Perspektiven

Top Ten der DSGVO, #1: Datenportabilität

Rechtliches Hindernis oder Chance?

Die verpflichtende Sicherstellung der Datenportabilität stärkt das Recht natürlicher Personen, ihre eigenen Daten zu kontrollieren. Dieses neue Recht könnte beträchtliche Kosten für Organisationen nach sich ziehen, bietet bei korrekter Umsetzung jedoch eine strategische Chance jedoch eine strategische Chance, wenn es richtig umgesetzt wird.

Autor: Michiel van Schaijck

Einführung: Schwierigkeiten bei der Einhaltung der Bestimmungen der Datenschutz-Grundverordnung (DSGVO)

Laut Annual Privacy Governance Report 2016 der IAPP bereiten den Verantwortlichen die folgenden drei Elemente der DSGVO die grössten Schwierigkeiten: das Recht auf Vergessenwerden, die Datenportabilität und die Einholung der ausdrücklichen Einwilligung. In diesem Blog befassen wir uns mit der Frage, warum die Implementierung der DSGVO und das Recht auf Datenportabilität Ihre Aufmerksamkeit verdienen. Ausserdem erörtern wir, warum diese Neuerung zwar ein Risiko darstellt, dafür aber auch eine strategische Chance für Ihre Organisation mit sich bringt.

Was ist unter Datenportabilität zu verstehen?

Datenportabilität ist 1) die Fähigkeit und die Möglichkeit, digital gesammelte oder gespeicherte Daten über eine betroffene Person zu exportieren UND 2) die Fähigkeit, Daten über die betroffene Person zu erhalten und es einem anderen Verantwortlichen zu ermöglichen, übertragbare Daten zu erhalten. Die Forderung nach Datenportabilität bedeutet einerseits Anforderungen an das technische Design und andererseits eine Sicherung der Rechte betroffener Personen. Aus technischer Sicht müssen die Verantwortlichen sicherstellen, dass ihre Systeme und die damit verbundenen Produkte, Anwendungen und Geräte, die Informationen über die betroffene Person sammeln und speichern, auch in der Lage sind, Daten zu portieren und zu übertragen. In einigen Fällen wird es daher notwendig sein, dass Verantwortliche bestimmte Systeme, Produkte, Anwendungen und Geräte zu optimieren oder neu zu gestalten. Ausserdem muss die neue Portierfunktion Daten in einem strukturierten, gängigen und maschinenlesbaren Format exportieren, sodass ihre Wiederverwendung möglich ist.

Aus rechtlicher Sicht stärkt die Vorschrift der Datenportabilität das Recht natürlicher Personen, mehr Kontrolle über ihre eigenen Daten auszuüben. Sie verleiht ihnen das Recht, personenbezogene Daten über sich selbst zu erhalten, die sie einem Verantwortlichen zur Verfügung gestellt haben. Das bedeutet, dass Verantwortliche nicht nur Systeme erweitern und digitale Angebote bzw. Produktfunktionalitäten hinzufügen, sondern auch Prozesse entwickeln und implementieren müssen, die die manuelle oder automatische Verarbeitung der Anfragen betroffener Personen erleichtern. Nach dem Erhalt der Daten muss die natürliche Person diese Daten an einen anderen Verantwortlichen übertragen können, ohne den vorherigen Verantwortlichen zusätzlich zu belasten oder zu behindern. Das Recht, Daten zu portieren, bedeutet auch, dass die personenbezogenen Daten dort, wo es technisch möglich ist, direkt von einem Verantwortlichen an einen anderen übertragen werden. Bitte beachten Sie, dass das Recht, eine Kopie in einem maschinenlesbaren Format zu verlangen, nur ausgeübt werden kann, wenn die betreffenden Daten:

dem Verantwortlichen von der natürlichen Person zur Verfügung gestellt
automatisch verarbeitet und
auf der Grundlage einer Einwilligung oder der Erfüllung eines Vertrages verarbeitet wurden.

Verbindung mit anderen Rechten

Die Datenportabilität gehört zu einem breiteren Spektrum von Rechten betroffener Personen: Recht auf Zugang zu personenbezogenen Daten und deren Berichtigung oder Löschung, Recht auf Widerspruch gegen mit automatischen Mitteln getroffene Entscheidungen sowie Meldung von Verletzungen des Schutzes personenbezogener Daten an die betroffenen Personen. Auch hier müssen Verantwortliche Unterstützungsprozesse implementieren, um diesen Anforderungen gerecht werden zu können. Für einen Datenverantwortlichen könnte der Prozess zur Durchführung von Datenportierungsanträgen bedeuten, dass verschiedene Massnahmen getroffen werden müssen, die der Ausführung anderer Rechte von betroffenen Personen ähnlich sind. Zunächst muss der betroffenen Person möglicherweise Zugang zu den personenbezogenen Daten gewährt werden, damit sie weiss, welche personenbezogenen Daten verarbeitet werden. Zweitens müssen unter Umständen Ungenauigkeiten berichtigt werden, wenn die betroffene Person dies verlangt; und drittens müssen möglicherweise alle personenbezogenen Daten (entsprechend den festgelegten Aufbewahrungsfristen und rechtsgültigen Verträgen) gelöscht werden, wenn die betroffene Person die Übertragung der Daten an einen anderen Servicedienstleister verlangt. Bei der Bearbeitung eines Antrags zur Datenportabilität könnte dies daher mit Auswirkungen auf drei weitere Rechte betroffener Personen einhergehen. Bitte beachten Sie jedoch, dass das Recht auf Zugang, Berichtigung und Löschung personenbezogener Daten dem Recht auf Datenportabilität nicht ähnlich ist. Es könnte lediglich der Fall sein, dass der Verantwortliche für diese Rechte dieselben Prozesse verwendet, wie er sie für die Wahrnehmung des Rechtes auf Datenportabilität verwenden müsste.

