Newsletter Anmeldung

Bleiben Sie mit dem Newsletter immer up to date.

Anfrage
arrow-to-top

Datenübertragbarkeit – Zwischen Abwarten und Umsetzen

02/2023

1 Das Recht auf Datenübertragbarkeit

In der Öffentlichkeit wird mit Datenschutzgesetzen oft der Schutz personenbezogener Daten vor Missbrauch assoziiert. Der europäische Gesetzgeber verband aber sowohl mit der früheren Richtlinie 95/46/EG als auch mit der Datenschutzgrundverordnung (DSGVO) das Ziel, den Datenaustausch im europäischen Binnenmarkt zu erleichtern. Die DSGVO sieht dazu unter anderem das Recht auf Datenübertragbarkeit oder „data portability“ vor, das Betroffenen mehr Kontrolle über die sie betreffenden personenbezogenen Daten geben und gleichzeitig den Datenaustauch zwischen (datenschutzkonformen) Dienstleistern fördern soll. Eines der Ziele dieser Förderung war es, Datenmonopole zu verhindern.

Im Vergleich zum Recht auf Auskunft, das die DSGVO ebenfalls vorsieht und das sich mit dem Recht auf Datenübertragbarkeit überschneidet, liegt der Fokus darauf, dass die Daten direkt – entweder durch die Betroffenen selbst oder durch einen anderen Verantwortlichen – weiterverarbeitet werden können.

Konkret haben Betroffene nach Art. 20 DSGVO das Recht, ihre personenbezogenen Daten auf Verlangen in einem „strukturierten, gängigen und maschinenlesbaren Format“ zu erhalten oder direkt zu einem neuen Verantwortlichen übertragen zu lassen. Voraussetzung dafür ist, dass die Daten von den Betroffenen selbst direkt oder indirekt zur Verarbeitung bereitgestellt wurden. Unter direkt bereitgestellte Daten fallen personenbeziehbare Informationen wie Name, Geburtsdatum oder auch Status-Postings auf Social Media Webseiten. Indirekt bereitgestellte Daten sind solche, die durch die Nutzung eines Dienstes von den Betroffenen erzeugt und vom Anbieter beobachtet werden. Das Recht auf Datenübertragbarkeit ermöglicht es also, eine Kopie (eines Teils) der gesammelten Daten anzufordern. Eine Löschung oder Sperrung geht mit dem Abruf nicht automatisch einher. Die Datenübertragbarkeit dient, so ist es in Erwägungsgrund 68 DSGVO beschrieben, somit nicht der Datenminimierung, sondern allein dem Erleichtern des Kopierens und Verschiebens von Daten. Das Auskunftsrecht nach Art. 15 wiederum zielt im Kern auf die Information der Betroffenen, nicht nur über die verarbeiteten Daten, sondern auch über die Zwecke und Wege der Weiterverarbeitung. Das Recht auf Datenübertragbarkeit wird entsprechend in der Leitlinie der Artikel-29-Datenschutzgruppe als Ergänzung des Auskunftsrechts beschrieben.

Für die Datenübertragbarkeit gelten darüber hinaus auch die Anforderungen, die in anderen Artikeln festgelegt sind. Alle Informationen sollen in präziser, transparenter, verständlicher und leicht zugänglicher Form verfügbar gemacht werden. Hierfür soll eine klare und einfache Sprache gewählt werden, um Missverständnissen vorzubeugen (Art. 12 Abs. 1 DSGVO). Während der Datenübertragung muss die Sicherheit der Daten gewährleistet sein und diese müssen vor unbefugter oder unrechtmäßiger Verarbeitung, unbeabsichtigtem Verlust sowie unbeabsichtigter Zerstörung oder Schädigung geschützt werden. Zusätzlich ist eine Authentifizierung der betroffenen Person vorgesehen, um zu verhindern, dass Dritte unberechtigt eine Kopie anfordern. Studien haben gezeigt, dass die Verantwortlichen zuletzt Auskunftsanfragen nach Artikel 15 nicht sorgfältig genug prüften und ein Missbrauch möglich ist. Eine Authentifizierung kann gemäß Art. 12 Abs. 6 DSGVO bei begründetem Zweifel an der Identität des Betroffenen auch erfordern, dass zusätzliche Informationen angefragt werden. In Bezug auf die Umsetzung der Datenübertragbarkeit ist kein genaues Ablaufschema vorgegeben. Technische Vorgaben zur Bereitstellung der Daten sind nicht Teil der Verordnung.

Mit der Einführung des neuen Rechts soll die Position der Nutzer:innen gegenüber den Plattformen gestärkt werden. Durch die Möglichkeit, Daten und Profile von einem Anbieter zu einem anderen zu übertragen, sollen Lock-in-Effekte reduziert werden, worunter das Abhängigkeitsverhältnis von Kund:innen von einem Anbieter verstanden wird. Die direkte Weitergabe der Daten soll den Kund:innen die mühselige Wiedereingabe der Daten bei einem Dienstleister-Wechsel, z. B. zwischen zwei Sozialen Netzwerken, erleichtern. De Hert et al. weisen darauf hin, dass dieses Recht eher ökonomische als datenschutzrechtliche Ziele verfolgt, betonen aber das damit einhergehende Potential für die informationelle Selbstbestimmung.

