Haben Sie sich jemals über Ihren Mobilfunkanbieter geärgert? Vielleicht hatten Sie in den ersten Monaten ein gutes Angebot, dann steigen plötzlich Ihre Tarife oder Ihr Service wird unzuverlässig. Vielleicht haben Sie ein Gespräch mit dem Kundenservice beendet und gesagt: „Nun, ich habe genug. Ich wechsle den Anbieter.“

Dank der Gesetze zur Rufnummernportabilität ist das Verlassen eines Anbieters keine leere Drohung. Menschen können den Dienstanbieter wechseln, ohne befürchten zu müssen, die Telefonnummer zu verlieren, die ihre Familie und Freunde (und Spammer!) verwenden, um sie zu erreichen.

Was wäre, wenn diese Portabilitätsfunktion auch für... Ihre Daten gelten würde?

Nutzerrechte nach den Gesetzen zur Datenportabilität

Wenn Sie in Kalifornien, der Europäischen Union und möglicherweise in anderen Rechtsordnungen wie Australien leben, können Sie Ihre Daten - sei es Kontaktlisten, Fotos, Dokumente, Playlists - mitnehmen, wenn Sie den Anbieter wechseln. Datenschutzgesetze wie die Allgemeine Datenschutzverordnung (GDPR) und der California Consumer Privacy Act (CCPA) haben die Datenportabilität bereits gesetzlich verankert, während mehrere Regierungen begonnen haben, ähnliche Gesetze einzuführen.

Bringen Sie Ihre Daten mit

Aber was bedeutet Datenportabilität genau?

Zum Beispiel, sagen wir, Sie sind mit Ihrem aktuellen Online-Musik-Streaming-Anbieter nicht zufrieden. Mit den Rechten zur Datenportabilität können Sie ganz einfach alle Ihre Playlists zu einem anderen Musik-Streaming-Anbieter kopieren. Oder, wenn Sie ein Filmfan sind, können Sie Daten über Ihre Film-Streaming-Präferenzen und Ihre Lieblingssendungen mit zu einem anderen Video-Streaming-Anbieter nehmen.

Was sagen die tatsächlichen Gesetze konkret über Datenportabilität?

„Die betroffene Person hat das Recht, die sie betreffenden personenbezogenen Daten, die sie einem Verantwortlichen bereitgestellt hat, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten und hat das Recht, diese Daten einem anderen Verantwortlichen ohne Behinderung durch den Verantwortlichen, dem die personenbezogenen Daten bereitgestellt wurden, zu übermitteln.“

-Artikel 20 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates

Der CCPA gewährt ähnliche Rechte zur Datenportabilität gemäß Abschnitt 1798.100(d), der besagt: „Ein Unternehmen, das eine überprüfbare Verbraucheranfrage von einem Verbraucher erhält, um auf personenbezogene Informationen zuzugreifen, muss unverzüglich Schritte unternehmen, um die in diesem Abschnitt erforderlichen personenbezogenen Informationen kostenlos an den Verbraucher offenzulegen und zu liefern. Die Informationen können per Post oder elektronisch bereitgestellt werden, und wenn sie elektronisch bereitgestellt werden, müssen die Informationen in einem portablen und, soweit technisch machbar, in einem leicht verwendbaren Format vorliegen, das es dem Verbraucher ermöglicht, diese Informationen ohne Behinderung an eine andere Stelle zu übermitteln.“

Derzeit gibt es ähnliche ausstehende Gesetze zur Datenportabilität in Australien. Die australische Wettbewerbs- und Verbraucherkommission (ACCC) und die Consumer Data Right (CDR)-Gesetzgebung zielt darauf ab, das Eigentum an Kundendaten von Unternehmen auf Kunden zu verlagern, sodass Kunden die Möglichkeit haben, ihre eigenen Daten mit anderen Unternehmen zu teilen. Die australische Regierung beabsichtigt, diese neuen Verbraucherrechte auf den Bankensektor anzuwenden, gefolgt vom Energiesektor und möglicherweise anderen.

