Recht auf Datenportabilität soll Meta- und Rohdaten umfassen
Der Anspruch aus der Datenschutz-Grundverordnung auf die Herausgabe persönlicher Informationen sei breit auszulegen und beziehe sich etwa auf Rohdaten von Fitness-Armbändern oder Smart Meter, meinen die EU-Datenschutzbeauftragten.
Die Artikel-29-Gruppe der europäischen Datenschutzbeauftragten hat Ende vergangener Woche eine Stellungnahme veröffentlicht, in der sie das neue Recht auf Datenportabilität anhand vieler Prinzipien und Beispiele erläutert. Die Klausel aus dem Artikel 20 der Datenschutzverordnung, dass Firmen und Behörden von den Nutzern zur Verfügung gestellte Informationen diesen in strukturierter und maschinenlesbarer Form quasi wieder zurückgeben müssten, sei breit zu interpretieren, schreiben die Experten darin. Nur von einem Anbieter daraus etwa mithilfe algorithmischer Analysen "abgeleitete Daten" seien ausgenommen.
Die neuen Regeln gelten von Mai 2018 an. User haben nach Ansicht der staatlichen Kontrolleure dann etwa auch einen Anspruch auf "Rohdaten" von intelligenten Stromzählern, Suchmaschinen, Fitness-Armbändern oder vergleichbaren E-Health-Messgeräten. Mitgeliefert werden müssen auch Metadaten "in der bestmöglichen Abstufung", sodass die ursprüngliche genaue Bedeutung der ausgetauschten Informationen erhalten bleibe. Dabei sollten Unternehmen imstande sein, persönliche Informationen in einer Form zur Verfügung zu stellen, die Betriebsgeheimnisse ausschließe.
Mehr Kontrolle, mehr Wettbewerb
Nutzer sollen mit ihren eigenen Daten einfach zu einer anderen "IT-Umgebung" umziehen können, wollen die Datenschützer erreichen. Neben der besseren Kontrolle über die eigenen Informationen gehe es darum, den Wettbewerb zwischen Diensten zu beflügeln und neue Services zu fördern.
Die Buchtitel, die jemand online von einem Händler gekauft hat, oder die Songs, die jemand über einen Streaming-Dienst gehört hat, führen die Datenschützer als einfache Beispiele für die Reichweite der Klausel an. Hier liege eine Vertragsbasis für die Verarbeitung der Informationen vor. Auch wenn ein Nutzer anderweitig einwillige, bestehe der Auskunftsanspruch.
Abgrenzungsschwierigkeiten tun sich auf, wenn Daten Dritter wie etwa bei Kommunikationspartnern am Telefon oder per E-Mail dazukommen. Anbieter müssten hier nach Ansicht der Datenschützer zunächst etwa alle Ordner nebst Inhalten eines Webmail-Services oder Listen ausgehender und ankommender Anrufe herausgeben. Ein neuer Provider dürfe die Informationen bei einem Umzug aber auf keinen Fall nutzen, um etwa über Kontaktlisten Dritte selbst als Kunden zu gewinnen zu versuchen. Die Privatheit der Außenstehenden sei unbedingt zu wahren.
Unternehmen sollten sich vorbereiten
Spielraum für Diensteanbieter, ein Gesuch als "exzessiv" abzulehnen oder Gebühren zu verlangen, sehen die Datenschützer nur in "sehr wenigen Fällen". Selbst wiederholte Anfragen in vergleichsweise kurzer Zeit fielen nicht unter diese Einschränkung. Eine datenverarbeitende Stelle dürfe ein Ersuchen auch nicht einfach ignorieren. Die verlangten Informationen müssten in der Regel spätestens nach vier Wochen, in komplexen Fällen binnen drei Monaten übermittelt werden.
Unternehmen und öffentliche Stellen sollten nach Ansicht der Datenschützer schon bald beginnen, die Mittel etwa in Form von Download-Werkzeugen oder Programmierschnittstellen (APIs) bereitzustellen, um Anfragen zur Datenmitnahme zu beantworten. Interessenvertretern der Industrie und Branchenvereinigungen empfiehlt die Gruppe, interoperable Standards und Formate zu entwickeln. Der Münsteraner Informationsrechtler Thomas Hoeren hatte die Bestimmung zur Datenportabilität jüngst aufgrund vieler damit verbundener praktischer Probleme als "das Sinnloseste des Sinnlosesten" bezeichnet. Facebook, Banken und Bausparkassen würden dabei über einen Kamm geschert.
In zwei weiteren angenommenen Leitlinien führen die Datenschützer aus, welche Behörde bei grenzüberschreitenden Datenverarbeitungen in Streitfällen als "One Stop Shop" zuständig sein soll und wann Firmen etwa bei besonders riskanten Prozessen interne Datenschutzbeauftragte bestellen müssen. Bei einer Bank, die ihre Zentrale in Frankfurt, ihre Versicherungsabteilung mit allen Kompetenzen zu entsprechenden Informationen aber in Wien habe, sei die österreichische Aufsichtsbehörde für letztere zuständig, heißt es dort etwa. Bei Auseinandersetzungen über allgemeine Finanzfragen wiederum führe der hessische Datenschutzbeauftragte die Verfahren, unabhängig davon, in welchem Mitgliedsstaat die Kunden sitzen. (anw)