Gesetzliche Datenportabilität – kein Wundermittel
- Introduction L’essenziale in breve | Posizione di economiesuisse
- Chapter 1 Portabilité des données: aperçu
- Chapter 2 Internationale Entwicklungen
- Chapter 3 Entwicklungen in der Schweiz
- Chapter 4 Schwächen und Stärken der Portabilität
- Chapter 5 Existierende gesetzliche Instrumente und Optimierungspotenzial
- Chapter 6 Blick in die Zukunft
- Chapter 7 Position der Wirtschaft
Schwächen und Stärken der Portabilität
Inhaltlicher Umfang der Portabilität
Im europäischen Gesetzgebungsprozess hatte man mit der Einführung der gesetzlichen Datenportabilität vor allem soziale Netzwerke und Cloud-Dienste im Visier. In der Praxis dehnt sich die Norm aber viel weiter aus und bezieht sich zum Beispiel auf die Übertragung von Daten bei einem Arbeitgeberwechsel oder das Übertragen von Kundenbewertungen zwischen Onlineportalen. Grundsätzlich ist dabei unklar, welche Daten genau portiert werden sollen: Es gibt ganz unterschiedliche Punkte, die es dabei zu beachten gilt. Daten werden von einem Nutzer zur Verfügung gestellt, entstehen durch den Aufwand des Verarbeiters oder aus einer Kombination von beiden. Ein Facebook-Nutzer bestimmt über seine Freundschaften. Facebook unterscheidet jedoch zwischen aktiven und inaktiven Freunden, hängigen oder abgelehnten Freundschaftsanfragen. Was soll nun angesichts dieser offenen Fragen und zahlreicher Kreuzverflechtungen von Daten untereinander portiert werden?
Nach dem Wortlaut von Art. 20 DSGVO sind nur solche Daten zu portieren, welche der Nutzer zur Verfügung gestellt hat. Aber auch diese Bestimmung lässt erheblichen Auslegungsspielraum zu. Die Lehre spricht sich deshalb für eine restriktive Anwendung der Bestimmung aus, damit sich die Norm nicht auf Sachverhalte auswirkt, bei denen keine Gefahr des Lock-ins besteht. Bestimmen Anbieter selbst, welche Daten zu portieren sind, kann auf die individuellen Bedürfnisse von Kunden und spezifische Branchenumstände sinnvoll eingegangen werden. Die Situation in der EU zeigt aber, dass die Pflicht zur Portabilität sicherlich schon Gewinner geschaffen hat: Anwälte, die aus der entstandenen Verunsicherung Profit schöpfen können.
Portabilität bringt nur bei technischer Umsetzbarkeit einen Mehrwert
Die DSGVO-Bestimmung stellt Anforderungen an die Ausgestaltung des Konzepts. Die Daten müssen «in einem strukturierten, gängigen und maschinenlesbaren» Format bereitgestellt werden. In den erläuternden Materialien wird präzisiert, dass dieses Format interoperabel sein soll. Was dies genau bedeutet, ist unklar. Die Lehre beschreibt die Interoperabilität teilweise als Fähigkeit, «Informationen auszutauschen und gemeinsam die ausgetauschten Informationen nutzen zu können». Wie diese Formate und Standards genau bewerkstelligt und überprüft werden sollen, führt zu praktischen Fragen. Als Lösungsansatz wird zu einem grossen Teil an die Selbstregulierung von betroffenen Branchenvertretern und Fachverbänden appelliert.
Der DSGVO-Text stellt weitere Voraussetzungen auf. So sollen die entsprechenden Daten von einem Verantwortlichen «ohne Behinderung» an einen anderen übermittelt werden können. Diese Übertragung soll direkt erfolgen, «soweit dies technisch machbar ist». In der Praxis wird dabei nur schwer zwischen fehlender technischer Realisierbarkeit und ungerechtfertigter Behinderung unterschieden werden können. Ungeklärt ist darüber hinaus, ob den erhaltenden neuen Verantwortlichen eine Pflicht trifft, die Daten in seine eigenen Systeme einzubetten. Dabei dürften sich zahlreiche weitere Fragen stellen. Auch dürfte zwischen zwei sozialen Netzwerken ein Austausch einfacher ausfallen als zwischen einem Fitnessportal und einer Krankenkasse.
Weiter dürfen dabei Rechte und Freiheiten anderer Personen nicht beeinträchtigt werden (Art. 20 Abs. 3 DSGVO). Daten eines Nutzers sind jedoch vielfach mit Daten anderer Personen verflochten. Wem gehört beispielsweise ein «Like» auf Facebook? Dem, dessen Post «geliked» wurde, dem, der «geliked» hat oder jemandem Dritten?