Das Recht auf Datenübertragbarkeit soll sicherstellen, dass eine Person die sie betreffenden personenbezogenen Daten erhalten und selbstbestimmt weiterverarbeiten oder weitergeben kann. Auch wenn kein festes Format vorgegeben ist, sind die Verantwortlichen dazu aufgefordert, technisch interoperable Systeme zu entwickeln. Das heißt, es sollen gemeinsame Standards und einheitliche Systeme geschaffen werden, um die Weiterverarbeitung und Wiederverwendung von personenbezogenen Daten zu ermöglichen. Für die Datenübertragung werden von technischen Expert:innen XML, JSON und CSV-Formate empfohlen. Der Vorteil dieser Datenformate ist, dass sie mit Standardsoftware gelesen werden können und somit nicht nur für Verantwortliche, sondern auch für Betroffene einsehbar sind. Das CSV-Format wird hierbei als eine Art Minimallösung angesehen. Es wird empfohlen, eine einfache Beschreibung hinzuzufügen, welche erklärt, wie die Daten strukturiert sind. Bei umfangreichen Daten wird geraten, XML oder JSON einzusetzen, da diese sowohl Inhaltsdaten als auch beschreibende Metadaten enthalten. Außerdem reicht deren Leistungsumfang für die Abbildung von komplexen Datenstrukturen aus. Um eine effektive Weiterverwendung zu gewährleisten, sollte das Datenformat PDF nicht zum Einsatz kommen.

Zuletzt sieht Art. 20 DSGVO vor, dass Verantwortliche innerhalb der Frist eines Monats einer Anfrage auf Datenübertragbarkeit nachkommen. Sollten Verzögerungen auftreten, sind diese der betroffenen Person mit einer entsprechenden Begründung zu melden. Die Frist kann in solchen Fällen um bis zu zwei weitere Monate verlängert werden. Sollte der Verantwortliche eine Umsetzung verweigern, muss er dies ebenfalls begründen.

2 Problemstellung

Die Herausforderungen des Rechts auf Datenübertragbarkeit liegen in der technischen wie organisatorischen Umsetzung der gesetzlichen Pflicht in die unternehmerische Praxis. Vier Jahre nach dem Inkrafttreten der DSGVO und zwei Jahre nach deren Anwendbarkeit ist unklar, inwieweit Verantwortliche ihrer Pflicht bereits nachkommen und Prozesse etabliert haben, um auf Anfragen zur Datenübertragung zu antworten. Wenig untersucht ist zudem, ob und wie viele Betroffene bereits von ihrem Recht Gebrauch machen und inwiefern die gesetzten Ziele der besseren Kontrolle und Reduzierung von Lock-in-Effekten erreicht werden können.

Die Vorgabe, dass die zu übermittelnden Daten in einem strukturierten, gängigen und maschinenlesbaren Format zur Verfügung gestellt werden müssen, setzt keine einheitliche Umsetzung voraus. Aus Sicht der Betroffenen ist klar, dass komplexere Datenformate eine Herausforderung darstellen. Für Unternehmen steht dagegen im Vordergrund, dass der Import und Export von Daten möglichst kompatibel zur intern genutzten Softwarelösung ist.

Aus Sicht der bereitstellenden Unternehmen stellt sich die Frage wie Daten exportiert werden können, ohne bei einer Offenlegung die Rechte und Freiheiten anderer Personen zu beeinträchtigen. Die Verantwortlichen haben die Pflicht, ausschließlich Daten der Betroffenen sowohl bei einer einfachen Auskunft als auch bei der Weitergabe an andere Verantwortliche zu übertragen. In der Praxis sind allerdings häufig in einem Datensatz Bezüge zu mehreren Personen enthalten. Beispielsweise ist es bei einer Datenübertragung von einem Bankkonto unvermeidlich, dass die Transaktionen sowohl Informationen über die Kontoinhaber als auch über die Transaktionspartner enthält. Während in diesem Fall die Rechte und Freiheiten der anderen Personen nicht wesentlich beeinträchtigt werden, ist die Abwägung bei komplexeren und umfangreicheren Daten, wie etwa in Social Networks, schwieriger. In die Entscheidung muss auch einfließen, wie der neue Verantwortliche diese Daten nutzt: Eine Zweckänderung ist nicht möglich.

Offen ist auch der Umfang der zu übertragenden Daten. Beispielsweise können interne und ohne weiteres nicht nachvollziehbare Kennungen und andere für die Betroffenen unverständliche Angaben vorhanden sein, die von den Verantwortlichen offenbart werden. Urban et al. haben gezeigt, dass im Fall von Online Tracking unnötige und teilweise falsch gekennzeichnete Daten an die Betroffenen weitergegeben wurden. Somit stellt sich die Frage, welche Daten die Kund:innen als personenbezogen einstufen und welche sie als überflüssig empfinden.

