Lade Inhalt...
Titel: Das Recht auf Datenportabilität

Das Recht auf Datenportabilität

Art. 20 DSGVO als Schnittstelle zwischen Wettbewerbsförderung und Datenschutz

von Alexander Daniel Fix (Autor:in)
©2022 Dissertation 380 Seiten
Rechtswissenschaften, Volks- & Betriebswirtschaftslehre
Reihe: Studien zum Europäischen und Internationalen Wirtschaftsrecht / Studies in European and International Economic Law, Band 24

Zusammenfassung

Datenportabilität wird seit Beginn des Internetzeitalters als Garant für ein freies und offenes Internet angesehen. Die DSGVO versucht nun, dieses Bedürfnis erstmals gesetzgeberisch zu erfüllen. Die Kodifikation des Rechts auf Datenportabilität in Art. 20 DSGVO befindet sich dabei an einer immer wichtiger werdenden Schnittstelle zwischen Datenschutzrecht und Wettbewerbsrecht. Die zuweilen als widersprüchlich empfundene Verortung als datenschutzrechtliches Betroffenenrecht wird an dieser Schnittstelle eingeordnet. Alexander Fix beleuchtet dabei Zweck und Regelungsgehalt des Art. 20 DSGVO vor diesem Hintergrund erstmals umfassend und ergänzt dies um eine Betrachtung einiger technischer Aspekte aus juristischer Sicht.

