10. September 2017

Herausforderungen der EU-DSGVO: Das Recht auf Datenportabilität [Dr. Thierry Jean Ruch]

Schon lange gewährt das deutsche Datenschutzrecht jedem den Anspruch darauf, Auskunft über seine  personenbezogenen Daten zu verlangen. Das Bundesdatenschutzgesetz (BDSG) sieht dieses Auskunftsrecht im §34 vor. Mit der Datenschutz-Grundverordnung der Europäischen Union (EU-DSGVO) wird dieses Recht weiter gestärkt, sie verankert ein Recht auf die „Mitnahme“ aller personenbezogenen Daten und stellt damit eine neue, im deutschen Recht bislang nicht vorhandene, Anforderung: die Beauskunftung in elektronischer Form.

Schon lange gewährt das deutsche Datenschutzrecht jedem den Anspruch darauf, Auskunft über seine  personenbezogenen Daten zu verlangen. Das Bundesdatenschutzgesetz (BDSG) sieht dieses Auskunftsrecht im §34 vor. Mit der Datenschutz-Grundverordnung der Europäischen Union (EU-DSGVO) wird dieses Recht weiter gestärkt, sie verankert ein Recht auf die „Mitnahme“ aller personenbezogenen Daten und stellt damit eine neue, im deutschen Recht bislang nicht vorhandene, Anforderung: die Beauskunftung in elektronischer Form.
Aus „Verbrauchersicht“ ist dies zunächst einmal eine verlockende Vorstellung: Kein Lock-In-Effekt mehr durch die Auswahl eines Dienstleisters! Vom Chat-Verlauf in Online-Foren bis hin zu Qualifizierungsdaten aus dem Personalwesen des Arbeitgebers, alles wird einfach einsehbar und übertragbar. Doch vor welche Herausforderungen stellt diese Anforderung die Organisationen und Unternehmen, welche die personenbezogenen Daten verarbeiten? Was ist zu tun, um dieser Anforderung gerecht zu werden?

Die Anforderungen im Detail

Bislang ist im Bundes-Datenschutzgesetz (BDSG) in §34 (6) vorgesehen, dass die Auskunft über personenbezogene Daten „auf Verlangen in Textform zu erteilen“ ist, wenn keine besonderen Umstände vorliegen. Dies gilt für alle Daten, die auf Grundlage einer Einwilligung oder zur Vertragserfüllung verarbeitet werden sowie zusätzlich für Daten, die aus Handlungen des Betroffenen erst auf Verarbeiter-Seite generiert worden sind (so wie bspw. die individuelle Suchhistorie in einem Online-Shop, sofern diese gespeichert wird).
Die genaue Formulierung der EU-DSGVO geht hier erheblich weiter. Im Wortlaut fordern Art. 15 (3) und Art. 20 EU-DSGVO: „Stellt die betroffene Person den Antrag elektronisch, so sind die Informationen in einem gängigen elektronischen Format zur Verfügung zu stellen, sofern sie nichts anderes angibt.“.
Die Anforderungen an die „Textform“ sind im BGB definiert. Nach §126b muss die Information lediglich auf einem „dauerhaften Datenträger“ übermittelt werden, um der Textform zu genügen. Diesen vergleichsweise geringen Anforderungen genügt ein Schriftstück oder eine E-Mail. Das in der EU-DSGVO genannte „elektronische Format“ ist hier nicht gleichzusetzen mit der im BGB §126a definierten „elektronischen Form“, welche Anforderungen darstellt, mit welchen eine elektronische Signatur eine gesetzlich vorgeschriebene schriftliche Form ersetzen kann. Aus Art. 20 der EU-DSGVO gehen weitere Details hervor, wie die elektronische Form ausgestaltet sein sollte: „Die betroffene Person hat das Recht, die sie betreffenden personenbezogenen Daten, die sie einem Verantwortlichen bereitgestellt hat, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten“.
Die Adjektive „strukturiert“, „gängig“ und „maschinenlesbar“ sind zunächst relativ abstrakt. Im Kontext der EU-DSGVO sind die Auslegungen dieser Begriffe entsprechenden EU-Verordnungen zu entnehmen. Eine sinnvolle Annäherung bietet Satz 21 der Richtlinie 2013/37/EU. Dort gilt ein Dokument dann als maschinenlesbar, wenn „[…] es in einem Dateiformat vorliegt, das so strukturiert ist, dass Softwareanwendungen die konkreten Daten einfach identifizieren, erkennen und extrahieren können […]“.

