Das Recht auf Datenportabilität ist in der DSGVO verankert, der Datenschutz-Grundverordnung, die 2018 in Kraft trat und auch für viele Schlagzeilen sorgte. Nur ging es meist um das Recht auf Auskunft über oder das Recht auf Löschung von Daten. Der Aspekt der Datenportabilität fiel weitgehend unter den Tisch.
Dabei sollten Verbraucherinnen und Verbraucher dank des Rechts auf Datenportabilität nun ihre personenbezogenen Daten zwischen verschiedenen Anbietern übertragen können. Wer zum Beispiel eine Fitness-App nutzt und dort seine Laufzeiten speichert, könnte die gespeicherten Daten mitnehmen, wenn er sich für eine andere App entscheidet. So weit die Theorie – wie es in der Praxis mit dem Recht auf Datenportabilität aussieht, ist Thema eines vom bidt geförderten interdisziplinären Projekts.
Im Moment erfordert es ein gewisses Ausmaß an Eigeninitiative, das Recht auf Datenportabilität zu nutzen. Das hindert viele daran.
Prof. Dr. Susanne Mayr Zum Profil
Erste Ergebnisse deuten darauf hin, dass nur wenige Verbraucherinnen und Verbraucher schon davon gehört haben und Unternehmen es ihnen auch nicht gerade leicht machen. „Im Moment erfordert es ein gewisses Ausmaß an Eigeninitiative, das Recht auf Datenportabilität zu nutzen. Das hindert viele daran“, sagt Psychologieprofessorin Susanne Mayr. Viele Internetplattformen bieten zwar die Möglichkeit an, die persönlichen Daten teilweise zu exportieren, kommunizieren aber nicht offen darüber.
„Datenportabilität besteht aus zwei unabhängigen Vorgängen: Zuerst müssen die Daten auf der ersten Plattform extrahiert werden, dann müssen sie auf der zweiten Plattform importiert werden. Das könnte natürlich in einem Vorgang passieren und die Vision der DSGVO ist sicher, dass dies relativ einfach und nutzerfreundlich durchgeführt werden könnte. Aber für diesen Vorgang, der quasi wie aus einem Guss ablaufen sollte, haben wir bislang keine Belege gefunden“, sagt Jens Großklags, Professor für Cyber Trust.
Wer von einem beruflichen Netzwerk zu einem anderen wechselt, kann bestenfalls seine selbst generierten Daten mitnehmen, aber nicht die sozialen Verbindungen.
Prof. Dr. Johann Kranz Zum Profil
Dazu kommt, dass das Recht in der DSGVO möglicherweise enger gefasst ist, als es sich Nutzerinnen und Nutzer wünschen würden. „Die DSGVO schreibt nur vor, dass ermöglicht wird, personenbezogene Daten zu übertragen, die der Nutzer selbst eingegeben hat. Das heißt: Alle Daten, die observiert wurden, seien es Bewegungsdaten oder Interaktionen, fallen nicht darunter. Ebenso wie aus dem Nutzerverhalten abgeleitete und prognostizierte Daten, da diese ja vom Plattformbetreiber selbst erstellt wurden“, sagt Wirtschaftsprofessor Johann Kranz. Und selbst bei den personenbezogenen Daten könnten Wunsch und Wirklichkeit noch auseinanderklaffen: „Wer etwa von einem beruflichen Netzwerk zu einem anderen wechselt, kann also bestenfalls seine selbst generierten Daten mitnehmen und auf einer anderen Plattform nutzen, aber nicht die sozialen Verbindungen.“
Im Rahmen des bidt-Projekts sollen daher auch Handlungsempfehlungen erarbeitet werden, wie sich die Möglichkeiten der Umsetzung des Rechts auf Datenportabilität verbessern ließen: Das geht bei der Bekanntheit des Rechts los und reicht bis hin zum Aufzeigen technischer Möglichkeiten oder Alternativen.
bidt-Lexikon: Datenportabilität
In der Datenschutz-Grundverordnung (DSGVO) ist das Recht auf Datenportabilität beziehungsweise Datenübertragbarkeit verankert: Verbraucherinnen und Verbraucher haben das Recht, ihre personenbezogenen Daten zwischen verschiedenen Anbietern zu übertragen. Dafür müssen die Daten bei einer Plattform exportiert und auf einer anderen importiert werden können. Wer zum Beispiel eine Fitness-App nutzt und seine Laufzeiten speichert, könnte diese Daten zu einem anderen Anbieter mitnehmen. Das Recht gilt jedoch nicht für die sozialen Verbindungen, die etwa in sozialen Netzwerken aufgebaut werden, und auch nicht für Daten über das Nutzerverhalten, die vom Anbieter observiert wurden.
Forschungsprojekt am bidt
Das Projekt wird interdisziplinär geleitet von Professor Jens Großklags (TUM, Lehrstuhl für Cyber Trust), Professor Johann Kranz (Lehrstuhl für Internet Business und Internet Services an der LMU) und Professorin Susanne Mayr (Lehrstuhl für Psychologie mit Schwerpunkt Mensch-Maschine-Interaktion an der Universität Passau). Das Forschungsteam untersucht Bekanntheit und Möglichkeiten der Umsetzung des Rechts auf Datenportabilität. Zudem werden Lösungen entwickelt, wie das Konzept den Wettbewerb in der Internetökonomie und datengetriebene Innovationen stärken kann.