Die Praxis

In der Praxis bedeutet das, dass Sie in der Lage sein müssen, Ihrem Klienten oder Kunden eine Kopie aller personenbezogenen Daten zu übermitteln, die Sie eventuell über ihn oder sie besitzen, und dass Sie in der Lage sein müssen, die Daten an einen anderen Verantwortlichen oder Dienstleister zu übertragen. Als Daten, die Sie über einen Kunden oder Klienten besitzen, gelten alle Daten, die die betreffende Person von sich aus wissentlich bereitgestellt hat. Dies beinhaltet Informationen, die die betreffende Person Ihnen zur Verfügung gestellt hat, indem sie Ihren Service oder Ihr Gerät verwendet (z. B. Ortsdaten oder die Herzfrequenz im Fall eines Fitness-Trackers). Es könnte sich daher um eine grosse Datensammlung handeln. Ausserdem müssen die Daten in einem Format vorgelegt werden, das ihre Wiederverwendung erleichtert. E-Mails müssen zum Beispiel so bereitgestellt werden, dass alle Metadaten beibehalten werden, um eine effektive Wiederverwendung zu ermöglichen. Die Bereitstellung von E-Mails im PDF-Format würde nicht ausreichen, da dieses Format nicht ausreichend strukturiert für eine Wiederverwendung ist. Einem Antrag auf Ermöglichung von Datenportabilität nachzukommen könnte zeitaufwendig sein und für Organisationen, die «Datenschutz durch Technikgestaltung» noch nicht eingeführt haben, erhebliche Kosten mit sich bringen, weil Konzeption und Aufbau ihrer Systeme, digitalen Produkte und Angebote eventuell geändert werden müssen.

Starke Auswirkungen

Der Grund, warum dieses Recht vermutlich starke Auswirkungen auf Ihr Geschäft haben wird, liegt darin, dass es die Beziehung zwischen natürlichen Personen und Verantwortlichen verändert. Natürliche Personen werden in die Lage versetzt, ihre Daten über verschiedene Plattformen hinweg zu verwalten, zum Beispiel über direkte Download-Tools oder entsprechende Anwendungen. Letztendlich erhält die von der natürlichen Person gewählte Plattform alle personenbezogenen Daten. Wenn Sie nicht die gewählte Plattform sind, könnten Sie verpflichtet sein, Ihre Daten an einen Konkurrenten zu übertragen. Letztendlich könnte von Ihnen sogar verlangt werden, die (wertvollen) Daten, die Sie über die Jahre hinweg gesammelt haben, zu löschen. Dies könnte zu mehr Wettbewerb zwischen den Verantwortlichen führen und sollte von Ihnen bei der Entwicklung Ihrer Geschäftsstrategie berücksichtigt werden.

Der Wettbewerbsvorteil

Streben Sie Effizienz an. Verantwortliche müssen in der Lage sein, einem entsprechenden Antrag umgehend und jedenfalls innerhalb eines Monats nach Eingang nachzukommen. Wenn Sie einen Prozess zur Portierung von Daten implementieren, sollten Sie laut Gesetz ein Verfahren zur Verarbeitung der Anträge Dritter einführen und zusätzliche Services anbieten, zum Beispiel die Garantie einer höheren Datensicherheit.
Streben Sie einen Wettbewerbsvorteil an. Denken Sie darüber nach, ein benutzerfreundliches Tool oder eine Schnittstelle zu entwickeln, die die betroffene Person einbinden und ihr mehr Transparenz, Einblick und Kontrolle über ihre eigenen Daten ermöglichen als die Tools Dritter.

Dieses Recht auf Datenkontrolle erleichtert es den Kunden, den Serviceanbieter zu wechseln. Stellen Sie daher sicher, dass Ihre Kunden ihre personenbezogenen Daten an Ihre Organisation übertragen und nicht an Ihre Konkurrenz.

Verlangen Sie ein Einzelgespräch über die DSGVO

Bitte lassen Sie uns wissen, falls Sie eingehendere Erklärungen über die Herausforderungen und Chancen wünschen, die die DSGVO Ihrer Organisation bietet.

Melden Sie sich für den vierteljährlichen Cyber Flash an um regelmässige Updates zur DSGVO zu erhalten.

Kontakte

Klaus Julisch

Managing Partner, Risk Advisory

kjulisch@deloitte.ch

+41 58 279 6231

Dr. Klaus Julisch ist Managing Partner für Risk Advisory, Mitglied des Executive Teams und Lead Partner für die Cyber Practice von Deloitte Schweiz. Als Mitglied des European Cyber Leadership Teams is... Mehr

Florian Widmer

Partner, Risk Advisory

fwwidmer@deloitte.ch

+41 58 279 6910

Florian Widmer ist Partner im Bereich Cyber Risk Services von Deloitte in der Schweiz und leitet die Dienstleistungsbereiche Cyber Vigilant, Cyber Resilient und Data Privacy. Er verfügt über mehr als ... Mehr

Audit & Assurance

Consulting

Risk Advisory

Financial Advisory

Legal

Steuerberatung

Deloitte Private

Executive & Boardroom Programmes

Klimaschutz und Nachhaltigkeit

Consumer

Energy, Resources & Industrials

Finanzdienstleistungen

Regierung & Öffentlicher Sektor

Life Sciences & Health Care

Technologie-, Medien & Telekommunikationsbranche

Choose your impact

Arbeiten bei Deloitte

Karrieremöglichkeiten

Deine Karriere bei Deloitte

Deloitte Career Stories

Jobsuche