Gratis
27. Juli 2018 - Auswirkungen der Datenschutz-Grundvordnung

Datenportabilität: Microsoft, Google & Facebook stellen Projekt vor

Drucken

Die Datenschutz-Grundvordnung (DSGVO) sieht vor, dass Kunden mit ihren persönlichen Daten einfach zwischen verschiedenen Anbietern umziehen können. Dieses Recht auf Datenportabilität wollen jetzt auch die großen Internet-Konzerne umsetzen und stellen erste Details für ein Verfahren vor.

Data Transfer Project - das Projekt der US-Internetriesen zur Datenportabilität Data Transfer Project - so heißt das Projekt der US-Internetriesen zur Datenportabilität (Bild: alphaspirit / iStock / Getty Images)

Bereits im vergangenen Jahr haben Microsoft, Google, Facebook und Twitter gemeinsam das „Data Transfer Project“ initiiert. Das geschah allerdings nicht ganz selbstlos.

Denn gemäß Artikel 20 der DSGVO hat eine betroffene Person ein Recht darauf,

„die sie betreffenden personenbezogenen Daten, die sie einem Verantwortlichen bereitgestellt hat, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten, und sie hat das Recht, diese Daten einem anderen Verantwortlichen ohne Behinderung durch den Verantwortlichen, dem die personenbezogenen Daten bereitgestellt wurden, zu übermitteln…“

Und der europäische Markt ist für die US-Unternehmen zu wichtig, um sich gegen diese gesetzliche Forderung nach Datenportabilität zu sperren.

So soll die Datenübertragung laufen

Nach den Angaben auf der Projektwebseite wird der Datenaustausch in einem dreistufigen Prozess ablaufen.

  • Zum Einsatz kommen bereits existierende Schnittstellen (APIs). Eine automatische Authentifizierungs-Technologie ermöglicht dabei den Datenzugriff eines anderen Anbieters auf die gespeicherten Daten.
  • Softwareadapter wandeln die gespeicherten Daten in ein standardisiertes Format um. Das gewährleistet die Kompatibilität der Daten. Eine direkte Verbindung zum anderen Dienst übertragt anschließend die Daten, ohne dass der Anwender diese vorher herunterladen muss.
  • Damit während der Übertragung die gespeicherten Daten nicht in falsche Hände geraten,muss der Übertragungsprozess entsprechend hohe Anforderungen an die Sicherheit erfüllen.
  • Die beim Datenaustausch beteiligte Dienste müssen die Übertragung dazu getrennt legitimieren. Das setzt eine Verifizierung der Nutzer-Accounts voraus. Die Übertragung selbst erfolgt über die gesamte Wegstrecke verschlüsselt. Zusätzlich haben die Anbieter die Möglichkeit, weitere Mechanismen zur Autorisierung zu ergänzen.

Vielleicht der neue Standard

Da gleich vier der größten IT-Konzerne das Data Transfer Project vorantreiben, besitzt es das Potenzial, zu einem Standard-Verfahren zu werden. Die technischen Grundlagen basieren auf einem quelloffenen Code, den Google bereits auf der Plattform Github veröffentlicht hat.

Wird die Datenportabilität so umgesetzt, wie derzeit auf den Seiten skizziert, stellt sich indes die Frage, ob dieser Ansatz dem Wortlaut der Datenschutz-Grundverordung genügt.

Denn während Artikel 20 DSGVO davon spricht, dass der Betroffene seine Daten erhält, handelt es sich beim skizzierten Prozess zwar um einen augenscheinlich sicheren und bequemen Weg, um die personenbezogenen Daten zwischen verschiedenen Anbietern auszutauschen.

Wichtig in dem Zusammenhang ist dann allerdings, an welcher Stelle der Betroffene eingreifen kann, um lediglich eine Kopie seiner Daten zu erhalten bzw. den Zeitpunkt der Übertragung in ein anderes System selbst zu bestimmen.

Stephan Lamprecht