Die DSGVO und was sie für Digitale Dienste bedeutet: Das Recht auf Datenübertragbarkeit, Privacy by Design und Privacy by Default

Teil 3 unserer Blog-Serie zur DSGVO. Lesen Sie Teil 2 hier.

Am 25. Mai 2018 endet die Übergangsfrist von der alten EU-Datenschutzrichtlinie auf die neue EU-DSGVO, die damit zu diesem Datum vollständig in Kraft tritt. Dies bedeutet auch, dass die neue Bußgeldbewehrung bei Datenschutzverstößen ab diesem Tag greift. Grund genug, die grundlegenden Inhalte der DSGVO einmal näher zu betrachten und sie sowohl in Bezug zu Digitalen Diensten zu setzen als auch anhand aktueller Beispiele zu illustrieren, was sich bereits jetzt an Veränderungen abzeichnet, zu denen die DSGVO führen wird. Der Blog des Fraunhofer IESE setzt mit diesem Artikel seine vierteilige Artikelserie zur DSGVO fort.

Die Datenschutzrichtlinie der EU (1995/46/EG) ist angesichts der fortschreitenden Digitalisierung und der immer stärker datenbezogenen und explosionsartig wachsenden Menge von digitalen Diensten in die Jahre gekommen. Die Richtlinie, deren Umsetzung im Bundesdatenschutzgesetz verankert ist, stammt aus dem Jahr 1995 und damit genau aus dem Jahr, in dem HTML 2.0 erstmalig als Standard für Internet-basierte Informationsdienste veröffentlicht wurde. Zeit also, diese Richtlinie gründlich zu überarbeiten, um personenbezogenen Daten und deren Verarbeitung im Zeitalter der Digitalisierung gerecht zu werden. In der neuen EU-Datenschutzgrundverordnung, kurz DSGVO (2016/679/EU), wird dies neu geregelt. Gleichzeitig wird die Richtlinie zu einer Verordnung aufgewertet. Eine Besonderheit ist, dass für die DSGVO das Marktortprinzip gilt. Das heißt, dass auch Anbieter von Diensten, deren Firmensitz sich außerhalb der EU befindet, den Regularien unterliegen, wenn sie ihren Dienst innerhalb der EU anbieten.

Das Recht auf Datenübertragbarkeit (Artikel 20 DSGVO)

Das Recht auf Datenübertragbarkeit ist eine weitere wichtige Neuerung der DSGVO gegenüber der alten Datenschutzrichtlinie. Artikel 20 DSGVO definiert zwei verschiedene Arten des Rechts zur Datenübertragbarkeit und nimmt wichtige und schützende Einschränkungen vor.

Übertragbarkeit von Daten: Export und Import

Die betroffene Person das Recht

  • die sie betreffenden personenbezogenen Daten, die sie einem Verantwortlichen bereitgestellt hat, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten;
  • erhaltene Daten einem anderen Verantwortlichen ohne Behinderung durch den bereitstellenden Verantwortlichen zu übermitteln.

Praktisch bedeutet dies, dass z.B. ein Nutzer Daten aus einem digitalen Dienst in einem gängigen Format herunterladen können muss. Dies ermöglicht es, die Daten einem anderen digitalen Dienst zur Verfügung zu stellen. Das kann beispielsweise durch eine Exportfunktion des einen Dienstes und eine Importfunktion des anderen Dienstes geschehen. Einige Beispiele hierfür sind:

  • Mitnahme von Cloud-Daten von einem Anbieter zum anderen
  • Übertragung von Fitnessdaten aus einem Fitnesstracker zu einem anderen Anbieter
  • Kontobewegungen vom Konto beim alten Geldinstitut, wenn ein Wechsel der Bankverbindung stattfindet
  • Übertragung der im Benutzerkonto vorhandenen Suchhistorie einer Suchmaschine beim Wechsel zu einem anderen Suchmaschinendienst

Somit kann ein Nutzer aus einem Dienst Daten exportieren und – im Idealfall – sogar bei einem anderen Dienst importieren.

Praktisch bedeutet das Recht auf Datenübertragbarkeit, dass das oft bemängelte Vendor Lock-in aufgehoben wird – zumindest für personenbezogene Daten.

Übertragbarkeit von Daten: Direkte Übertragung

Wem das – zunächst Export beim alten Dienst, danach Import beim neuen Dienst – zu mühsam erscheint, dem kann durch weitere Aspekte des Rechts auf Datenübertragbarkeit unter bestimmten Voraussetzungen geholfen werden.

