu dem geplanten EU-Kaufrecht
Zwar werden in Bezug auf das in der DS-GVO aufgeführte Beispiel für einen Anwendungsfall des Rechts auf Übertragbarkeit, die Nutzung eines sozialen Netzwerkes, grundsätzlich keine Kaufverträge zwischen Kunden und Anbieter geschlossen. Dennoch lohnt sich ein Blick in den von der EU-Kommission am 11.10.2011 vorgestellten Vorschlag für eine Verordnung über ein Gemeinsames Europäisches Kaufrecht (EU-KaufR, Kom(2011) 635 endg), denn in der Praxis wird die DS-GVO eben nicht nur den Bereich von Dienst- oder Nutzungsverträgen betreffen, sondern jeden Verantwortlichen, der personenbezogene Daten verarbeitet.
Daten als nicht geldwerte Gegenleistung
In Erwägungsgrund 18 des EU-KaufR wird davon ausgegangen, dass „digitale Inhalte“ durch Unternehmen heutzutage nicht nur gegen die Zahlung eines Preises, sondern vermehrt auch gegen die Bereitstellung einer „nicht geldwerten Gegenleistung wie die Einräumung des Zugangs zu persönlichen Daten“ erfolgen kann. Hier wird also gesetzlich anerkannt, was bereits seit langem klar ist. Im digitalen Umfeld „bezahlen“ die Betroffenen häufig mit ihren Daten. Interessanterweise geht die EU-Kommission jedoch davon aus, dass diese keinen Geldwert besitzen. „Digitale Inhalte“ sind nach Art. 2 j) EU-KaufR Daten, die in digitaler Form bereitgestellt werden, darunter etwa Video-, Audio-, schriftliche Inhalte, digitale Spiele oder Software. Der Anwendungsbereich ist also groß und wird sich mit demjenigen der DS-GVO überlappen.
Kein Preis – keine Rückabwicklung
Im Rahmen der Rückabwicklung von Verträgen, also etwa bei der Abmeldung bei einem Dienst (oder eventuell auch schon bei der Geltendmachung des Rechts auf Datenübertragbarkeit?, siehe oben), bei der es grundsätzlich um die Rückgabe des Erlangten oder um Wertersatz geht, schreibt Art. 173 Abs. 6 EU-KaufR vor, dass bei digitalen Inhalten, welche nicht gegen Zahlung eines Preises bereitgestellt wurden, keine Rückabwicklung stattfindet.
Artikel 173
Zahlung des Geldwerts[…]
6. Bei digitalen Inhalten, die nicht gegen Zahlung eines Preises bereitgestellt wurden, erfolgt keine Rückabwicklung.
Für den oben beschriebenen Fall, der Einräumung des Zugangs zu persönlichen Daten, wäre also eine Rückabwicklung ausgeschlossen. Der Betroffene könnte vom Unternehmen nicht seine Daten herausverlangen, obwohl ihm dies in Art. 18 Abs. 2 DS-GVO, gerade für den Fall des Vorliegens eines Vertrages, gestattet ist. Ein Recht auf Datenübertragbarkeit? Im EU-KaufR ausgeschlossen. Hier wird deutlich, dass sich für die Wirtschaft, aufgrund dieser konträren gesetzlichen Pflichten, Fragen in Bezug auf ein rechtskonformes Vorgehen stellen und Unsicherheiten ergeben werden, sollte es hier nicht zu einer Klarstellung seitens des europäischen Gesetzgebers kommen.
Fazit
Exemplarisch sollten einige Unstimmigkeiten in Bezug auf das geplante Recht auf Datenübertragbarkeit aufgezeigt werden. Weitere Anwendungsschwierigkeiten würde es etwa in Bezug auf die Definition der Begriffe „strukturiert“ und „gängig“ für das Datenformat geben. Zwar wird die Kommission in Art. 18 Abs. 3 DS-GVO ermächtigt, ein strukturiertes Format als bindend vorzugeben. Es stellt sich jedoch die Frage, welches strukturierte Format denn „gängig“ ist bzw. was hierunter überhaupt zu verstehen ist? Allein europaweit gängig, weltweit gängig oder in bestimmten Branchen gängig? Woran kann sich die Kommission also orientieren?
Bis zu einer endgültigen Fassung von Art. 18 DS-GVO, wird es daher noch einiger Anpassungen bedürfen, um dem an sich guten Vorschlag eines Rechts auf Datenübertragbarkeit eine praxistaugliche und damit auch dem Bürger tatsächlich nützende Form zu geben. Es zeigt sich jedoch auch, dass übereilte oder kaum definierte gesetzliche Vorgaben am Ende eventuell mehr Verwirrung und Anwendungsprobleme erzeugen könnten, die durch eine hinter ihnen steckende gute Absicht nicht aufgewogen werden.
Dr. Carlo Piltz ist Referendar in Berlin. Er promovierte zu sozialen Netzwerken im Internet: „Soziale Netzwerke im Internet – Eine Gefahr für das Persönlichkeitsrecht?” und bloggt über Datenschutz im Web 2.0 bei de lege data.
Soko22
Newsletter
In Kooperation mit
Hosting
Aktuelle Artikel
- Wochenrückblick: Microtargeting, NetzDG, Cookie-Banner
- Wochenrückblick: Facebook Fanpages, Presseleistungsschutzrecht, Schufa-Scoring
- Wochenrückblick: Auskunft gegen Altkanzler, EPA, KI-VO
- Veranstaltungsübersicht März 2023
- Wochenrückblick: Menschenrechte, DNS-Resolver, Kryptowährungen
- Wochenrückblick: Facebook Fanpage, Durchsetzung der DSGVO, TikTok-Verbot
- Wochenrückblick: Datenanalyse-Software, BAMF, Desinformation
- Wochenrückblick: Whistleblower-Schutz, Letzte Generation, Faesers Twitter-Account
- Veranstaltungsübersicht Februar 2023
- Wochenrückblick: Replika, Dark Patterns, Websperren