3 Empirische Untersuchungen

Um einen Einblick in den Umgang mit und die Umsetzung des Gesetzes zu erhalten, wurde eine Studie mit Betroffenen sowie mit Expert:innen in Unternehmen durchgeführt.

3.1 Unternehmensperspektive

Die Perspektive der Unternehmen auf das Ab- und Annehmen von Daten wurde mit Hilfe von Expert:inneninterviews untersucht. Das Ziel dieser Befragung war es zu erheben, inwieweit die Datenübertragbarkeit nach Art. 20 DSGVO in Unternehmen praktisch umgesetzt wird. Dabei wurden die Vorgehensweise, die Relevanz und das Ziel der Datenportabilität überprüft. Bei der Befragung lag der Fokus auf Unternehmen, die eine Vielzahl personenbezogener Daten von Kund:innen verarbeiten.

Insgesamt wurden 102 Unternehmen per E-Mail angeschrieben und um eine Interviewteilnahme gebeten. Die E-Mail-Adressen der Kontaktpersonen wurden den jeweiligen Datenschutzerklärungen entnommen. Es erklärten sich schließlich zwölf Unternehmensvertreter:innen für ein Interview bereit. Die Unternehmen, bei denen diese beschäftigt sind, gehören zu unterschiedlichen Branchen und variieren in ihrer Größe. Von den zwölf interviewten Unternehmen befinden sich elf in Deutschland und eines in Österreich: Fünf haben die Größe eines Konzerns, drei sind Großunternehmen. Hinzu kommen ein mittelständisches Unternehmen, ein Kleinunternehmen, ein Verkehrsverbund und eine Krankenkasse. Alle Interviewpartner:innen sind Datenschutzbeauftragte im jeweiligen Unternehmen und damit für die Einhaltung der datenschutzrechtlichen Vorschriften zuständig.

Die Interviews wurden telefonisch durchgeführt und die Dauer der Gespräche betrug durchschnittlich 22 min. Alle Interviews wurden zwischen dem 05.04. und dem 17.05. des Jahres 2019 durchgeführt. Auf Wunsch wurden die Namen der interviewten Unternehmen anonymisiert.

Die Interviewfragen wurden vorher in einem Interviewleitfaden festgelegt, der die Vergleichbarkeit der Interviewergebnisse gewährleistet. Der Leitfaden orientierte sich an den übergeordneten Fragen: Wie wird die Datenübertragbarkeit in der Praxis umgesetzt? Besteht ein Bedarf der Betroffenen für dieses Recht? Wie kann man die bereitgestellten Daten wiederverwenden? Welches Format wird eingesetzt, um die Anforderungen eines strukturierten, gängigen und maschinenlesbaren Formats zu erfüllen? Können durch die Datenübertragbarkeit Betriebsgeheimnisse preisgegeben werden?

3.1.1 Ergebnisse der Unternehmensbefragung

Zu Beginn des Interviews wurden die Datenschutzbeauftragen gefragt, inwieweit die Datenübertragbarkeit von den Unternehmen umgesetzt wird. Von den zwölf Befragten gaben zwei an, Anfragen auf Datenübertragbarkeit nicht zu beantworten. Es handelte sich dabei einmal um einen großen Zeitungsverlag, der dies damit begründete, dass personenbezogene Daten immer im Zusammenhang mit einem Abonnement stünden und damit ein Vertrag als Rechtsgrundlage vorläge. Dies steht allerdings im Widerspruch zu Art. 20 Abs. 1 lit. a DSGVO, der Verarbeitung auf Basis von Verträgen explizit nennt. So fand die Datenübertragbarkeit bei der Krankenversicherung ebenfalls keine Anwendung, da dort personenbezogene Daten nicht auf Basis der Einwilligung der Betroffenen verarbeitet werden und Datenübertragbarkeit nicht auf Verarbeitungen anzuwenden ist, die im öffentlichen Interesse liegen (Art. 20 Abs. 3 DSGVO). Die genannten Unternehmen wurden daher bei der weiteren Auswertung der Interviews nicht betrachtet.

Den übrigen zehn Interviewpartner:innen wurde die Frage gestellt, wie viele Anfragen auf Datenportabilität sie bisher erhalten hatten. Acht Unternehmen erhielten bisher keine Anfragen. Fünf der Befragten rechneten auch in Zukunft nicht mit Anfragen, zwei hielten es für unwahrscheinlich. Nur der Datenschutzbeauftragte des Verkehrsverbundes ging davon aus, dass Anfragen eingehen werden. Vier Interviewpartner:innen begründeten ihre Erwartung damit, dass das Recht auf Datenübertragbarkeit sehr eingeschränkt sei, da es nur die Daten umfasse, die Betroffene selbst zur Verfügung gestellt haben. Bei einer Portierung der Daten wären nach Ansicht der Befragten nur wesentliche Kontaktangaben und Vertragsangaben von der Übertragbarkeit betroffen. Zwei Interviewte waren der Meinung, dass der Aufwand der Datenübertragung größer sei als die erneute Eingabe der Daten durch die Betroffenen bei einem neuen Anbieter. Zwei weitere Interviewpartner:innen berichteten, dass sie Kontakt zu anderen Datenschutzbeauftragten in ähnlichen Bereichen hätten und auch dort die Anzahl der Anfragen niedrig sei. Eine der Interviewten erwähnte, als Datenschutzbeauftragte in mehreren Unternehmen tätig zu sein und dass auch bei diesen das Recht noch nicht geltend gemacht worden sei.

