Die europäische Datenschutzgrundverordnung (EU DSGVO) tritt per 25. Mai 2018 in Kraft und gilt ab diesem Zeitpunkt als anwendbares Recht für den Umgang mit personenbezogenen Daten in allen EU-Ländern. Die Verordnung muss auch von Unternehmen und Organisationen aus Drittstaaten eingehalten werden, die Personendaten zu EU-Einwohnern führen. Daher sind ab dem 25. Mai schätzungsweise 80 Prozent aller in der Schweiz ansässigen Unternehmen und Organisationen zur Einhaltung der DSGVO verpflichtet.
Die neue europäische Datenschutzgrundverordnung räumt den betroffenen Personen eine Reihe von Rechten ein, mit denen sie auf die Verwaltung und Nutzung personenbezogener Daten Einfluss nehmen und ihre Ansprüche geltend machen können. Dazu zählt unter anderem die Informationspflicht der Datensammler bei der Erhebung personenbezogener Daten (Art. 13), das Auskunftsrecht der betroffenen Person (Art. 15), das Recht auf Berichtigung (Art. 16) oder die Einführung eines bisher nicht vorhandenen Rechts auf Löschung («Recht auf Vergessenwerden», Art. 17).
All diesen persönlichen Rechten ist gemeinsam, dass sich die Datensammler in einer aktiven und die betroffenen Personen in einer reaktiven Rolle befinden: Verwaltung, Berichtigung, Löschung oder weitere Handlungen in Zusammenhang mit den Personendaten bleiben stets in der Zuständigkeit der Datensammler – und die betroffene Person hat das Recht, reaktiv auf diese Handlungen Einfluss zu nehmen.
Doch die neue Verordnung wartet auch mit einer Weltneuheit auf: das Recht auf Datenübertragbarkeit (Art. 20). Dieses neue Recht ändert das bisherige Rollenverhältnis grundlegend. Der Datensammler – zum Beispiel die Bank A – wird verpflichtet, einer anfragenden Person die sie betreffenden personenbezogenen Daten oder eine maschinenlesbare Kopie davon auszuhändigen. Der Anfragende darf gestützt auf Art. 20 diese Daten einem anderen Datensammler – zum Beispiel der Bank B – übermitteln. Anders als bei den übrigen persönlichen Rechten übernimmt die betroffene Person hier eine aktive und verantwortliche Rolle gegenüber ihren Daten.
Das ist ein eigentlicher Paradigmenwechsel von einem reaktiven Datenschutz zu einem Recht auf aktive Mitnutzung der personenbezogenen Daten. Darin widerspiegelt sich der technologische Wandel der letzten 40 Jahre, in denen sich die Datenverarbeitung enorm ausgeweitet hat – von exklusiven Rechenzentren professioneller Unternehmen hin zu überall verfügbarem Internet und massenhafter Ausbreitung mobiler Endgeräte. Sie stellen das technologische Fundament für die digitale Selbstbestimmung des Individuums dar. Sprich: Im Gegensatz zu den 1980er- und 1990er-Jahren, aus denen die bisherigen Datenschutzgesetze meist stammen, sind heute die technischen Voraussetzungen gegeben, dass jedermann die ihn betreffenden personenbezogenen Daten aktiv mitnutzen kann.
Daten bleiben nicht an Dienstleister gebunden
Die Datenübertragbarkeit ermöglicht einen einfachen Wechsel von einem Dienstleister zum anderen. Sie schützt den Kunden davor, aufgrund von personenbezogenen Daten an einen bestimmten Dienstleister gebunden zu bleiben («lock-in»-Situation), was heute bei zahlreichen Internetplattformen, Streamingdiensten oder Netzwerken der Fall ist. Darüber hinaus stärkt die Übertragbarkeit die Wahlfreiheit des Kunden auch in Bereichen wie Telekommunikation, Finanzdienstleistungen oder Versicherungswesen.
Aber nicht nur der Wechsel zwischen zwei Dienstleistern, sondern auch die datenbasierte Kombination mehrerer Dienstleister unter Kontrolle des Kunden kann auf Basis von Art. 20 DSGVO gefördert werden. Die Datenübertragbarkeit stärkt damit den Wettbewerb im digitalen Bereich im Interesse der Kunden.
Die Datenübertragbarkeit erlaubt auch Anwendungen, die über das konkrete Dienstleistungsangebot des datensammelnden Unternehmens hinausgehen. So sind etwa Daten über das individuelle Konsumverhalten aufschlussreich für die Analyse von Ernährungsgewohnheiten. Daten über den individuellen Energieverbrauch sind relevant für die längerfristige Infrastrukturplanung, oder persönliche Gesundheitsdaten sind relevant für klinische Studien. Die Datenübertragbarkeit ermöglicht die bessere Nutzung solcher Daten für weitergehende, auch nichtkommerzielle Zwecke. Insbesondere erlaubt sie die Kombination personenbezogener Daten aus unterschiedlichen Quellen unter der Kontrolle der betroffenen Person.
Die offenen Fragen bei der Datenübertragbarkeit
Die Umsetzung des Rechts auf Datenübertragbarkeit ist Neuland und daher mit zahlreichen Herausforderungen und offenen Fragen verbunden:
1. Welche Daten fallen unter die neue Bestimmung?
Die Formulierung in Art. 20 DSGVO, «personenbezogene Daten, die sie einem Verantwortlichen bereitgestellt hat», lässt Spielraum für Interpretationen. Ausser Frage stehen jene Daten, die von einer Person aktiv und bewusst erfasst wurden (beispielsweise in einem Internetformular). Zusätzlich kommen diejenigen Daten in Betracht, die durch eine Aktivität der Person generiert werden – wie Standortdaten, die durch die Nutzung eines mobilen Endgeräts entstehen. Es ist klar, dass gerade in diesem Bereich der generierten Nutzungsdaten ein grosses Potenzial, aber möglicherweise auch ein grosser Aufwand für die Realisierung der Datenübertragbarkeit steckt. Zudem muss stets auch der Schutzanspruch von Drittpersonen berücksichtigt werden, da gerade Nutzungsdaten oft auf Drittpersonen verweisen (Beispiel: Zahlungsanweisung). Ausser Betracht fallen Daten, die mittels Auswertungen und Analysen aus bestehenden Daten erzeugt werden.