Gegebenenfalls kann ein beschränkter «entflochtener» Datensatz zur Verfügung gestellt werden, was den bezweckten Anwendungsbereich der Norm aber erheblich einschränkt. Das Konzept bringt zahlreiche weitere Umsetzungsschwierigkeiten mit sich, auf die hier nur pauschalisiert verwiesen wird (zur Auslegung von «Bereitstellung», «automatisiertes Verfahren» und den Rechtsgrundlagen «Einwilligung» und «Vertrag»).
Bedeutung der Portabilität für Unternehmen
Für Unternehmen kann das Angebot von Datenportabilität einen Wettbewerbsvorteil bedeuten. Sie erhalten Zugriff auf Daten, die bei anderen Unternehmen gespeichert sind und können gestützt darauf neue Geschäftsmodelle entwickeln. Das Angebot der Datenportabilität als neue Dienstleistung erfordert jedoch Investitionen der Unternehmen und die Einrichtung von Datenmanagement-Systemen. Die Lehre anerkennt, dass zumindest die gesetzliche Pflicht von den Datenschutzbehörden und Gerichten auf die Fälle eingeschränkt werden muss, in denen der Schutz der betroffenen Person es tatsächlich erfordert. Darüber hinaus können die herauszugebenden Daten über einen ökonomischen Wert verfügen oder Geschäftsgeheimnisse enthalten. Spätestens dann stellen sich Fragen, wie weit Unternehmen gezwungen werden dürfen, solche Daten ohne nennenswerte Entschädigung herauszugeben.
Das europäische Modell zur Datenportabilität ist umfassend und lässt die neuen Bestimmungen sowohl für Grossunternehmen als auch für KMU und Start-ups gleichermassen gelten. Gerade Letztere verfügen aber selten über eine wettbewerbsrechtlich relevante, marktbeherrschende Stellung. KMU und Start-ups werden dadurch regelmässig höhere Kosten für diese neue Auflage aufwenden müssen, als sich gleichzeitig ein tatsächlicher Vorteil für deren Nutzer ergibt. Gerade bei kleineren Unternehmen wird auch die Innovationskraft gehemmt, da sie besondere technische Hürden überwinden müssten. Schliesslich reagieren die kleineren Unternehmen schneller empfindlich auf die Abwanderung von Daten.
Auf der anderen Seite können durch die Portabilität im Allgemeinen neue Geschäftsmodelle für Unternehmen entstehen. Dies kann beispielsweise in der Kategorie der direkten Datenübermittlung von einem Unternehmen auf ein anderes geschehen. Der Vorwand, wonach Schweizer Unternehmen dem Portabilitätszwang nach dem EU-Recht so oder so unterliegen, greift auf jeden Fall zu kurz. Wie der Charakter der laufenden DSG-Revision zeigt, besteht genügend Spielraum für eine Schweiz-spezifische Lösung. EU-Bestimmungen müssen nicht tel quel, sondern nur soweit sinnvoll übernommen werden; ein Verzicht auf die Portabilität bringt damit gerade für Schweizer KMU, die nicht direkt in den Anwendungsbereich der DSGVO gelangen oder dies bewusst vermeiden, grosse Standortvorteile.
Auswirkungen auf den Wettbewerb dürfen nicht pauschalisiert betrachtet werden
Die Portabilität kann unter gewissen Umständen für den Wettbewerb förderlich sein: Ein digitaler Markt profitiert von dynamischen Ökosystemen. Märkte und Unternehmen sind jedoch nicht alle gleich und reagieren unterschiedlich auf einen gesetzlichen Zwang. Zu unterscheiden sind im Fall von Onlineplattformen folgende Konstellationen:
- Onlineplattformen können ähnliche Dienstleistungen anbieten (beispielsweise vermitteln Airbnb und Wimdu kurzfristige Übernachtungsmöglichkeiten in Privatwohnungen).
- Andererseits gibt es Onlineplattformen, welche ergänzende Dienstleistungen anbieten. In diesem Fall profitieren die Anbieter voneinander, da eine Verbesserung des Angebots erreicht wird. Beispiel: Einkauf auf einer Handelsplattform und Bezahlung mithilfe der Dienstleistung einer Bezahlplattform.