Nur zwei der Interviewten gaben an, bereits Anfragen im einstelligen Bereich erhalten zu haben. Dabei handele es sich um Anfragen, bei denen die Betroffenen die Daten als Kopie erhalten wollten. Fälle von tatsächlichen Datenübertragungen zu einem anderen Verantwortlichen gab es bisher bei keinem der interviewten Unternehmen.

Bezüglich der Umsetzung gaben sieben Unternehmen an, die Daten gegebenenfalls manuell bereit zu stellen. Das bedeutet, dass die personenbezogenen Daten im Falle einer Anfrage durch einen Datenbankexport erzeugt würden. Der aus der Datenbank exportierte Auszug werde der betroffenen Person anschließend durch eine verschlüsselte Mail bzw. auf einer CD oder einem USB-Stick übermittelt.

Die strukturierteste Umsetzung beschrieb der Interviewte eines Softwareunternehmens, das für die Umsetzung die eigene Software zum Personalmanagement einsetzt, die im selben Unternehmen entwickelt und vermarktet wird. Teil der Software sei ein Auswertungstool, mit dem ein Bericht erstellt werden könne. Eine dieser Berichtsarten sei die Auswertung mit dem Fokus auf Datenportabilität. Dabei könne festgelegt werden, in welchem Format die Daten zur Verfügung gestellt werden sollen, bevor sie aus der Datenbank exportiert würden.

Der Datenschutzbeauftragte eines Logistikunternehmens erklärte, dass ein Tool für die Personalverwaltung bei einem Drittanbieter verwendet werde und auf Wunsch eine komplette Personalakte generiert werden könne. Bei den Kund:innen setze das Unternehmen die Datenportabilität manuell um. Den Nutzer:innen wird zudem ein Portal bereitgestellt, das verschiedene Betroffenenrechte bündelt, sodass die eigenen Daten kontrolliert, korrigiert oder gelöscht werden können. Auch bei einem interviewten Kreditinstitut können personenbezogene Daten im Onlinebanking-Portal von Betroffenen selbst bearbeitet werden und Daueraufträge sowie Überweisungen heruntergeladen werden. Bei einem Fitness-App-Hersteller haben Nutzer:innen über die Webseite jederzeit die Möglichkeit, eine Kopie ihrer Daten herunterzuladen – dabei wird zwischen einer Kopie nach Art. 15 Abs. 3 DSGVO und Art. 20 DSGVO nicht unterschieden. Nach Bestätigung der E-Mail-Adresse können die eigenen Daten über einen bereitgestellten Link als ZIP-Datei heruntergeladen werden.

Die unmittelbare Übertragung der Daten zu einem anderen Verantwortlichen ist in keinem der befragten Unternehmen automatisiert möglich. Der Interviewpartner eines Kreditinstituts erklärte, dass Daten anderer Unternehmen aus technischen Gründen nicht importiert werden könnten. Zwei Interviewpartner:innen gaben an, dass die Ausgabe der Daten keine Probleme darstelle, jedoch die Übernahme der Daten von anderen Anbietern fast unmöglich sei. Sie waren der Meinung, dass alle Unternehmen unterschiedliche Daten speichern und somit unterschiedliche Systeme verwendet würden, sodass die Datenformate eine Barriere darstellten. Ein Import sei sehr aufwändig, da die Daten zuerst zeitintensiv bearbeitet werden müssten. Der Interviewpartner beim Fitness-App-Hersteller sprach sich daher für gesetzliche Vorgaben bezüglich des Formats aus.

Bei der Übertragung der personenbezogenen Daten kommen bei den untersuchten Unternehmen ausschließlich die Formate PDF, CSV, XML und JSON zum Einsatz. Zwei Unternehmen stellen die personenbezogenen Daten als PDF-Datei zur Verfügung. Drei Interviewpartner:innen gaben an, die Daten in mehreren Formaten zur Verfügung stellen zu können. Möglich seien PDF, CSV oder XML. Der Datenschutzbeauftragte des Kreditinstituts teilte mit, dass die Daten, die dokumentenhaft verfügbar seien, als PDF-Datei und listenartige Daten als CSV-Datei aus der Datenbank exportiert würden. Der Datenschutzbeauftragte der Fitnessstudio-Kette gab an, dass die Daten in XML-Format übermittelt würden. Zwei weitere teilten mit, dass die Übertragung als JSON-Datei stattfände.