2. Welche Massnahmen müssen die Unternehmen und Organisationen treffen, um die Datenübertragbarkeit zu gewährleisten?
Die Umsetzung der Datenübertragbarkeit erfordert vom einzelnen Datensammler Massnahmen, um die fraglichen Daten der betroffenen Person oder einem von dieser Person bezeichneten, anderen Verantwortlichen in einem «strukturierten, gängigen und maschinenlesbaren Format» zur Verfügung zu stellen. In welchem Umfang solche Massnahmen zu treffen sind, hängt einerseits von der Anzahl Personen ab, die aktiv vom Recht auf Datenübertragbarkeit Gebrauch machen. Andererseits spielt auch der Umfang der gewünschten Daten eine Rolle. Zu beiden Parametern fehlen aussagekräftige Erfahrungswerte, weshalb die meisten Unternehmen die Vorbereitungen auf die Datenübertragbarkeit eher zurückhaltend angehen.
Soll die Norm ihren Hauptzweck einer grösseren Wahlfreiheit der Kunden zwischen verschiedenen Dienstleistern erfüllen, braucht es nicht nur isolierte Massnahmen einzelner Unternehmer. Notwendig ist die Verständigung möglichst vieler Unternehmen – zumindest innerhalb einer Branche – auf standardisierte Mechanismen und Formate für die Übertragung der Kundendaten.
3. In welcher Form und in welchem Ausmass werden die betroffenen Personen vom Recht auf Datenübertragbarkeit Gebrauch machen?
Zwingende Voraussetzung ist die Kenntnis, zu welchen personenbezogenen Daten das Recht überhaupt geltend gemacht werden kann. Art. 12 ff. DSGVO (Informationspflicht und Auskunftsrecht) sind dazu die Grundlage. Darüber hinaus benötigt der Benutzer aber Instrumente, um die Daten von einem Datensammler zum anderen zu übermitteln. Drei Ansätze zeichnen sich ab:
Die direkte Interaktion zwischen datenabgebenden und datenempfangenden Verantwortlichen unter der Kontrolle der betroffenen Person («Consent Management»-Ansatz).
Die Einrichtung spezifischer Plattformen für das Management der persönlichen Daten («Personal Information Management Information System»).
Die Etablierung spezieller Dienstleister, die das Recht auf Datenübertragbarkeit treuhänderisch für eine betroffene Person wahrnehmen («Daten-Treuhänder»).
Heute ist noch unklar, welche Form sich durchsetzen wird oder ob weitere Varianten dazukommen werden. Zentral bleibt die Frage, in welchem Ausmass das neue Recht überhaupt in Anspruch genommen wird. Dies hängt in erster Linie vom Aufwand ab, den eine Person für die Auslösung der Datenübertragung leisten muss und welchen Ertrag sie dafür erwarten kann.
Die Einführung des Rechts auf Datenübertragbarkeit in der EU hat in der laufenden Revision des schweizerischen Datenschutzgesetzes (DSG) ihren Niederschlag gefunden. Dabei dominiert eine zurückhaltende und abwartende Einstellung. «Der Bundesrat zieht es vor, die Ergebnisse der Erfahrungen innerhalb der EU abzuwarten, bevor die Einführung eines Rechts auf Datenportabilität in Betracht gezogen wird», schreibt der Bundesrat in der Botschaft zum Bundesgesetz über die Totalrevision des Datenschutzgesetzes. Und weiter: «Nach Auffassung des Bundesrats ist dieses Recht mehr darauf ausgerichtet, den betroffenen Personen die Wiederverwendung ihrer Daten zu ermöglichen, um den Wettbewerb spielen zu lassen, als ihre Persönlichkeit zu schützen. Es scheint daher problematisch, entsprechende gesetzliche Regelungen zu erlassen.» Zudem werden die Schwierigkeiten mit der technischen Abstimmung unter den Datensammlern sowie die möglichen Folgekosten als Argumente für die abwartende Haltung angeführt.
Angesichts des bevorstehenden Paradigmenwechsels im Umgang mit personenbezogenen Daten in der EU bringt eine zögerliche Haltung die Schweiz aber nicht weiter. Die rechtliche Verankerung der Datenübertragbarkeit im Rahmen der Schweizer Datenschutzgesetzgebung ist angesichts der Geltung der EU DSGVO unvermeidlich. Die meisten Schweizer Unternehmen werden sich im Datenverkehr mit der EU ab dem 25. Mai 2018 der DSGVO und damit auch dem Recht auf Datenübertragbarkeit unterziehen müssen. Auch die technische Abstimmung zwischen den Datensammlern und die Folgekosten sind zwar ernstzunehmende Herausforderungen, aber keine triftigen Gründe, der Entwicklung der digitalen Selbstbestimmung im europäischen Raum hinterherzuhinken.
Die Inkraftsetzung der DSGVO bietet der Schweiz vielmehr die Möglichkeit, mit innovativen Lösungen für das persönliche Datenmanagement und mit freiwilligen branchenspezifischen Standards für die Datenübertragbarkeit zu einem Pionierland der digitalen Selbstbestimmung zu werden.�
