Gesetzliche Datenportabilität – kein Wundermittel

Die Möglichkeit für Konsumenten, durch sie bereitgestellte Daten wieder mitzunehmen oder zwischen verschiedenen Anbietern übertragen zu lassen (sogenannt „Datenportabilität“), wird immer wieder als Instrument zur Stärkung der informationellen Selbstbestimmung und Zerschlagung von grossen, gespeicherten (Datensilos) vorgeschlagen. Bei der Verklärung dieses Mittels finden aber wichtige Aspekte zu wenig Beachtung. Bei der grundsätzlichen Frage, wie mit Marktmacht umzugehen ist, handelt es sich um ein Thema des Wettbewerbsrechtes, nicht des Datenschutzes. Eine gesetzliche Fixierung auf die Portabilität kann vielmehr den Wettbewerb einschränken und sich damit vor allem auch auf kleinere Unternehmen und Start-ups nachteilig auswirken. Datenschutzrisiken, Preisaufschläge und Unsicherheiten für den Konsumenten wären die Folge. Besser als eine breit eingeführte Verpflichtung zur Datenportabilität sind auf die jeweiligen Branchen und Konsumenten abgestimmte – gerade auch freiwillige - Lösungen. Im Folgenden soll aufgezeigt werden, was Datenportabilität ist, wie sie im internationalen und Schweizer Kontext zu sehen ist und was die Stärken und Schwächen des Konzepts sind. Darüber hinaus werden bereits existierende Instrumente und deren Optimierungspotential kurz beleuchtet, ein Blick in die Zukunft gewagt und die Position der Wirtschaft dargelegt.

Geben wir im Internet eine Verkäuferbewertung ab, “posten” wir in sozialen Netzwerken, verwenden wir Punkte-Sammelkarten beim Einkaufen oder bezahlen wir mit der Kreditkarte, so produzieren wir Daten. Datensätze können aber auch aus grösseren Datenanalysen stammen oder entstehen, indem ein Datenbearbeiter das Konsumentenverhalten beobachtet (z.B. Verweildauer in einem Ladenlokal oder Browserverhalten).

Die Idee der sogenannten Datenportabilität ist die vereinfachte Übertragbarkeit von Daten zwischen Anbietern. Dadurch soll es Konsumenten im Zeitalter der grossen Datenmengen ermöglicht werden, dass durch sie zur Verfügung gestellte Daten nicht ausschliesslich bei einem Anbieter als grössere und nicht zugängliche Sammlungen gelagert werden. Sind beispielsweise zwei Internet-Plattformen technisch inkompatibel, kann dem Konsumenten der Wechsel und die Übertragung der ihn betreffenden Daten zu einem anderen Anbieter erschwert werden (sogenannt Lock-in Effekt). Um die Datenportabilität in der Praxis umzusetzen, sind unter anderem einheitliche technische Standards zwischen den unterschiedlichen Anbietern, also eine gewisse Interoperabilität, notwendig.

Beispiel: Auf der sozialen Plattform Instagram geben wir als Nutzer regelmässig Daten ein. Seit Einführung der EU DSGVO wird den Nutzern nun auch ein Datenportabilitätstool angeboten, wodurch Nutzer eine Kopie der geteilten Inhalte, inklusive Fotos, Videos und Nachrichten erhalten und zu einem anderen Social Media Anbieter mitnehmen können sollen.

Befürworter einer gesetzlich vorgeschriebenen Datenportabilität wollen durch zwingende Vorschriften zur Portabilität die Ansammlung grösserer Datenansammlungen bei Grossunternehmen verhindern und die Daten auf mehrere Anbieter verteilen. Dieser Eingriff fällt aber viel umfassender aus, als es vom Wettbewerbsrecht unterstützt wird und kann in einer verallgemeinerten Form in gewissen Konstellationen sogar das Gegenteil bewirken.

Die Konsumenten sollen durch vereinfachte Übertragbarkeit eine verbesserte Übersicht und Kontrolle über die von ihnen bereitgestellten Daten erhalten. Die Datenportabilität wird sich jedoch weniger auf das Verhältnis zu den Konsumenten, sondern auf das Verhältnis zwischen den Wettbewerbern auf dem Markt auswirken – die informationelle Selbstbestimmung ist in den praktischen Auswirkungen des Konzepts nur ein Nebenschauplatz. Nebenschauplatz

Die Verwaltung erhebt im Rahmen ihrer amtlichen Aufgaben regelmässig unterschiedliche Daten - so beispielsweise Bevölkerungs-, Wetter- oder Verkehrsdaten. Der Bund hat angekündigt, diese Daten kostenlos der Öffentlichkeit zur Verfügung zu stellen. Dies ist folgerichtig, da solche Erhebungen durch Steuern und Abgaben finanziert wurden und somit dem Gemeinwesen zustehen. Das Angebot der Datenportabilität erfordert hingegen das Einrichten einer kostenaufwändigen Infrastruktur durch den Anbieter, weshalb grundsätzlich nicht von Kostenfreiheit ausgegangen werden sollte.

In der Praxis gewährt diese Bestimmung somit beispielsweise einem Airbnb-Nutzer das Recht, die ihn betreffenden personenbezogenen Daten, die er Airbnb zur Verfügung gestellt hat (Bewertungsprofil in Rolle des Mieters/Vermieters, Fotos der vermieteten Wohnung usw.), in einem Format zu erhalten, das die Weiterverwendung ermöglicht. Ferner hat er das Recht, diese Daten ohne Erschwerung durch Airbnb an einen anderen Anbieter, beispielsweise Wimdu, direkt (von Airbnb an Wimdu) übermitteln zu lassen. Die Norm wirft bereits jetzt in der Praxis Umsetzungsfragen auf.

Die Schweiz hat sich zum Ziel gesetzt, angemessene Rechtsgrundlagen für den Umgang mit Daten anzubieten und unser Land als attraktiven Standort für die Wertschöpfung durch Daten zu positionieren. In diesem Zusammenhang hat der Bund auch eine Studie beim Institut für Rechtsvergleichung in Lausanne in Auftrag gegeben. Diese stellt die Datenportabilität und weitere Regelungen betreffend Datennutzung und Datenzugang im internationalen Vergleich dar.

Die Studie zeigt auf, dass es sich beim gesetzlichen EU-Konzept in dieser gesamthaften und branchenübergreifenden Form um ein Novum handelt, das im internationalen Vergleich (untersuchte Regelungen: USA, Japan, EU, Deutschland, Frankreich, Schweden) sehr zurückhaltend angewandt wird. Die effektive Einführung wurde weltweit nur in wenigen Ländern andiskutiert – im Gegensatz zur EU unter eingehender Betrachtung der möglichen Auswirkungen auf die Praxis. Die gesetzliche Fixierung einer branchenübergreifenden Portabilität erfolgte ab dem 25. Mai 2018 erstmals auf EU-Ebene sowie (in früher Umsetzung des europäischen Rechts in nationales Recht) in Frankreich.

Banken und Finanzinstitute sind von einer EU-Richtlinie im Bereich des Zahlungsverkehrs erfasst. Banken in der EU werden unter anderem verpflichtet, Kundenschnittstellen für Drittanbieter zu öffnen und diesen den Zugang zu Bankkonten zu gewähren. Ein Unterschied zur Datenportabilität besteht darin, dass die PSD2 den Zugang zu Schnittstellen regelt, das heisst, dass die Systeme konstant miteinander vernetzt werden sollen; dies im Gegensatz zu Datenportabilität, welche eine einmalige Herausgabe der Daten betrifft.

In der Schweiz wird die Idee der Interoperabilität im Zahlungsverkehr ohne gesetzlichen Zwang umgesetzt. Eine erzwungene Öffnung der Zugriffsrechte ist nicht notwendig und ist vielmehr kontraproduktiv. Sie kann sich auf die Kosten der Kunden von Finanzinstituten niederschlagen, Verwirrung schaffen und gerade auch die Datensicherheit der Kunden gefährden.

Das Schweizer Datenschutzgesetz (DSG) soll momentan an die internationalen Entwicklungen und den technologischen Fortschritt angepasst werden. Die Wirtschaft setzt sich für eine im internationalen Vergleich angemessene Regulierung ohne unnötig überschiessende Bestimmungen (Swiss Finish) ein. Das neue Gesetz soll praxistauglich ausfallen und dem Datenschutz hinreichend Rechnung tragen. Es soll  jedoch keine administrativen Aufwände mit sich bringen, die nicht gleichzeitig einen Mehrwert für den Schutz der Konsumentendaten ermöglichen. Der baldige Abschluss der Gesamtvorlage im Parlament ist sowohl für die Wirtschaft als auch für die Konsumenten wichtig; nur so kann die Rechtssicherheit für alle Beteiligten gewährleistet werden. 

Im Rahmen der Revisionsarbeiten hat der Bundesrat geprüft, ob ein gesetzliches Recht auf Portabilität entsprechend EU in den Entwurf zum neuen DSG Eingang finden soll. Der Bundesrat hat ausgeführt, dass «dieses Recht mehr darauf ausgerichtet ist, den betroffenen Personen die Wiederverwendung ihrer Daten zu ermöglichen, um den Wettbewerb spielen zu lassen, als ihre Persönlichkeit zu schützen. Es scheint daher problematisch, eine entsprechende gesetzliche Regelung zu erlassen.» Ferner geht der Bundesrat davon aus, dass die Umsetzung dieses Rechts schwierig werden wird. Erforderlich ist nämlich eine gegenseitige Abstimmung zwischen den für die Datenverarbeitung Verantwortlichen und zumindest eine implizite Einigung über die verwendeten Datenträger sowie Informatikstandards. Die Regulierungsfolgenabschätzung hat ergeben, dass eine solche Bestimmung unverhältnismässig kostenintensiv für Unternehmen ausfallen würde. Bei Unternehmen mit über 50 Angestellten wäre zusätzliches Personal notwendig. Die Einschätzung des Bundesrats fällt dabei vorsichtig aus. Er betrachtet eine gesetzliche Regelung als verfrüht und möchte vor einer gesetzlichen Fixierung abwarten, wie die Erfahrungen in der EU ausfallen.

Folglich ergeben sich gemäss Bundesrat die folgenden Gründe für eine Nichtaufnahme der Datenportabilität ins Schweizer DSG:

(i) Primär ein Thema des Wettbewerbsrechts;
(ii) Sekundär ein Thema des Persönlichkeitsschutzes;
(iii) Schwierige Umsetzbarkeit;
(iv) Unverhältnismässige Kostenintensität;
(v) Entscheidung verfrüht; es sollen vorerst die Entwicklungen aus der EU beobachtet werden.

Zurzeit verfügt die Schweiz aus Sicht der EU über eine angemessene Datenschutz-Regulierung (Äquivalenzbeschluss). Ziel der aktuellen DSG-Revision ist unter anderem, diesen Beschluss aufrechtzuerhalten. Bereits im Gesetzgebungsverfahren zur DSGVO wurde Art. 20 DSGVO breit als systemfremd bezeichnet und es wurde angeregt, ein solches Recht nicht im Zuge der Verordnung zu regeln. Die Europaratskonvention SEV 108, welche als über die EU hinaus gültiges Regelwerk für die Äquivalenz von nicht EU-Mitgliedern grundsätzlich massgeblich ist, steht dem Konzept ebenfalls kritisch gegenüber. Eine Verpflichtung aus der Konvention zur Portabilität ergibt sich nicht. Bei der Datenportabilität handelt es sich damit nicht um einen zentralen Punkt, der im Sinne der Äquivalenz mit der EU-Datenschutzgesetzgebung ins Schweizer Recht überführt werden muss.

Doch auch in der Schweizer Politik hört man Forderungen nach Verankerung einer gesetzlichen Datenportabilität im Schweizer Datenschutzgesetz. Dies mit den bereits bekannten Argumenten: Die Portabilität wird als Mittel zur Stärkung der informationellen Selbstbestimmung und zwecks Schaffung von Daten-Ökosystemen propagiert. Prof. Ernst Hafen ist parallel dazu bestrebt, eine Volksinitiative zu lancieren, welche ein «Recht auf Kopie» der eigenen Daten in der Verfassung verankern will. Ob die Initiative dies über eine gesetzliche Datenportabilität erreichen will, lässt sich erst dann einschätzen, wenn die konkrete Formulierung der Initiative vorliegt.  