3.1.2 Ergebnisse

Die Expert:inneninterviews haben gezeigt, dass noch viele Unsicherheiten und technische Schwierigkeiten bei der Umsetzung des Art. 20 DSGVO vorhanden sind. Es wird versucht, durch individuelle Lösungsansätze der Pflicht nachzukommen. Konkret konnten wir folgende Probleme feststellen:

  • Die überwiegende Mehrheit der Unternehmen exportiert Daten manuell: Der Export der Daten erfolgt in sieben der Unternehmen manuell. Bei zwei Unternehmen wird ein Tool zum Exportieren der personenbezogenen Daten genutzt. In einem Unternehmen wird nur für die Mitarbeitenden ein Tool zur Umsetzung verwendet, für die Kund:innen hingegen erfolgt die Zusammenstellung der Daten manuell. Nur eines der befragten Unternehmen stellt ein Download-Tool für Betroffene zur Verfügung, mit dem personenbezogene Daten jederzeit selbst angefordert und heruntergeladen werden können.
  • Keines der interviewten Unternehmen stellt eine automatisierte Lösung für die Datenübermittlung zu einem anderen Verantwortlichen zur Verfügung: Die Übermittlung der Daten zu einem anderen Verantwortlichen ist in jedem der interviewten Unternehmen nur über Datenträger oder eine E-Mail möglich.
  • Eine Wiederverwendung der bereitgestellten Daten ist aus Betroffenenperspektive nicht möglich: Verbraucher:innen können zwar ihre bereitgestellten Daten erhalten, jedoch ist durch die fehlenden interoperablen Systeme die effektive Wiederverwendung dieser Daten nicht möglich.
  • Die interviewten Unternehmen verwenden bei der Übermittlung der Daten unterschiedliche Formate: Die Formate variieren zwischen den Unternehmen, was den Import der Daten zu einem anderen Verantwortlichen erschwert.
  • Von der Datenübertragbarkeit wird so gut wie nie Gebrauch gemacht: In den Interviews konnten wir feststellen, dass es von zehn der Unternehmen nur in zwei Unternehmen einzelne Anfragen innerhalb eines Jahres gegeben hat. Dabei wird auch zukünftig keine Steigerung von Anfragen erwartet.

3.2 Betroffenenperspektive

In einer zweiten Studie lag der Fokus auf den Erwartungen und Perspektiven der Betroffenen in Bezug auf den Export und die Weitergabe ihrer personenbezogenen Daten. Die Analyse gibt daher keinen Aufschluss über die Korrektheit des Verfahrens entsprechend der juristischen Vorgaben, sondern gibt Hinweise auf das Verständnis und die Erwartung von Laien. Dazu wurden zuerst Leitfadeninterviews durchgeführt, im Anschluss Anfragen an verschiedene Unternehmen gestellt und die beauskunfteten Daten diskutiert.

Insgesamt wurden 14 Interviews durchgeführt. Bei der Auswahl der Befragten wurde darauf geachtet, Personen unterschiedlicher Altersgruppen und Lebensumstände zu befragen. Bei den ausgewählten Befragten handelte es sich um neun weibliche und fünf männliche Personen zwischen 19 und 44 Jahren mit unterschiedlichen Bildungsabschlüssen und beruflichen Tätigkeiten.

Vorab wurde das Vorwissen der Interviewten erhoben. Im Anschluss erhielten die Teilnehmer:innen die Aufgabe, bei häufig genutzten Dienstleistern eine Anfrage auf Datenportabilität nach Art. 20 DSGVO zu stellen. Dazu wurde ein Ablaufprotokoll erstellt, das schrittweise erklärte, wie eine solche Anfrage zu stellen ist. Nach Erhalt der Daten wurden die Teilnehmer:innen aufgefordert, im Rahmen von Thinking-Aloud-Protokollen die Daten und Formate zu bewerten. Thinking-Aloud-Protokolle dienen zur Erfassung von bewussten handlungsbegleitenden Kognitionen. Insgesamt wurden 33 Anfragen begleitet, die an 17 unterschiedliche Dienstleister gestellt wurden. Die Unternehmen wurden über eine separate Vorstudie ausgewählt. Hierbei sollten die 14 Teilnehmer:innen angeben, welche Dienste sie in Anspruch nehmen. Zur Vereinfachung wurden die am häufigsten genutzten Dienste als Antwortmöglichkeit angegeben. Hieraus ergaben sich folgende Kategorien: Bargeldloser Zahlungsverkehr, Musik- bzw. Video-Streamingdienste, Soziale Medien, Online-Kommunikationsmethoden, Onlinehandel, E-Mail-Provider, Fitnessstudios und Filehosting-Dienste. Darunter sind bekannte Unternehmen wie Sparkasse, YouTube, WhatsApp, McFit und Google Mail.