Inhaltsverzeichnis

  • Cover
  • Titel
  • Copyright
  • Autorenangaben
  • Über das Buch
  • Zitierfähigkeit des eBooks
  • Vorwort
  • Inhaltsverzeichnis
  • I. Einführung
  • 1. Forschungsgegenstand
  • a. Artikel 20 DSGVO
  • b. Gesetzliche Portabilitätsregelungen
  • c. Privatwirtschaftliche Portabilitätsansätze
  • 2. Forschungsziel und Gang der Untersuchung
  • II. Regelungszweck des Art. 20 DSGVO
  • 1. Einleitung
  • 2. Datenportabilität als Datenschutzregelung
  • a. Herleitung eines datenschutzrechtlichen Charakters nach individuell-herrschaftsrechtlichem Verständnis des Datenschutzes
  • aa. Denkgrundlagen des herrschaftsrechtlichen Datenschutzverständnisses
  • bb. Verortung des Rechts auf Datenportabilität im herrschaftsrechtlichen Verständnis
  • cc. Datenportabilität als Erweiterung des Rechts auf informationelle Selbstbestimmung und Reaktion auf technologischen Wandel
  • dd. Unmittelbare Grundrechtswirkung und Wandel der Datenverarbeitungsvorgänge
  • ee. Herrschaftsrechtlicher Vergleich zu Berichtigungs- und Löschungsrechten
  • ff. Zwischenfazit
  • b. Datenportabilität als Ausdruck eines erweiterten regulatorischen Datenschutzverständnisses, Ablehnung des individuell-herrschaftsrechtlichen Verständnisses
  • aa. Die Datenportabilität als datenschutzrechtliches „Novum“
  • bb. Regulatorischer statt herrschaftsrechtlicher Datenschutz
  • i. Unterscheidung von Daten und Informationen
  • ii. Datenschutz als Teilhabeschutz
  • iii. Das Datenschutzgrundrecht als Recht auf adäquate gesetzgeberische Ausgestaltung
  • iv. Politische Einordnungsäußerungen
  • v. Datenportabilität als „atypisches Datenschutzrecht“ und Fremdkörper
  • vi. Marktregulierung als Datenschutz
  • vii. Zwischenfazit
  • cc. Datenschutz und „Nutzerschutz“
  • dd. Datenschutz trotz Sicherheitsbedenken
  • ee. Pauschale Zwecküberwiegensbehauptungen
  • c. Fazit zum datenschutzrechtlichen Charakter von Art. 20 DSGVO
  • 3. Wettbewerbsrechtliche Zielsetzung – Bekämpfung von Lock-In-Effekten
  • a. Lock-In- und Netzwerkeffekte
  • aa. Konzentrationstendenzen und Netzwerkvorteile
  • bb. Gatekeeper und Bottleneck
  • cc. Strukturelle Marktzutrittsschranken und Beharrungskräfte
  • dd. Betroffene Konstellationen
  • ee. Stärkung von Incumbents?
  • b. Allgemeine Wettbewerbsförderung
  • c. Kein „Überschießendes Wettbewerbsrecht“
  • aa. Fehlende Schwellenwerte – Förderung erweiternder oder ergänzender Dienste nach dem Gedanken des Open Web
  • bb. Zentrale Bedeutung der fehlenden Schwellenwerte für die Anwendung
  • cc. Zwischenfazit: Reaktion auf die Dynamik datengetriebener Märkte
  • d. Wettbewerbsrechtlicher Zweck als Erklärung für Art. 20 Abs. 3 S. 2 DSGVO
  • e. Dezentrale Rechtsdurchsetzung – Aufsichtsbehördenkonkurrenz?
  • f. Binnenmarktpolitische Zielsetzung
  • g. Abgrenzung zur PortabilitätsVO und zur Digitale-Inhalte- RL
  • 4. Verbraucherschutz durch Datenportabilität
  • 5. Fazit zum Regelungszweck von Art. 20 DSGVO
  • III. Die rechtliche Umsetzung in Art. 20 DSGVO
  • 1. Einleitung
  • 2. Kurzübersicht über die einzelnen Tatbestandsmerkmale
  • 3. Erhalten von Daten, Art. 20 Abs. 1 Halbs. 1 DSGVO
  • a. Bezeichnungen als Herausgabe, Zurückholen oder modifizierter Auskunftsanspruch
  • b. Kein Erfordernis einer (noch) bestehenden und wirksamen Einwilligung oder eines entsprechenden Vertrags
  • aa. Vorvertragliche Maßnahmen
  • bb. Entfall oder Nichtbestehen der Verarbeitungsgrundlage
  • i. Ex-Nunc Entfall
  • ii. Weiterverarbeitung nach Ex-Nunc Entfall
  • iii. Ex-Tunc Entfall
  • iv. Rechtsmissbräuchliches Verhalten
  • v. Notwendige Korrektur anhand des Schutzzwecks
  • cc. Keine Unanwendbarkeit bei Beschäftigungsverhältnissen
  • dd. Bedeutung der Merkmale für die weitere Auslegung von Art. 20 DSGVO
  • c. Automatisierte Verfahren
  • d. Betreffen – Zwischen bloßer Klarstellung und Einführung einer Strukturierungspflicht
  • aa. Die Klarstellungsfunktion des Betreffens
  • i. Abgrenzung von der Bereitstellung
  • ii. Verknüpfung zum Betroffenen
  • iii. Unvereinbarkeit mit dem traditionellen Verständnis des Rechts auf informationelle Selbstbestimmung
  • bb. Kein „stärkerer“ Personenbezug erforderlich
  • cc. Auswirkungen einer faktischen Strukturierungspflicht
  • dd. Kein Erfordernis des Personenbezugs ausschließlich zum Betroffenen
  • i. Existenz des Art. 20 Abs. 4 DSGVO – Daten mit Auch-Bezug
  • ii. Zweistufige Prüfung
  • iii. Daten mit Auch-Bezug und Bekämpfung von Lock-In-Effekten
  • ee. Zwischenfazit
  • e. Bereitstellung
  • aa. Ausgangspunkt und bestehende Ansichten
  • bb. Wortlautargumentationen – Art. 4 Nr. 2 DSGVO und die „allgemeine Sprachauffassung“
  • i. Unterschiedliche Formulierungen in den Sprachfassungen
  • ii. Unterschiedliche Handlungsrichtungen
  • iii. Fehlen einer allgemeinen Sprachauffassung
  • cc. Entstehungsgeschichte
  • dd. Verhältnis zum Anwendungsbereich des Art. 13 DSGVO, Auftragsverarbeitung – Bereitstellung „durch“ den Betroffenen
  • i. (Technische) Relevanz der Einschaltung Dritter
  • ii. Datenerhebung bei Dritten
  • iii. Bereitstellen durch Auftragsverarbeiter
  • ee. Notwendige Auslegung nach Sinn und Zweck – Erfordernis eines aktiven Beitrags
  • i. Ersparung von Aufwand für den Betroffenen
  • ii. Wahl eines handlungsbezogenen Kriteriums
  • iii. Echtzeitportierung
  • iv. Vorzugswürdigkeit gegenüber der Lösung über Art. 20 Abs. 4 DSGVO
  • v. Bereitstellung als wettbewerbsrechtliches Charakteristikum
  • vi. Die Art der Handlung als Bindeglied zwischen Betroffenem und Verantwortlichem
  • ff. Primäre und Sekundäre Daten – Untergliederungen erfasster Daten und diskutierte Praxisfälle
  • i. Stammdaten
  • ii. Bestelldaten / Beobachtete Daten
  • iii. Technische Einstellungen
  • iv. Bewegungsdaten
  • v. Bewertungen, Rezensionen, Kommentare
  • vi. Zwischenfazit
  • gg. Probleme und Ablehnung einer sektor- oder servicespezifischen Auslegung
  • hh. Fazit – Änderungspotential hinsichtlich des Bereitstellungsmerkmals
  • f. Das Datenformat
  • aa. Gängigkeit
  • i. Sektorspezifische Auslegung nach vorherrschenden Praktiken
  • ii. Relative Nutzungshäufigkeit
  • iii. Verhältnis zu Art. 15 Abs. 3 S. 3 DSGVO
  • iv. Räumliche Bestimmung des relevanten Sektors
  • v. Inhaltliche Bestimmung des relevanten Sektors
  • vi. Fehlende gängige Formate / Proprietäre Formate
  • vii. Gängigkeit als konkretisiertes Behinderungsverbot
  • viii. Zwischenfazit
  • bb. Maschinenlesbarkeit – die Nachvollziehbarkeit für Maschinen
  • i. Definition nach RL 2013/37/EU
  • ii. Teleologische Auslegung / Definition nach der PSI-RL 2019/1024/EU
  • iii. Einschränkung auf elektronische Formate
  • iv. Zwischenfazit
  • cc. Strukturiertheit – die Nachvollziehbarkeit für den Betroffenen
  • i. Vergleich mit Art. 4 Nr. 6 DSGVO
  • ii. Teleologischer Vergleich mit dem Auskunftsrecht
  • iii. Kategoriebezogene Nachvollziehbarkeit für den Betroffenen
  • iv. Zwischenfazit
  • dd. Interoperabilität – Gewünschtes Ergebnis der Formatanforderungen
  • i. Klärung des Bezugsobjekts der Interoperabilität
  • ii. Begriffsklärung Interoperabilität
  • iii. Interoperabilität und Kompatibilität
  • iv. Entwicklungsaufforderung in ErwGr. 68 S. 1 zur DSGVO
  • v. Verhältnis zum Behinderungsverbot (Art. 20 Abs. 1 a.E. DSGVO)
  • vi. Zwischenfazit
  • ee. Fazit – Die Formatanforderungen als potentieller Wegbereiter einer Schnittstellenpflicht
  • g. Verantwortlicher
  • 4. Übermittlung erhaltener Daten, Art. 20 Abs. 1 Halbs. 2 DSGVO, insbesondere „ohne Behinderung“
  • a. Übermittlung ohne Behinderung
  • aa. Bedeutung des Behinderungsverbot
  • bb. Keine Beschränkung auf bestimmte Arten von Übertragungsbehinderungen
  • cc. Fallgruppen
  • i. Administrativer und zeitlicher Aufwand
  • ii. Psychischer Druck
  • iii. Benutzung spezifischer Formate
  • dd. Fazit
  • b. Pflichten der Beteiligten bei der Übermittlung nach Abs. 1
  • aa. Keine Annahmepflicht
  • bb. Keine Prüfpflichten des Betroffenen als „Verantwortlicher“
  • c. Fazit
  • 5. Direktübermittlung, Art. 20 Abs. 2 DSGVO
  • a. Keine Annahmepflicht
  • b. Technische Machbarkeit
  • aa. Subjektiver Maßstab der technischen Machbarkeit
  • bb. Technische Machbarkeit als Verhältnismäßigkeitsprüfung
  • i. Herleitung der Verhältnismäßigkeitsnatur der Technischen Machbarkeit
  • ii. Blickwinkel der Verhältnismäßigkeitsprüfung
  • cc. Fazit – Bedeutung der technischen Machbarkeit als Hindernis für schnellen Datenaustausch
  • c. Art. 20 Abs. 2 DSGVO als „Erlaubnistatbestand“
  • 6. Ausnahmen und Klarstellungen: Die Absätze 3 und 4
  • a. Klarstellung der Unabhängigkeit des Löschungsanspruchs, Art. 20 Abs. 3 S. 1 DSGVO
  • b. Ausschluss für den öffentlichen Bereich, Art. 20 Abs. 3 S. 2 DSGVO
  • aa. Umfang des Ausschlusses
  • bb. Bedeutung des Ausschlusses als Ausfluss des regulatorischen Datenschutzverständnisses
  • cc. Ausschluss für Verarbeitungen aufgrund rechtlicher Verpflichtung
  • dd. PSI-Richtlinie
  • c. Verhältnismäßigkeitsprüfung hinsichtlich Drittrechten, Art. 20 Abs. 4 DSGVO
  • aa. Die umfassten „Rechte und Freiheiten“
  • bb. Die „anderen Personen“
  • i. Berücksichtigung von Drittinteressen
  • ii. Restriktive Einbeziehung der Verantwortlichen
  • cc. Das notwendige Maß der Beeinträchtigung
  • i. Keine nur abstrakt drohenden Gefährdungen
  • ii. Die Rolle der Erlaubnistatbestände und die Filterfunktion des Bereitstellens
  • iii. Parallele zur Zweckänderung
  • iv. Zwischenfazit
  • dd. Fazit – Erhebliche Folgen für die Anwendung von Art. 20 DSGVO
  • d. Weitere Einschränkungen und Ausnahmen, Öffnungsklauseln
  • 7. Fazit zur rechtlichen Umsetzung
  • IV. Technische Umsetzung der Datenportabilität
  • 1. Einleitung
  • 2. Anforderungen für eine technische Umsetzung
  • a. Auslesevorgang und Exportvorbereitung
  • aa. Automatisierte Verfahren, Einwilligung und Vertragserforderlichkeit
  • bb. Bereitstellung
  • cc. Verhältnismäßigkeitsprüfung nach Art. 20 Abs. 4 DSGVO und Betreffen
  • dd. Lokalisierung der Daten
  • ee. Fazit
  • b. Übermittlungsvorgang und Import
  • aa. E-Mail
  • bb. Datenträger
  • cc. SFTP-Server
  • dd. Web-Schnittstelle
  • ee. Web-Portal
  • ff. ETL-Tools
  • gg. SQL-Abfragen
  • hh. Persönliche Informationsmanagementsysteme (PIMS)
  • ii. Blockchain
  • c. Vorgaben für das Datenformat
  • aa. Ausgangspunkt und technische Ziele
  • bb. Begrifflichkeiten bei der technischen Formatbeschreibung
  • cc. Abstraktion
  • dd. Interoperabilitätsebenen
  • 3. Beispiele für verwendbare Dateiformate und verwendete Austauschtechniken
  • a. Extensible Markup Language (XML)
  • b. JavaScript Object Notation (JSON)
  • c. Comma Separated Values (CSV)
  • d. Portable Document File (PDF)
  • e. Weitere Formate – TXT, XLS(X), HTML
  • 4. Vorhandene Industriestandards und Anwendungsbeispiele
  • a. EDIfact
  • b. DATANORM
  • c. Beispiele aus dem medizinischen Bereich
  • d. Google Data Liberation Front
  • aa. Takeout
  • bb. Open Social
  • cc. Download Your Data – Data Transfer Project
  • 5. Fazit zur technischen Umsetzung
  • V. Schlussbetrachtung
  • VI. Anhang
  • Literaturverzeichnis
  • Reihenübersicht

←16 | 17→

I. Einführung

Abstract: Outlining the research approach and predecessors of the right to data portability in the GDPR, this chapter shines a light upon existing national, EU-, and international statutory rules, as well as the origins of the idea of data portability in the private sector. It concludes that the statutory rules existing before or outside the GDPR are often limited in their scope and/or applicability, and the private sector approaches often end at the doorstep of the respective company.

Keywords: Data Portability, Open Internet, Walled Gardens, GDPR

Die Idee der Datenportabilität1 stammt aus der Welt des Silicon Valley mit dem Gedanken eines alle Möglichkeiten bietenden Internets. Das Internet sollte nach dieser idealistischen Vorstellung für alle offen sein und das freie Verschieben von Daten sollte diese Offenheit mitermöglichen. Das Internet zeichnet sich danach durch stetige Weiterentwicklung aus und lebt von der gegenseitigen freien Verfügbarkeit aller Daten. Diese Daten sollten nicht nur innerhalb der paradiesischen aber abgeschlossenen „Walled Gardens2 der Datenökosysteme einzelner Diensteanbieter verwendet werden können, sondern auch außerhalb derselben. In der privatwirtschaftlichen Realität wurde die Datenportabilität jedoch ohne Regulierung nicht in einer Weise erreicht, die diesem Bild gerecht wird. Der ←17 | 18→in der Datenschutz-Grundverordnung (DSGVO)3 mit deren Art. 20 erstmals unternommene Kodifizierungsversuch ist das Ergebnis eines sehr wechselhaften gesetzgeberischen Kurses. Dieser zeichnet sich durch lebhafte Diskussionen um die einzelnen Tatbestandsmerkmale, sowie deren schrittweises Ändern und Austauschen aus, das insgesamt zu einer durch viele unbestimmte Rechtsbegriffe geprägten Regelung geführt hat. Damit ist der Portabilitätsgedanke in der Realität einer politisch umsetzbaren staatlichen Regulierung angekommen und kompromissbedingt enger als die Datenportabilitätsidee seiner Vordenker. Dem Grunde nach ist aber bei allen sich der Datenportabilität verschreibenden Denkansätzen die Frage zentral, ob und wie man Daten von einem Verarbeitungspunkt zu einem anderen übertragen kann. So streitbar und plakativ Aussagen sind, die Daten als das Öl des 21. Jahrhunderts4 bezeichnen, so unbestreitbar ist die stetige Zunahme der Datenverarbeitungen in allen gesellschaftlichen Bereichen in den letzten Jahrzehnten. Die Frage der Datenübertragung hat eine erhebliche gesellschaftliche Dimension, weil die Anzahl verarbeiteter Daten kontinuierlich steigt und immer mehr Lebensbereiche mit dem Internet verflochten werden. So nimmt neben der gesellschaftlichen auch die ökonomische Relevanz von Datenverarbeitungsvorgängen immer weiter zu.5

1. Forschungsgegenstand

a. Artikel 20 DSGVO

Die Normierung eines Rechts „auf Datenportabilität“ findet wie erwähnt mit Art. 20 DSGVO Eingang in das europäische datenschutzrechtliche Regelungswerk. Zutreffender wäre die Bezeichnung als Recht „auf Portierung“6 der Daten ←18 | 19→in Abgrenzung zum für eine erfolgreiche Portierung bezweckten Zustand der „Portabilität“, also der „Übertragbarkeit“ der in Frage stehenden Daten. Der Wortlaut von Art. 20 DSGVO lautet dabei wie folgt:

(1) Die betroffene Person hat das Recht, die sie betreffenden personenbezogenen Daten, die sie einem Verantwortlichen bereitgestellt hat, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten, und sie hat das Recht, diese Daten einem anderen Verantwortlichen ohne Behinderung durch den Verantwortlichen, dem die personenbezogenen Daten bereitgestellt wurden, zu übermitteln, sofern

a) die Verarbeitung auf einer Einwilligung gemäß Artikel 6 Absatz 1 Buchstabe a oder Artikel 9 Absatz 2 Buchstabe a oder auf einem Vertrag gemäß Artikel 6 Absatz 1 Buchstabe b beruht und

b) die Verarbeitung mithilfe automatisierter Verfahren erfolgt.

(2) Bei der Ausübung ihres Rechts auf Datenübertragbarkeit gemäß Absatz 1 hat die betroffene Person das Recht, zu erwirken, dass die personenbezogenen Daten direkt von einem Verantwortlichen einem anderen Verantwortlichen übermittelt werden, soweit dies technisch machbar ist.

(3) 1Die Ausübung des Rechts nach Absatz 1 des vorliegenden Artikels lässt Artikel 17 unberührt. 2Dieses Recht gilt nicht für eine Verarbeitung, die für die Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde.

(4) Das Recht gemäß Absatz 1 darf die Rechte und Freiheiten anderer Personen nicht beeinträchtigen.

In vielen Kommentierungen und Beiträgen zu Art. 20 DSGVO wurde das darin enthaltene Recht auf Datenportabilität als Fremdkörper7 angesehen und als Novum bezeichnet8. Vor allem Letzteres mag hinsichtlich des Bestehens einer ←19 | 20→ausdrücklichen Regelung zutreffen. Dennoch zeichneten sich bereits in den Jahren vor Wirkungserlangung der DSGVO die erwähnten Überlegungen zur Herstellung der Datenportabilität vor allem in der US-amerikanischen Privatwirtschaft9 und im dortigen Kartellrecht ab.

Art. 20 DSGVO unterscheidet sich von den kartellrechtlichen Zugangsgewährungsmöglichkeiten vor allem dadurch, dass er nicht an das Überschreiten von Marktanteilsschwellen oder sonstige markteinflussbezogene Kriterien anknüpft.10 Auf Datenportabilitätsgewährleistungen nach dem Kartellrecht (zum Beispiel dem GWB, Art. 101, 102 AEUV oder auch dem US-amerikanischen Kartellrecht)11 und etwa die Frage, ob ein Anspruch auf Datenzugang nach der ←20 | 21→Essential-Facilities-Doktrin bestehen kann12, wird in dieser Arbeit nicht detailliert eingegangen.

b. Gesetzliche Portabilitätsregelungen

Sowohl in Deutschland und Europa, als auch im außereuropäischen Ausland bestanden und bestehen Vorschriften, die den Gedanken der Datenportabilität teilweise aufgreifen und umsetzen.

Geläufigster Vorläufer im deutschen Recht ist dabei die Rufnummernportierung nach § 46 Abs. 3 und Abs. 4 TKG13. Dieser und andere nationale und ←21 | 22→europäische Vorläufer griffen allerdings stets entweder im Anwendungsbereich oder in der Art der Datenübertragung kürzer als Art. 20 DSGVO.14 Die nationale ←22 | 23→französische Regelung der Datenportabilität in Art. L224-42 Code de la Consommation15 wiederum wurde im Entwurfsstadium als „überflüssig“ bezeichnet16 und ist inzwischen aufgehoben.17 Hingegen besteht die nationale luxemburgische Regelung in Art. 567 al. 2 des Code de Commerce18 fort: Sie bezieht sich jedoch auf den Insolvenzfall, stellt ein Recht auf Herausgabe beim Insolvenzschuldner befindlicher Gegenstände sicher19 und betrifft damit erneut einen Spezialfall der Datenübertragung. Seit Geltungserlangung der DSGVO im Mai 2018 sind weitere, beschränkte Regelungen zur Datenportabilität in Europa entstanden.20 Vor ←23 | 24→allem aber auch im außereuropäischen Ausland entstanden unmittelbar nach Geltungsbeginn der DSGVO einige vergleichbare Gesetzesvorhaben.

So enthält etwa Cal. Civ. Code § 1798.100(d) – California Consumer Privacy Act 201821, der sich auf Beziehungen zwischen Verbrauchern und Unternehmern beschränkt, eine Datenportabilitätsregelung.22 Ein australisches Gesetzesvorhaben zu einer Datenportabilitätsregung23 sah sogar die Festlegung verbindlicher Standards hinsichtlich des bei der Übertragung anzuwendenden Formats von einem dafür einzurichtenden Data Standards Chair vor24; es wurde aber mit der Auflösung des Parlaments im April 2019 hinfällig und seitdem nicht wieder aufgegriffen.25 Ausdrücklich an Art. 20 DSGVO orientiert hat sich ein Gesetzesvorhaben aus Singapur26: Für die dort enthaltenen Portability Provisions sollten bereits im Gesetzgebungsverfahren Probleme aufgegriffen werden, die ←24 | 25→sich auch bei Art. 20 DSGVO stellen.27 Auch dort sind bindende sektorspezifische Formatfestlegungen vorgesehen.28 Derartige Möglichkeiten, das Format festzulegen, finden sich seit ihrer Streichung aus dem Recht auf Datenportabilität in Art. 18 DSGVO-E durch das Parlament in der europäischen Regelung nicht mehr.29 Nicht zuletzt diese Streichung führt dazu, dass die Formatvorgaben in Art. 20 DSGVO teils als ungenügend oder jedenfalls problematisch angesehen werden.30 Auch der Entwurf der indischen Personal Data Protection Bill, 201931 sieht in Sec. 19 neben einem ansonsten sehr ähnlichen Inhalt im Vergleich zu Art. 20 DSGVO einige Konkretisierungen an in der DSGVO-Regelung streitigen Punkten wie der Bereitstellung vor.32 Eine bereits seit 2017 ←25 | 26→bestehende Regelung enthält Sec. 18 des philippinischen Datenschutzgesetzes33, der trotz einiger Unterschiede im Detail aber erhebliche Übereinstimmungen mit Art. 20 DSGVO aufweist34 und ebenfalls die Festlegung von Standards und Übertragungsabläufen ermöglicht. Das japanische Handelsministerium hat im Jahr 2017 begonnen, eine gesetzgeberische Tätigkeit hin zu einer Datenportabilitätsregelung zu eruieren35, diese wurde jedoch trotz einer ausdrücklichen Abstimmung der Datenschutzverantwortlichen Japans und der EU nicht in die 2020 verabschiedete Änderung des dortigen Datenschutzgesetzes aufgenommen.36 Die 2017 und 2018 vorgeschlagene Einführung eines Rechts auf Datenportabilität als Teil der Reform des neuseeländischen Privacy Act 201337 mit einer Ausgestaltung, die als Minimum diejenigen Rechte umfassen sollte, die mit Art. 18 DSGVO-E zum damaligen Zeitpunkt vergleichbar sind, wurde aber ←26 | 27→ebenfalls nicht in die Privacy Bill 201838 aufgenommen; damit bestehen in Neuseeland weiterhin nur Regeln zur Rufnummerportabilität.39 Schließlich enthält auch das ab August 2020 geltende brasilianische Lei Geral de Proteção de Dados in Art. 18.V eine Regelung der Datenportabilität, die allerdings textlich außer mit der Beachtung „geschäftlicher und industrieller Geheimnisse“ nicht über die Gewährung einer unspezifizierten „Übertragbarkeit“ hinausgeht.40

c. Privatwirtschaftliche Portabilitätsansätze

Ansätze zur Herstellung der Datenportabilität fanden sich schon vor der DSGVO und vor entsprechenden Regelungen außerhalb Europas in privatwirtschaftlichen Programmen, vor allem aus dem bereits erwähnten Silicon Valley. Auch diese waren allerdings auf bestimmte Anwendungsszenarien, meist sog. Soziale Netzwerke, beschränkt.41

Bereits seit den frühen 2000er Jahren wurde von Projekten wie OpenID, OAuth oder Portable Contacts an Technologien zur Portierung von Daten gearbeitet, ←27 | 28→oft jedoch mit Augenmerk eher auf einer sicheren Identifizierung im Netz.42 Im Jahr 2007 wurde die „Bill of Rights for Users of the Social Web“ veröffentlicht, in der zur Schaffung einer besseren Kontrolle für die Nutzer auch die Datenportabilität gefordert wurde.43 Ebenfalls bereits 2007 schlossen sich in dem Projekt DataPortability bzw. der DataPortability Workgroup44 verschiedene Akteure aus dem IT-Bereich mit dem Ziel zusammen, mittels zu entwickelnder Verfahrensstandards Benutzerdaten zwischen Onlinediensten verschieben zu können. Auch MySpace Data Availability, Facebook Connect und Google Friend Connect (2008) waren Projekte, die darauf ausgelegt waren, Benutzerdaten in verpartnerten Netzwerken einspeisen zu können.45 Diese Projekte zielten aber hauptsächlich auf den Import von Kontaktlisten und „basic profile information“ ab und sollten mit dem Ausgangsprofil verbunden bleiben. Diese frühen als „Portabilität“ bezeichneten Ansätze waren in ihrem Anwendungsbereich sowohl sachlich als auch persönlich – im Wesentlichen auf ausgewählte Partnerunternehmen beschränkt.46

←28 | 29→

Weitere wesentliche gedankliche Vorarbeit zur Datenportabilität leisteten die Vertreter der Idee des OpenWeb. Früh sah etwa Sir Tim Berners-Lee, der als „Vater“ des World Wide Web bekannt ist, die abstrakte Idee der Datenportabilität als sinnvoll an, um ein innovationsoffenes Internet zu sichern und ein Mittel für die Reaktion des Benutzers auf die aktuellen Marktgegebenheiten zu schaffen. Das Internet müsse davor geschützt werden, dass Informationen hinter Mauern versteckt und in „Silos“ aufbewahrt würden und es so drohe, zu fragmentarischen Inseln zu zerbrechen.47 Dieser Gedanke wurde in den Portabilitätsbestrebungen von zunächst Google-Mitbegründer Sergey Brin fortgeführt; nur durch die Offenheit hätten Dienste wie Google überhaupt entwickelt werden können, das proprietäre Design der Konkurrenten wiederum bedrohe diese Offenheit.48 Später traten auch Apple und Facebook dem Portabilitätsprojekt von Google bei; dieses Projekt Takeout der Data Liberation Front, die 2017 in das Data Transfer Project aufging, bleibt auf die an den jeweiligen Projekten teilnehmenden Dienste beschränkt49, stellt jedoch grundsätzlich eine privatwirtschaftliche ←29 | 30→Portabilitätslösung dar, die der Intention nach beliebig erweiterbar ist.50 Auf die Gedankengänge des OpenWeb wird bei der Untersuchung der Regelungszwecke des Art. 20 DSGVO (vgl. II.) vertieft eingegangen. Ein staatliches Portabilitätsprojekt stellte schließlich die My Data Initiative der Regierung Obama dar: Durch Schaffung sogenannter „trust communities“ sollten verschiedene sektorspezifische Lösungen für die Datenübertragung entwickelt werden.51

Diese Ansätze zeigen zwar, dass der Portabilitätsgedanke in den USA weit gereift war.52 Sie befürworteten aber entweder nur plakativ und ohne tiefgehende ←30 | 31→Begründung und Ausgestaltung das Konzept der Datenportabilität oder waren wie die vor der DSGVO bestehenden gesetzlichen Regelungen im Gegensatz zu Art. 20 DSGVO in ihrer Anwendung auf wenige Dienste oder branchenspezifisch beschränkt.53

2. Forschungsziel und Gang der Untersuchung

Die Untersuchung verfolgt zwei zentrale Ziele. Zunächst wird Art. 20 DSGVO in das Datenschutzrecht eingeordnet (II.). Sodann wird eine an diesem Zweck orientierte Auslegung des Rechts auf Datenportabilität erarbeitet (III.) und um eine Analyse technischer Umsetzungsmöglichkeiten der mit der Datenportabilität einhergehenden informationstechnischen Vorgänge ergänzt (IV.).