Es gibt auch vorgeschlagene Gesetze in den Vereinigten Staaten auf Bundesebene. Die Senatoren Mark Warner, Richard Blumenthal und Josh Hawley führten im Oktober 2019 den Augmenting Compatibility and Competition by Enabling Service Switching Act (ACCESS Act) ein. In Bezug auf Datenportabilität besagt das Gesetz: „Große Kommunikationsplattformanbieter – d.h. Anbieter, die Kommunikationsplattformen mit über 100 Millionen monatlich aktiven Nutzern in den USA betreiben – müssen transparente, von Dritten zugängliche Schnittstellen betreiben, die es Nutzern ermöglichen, ihre Daten sicher zu übertragen (direkt an den Nutzer oder an einen konkurrierenden Kommunikationsanbieter, der im Auftrag eines Nutzers handelt)... konkurrierende Anbieter, die portierte Daten erhalten, müssen portierte Daten ordnungsgemäß sichern.“

In einer Pressemitteilung sagte Senator Josh Hawley: „Ihre Daten sind Ihr Eigentum. Punkt. Verbraucher sollten die Flexibilität haben, neue Online-Plattformen ohne künstliche Eintrittsbarrieren zu wählen. Dieses Gesetz schafft längst überfällige Anforderungen, die den Wettbewerb fördern und den Verbrauchern die Möglichkeit geben, ihre Daten von einem Dienst zu einem anderen zu übertragen.“

Was bedeutet Datenportabilität für Unternehmen?

Datenportabilität hat erhebliche Auswirkungen auf Unternehmen.

Erstens können Datenportabilitätsgesetze als Maßnahme gegen Monopole verwendet werden, bereiten Sie sich also auf einen härteren Wettbewerb in den jeweiligen Märkten vor. Insbesondere der Wettbewerb durch Startups könnte intensiver werden. Startups, die historisch begrenzten Zugang zu Verbraucherdaten hatten, werden nun einen Vorteil haben, wenn Verbraucher ihre Daten zu einem anderen Anbieter portieren.

Zweitens müssen Unternehmen ihren Datenübertragungsprozess optimieren, um rechtzeitig, vollständig und maschinenlesbar zu sein, wenn sie eine Anfrage auf Zugang zu personenbezogenen Daten (DSAR) von einem Verbraucher erhalten. Um dies zu erreichen, müssen Unternehmen wissen, wo sich die Verbraucherdaten in ihren Systemen befinden. Um dies zu erreichen, müssen Unternehmen wissen, wo sich die Verbraucherdaten in ihren Systemen befinden und in der Lage sein, sie bei Bedarf abzurufen.

Eine Lösung, die diesen gesamten Prozess – von der Daten-Mapping bis zur Bearbeitung von Anfragen auf Zugang zu personenbezogenen Daten – abwickeln soll, ist eine Datenschutzplattform. Angesichts der gesetzlichen Anforderungen an die Zeit, die ein Unternehmen hat, um auf eine DSAR zu antworten, sollten Sie in Betracht ziehen, eine Datenschutzplattform oder DSAR-Software zu verwenden, um diese Prozesse zu automatisieren. (Für CCPA beträgt die Frist zur Beantwortung einer DSAR 45 Tage. Für GDPR sind es 30 Tage.)

Welche Dateiformate können Sie verwenden, um Daten zu portieren

Wenn Unternehmen eine DSAR bearbeiten, welches maschinenlesbare Format sollten sie verwenden? Die Interoperabilität von Dateiformaten kann viele Probleme verursachen. In Anerkennung der Einschränkungen, die Dateiformate auf die Datenforschung haben, begannen das National Institute of Standards and Technology (NIST) und mehr als 800 Branchen-, akademische und Regierungsexperten im Jahr 2013, dieses Problem zu bewerten; gemeinsam veröffentlichten sie im Oktober ihren Big Data Interoperability Framework (NBDIF). NISTs NBDIF ist ein Leitfaden, der es ermöglicht, dass Daten plattformübergreifend interoperabel und portabel sind.

Die gute Nachricht für Unternehmen, die DSARs bearbeiten, ist, dass weder GDPR noch CCPA derzeit spezifische Dateiformate für die Datenportabilität enthalten. So haben Unternehmen derzeit die Möglichkeit, das für sie am besten geeignete Format auszuwählen. Es ist jedoch immer noch wichtig, dass Unternehmen berücksichtigen, welche Formate in ihrer Branche Standard sind. Wenn es keinen Standard gibt, sollten Sie offene Formate wie CSV, XML und JSON in Betracht ziehen.

Wie man die Daten tatsächlich überträgt

Unternehmen müssen einen Weg finden, diese sensiblen Verbraucherdaten sicher zu übertragen.

