| Aktuelles | Interview | Daten im Huckepack

Daten im Huckepack

Das Recht auf Datenportabilität ist kaum bekannt und schwierig umzusetzen. In einem interdisziplinären Projekt am bidt wird untersucht, woran das liegt und wie Nutzerinnen und Nutzer mehr Kontrolle über die eigenen Daten erhalten können.

© Robin Worrall / Unsplash

Die Übertragbarkeit von Daten könnte vielen Internetnutzerinnen und -nutzern das Leben erleichtern. Ein Recht auf Datenportabilität ist in der DSGVO verankert, der Datenschutz-Grundverordnung, die 2018 in Kraft trat.

Im Projekt „Bewusstsein, Motivation und Implementierung von Datenportabilität – Stärkung radikaler und disruptiver Innovationen durch verbesserte Datenportabilität“ untersuchen Professor Jens Großklags (Lehrstuhl für Cyber Trust, TUM), Professor Johann Kranz (Lehrstuhl für Internet Business und Internet Services, LMU) und Professorin Susanne Mayr (Lehrstuhl für Psychologie mit Schwerpunkt Mensch-Maschine-Interaktion, Universität Passau) Bekanntheit und Möglichkeiten der Umsetzung des Rechts auf Datenportabilität. Zudem werden Lösungen entwickelt, wie das Konzept den Wettbewerb in der Internetökonomie und datengetriebene Innovationen stärken kann.

Sie haben in ersten Umfragen festgestellt, dass das Recht auf Datenportabilität kaum bekannt ist. Woran liegt das?

Susanne Mayr: Datenportabilität ist eher ein nachgelagertes Recht, weil es nur von Relevanz ist, wenn ein Nutzer eine Onlineplattform wechseln möchte. Man kann also schon verstehen, dass es bislang nicht so prominent wahrgenommen wurde wie die anderen Rechte der DSGVO. Dazu kommt, dass man bei Datenportabilität auch Eigeninitiative aufbringen muss, um sie zu nutzen. Das hindert viele daran, dieses Recht in Anspruch zu nehmen.

Liegt es auch an einer Art Technikskepsis, also daran, dass man Angst hat, damit überfordert zu sein?

Susanne Mayr: Absolut. Das kommt auch mit ins Spiel. Wir erfassen darüber hinaus aber auch sogenannte Technikkompetenzüberzeugungen: Für wie fähig halte ich mich im Umgang mit Technik? Glaube ich zum Beispiel, dass ich einen Transfer meiner Daten von einer zu einer anderen Onlineplattform hinkriege? Oder könnte ich etwas falsch machen und bin ich dann am Ende schuld, wenn Daten verloren gehen? Wir wollen auch herausfinden, inwiefern diese Selbsteinschätzung mit anderen Faktoren zusammenhängt, zum Beispiel mit dem Wissen über die eigenen Möglichkeiten: Sucht etwa jemand, der generell mehr Kompetenzen im Umgang mit Technik verspürt, auch stärker nach diesem Wissen, das heißt, ist er oder sie besser informiert über die Handlungsoptionen hinsichtlich des Datenschutzes und der Datenportabilität?

Gibt es schon Erkenntnisse, ob sich die Deutschen eher für technikkompetent halten?

Susanne Mayr: Die Daten zum Wissen über Datenportabilität, über die wir bislang verfügen, beruhen auf einer Stichprobe, bei der wir von einer eher größeren Vertrautheit mit datenschutzrelevanten Themen ausgehen konnten: eine junge studentische, eher onlineaffine Klientel. Selbst in dieser Stichprobe war das Wissen über Nutzerrechte im Allgemeinen und Datenportabilität im Speziellen eher gering ausgeprägt. Unsere Erwartung ist, dass das Wissen über Datenschutz und das Bewusstsein für die eigenen Rechte im Internet in einer für die deutsche Bevölkerung repräsentativen Stichprobe noch geringer ausgeprägt sein dürften. Die Erhebung einer solchen Stichprobe haben wir gerade abgeschlossen, die Datenauswertung findet derzeit statt, erste Ergebnisse werden demnächst vorliegen.