Artikel 20 DSGVO legt weiter fest, dass die betroffene Person bei der Ausübung ihres Rechts auf Datenübertragbarkeit das Recht hat, zu erwirken, dass die personenbezogenen Daten direkt von einem Verantwortlichen an einen anderen Verantwortlichen übermittelt werden. Hierbei gilt, dass dies technisch und betriebswirtschaftlich machbar sein muss.

In der Praxis bedeutet das, dass der »mühsame« Export der Daten beim alten Dienst, gefolgt vom Import beim neuen Dienst, in bestimmten Fällen tatsächlich entfallen kann. In diesen Fällen müssen die beiden für die Verarbeitung Verantwortlichen die Nutzerdaten direkt auf elektronischem bzw. digitalem Wege miteinander austauschen. Diese Übertragung kann dann auch mit einer Häufigkeit stattfinden, die dem Nutzungs- bzw. Anforderungsprofil der Dienste oder Nutzer entspricht.

Ein Beispiel hierfür – allerdings auf Basis einer bestehenden Sonderregelung in einer speziellen EU-Richtlinie – ist die Möglichkeit von Kontoinformationsdiensten. Im Januar 2018 trat die neue EU-Zahlungsdiensterichtlinie 2 (PSD2) in Kraft. Sie gibt Bankkunden mit Online Zugang zu ihrem Konto die Möglichkeit, z.B. die Kontotransaktionsdaten von allen Konten eines Nutzers an einen einzigen Kontoinformationsdienstleister zu übermitteln. Dieser kann dann eine konsolidierte Darstellung aller Kontoinformationen und -bewegungen der verschiedenen Einzelkonten in nur einer Sicht für den Nutzer bereitstellen.

Voraussetzungen und Einschränkungen für die Datenübertragbarkeit

Es gibt jedoch auch Bedingungen, die für die Datenübertragbarkeit erfüllt sein müssen. Die Übermittlung der Daten in den oben beschriebenen Arten setzt voraus, dass die Übertragung auf Grundlage

  • eines Vertrags mit oder
  • einer Einwilligung bzw. ausdrücklichen Einwilligung

der betroffenen Person stattfindet. Außerdem muss die Übertragung mithilfe automatisierter Verfahren erfolgen.

Beim Recht auf Datenübertragbarkeit werden jedoch auch Einschränkungen vorgenommen. Bei der direkten Datenübertragung dürfen die Rechte und Freiheiten anderer Personen nicht beeinträchtigt werden.

Privacy by Design und Privacy by Default (Artikel 25 DSGVO)

Privacy by Design

Der Artikel 25 DSGVO zu Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen (Privacy by Design und Privacy by Default) ist eine weitere wichtige Neuerung in der DSGVO.

Hier wird festgelegt, dass der Verantwortliche zum Zeitpunkt der Festlegung der Mittel für die Verarbeitung personenbezogener Daten geeignete technische und organisatorische Maßnahmen ergreifen muss. Diese Maßnahmen müssen die Datenschutzgrundsätze (vgl. Artikel 5 DSGVO in Teil 1 der Serie) wirksam umsetzen und so die Rechte der betroffenen Personen schützen.

Dies wirkt sich neben einer Reihe von Maßnahmen, wie z.B. IT Security, physische Zugangskontrolle oder Verschlüsselung von Daten, auch auf die Entwicklung von Software selbst aus. Bei der Entwicklung der Software zur Verarbeitung personenbezogener Daten müssen verschiedene Dinge berücksichtigt werden. Dazu gehören der Stand der Technik, die Implementierungskosten, die Art, der Umfang, die Umstände und die Zwecke der Verarbeitung. Sie beeinflussen die Entwicklungstätigkeit z.B. auch auf Ebene der Softwarearchitektur und des Designs. Mit der Verarbeitung verbundene Risiken für die Rechte und Freiheiten natürlicher Personen müssen berücksichtigt werden. Risiken werden nach Eintrittswahrscheinlichkeit und Schwere bewertet.

Dieses Prinzip gilt nicht nur für die Festlegung der Mittel (u.a. Entwicklung der Software), sondern auch zum Zeitpunkt der eigentlichen Verarbeitung, also während sich die Verarbeitungssoftware in Betrieb befindet.

Privacy by Default

Darüber hinaus muss der Verantwortliche weitere Maßnahmen treffen. Diese sollen sicherstellen, dass durch Voreinstellung nur solche personenbezogenen Daten verarbeitet werden, deren Verarbeitung für den Verarbeitungszweck erforderlich ist.