Der Auffassung, dass Portabilität für den Wettbewerb immer förderlich ist, stehen gewichtige Stimmen entgegen, die für das Gegenteil plädieren. Wenn zwei Anbieter gemäss dem ersten Beispiel ähnliche Dienstleistungen erbringen und sich somit gegenseitig konkurrieren, ist eine gesetzliche Datenportabilität nicht immer förderlich für den Wettbewerb und die Innovation. Unternehmen müssten dann befürchten, dass ihnen ein leicht «besseres» Unternehmen die Kundschaft abgräbt. Dies führt dazu, dass die Wettbewerbsintensität sinkt und etablierte Unternehmen zum Nachteil der Nutzer ihre Marktmacht ausweiten.
Im zweiten Beispiel, bei Märkten mit sich ergänzenden Produkten, kann die Datenportabilität für Innovation und Wettbewerb förderlich sein, da der Marktzutritt einfacher wird und Anreize zur Innovation steigen, da es für die neuen Plattformen einfacher ist, Nutzer abzuwerben. Ferner können die Innovationskosten und Innovationen mit anderen Anbietern geteilt werden.
Das Wettbewerbsrecht regelt bereits den Missbrauch einer marktbeherrschenden Stellung bei Vorliegen gewisser gesetzlicher Voraussetzungen. Die gesetzliche Datenportabilität steht jedoch im Widerspruch zu den Grundsätzen des Wettbewerbsrechts. So ist die Portabilität nach DSGVO sogar bei Fehlen einer marktbeherrschenden Stellung (und somit bei fehlender Betroffenheit von Konsumenten) anwendbar. Dies kann beispielsweise so weit gehen, dass das Verwenden einer bestimmten Software verboten wird, wenn sie keine Interoperabilität gewährleistet. Das Wettbewerbsrecht zeichnet sich in seiner Natur aber gerade nicht per se durch Regeln, sondern durch die Einzelfallbezogenheit
aus.
Viele Experten gehen davon aus, dass die Datenportabilität gemäss DSGVO nicht die Modelllösung für die Herausforderungen im digitalen Zeitalter ist. Die gesetzliche Datenportabilität fördert vielmehr die Handelbarkeit von Daten. Wenn grosse Datenplattformen dem Nutzer einen Kaufpreis für die durch ihn zur Verfügung gestellten Daten anbieten, so wird dieser in der Praxis dazu tendieren, das Angebot anzunehmen. Diese Art von Übertragbarkeit kann zu vermehrter Kommerzialisierung der Daten führen. Es können neue Hierarchien entstehen von Menschen mit teuren und solchen mit billigen Datenoder mit anderen Worten: Es könnten Nutzer dazu gebracht werden, für verhältnismässig geringfügige Gegenleistungen alle ihre Daten zu billig herzugeben.
Gemäss dem «Privacy Paradox» weichen die abstrakte Wertschätzung eines Nutzers für den Datenschutz und sein konkret an den Tag gelegtes Verhalten regelmässig voneinander ab. Hier bringen eine vermehrte Information und Transparenz mehr datenschutzrechtlichen Nutzen als die gesetzliche Regelung der Portabilität.
Ein erweiterter Zugang zu Daten erhöht regelmässig die Angreifbarkeit und das Sicherheitsrisiko. Einerseits führen die für die Portabilität erforderlichen Schnittstellen zu einer grösseren Angreifbarkeit der Systeme. Andererseits können auch bei der Übertragung von Daten sowie durch die Vermehrung der Daten Sicherheitsrisiken entstehen. Dies wird in den laufenden Diskussionen kaum berücksichtigt. Die Datenportabilität erlaubt es, eine grosse Menge (sensibler) Daten über ein Individuum zu erhalten. Es muss entsprechend sichergestellt werden, dass die zu portierenden Daten nur der tatsächlich anspruchsberechtigten Person zukommen. Nicht zu unterschätzen ist auch das Risiko der Weitergabe von inhaltlich falschen Daten durch einen Verantwortlichen an einen anderen und der unkontrollierte Umlauf von Daten generell.
Gemäss der Regelung in der DSGVO führen portierte Daten nicht zu einer Löschungspflicht beim Verantwortlichen, stellen keine Kündigung und auch keinen Anbieterwechsel dar. Dies ist im Grunde auch sinnvoll, da die betroffene Person in vielen Fällen gar kein Interesse an einem Wechsel oder an einer Löschung hat. Somit wird es in der Praxis bei der Portabilität oft zu einer Anbieterverdoppelung oder gar -vervielfachung kommen. Solche vervielfachten Datensätze erhöhen jedoch die Datenschutzrisiken und widersprechen dem Grundsatz der
Datenminimierung.