3.2.1 Datenauswertung Vorab-Interviews

Die Befragung der Datenschutzbeauftragen in Abschn. 3.1 hat bereits gezeigt, dass Betroffene das Recht auf Datenübertragbarkeit so gut wie nicht Anspruch nehmen. Den Teilnehmer:innen wurde deshalb die Frage gestellt, ob ihnen das Recht bereits bekannt sei. Die meisten Teilnehmer:innen verneinten diese Frage. Nur eine:r der Teilnehmer:innen hat bisher eine Anfrage aus Neugier gestellt. Bei der Befragung wurde schnell klar, dass die Teilnehmenden – die keine juristischen Vorkenntnisse hatten – nicht zwischen Auskunftsanfragen nach Art. 15 DSGVO und Anfragen zur Datenübertragung nach Art. 20 DSGVO unterscheiden.

Die im Rahmen der Anfrage bereitgestellten Daten müssen nach Art. 20 DSGVO nur solche Informationen enthalten, die aktiv und wissentlich von der Person bereitgestellt und solche, die von dem Verantwortlichen beobachtet wurden. Den Teilnehmer:innen unserer Studie wurde deshalb die Frage gestellt, welche Daten und Informationen über ihre Person sie als personenbezogen einstufen würden. Aus Sicht der Betroffenen fallen unter personenbezogene Daten fast ausschließlich solche, die aktiv und wissentlich bereitgestellt wurden. Nur vier Teilnehmer:innen zählten auch beobachtete Daten dazu und erwarteten diese in der Antwort.

Danach wurden die Teilnehmer:innen darüber befragt, was sie unter einem „strukturierten, gängigen und maschinenlesbaren“ Format verstehen. Die eher breite Definition im Recht über das Dateiformat wurde von den Interviewten überwiegend so interpretiert, dass es ein Format ist, das auf allen Endgeräten genutzt werden kann. Bezüglich der individuellen Präferenz gaben 93 % der Befragten an, das PDF-Format zu bevorzugen. Auch wurde den Teilnehmenden die Frage gestellt, welche Assoziationen sie mit Datenportabilität verbinden. Die Antworten waren dabei sehr positiv und wurden mit den Begriffen „nützlich“, „hilfreich“, „zeitgemäß“ und „wichtig“ beschrieben.

Ein Ziel des Rechts auf Datenübertragbarkeit ist es, den Lock-in-Effekt zu verringern und Nutzer:innen den Wechsel zwischen Dienstanbietern zu erleichtern. Aus diesem Grund wurden die Teilnehmenden gefragt, ob sie in der Vergangenheit bereits einen Dienstwechsel angestrebt, diesen jedoch aufgrund des hohen Aufwandes nicht unternommen haben. Die Mehrheit der Befragten bestätigte diese Erfahrung des Lock-in-Effekts, gaben aber an, dass sie nicht davon überzeugt seien, dass die Datenübertragbarkeit hier Abhilfe schaffen könne.

Grundsätzlich zu ihren Erwartungen befragt, erklärten die Teilnehmenden, dass sie sich durch die Anfrage einen besseren Überblick über die eigenen Daten erhofften und gegebenenfalls einen erleichterten Anbieterwechsel durchführen könnten. Ersteres Ziel entspricht dabei eher einem Auskunftsersuchen nach Art. 15 DSGVO.

3.2.2 Auswertung der Anfragen

Zusätzlich zur Befragung über die Erwartungen wurden die Teilnehmer:innen aufgefordert, Daten anzufordern. Vierzehn Teilnehmende haben dazu Anfragen an bis zu drei Unternehmen gestellt, insgesamt waren es 33 Anfragen. Bei zehn Dienstleistern war die Kontaktaufnahme auf Deutsch möglich, bei sieben wurden die entsprechenden Formulare nur auf Englisch bereitgestellt, was für einige Teilnehmende eine Hürde darstellte.

Wie bereits aus der Befragung der Unternehmen bekannt, übermittelten die Verantwortlichen die Daten in einer Vielzahl von Formaten. Einige Dienstleister wie Snapchat, YouTube, H&M oder WhatsApp stellten die Daten in jeweils zwei unterschiedlichen Datenformaten bereit. Das am häufigsten eingesetzte Format war das Format JSON. Acht von vierzehn Teilnehmer:innen konnten mit diesem Datenformat nicht umgehen. Weitere acht Teilnehmer:innen erhielten ihre Daten (zusätzlich) im HTML-Format, welches sich im Browser öffnen ließ und damit leichter zugänglich war. Der Einsatz von PDF und passwortgeschützten PDFs wurde von den Teilnehmer:innen positiv aufgenommen. Drei Verantwortliche (zwei Fitnessstudioketten und ein Kreditinstitut) sendeten die Daten postalisch auf Papier, wobei nur eines der Unternehmen zusätzlich eine Online-Version anbot. Eine Bekleidungskette setzte auf das XML-Format, womit die zwei Teilnehmenden, die die Daten angefragt hatten, große Schwierigkeiten hatten. Unsere Daten bestätigen die Ergebnisse einer Studie von Wong und Henderson, die bei Anfragen an 230 Unternehmen eine ähnliche Vielfalt an Dateiformaten und Zustellwegen festgestellt haben. Bei 20 Protokollen gaben die Teilnehmer:innen an, dass die Gliederung der Daten angemessen war und das Verständnis gefördert hat. Die Sortierung von Daten mit Hilfe von Ordnern erleichterte ebenfalls das Verständnis. Unnötige Verschachtelung von Daten in eine Vielzahl von Ordnern wurde jedoch als nicht hilfreich für das Verständnis empfunden.