Die Einordnung als Norm des Datenschutzrechts (II.) erscheint auf den allerersten Blick naheliegend, weil das Recht auf Datenportabilität in der DSGVO normiert ist, die den Anspruch erhebt, das Datenschutzrecht in der Europäischen Union umfassend zu regeln. Allerdings wird schon bei etwas näherer Betrachtung der Vorschrift deutlich, dass es sich trotz der Einordnung in Kap. III der DSGVO („Rechte der betroffenen Person“) nicht um ein datenschutzrechtliches Betroffenenrecht im klassischen Sinne wie etwa das Auskunfts- oder Löschungsrecht handelt. Indem sie den Wechsel des Datenverarbeitungsverantwortlichen erleichtern will, weist die Norm eine starke wettbewerbsrechtliche Komponente auf. Dies führt an vielen Stellen zu Unstimmigkeiten, wenn der Versuch unternommen wird, die Datenportabilität in das traditionelle Muster des Rechts auf informationelle Selbstbestimmung zu zwängen. Untersucht wird dabei, inwieweit sich die Vorstellung vom Datenschutz als Kontroll- und Herrschaftsrecht vor einer gewandelten Kommunikationsgesellschaft als alleinige Auslegungs- und Rechtfertigungsprämissen aufrechterhalten lassen kann. Zudem wird die wettbewerbliche Wirkweise der gesetzlich ermöglichten Datenportabilität untersucht und herausgearbeitet, welche Wirkungen diese auf die Innovationsfreudigkeit, den Wettbewerb insgesamt und den Einzelnen als Rechtsausübenden hat.

Die so gefundenen Ergebnisse greifen die Auslegung der einzelnen Tatbestandsmerkmale (III.) auf. Dabei wird aber nicht nur ein Augenmerk auf die gemeinhin für problematisch gehaltenen Tatbestandsmerkmale wie das Bereitstellen und die Formatanforderungen gelegt. In bisherigen Beiträgen wurde oftmals im Wesentlichen deren Konkretisierungsbedürftigkeit betont, die sich ←31 | 32→allerdings wie bei den meisten unbestimmten Rechtsbegriffen im Wege der Auslegung sinnvoll auflösen lässt. Vielmehr wird auch tiefergehend untersucht, ob und wie für die praktische Wirksamkeit des Rechts auf Datenportabilität besonders durch den Vorbehalt der technischen Machbarkeit für die Direktübertragung und die Beachtung von Rechten und Freiheiten Anderer Schwierigkeiten entstehen. Dabei werden Verknüpfungen zwischen den einzelnen Tatbestandsmerkmalen hergestellt, die beleuchten, inwieweit sich durch die Erfüllung der Pflichten aus Art. 20 DSGVO möglicherweise über die bloße Portierbarkeit weiter hinausgehende Datenverarbeitungspflichten im Sinne einer Strukturierungs- oder Echtzeitübertragungspflicht ergeben können. Zudem wird das Gesamtbild in den Blick genommen, welches sich aus dem Zusammenspiel der einzelnen Tatbestandsmerkmale ergibt und abschließend die Tauglichkeit des Art. 20 DSGVO dahingehend bewertet, einen über schon bestehende Ansätze hinausgehenden Beitrag zur Umsetzung der Datenportabilität zu leisten.

Das Recht auf Datenportabilität bleibt wie die meisten Datenschutzregelung wirkungslos, wenn es nicht in der Praxis technisch umgesetzt werden kann (IV.). Die technische Umsetzung von Datenschutzregeln gestaltet sich schon bei bekannten datenschutzrechtlichen Pflichten innerhalb des Systems nur eines Verantwortlichen teils schwierig. Diese werden bei der Datenportabilität noch dadurch verschärft, dass die Übertragung zwischen den Systemen zweier verschiedener Verantwortlicher stattfinden soll – potentiell mit Übertragung zunächst nur an den Betroffenen selbst, der die Daten dann weiterübertragen kann. Die Umsetzung der Datenportabilität betrifft also neben der augenscheinlichen Frage nach dem Übertragungsformat noch ein ganzes Bündel weiterer technisch umzusetzender Maßnahmen wie Zusammenstellung und Export des Datensatzes. Es werden daher die informationstechnischen Umsetzungsmöglichkeiten und deren Einsatz im Rahmen der Datenportabilität erläutert. Sodann wird ein Überblick über schon bestehende oder in Entwicklung befindliche Portabilitätslösungen gegeben.

Dabei wird methodisch auf die klassische Rechtsdogmatik zurückgegriffen, die vor allem bei der Auslegung der rechtlichen Umsetzung des Art. 20 DSGVO an vielen Stellen um rechtsvergleichende Elemente ergänzt wird. Art. 20 DSGVO wird mithilfe von Gesetzesauslegung untersucht und dabei die einschlägige Literatur umfassend ausgewertet. Spezifisch zu Art. 20 DSGVO existiert bis Januar 2021 keine zu berücksichtigende Rechtsprechung, ansonsten wird auf Rechtsprechung vereinzelt im Zusammenhang mit den wettbewerbsrechtlichen Elementen zurückgekommen. Die technische Betrachtung folgt im Wesentlichen dem Ansatz, die relevanten Vorgänge und Möglichkeiten einer Leserschaft verständlich zu machen, die mit informationstechnischen Systemen weniger vertraut ist. ←32 | 33→Dabei soll einerseits ein besseres Verständnis für die Wirkweise der notwendigen Vorgänge vermittelt werden. Andererseits werden die Probleme verdeutlicht, die sich im Zusammenhang mit Art. 20 DSGVO aus technischer Sicht vor allem auch aus der Systemverschiedenheit der an der Übertragung beteiligten Verantwortlichen ergeben können.