Jens Großklags: Datenportabilität besteht ja aus zwei voneinander unabhängigen Vorgängen: die Daten auf der ersten Plattform zu extrahieren und dann auf der zweiten Plattform wieder zu importieren. Das könnte natürlich auch in einem Prozess passieren.

Die Vision der DSGVO ist es, dass Datenportabilität relativ einfach und nutzerfreundlich möglich sein soll. Aber dafür haben wir keine Belege gefunden.

Prof. Dr. Jens Großklags Zum Profil

Unsere bisherigen Ergebnisse deuten darauf hin, dass die Unternehmen dieses Recht sehr eng interpretieren: Sie stellen die Daten zur Verfügung und ermöglichen einen Datenexport. Aber wir haben kaum attraktive Angebote gefunden, Daten zu importieren.

Sie haben in einer Studie am Beispiel von Facebook untersucht, wie es um die Umsetzung des Rechts steht. Was kam dabei heraus?

Jens Großklags: Die meisten Unternehmen, die mit den Daten ihrer Nutzerinnen und Nutzer ihr Geld verdienen, wozu auch Facebook zählt, machen es einem nicht unbedingt einfach, die verschiedenen Datenschutzoptionen zu finden. Das gilt insbesondere für jene Optionen, die einem helfen, die Plattform zu verlassen und seine Daten dafür zu exportieren. Wenn man sie dann bei Facebook gefunden hat, ist es im Vergleich zu anderen Plattformen nicht komplizierter. Aber es braucht schon einen gewissen Grad an Eigeninitiative, um sein Recht auf Datenportabilität wahrzunehmen. Die Teilnehmer unserer Studie wären von sich aus nicht auf die Idee gekommen, dieses Menü zu suchen. Niemand wird von der Plattform direkt darauf hingewiesen.

Ist das so verwunderlich? Was hätten die Plattformen davon, wenn sie das Recht offen kommunizieren würden?

Jens Großklags: Der erste intuitive Gedanke, dass die DSGVO Unternehmen wie Facebook schadet, hat sich nicht unbedingt bewahrheitet. Es gibt Studien, wonach eher große Unternehmen von diesen Rechten, die Nutzer durch die DSGVO haben, profitieren könnten, weil sie einfach viel mehr Möglichkeiten haben, solche Mechanismen auf eine zufriedenstellende Weise aufzubauen. Natürlich werden Nutzer die Plattform verlassen, aber diese großen Firmen haben auch mehr Mittel, wieder neue anzulocken.

Dieses Recht ist schon ein Versuch, die Winner-takes-it-all-Märkte aufzubrechen und neuen Mitbewerbern, Start-ups, zu ermöglichen, anhand von Datenportabilität in Konkurrenz zu den etablierten Datenkraken zu treten. Aber diesen Effekt hat es bislang nicht gegeben.

Prof. Dr. Johann Kranz Zum Profil

Johann Kranz: Die Vorstellung, man würde bei der derzeitigen Rechtslage mit seinen Daten von einem Netzwerk zum anderen wechseln, ist leider auch etwas trügerisch. Die DSGVO schreibt nur vor, personenbezogene Daten zu übertragen, die der Nutzer selbst eingegeben hat. Das heißt, alle Daten, die von einer Plattform observiert wurden, seien es Bewegungsdaten oder Interaktionen des Nutzers, fallen nicht darunter. Und schon gar nicht werden Daten portiert, die Einblicke in Analysen und Prognosen der Betreiber zulassen. Diese sind geschützt, weil sie dem Schutz des geistigen Eigentums unterliegen. Nutzer könnten nach derzeitiger Rechtsauffassung auch nicht einfach ihre sozialen Kontaktinformationen mitnehmen, weil es keine personenbezogenen Daten sind.

Müsste man das Recht also noch umfassender formulieren?

Jens Großklags: Die Regeln zum Konsumentenschutz hinken generell der Onlinewelt hinterher. Sie beziehen sich noch auf eine Welt, in der Konsumenten mit ihren Füßen abstimmen und von einem Unternehmen zum nächsten relativ einfach wechseln können. Das ist bei datenbezogenen Diensten viel schwieriger, weil eine viel tiefere Einbettung der Person auf der Plattform vollzogen wird. Es ist natürlich trotzdem lobenswert, dass Datenportabilität in der DSGVO ihren Platz gefunden hat. Aber es ist kein Plan mit dem Recht mitgekommen, wie man den Konsumentenschutz von der traditionellen Welt auf die Onlinewelt überträgt.

Johann Kranz: Der einzige Moment, wo man als Internetnutzer die DSGVO wahrnimmt, ist leider, wenn das Consent-Banner auf Webseiten aufploppt, um für die Einwilligung für diverse Cookies zu bitten. Das Gros der Nutzer sieht die DSGVO meiner Wahrnehmung nach nicht als Instrument, sich ein Stück Privatheit zurückzuholen. Deshalb wollen wir mit unseren Studien untersuchen, inwieweit solche regulatorischen Eingriffe die Nutzer womöglich eher nerven und wie sie besser zu gestalten wären.

Viele Nutzerinnen und Nutzer sind des Themas Datenschutz überdrüssig.

Prof. Dr. Susanne Mayr Zum Profil

Susanne Mayr: Ich habe eine gewisse Sorge, dass die DSGVO bei vielen Nutzern ein eher negatives Image hat. Sie fühlen sich genervt von all den Einverständniserklärungen und haben das Gefühl, sie sowieso nicht zu verstehen. Wir kennen das auch aus anderen Kontexten, weil wir im Rahmen unserer Studien viele Daten selbst erheben. Die Informationen zum Datenschutz, die Teilnehmende unserer Studien erhalten und denen sie zustimmen müssen, werden meist gar nicht erst gelesen. In der psychologischen Forschung ist dazu passend das Phänomen der „privacy fatigue“ beschrieben worden: Viele Nutzerinnen und Nutzer sind des Themas Datenschutz überdrüssig, sie empfinden eine Art Erschöpfung beim häufigen Aufkommen der Thematik und manche reagieren sogar mit Zynismus auf das Thema.

Wie ließe sich das anders lösen?

Jens Großklags: Es gibt hier keine einfachen Lösungen. Aber wenn Nutzer ihr Recht nicht kennen, ist es nutzlos. Und dasselbe ist der Fall, wenn Unternehmen keine attraktiven Möglichkeiten bereitstellen, es zu nutzen.

Johann Kranz: Wir wollen in dem Projekt zunächst ein Grundverständnis erarbeiten, wie das Recht auf Datenportabilität wahrgenommen und umgesetzt wird, um darauf basierend Handlungsempfehlungen geben zu können.

Es gibt verschiedene technische Möglichkeiten und Alternativen zu Datenportabilität – seien es Ansätze wie sogenannte Personal Data Stores, bei denen Nutzer selbst dafür verantwortlich sind, ihre Daten zu managen, und die Services auf die Daten zugreifen können, oder verpflichtende Interoperabilität zwischen den Diensten. Vielleicht wäre das die effektivere Lösung als der Ansatz über Datenportabilität, der umso schwieriger wird, je tiefer man ins Detail geht, da die Datenstrukturen der Plattformen sehr unterschiedlich sind.

Jens Großklags: Das Ziel unseres Projekts ist es nicht, eine homogene Onlinewelt zu erzeugen. Unsere Ambition ist es, vom traurigen Istzustand zu einer Welt zu wechseln, in der Nutzer mehr Kontrolle über eigene Daten ausüben können.

Prof. Dr. Jens Großklags

Inhaber, Professur für Cyber Trust | Technische Universität München

Prof. Dr. Johann Kranz

Professur für Digital Services and Sustainability, Ludwig-Maximilians-Universität München

Prof. Dr. Susanne Mayr

Inhaberin, Lehrstuhl für Psychologie mit Schwerpunkt Mensch-Maschine-Interaktion | Universität Passau