Der Datenumfang der personenbezogenen Daten variierte je nach Unternehmen. Die Menge der Daten wurde bei 17 Protokollen als angemessen empfunden. Sie erfüllte also die Erwartungen, die im Vorabinterview geäußert wurden. Bei den von YouTube bereitgestellten Daten wurde die Möglichkeit, die Daten vorab zu selektieren, als positiv beurteilt. Bei zehn Auskünften waren die Teilnehmer:innen der Meinung, dass die Daten zu umfangreich seien. Dies lag unter anderem daran, dass Dienstleister wie Snapchat, Amazon und Twitter leere Ordner oder einzelne Daten wie Emojis einfügten oder Dateien aufgezeigt wurden, die Tags und Informationen von anderen Personen enthielten und daher nicht vollständig integriert werden konnten.

Insgesamt zeigte sich, dass die Teilnehmer:innen bei der Mehrzahl der Protokolle den Inhalt der Daten verstanden haben. Dies wurde hauptsächlich durch die Benennung der Daten und Ordner unterstützt. Die meisten der bereitgestellten Daten boten nach Selbsteinschätzung einen Mehrwert für die Betroffenen, in fünfzehn Protokollen wurde dies konkret benannt. YouTube ermöglichte seinen Nutzer:innen nach Erhalt der Daten, diese zu löschen oder die weitere Speicherung zu pausieren und vereint somit verschiedene Betroffenenrechte in einer Funktion. Die Teilnehmer:innen, die Daten bei Fitnessstudios, Kundenbindungsprogrammen oder Finanzdienstleistern (insgesamt vier Unternehmen) angefragt hatten, konnten mit Hilfe dieser Daten ihr vergangenes Verhalten nachvollziehen. Zu sechs weiteren Anfragen wurde der Mehrwert als neutral eingestuft. Dies betraf solche Daten, bei denen die Dateien nicht verstanden wurden oder die Betroffenen nur ihre eigenen Daten (Bilder, Videos, Dokumente) erhielten, wie etwa bei Instagram oder Google Drive.

Nachdem die Teilnehmer:innen einen Einblick in ihre personenbezogenen Daten erhielten, wurden sie gefragt, ob sie einen Anbieterwechsel mit Hilfe des Rechts ausführen würden. Achtzehn Teilnehmer:innen entschieden sich gegen einen Anbieterwechsel. Ihre Entscheidung begründeten sie überwiegend damit, dass zu viele Daten über sie weitergegeben würden.

3.2.3 Ergebnisse

Die Befragung der Nutzer:innen hat ergeben, dass die Mehrheit das Recht auf Datenübertragbarkeit nicht kennt. Nur ein Teilnehmer hat bisher eine Anfrage gestellt. Zusammenfassend können wir die folgenden Ergebnisse und Empfehlungen festhalten:

  • Die Betroffenen sehen einen Mehrwert in dem Recht auf Datenübertragbarkeit, vermischen die Ziele aber mit dem Auskunftsrecht: Aus Sicht der Betroffenen ist der Zweck des Rechts, einen erleichterten Anbieterwechsel durchzuführen und gleichzeitig einen besseren Überblick über die eigenen Daten zu erhalten. Die Erwartung schließt also die Ziele des Rechts auf Auskunft mit ein.
  • Nur eine Minderheit der Befragten erwartet, dass beobachtete Daten mit übertragen werden: Die große Mehrheit erwartet als Antwort auf eine Anfrage nach Datenübertragbarkeit nur die von ihnen selbst bereitgestellten Informationen. Die erweiterten Informationen, die etwa Teil einer Antwort auf eine Auskunftsanfrage wären, vermissen die Befragten nicht. Der bereitgestellte Datenumfang wird von der Mehrheit als angemessen empfunden.
  • Rund 93 % der Befragten bevorzugen das PDF-Format. Nur vier der 14 Teilnehmer konnten Daten im JSON-Format nachvollziehen: Bezüglich des Formats wünschen sich die Betroffenen vor allem, dass es auf allen Endgeräten genutzt werden kann. Dieser Wunsch zeigt, dass Erwartungen an die Datenübertragbarkeit unabhängig von der juristischen Grundlage der gestellten Anfrage sind und generell auf Transparenz und Nachvollziehbarkeit abzielen. Das PDF-Format wird bevorzugt, da es weit verbreitet ist. Mit technischen Formaten wie JSON können die Betroffenen häufig wenig anfangen. Anbieter, die ein PDF zur Übersicht und eine technischeres Format für die Übertragung anbieten, unterstützen das Verständnis bei den Betroffenen. Um den Anforderungen der Datenportabilität gerecht zu werden, sollten weitere Formate zusätzlich bereitgestellt werden.
  • Drei Anfragen wurden nur postalisch beantwortet: Drei Dienstleister stellten die Daten der Betroffenen auf Papier zur Verfügung, was eine Weiternutzung deutlich erschwert, sodass diese Verantwortlichen einer wesentlichen Vorgabe von Art. 20 nicht nachkommen.
  • Die Hälfte der Verantwortlichen bieten ein eigenes Download-Tool an: In diesen Tools findet die Authentifizierung durch einen Login statt. Für die übrigen Anbieter erfolgt die Authentifizierung auf Anfrage der Verantwortlichen. Zur Authentifizierung werden Kundennummer, Anschrift und Geburtsdatum abgeglichen oder eine Kopie des Personalausweises oder der Mitgliedskarte angefordert. Die Daten werden entweder auf Deutsch oder Englisch bereitgestellt.
  • Vorabauswahl zur Bestimmung der Datenmenge erleichtert die Nutzung: Die Kontrolle über die eigenen Daten und die Möglichkeit, die eigenen beobachteten Daten anzuzeigen, bietet Benutzer:innen einen Mehrwert. Wenn die bereitgestellten Daten jedoch verwirrend oder redundant sind, sehen die Befragten keinen Nutzen.
  • Transparenz über die vorhandenen Daten verringert den Wunsch, die Daten zu übertragen: Auf einen Anbieterwechsel verzichten die meisten Teilnehmenden. Interessanterweise hat die Einsicht in die Daten bei den Nutzer:innen zu einer Reflexion über den Umfang der Datenmenge geführt, sodass sie von einer Übertragung aller Daten an einen anderen Anbieter Abstand genommen haben.