Der Generalstaatsanwalt von Kalifornien veröffentlichte im Oktober 2019 vorgeschlagene Vorschriften, die Anleitungen zur sicheren Datenübertragung bieten.

„Wenn ein Unternehmen ein passwortgeschütztes Konto mit dem Verbraucher unterhält, kann es einer Anfrage auf Kenntnisnahme nachkommen, indem es ein sicheres Self-Service-Portal für Verbraucher verwendet, um auf ihre personenbezogenen Informationen zuzugreifen, sie anzusehen und eine portable Kopie davon zu erhalten, wenn das Portal die personenbezogenen Informationen, auf die der Verbraucher gemäß dem CCPA und diesen Vorschriften Anspruch hat, vollständig offenlegt, angemessene Datensicherheitskontrollen verwendet und die in Artikel 4 festgelegten Verifizierungsanforderungen erfüllt.“

Die Branche erkennt allgemein an, dass es schwierig sein kann, Daten von einem Dienstanbieter zu einem anderen zu übertragen. Ein Programm namens Data Transfer Project (DTP) ist eine Open-Source-Initiative, die Datenportabilität zwischen mehreren Online-Plattformen ermöglicht. Google gründete das Data Transfer Project im Jahr 2018; andere Mitglieder des Projekts sind Facebook, Microsoft, Twitter und Apple.

Managed File Transfer (MFT) Software kann Unternehmen bei der Verschlüsselung sensibler Daten helfen.

Welche Daten müssen in einem Antrag auf Datenportabilität enthalten sein?

Welche Daten müssen in einem Antrag auf Datenportabilität enthalten sein? Ehrlich gesagt, ist das noch nicht gut definiert. Daten, die Nutzer portieren möchten, umfassen nutzergenerierte oder vom Nutzer bereitgestellte Daten wie ihre Adressbücher, Freundesverzeichnisse oder soziale Graphen. Es könnte passive Informationen über Nutzer wie abgeleitete Präferenzen umfassen. Aber was ist mit Daten, die gemeinsam mit anderen erstellt wurden? Sollten diese bei der Bearbeitung einer DSAR enthalten sein?

Problematische Bereiche im Zusammenhang mit der Bearbeitung von Anträgen auf Datenportabilität

Die Bearbeitung von Anträgen auf Datenportabilität kann ein Fass voller verworrener Würmer öffnen. Zum Beispiel, wenn ein Nutzer gemeinsam mit einer anderen Person Daten erstellt hat, sollte ein Nutzer diese Daten portieren? Was ist, wenn die Daten eines Nutzers auch die Daten einer anderen Person enthalten? Sollten diese portierbar sein? Müssen Sie die Zustimmung der Mitwirkenden einholen?

Als Antwort auf diese Unklarheiten veröffentlichte Facebook ein Whitepaper, in dem das Unternehmen die besten Möglichkeiten zum Schutz der Privatsphäre eines Nutzers bei gleichzeitiger Ermöglichung der Portabilität hinterfragt. Zum Beispiel, was ist, wenn eine Person oder ein Unternehmen Daten in Ihrem Auftrag anfordert? Sollten Unternehmen solchen Anfragen nachkommen? Was ist, wenn jemand eine betrügerische DSAR einreicht? Sind Unternehmen in der Lage, Nutzer ordnungsgemäß zu validieren, bevor sie ihnen ihre sensiblen Verbraucherdaten zur Verfügung stellen? Nachdem die Daten von Personen übertragen wurden, wer ist verantwortlich, wenn die Daten missbraucht oder gehackt werden?

Die Unklarheiten im Zusammenhang mit diesen Gesetzen und diesem Prozess werden wahrscheinlich gelöst, sobald sie auftreten. In den kommenden Monaten ist zu erwarten, dass Verbraucher über ihre Zugriffsrechte auf Daten in Bezug auf Datenportabilität aufgeklärt werden, insbesondere da Nutzer ihre Daten monetarisieren können. Unternehmen können sich vorbereiten, indem sie einen Plan zur Datenportabilität haben, zusammen mit den Richtlinien und Werkzeugen, um diese Pläne umzusetzen.

*Haftungsausschluss: Ich bin kein Anwalt und gebe keine Rechtsberatung. Wenn Sie rechtliche Fragen haben, konsultieren Sie einen zugelassenen Anwalt. Ich gebe auch keine Modeberatung, Beziehungsratschläge oder Filmempfehlungen. Vertrauen Sie mir, das ist das Beste.