Auslegung der Anforderungen

Konkrete Datenformate spezifiziert die Grundverordnung nicht. Dies ist auf dieser Abstraktionsebene auch nicht angebracht. Personenbezogene Daten können viele verschiedene Facetten annehmen – seien es die Qualifikationsdaten eines Arbeitnehmers, die Bestellhistorie bei einem Händler, die gehörte Musik bei einem Streaming-Dienstleister und die daraus gewonnen Erkenntnisse über musikalische Vorlieben oder die Interaktionen in einem digitalen sozialen Netzwerk. Je nach Anwendungsfall müssen die Daten unterschiedliche Formate annehmen, sodass sie in einer „sinnvollen“ Art und Weise weiterverarbeitet werden können.
Anhand eines einfachen Beispiels lässt sich dieses verdeutlichen: Möchte ein Kunde eines E-Mail-Anbieters seine personenbezogenen Daten beauskunftet bekommen, so wäre es ein Leichtes, ein digitales Format zu wählen, dass Hürden zum Anbieterwechsel aufbaut. So könnte der Anbieter jede einzelne ihm vorliegende E-Mail in ein PDF-Dokument konvertieren und die Sammlung dieser an den Kunden weitergeben. Trotz der Tatsache, dass es sich hierbei zweifellos um ein extrem gängiges und maschinenlesbares Format handelt, würde in diesem Falle ein Großteil der Funktionalität verloren gehen: es ließe sich nicht mehr nach Absender, Datum oder Anhängen sortieren und filtern, auch der Import der E-Mails zu einem Mitbewerber würde verhindert. Hier ergibt sich der Anspruch des Kunden, die E-Mails in einem Format zu bekommen, dass den Import und die Weiterverarbeitung bei einem neuen Dienstleister ermöglicht.

Wahl des Datenformates und Auskunftsprozesses

So trivial die Migration für E-Mails heute technisch ist, so komplex wird die Erfüllung der Anforderung für Daten, für welche keine gängigen interoperablen Formate vorliegen. Der Passus im Art. 20 EU-DSGVO fordert, dass personenbezogene Daten „einem anderen Verantwortlichen ohne Behinderung durch den Verantwortlichen, dem die personenbezogenen Daten bereitgestellt wurden, zu übermitteln“ sind.
Diese Forderung geht über den reinen Anspruch auf elektronische Beauskunftung hinaus: sie impliziert, dass die verantwortlichen Stellen ohne technisches Mitwirken der betroffenen Person die Daten untereinander austauschen. Dies ist in der Praxis für viele personenbezogene Daten nicht realisierbar, da weder ein gängiger Standard existiert, welcher einen reibungslosen Ex- und Import der Daten ermöglicht, noch eine Schnittstelle zwischen den Systemen der verschiedenen Marktteilnehmer. Dieses Problem wird u. a. im Arbeitspapier 242 der Artikel-29-Datenschutzgruppe adressiert. Die Vertreter der Datenschutzbehörden empfehlen hier, wenn keine technische Schnittstelle (API) zu schaffen ist, zumindest eine direkte Downloadmöglichkeit auf einer Webseite für die betroffenen Personen anzubieten. Dies stellt viele Organisationen vor Herausforderungen: Um dies möglich zu machen, ist die Implementierung einer entsprechenden Website mit Download-Funktionalität nur der erste Schritt. Darüber hinaus müssen die entsprechenden Daten aus verschiedenen Systemen gesammelt und in ein entsprechendes Format konvertiert werden, das den oben genannten Bedingungen entspricht.
Weiterhin muss einerseits gewährleistet sein, dass die berechtigte Person zweifelsfrei identifiziert wurde und andererseits, dass der Transportkanal ausreichend gesichert ist, um die Einsicht in die Daten bei der Übermittlung zu unterbinden. Auf diese Weise wird verhindert, dass personenbezogene Daten von unberechtigte Dritte eigesehen werden können.

Fazit

Die Konsequenzen aus dem Anspruch auf elektronische Beauskunftung werden oftmals unterschätzt. Es geht mitnichten nur darum, statt eines Briefes eine E-Mail zu versenden. Um mit den Anforderungen der EU-DSGVO konform zu sein, müssen alle verarbeitenden Stellen Konzepte dazu entwickeln, welches Datenformat für die elektronische Beauskunftung angebracht ist, wie sie ggf. Schnittstellen in den verarbeitenden Systemen schaffen und welcher Weg für die Identifikation der Berechtigten und die Übermittlung der Daten gewählt werden soll.

Dr. Thierry Jean Ruch

Dr. Thierry Jean Ruch ist Diplom-Wirtschaftsinformatiker. Aktuell ist er als Senior Consultant in einer Wirtschaftsprüfungs- und Beratungsgesellschaft in Berlin tätig. Der Artikel spiegelt ausschließlich die Einschätzung des Autors wider.