4 Zusammenfassung

Im Rahmen unserer Studien wurden sowohl die Umsetzungsstrategien als auch die Tauglichkeit der Datenübertragbarkeit nach Art. 20 DSGVO untersucht. Die Studien waren überwiegend qualitativ und explorativ angelegt. Die Auswahl der Teilnehmenden und der befragten Unternehmen ist nicht repräsentativ, die Ergebnisse sind aber dennoch verallgemeinerbar, insofern viele Erkenntnisse auch auf andere Fälle anwendbar scheinen.

In der Expert:innenbefragung konnten wir feststellen, dass die überwiegende Mehrheit der interviewten Unternehmen bisher keine Anfragen auf Datenportabilität erhielten. Diese Aussage wurde durch die Interviews mit Nutzer:innen bestätigt. Die Betroffenen kannten das Recht nicht und haben es daher noch nie genutzt. Beide Befragungen haben außerdem gezeigt, dass das ursprüngliche Ziel, Lock-in Effekte zu verringern und einen Anbieterwechsel zu erleichtern, bisher weder ein Bedürfnis der Nutzer:innen ist, noch umsetzbar wäre, da die Unternehmen keine entsprechenden Schnittstellen zur Verfügung stellen. Durch die geringe Zahl der Anfragen entsteht keine praktische Notwendigkeit, gemeinsame Standards zu erarbeiten. In den befragten Unternehmen werden in den seltenen Fällen einer Anfrage die Daten manuell zusammengetragen bzw. aus Datenbanken exportiert. Durch die Vielfalt der Datenformate wird die Wiederverwendung und Weiterverarbeitung der bereitgestellten Daten erschwert.

Unsere Studie mit Nutzer:innen zeigt zudem die Skepsis der Betroffenen gegenüber einer direkten Übertragung. Zwar ist es das eigentliche Ziel von Art. 20 DSGVO einen direkten Anbieterwechsel auch ohne Einsicht der Betroffenen zu ermöglichen, in der Praxis bevorzugen die Teilnehmenden aber, die Daten vorab in einem angemessenen Format zu erhalten, um einschätzen zu können, welche Daten weitergegeben werden.

Hier entsteht ein Zielkonflikt zwischen Transparenz für die Betroffenen (ähnlich des Auskunftsrechts) und Nützlichkeit des Datenformates für die (empfangenden) Verantwortlichen. Es scheint daher sinnvoll, beide Rechte als eines zu behandeln und auf Anfragen von Betroffenen mit einer erklärenden Zusammenfassung im Sinne des Auskunftsrechts zu antworten sowie zusätzlich den Datenexport mit Konfigurationsmöglichkeiten für den Umfang und das Format des Exports anzubieten.

Karasoy, Ö., Turgut, G., Degeling, M. (2022). Datenübertragbarkeit – Zwischen Abwarten und Umsetzen. In: Friedewald, M., Kreutzer, M., Hansen, M. (eds) Selbstbestimmung, Privatheit und Datenschutz . DuD-Fachbeiträge. Springer Vieweg, Wiesbaden

https://doi.org/10.1007/978-3-658-33306-5_16

http://creativecommons.org/licenses/by/4.0/deed.de

Zur einfacheren Lesbarkeit wurden die Quell- und Literaturverweise entfernt.


© Swiss Infosec AG 2024