←33 | 34→

1 Der Begriff der „Datenportabilität“ wird vielfach, wie auch hier, synonym mit dem in der deutschen Fassung der Verordnung gewählten Begriff der „Datenübertragbarkeit“ verwendet. Für den Inhalt der Ausführungen ergibt sich daraus kein Unterschied, zu den Unschärfen des Begriffes vgl. K. v. Lewinski, in: Wolff/Brink (Hrsg.), BeckOK Datenschutzrecht, 34. Ed. 2020, Art. 20 DSGVO, Rn. 5, m.w.N. Der internationale Aspekt eines Großteils der sich heute stellenden datenschutzrechtlichen Fragen ist nicht hinwegzudenken, durch die Verwendung des Begriffs der „Datenportabilität“ und einen Verzicht auf eine nationale Eigenkreation tritt dies besser hervor. Wegen der mit dem Begriff der „Datenportabilität“ wortverwandten Übersetzungen in einer Großzahl anderer Amtssprachen wird das parallele Verständnis erleichtert, nicht zuletzt auch weil z.B. Unionsdokumente teils nur englisch („portability“) oder französisch (portabilité) abgefasst sind.

2 K. Allison, Social networks may find it does not pay to be too possessive, Financial Times, 2008; C. Saad, Do not #DeleteFacebook because of Cambridge Analytica, 26.03.2018, dazu auch: II.3.c.aa.

3 Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl. 2016/L 119/1 27.04.2016.

4 Vgl. zum Beispiel C. Höinghaus, Daten: Das Öl des 21. Jahrhunderts, mit einer Besprechung aus dem Jahr 2015 zu verschiedenen Aussagen zu diesem Thema.

5 Zur Änderung der Herausforderungen des Datenschutzrechts im Zusammenhang mit diesen Steigerungen: A. Roßnagel, Wie zukunftsfähig ist die Datenschutz-Grundverordnung?, DuD, 2016, S. 561, 562; M. Wagner, Datenökonomie und Selbstdatenschutz, 2020, S. 1 f.

6 Ähnlich etwa: K. v. Lewinski, in: Wolff/Brink (Hrsg.), BeckOK Datenschutzrecht, 34. Ed. 2020, Art. 20 DSGVO, Rn. 5; im weiteren wird allerdings die am Text der DSGVO orientierte Formulierung des Rechts auf Datenportabilität verwendet; ähnliche begrifflich eher als politisch einzuordnende Vorgehensweisen bei der Benennung von Betroffenenrechten zeigen sich etwa auch beim sog. „Recht auf Vergessenwerden“ in Art. 17 DSGVO.

7 T. Körber, „Ist Wissen Marktmacht?“ Überlegungen zum Verhältnis von Datenschutz, „Datenmacht“ und Kartellrecht – Teil 2, NZKart, 2016, S. 348, 350, der die wettbewerbliche Ambivalenz des Art. 20 DSGVO betont; B. P. Paal/M. Hennemann, Big Data im Recht, NJW, 2017, S. 1697, 1701, die auf die „auch […] wettbewerb(srecht)liche Stoßrichtung“ hinweisen; M. Hennemann, Datenportabilität, PinG, 2017, S. 5, der „zuvörderst wettbwerb(srecht)liche Ziele im Gewande des Datenschutzrechts“ verfolgt sieht.

Details

Seiten
380
Jahr
2022
ISBN (PDF)
9783631885789
ISBN (ePUB)
9783631885796
ISBN (MOBI)
9783631885802
ISBN (Hardcover)
9783631876527
DOI
10.3726/b20070
Sprache
Deutsch
Erscheinungsdatum
2022 (August)
Erschienen
Berlin, Bern, Bruxelles, New York, Oxford, Warszawa, Wien, 2022. 380 S.

Biographische Angaben

Alexander Daniel Fix (Autor:in)

Alexander Daniel Fix studierte Rechtswissenschaften an der Albert-Ludwigs-Universtität Freiburg. Er war als Wissenschaftlicher Mitarbeiter am Institut für Informations- und Wirtschaftsrecht des Zentrums für Angewandte Rechtswissenschaft am Karlsruher Institut für Technologie (KIT) tätig. Seine Promotion erfolgte an der Universität des Saarlandes.

Zurück

Titel: Das Recht auf Datenportabilität
book preview page numper 1
book preview page numper 2
book preview page numper 3
book preview page numper 4
book preview page numper 5
book preview page numper 6
book preview page numper 7
book preview page numper 8
book preview page numper 9
book preview page numper 10
book preview page numper 11
book preview page numper 12
book preview page numper 13
book preview page numper 14
book preview page numper 15
book preview page numper 16
book preview page numper 17
book preview page numper 18
book preview page numper 19
book preview page numper 20
book preview page numper 21
book preview page numper 22
book preview page numper 23
book preview page numper 24
book preview page numper 25
book preview page numper 26
book preview page numper 27
book preview page numper 28
book preview page numper 29
book preview page numper 30
book preview page numper 31
book preview page numper 32
book preview page numper 33
book preview page numper 34
book preview page numper 35
book preview page numper 36
book preview page numper 37
book preview page numper 38
book preview page numper 39
book preview page numper 40
381 Seiten