Diese Verpflichtung gilt für die Menge der erhobenen personenbezogenen Daten, den Umfang ihrer Verarbeitung, ihre Speicherfrist und ihre Zugänglichkeit. Solche Maßnahmen müssen insbesondere sicherstellen, dass personenbezogene Daten durch Voreinstellungen nicht ohne Eingreifen der Person einer unbestimmten Zahl natürlicher Personen zugänglich gemacht werden.

Dieses Prinzip der datenschutzfreundlichen Voreinstellungen (Privacy by Default) räumt den betroffenen Personen zusätzliche Möglichkeiten ein. In Verbindung mit den Bedingungen für die Einwilligung zur Verarbeitung personenbezogener Daten (vgl. Artikel 7 DSGVO in Teil 1 der Serie) sollten Möglichkeiten entstehen, selbst festzulegen, welche personenbezogenen Daten vom Verantwortlichen verarbeitet werden dürfen und welche nicht.

Solche Voreinstellungen (in Privacy Cockpits) wurden bereits vor ca. zwei Jahren für Besitzer von Microsoft oder Google Accounts eingeführt. Nutzer können selbst festlegen, wie die Nutzung der Daten aus Internetsuchen gestaltet wird. Google hat erst kürzlich auch die Abschaltung von personenbezogener Werbung für seinen Suchdienst auch für anonyme Nutzer des Dienstes in die Privacy-Einstellungen aufgenommen. Artikel 25 DSGVO, speziell der Teil zu Privacy by Default, wird also – technisch interpretiert – zu einer Drehscheibe für Einwilligungen zur Verarbeitung von personenbezogenen Daten und deren Zwecken. Gleiches gilt für die Rücknahme so erfolgter Einwilligungen. Einwilligungen und deren Entziehung sind mittels Privacy Cockpits für die Nutzer genauso einfach zu bewerkstelligen.

Zusammenfassung und Ausblick

Das Recht auf Datenübertragbarkeit ist in Artikel 20 DSGVO verankert. Die Anforderungen an Privacy by Design und Privacy by Default werden in Artikel 25 DSGVO beschrieben. Beide stellen wichtige Neuerungen gegenüber der alten Datenschutzrichtlinie (1995/46/EG) dar.

Die vier wichtigsten Take-aways des dritten Teils der Serie sind:

  • Das Recht auf Datenübertragbarkeit (Export von Daten eines Dienstes) trägt wesentlich dazu bei, dass sogenannte Vendor Lock-ins aufgebrochen werden können.
  • Das Recht auf Datenübertragbarkeit von einem digitalen Dienst zu einem anderen bildet eine wesentliche Grundlage für den Austausch von relevanten Daten in digitalen Ökosystemen und der sogenannten Plattformökonomie. Nutzer digitaler Dienste können so verschiedene Dienste bei verschiedenen Anbietern nutzen und dabei von ihren Daten auch an anderer Stelle profitieren.
  • Privacy by Design verpflichtet Anbieter von Diensten zu einer Vielzahl von sichernden Maßnahmen. Das Spektrum reicht dabei von IT-Sicherheit über physische Zugangskontrolle z.B. in Rechenzentren bis hin zu Maßnahmen in der Software selbst. Privacy Cockpits sind dabei eine weitere wichtige Facette, mit welcher den Nutzern Datensouveränität gegeben wird.
  • Privacy by Default sichert den Nutzern datenschutzfreundliche Voreinstellungen zu. Dies bedeutet, dass z.B. nicht mehr alle nur möglichen Daten zu einem Nutzer bei der Nutzung eines Dienstes automatisch auch erfasst und verarbeitet werden dürfen. Hier kann der Nutzer selbst festlegen, welche Daten zusätzlich zu den vertraglich relevanten Daten verarbeitet werden dürfen.

Im abschließenden Teil 4 der Serie werden die in den ersten drei Teilen betrachteten Festlegungen der DSGVO in einer Lex-to-Tech Übersetzung auf digitale Dienste abgebildet. Deren Nutzen im Zusammenhang mit Plattformökonomie und digitalen Ökosystemen wird aus technischer und regulativer Sicht beleuchtet. Im Detail gehört hierzu auch, mit welchen Inhalten ein Privacy Cockpit ausgestattet sein kann. Auch ist es wichtig zu betrachten, wie Einstellungen aus einem Privacy Cockpit bei der Verarbeitung personenbezogener Daten durchgängig durchgesetzt werden. Teil 4 erscheint am 7. März 2018 auf diesem Blog.

Rechtlicher Hinweis

Die Inhalte dieses Artikels und der Artikelserie zur DSGVO stellen keine Rechtsberatung dar.

Sie repräsentieren lediglich die Auslegung und technische Interpretation der Inhalte der DSGVO nach dem Verständnis des Autors.