Im europäischen Gesetzgebungsprozess hatte man mit der Einführung der gesetzlichen Datenportabilität vor allem soziale Netzwerke und Cloud-Dienste im Visier. In der Praxis dehnt sich die Norm aber viel weiter aus und bezieht sich zum Beispiel auf die Übertragung von Daten bei einem Arbeitgeberwechsel oder das Übertragen von Kundenbewertungen zwischen Onlineportalen. Grundsätzlich ist dabei unklar, welche Daten genau portiert werden sollen: Es gibt ganz unterschiedliche Punkte, die es dabei zu beachten gilt. Daten werden von einem Nutzer zur Verfügung gestellt, entstehen durch den Aufwand des Verarbeiters oder aus einer Kombination von beiden. Ein Facebook-Nutzer bestimmt über seine Freundschaften. Facebook unterscheidet jedoch zwischen aktiven und inaktiven Freunden, hängigen oder abgelehnten Freundschaftsanfragen. Was soll nun angesichts dieser offenen Fragen und zahlreicher Kreuzverflechtungen von Daten untereinander portiert werden?

Nach dem Wortlaut von Art. 20 DSGVO sind nur solche Daten zu portieren, welche der Nutzer zur Verfügung gestellt hat. Aber auch diese Bestimmung lässt erheblichen Auslegungsspielraum zu. Die Lehre spricht sich deshalb für eine restriktive Anwendung der Bestimmung aus, damit sich die Norm nicht auf Sachverhalte auswirkt, bei denen keine Gefahr des Lock-ins besteht. Bestimmen Anbieter selbst, welche Daten zu portieren sind, kann auf die individuellen Bedürfnisse von Kunden und spezifische Branchenumstände sinnvoll eingegangen werden. Die Situation in der EU zeigt aber, dass die Pflicht zur Portabilität sicherlich schon Gewinner geschaffen hat: Anwälte, die aus der entstandenen Verunsicherung Profit schöpfen können.

Die DSGVO-Bestimmung stellt Anforderungen an die Ausgestaltung des Konzepts. Die Daten müssen «in einem strukturierten, gängigen und maschinenlesbaren» Format bereitgestellt werden. In den erläuternden Materialien wird präzisiert, dass dieses Format interoperabel sein soll. Was dies genau bedeutet, ist unklar. Die Lehre beschreibt die Interoperabilität teilweise als Fähigkeit, «Informationen auszutauschen und gemeinsam die ausgetauschten Informationen nutzen zu können». Wie diese Formate und Standards genau bewerkstelligt und überprüft werden sollen, führt zu praktischen Fragen. Als Lösungsansatz wird zu einem grossen Teil an die Selbstregulierung von betroffenen Branchenvertretern und Fachverbänden appelliert.

Der DSGVO-Text stellt weitere Voraussetzungen auf. So sollen die entsprechenden Daten von einem Verantwortlichen «ohne Behinderung» an einen anderen übermittelt werden können. Diese Übertragung soll direkt erfolgen, «soweit dies technisch machbar ist». In der Praxis wird dabei nur schwer zwischen fehlender technischer Realisierbarkeit und ungerechtfertigter Behinderung unterschieden werden können. Ungeklärt ist darüber hinaus, ob den erhaltenden neuen Verantwortlichen eine Pflicht trifft, die Daten in seine eigenen Systeme einzubetten. Dabei dürften sich zahlreiche weitere Fragen stellen. Auch dürfte zwischen zwei sozialen Netzwerken ein Austausch einfacher ausfallen als zwischen einem Fitnessportal und einer Krankenkasse.

Weiter dürfen dabei Rechte und Freiheiten anderer Personen nicht beeinträchtigt werden (Art. 20 Abs. 3 DSGVO). Daten eines Nutzers sind jedoch vielfach mit Daten anderer Personen verflochten. Wem gehört beispielsweise ein «Like» auf Facebook? Dem, dessen Post «geliked» wurde, dem, der «geliked» hat oder jemandem Dritten?

Gegebenenfalls kann ein beschränkter «entflochtener» Datensatz zur Verfügung gestellt werden, was den bezweckten Anwendungsbereich der Norm aber erheblich einschränkt. Das Konzept bringt zahlreiche weitere Umsetzungsschwierigkeiten mit sich, auf die hier nur pauschalisiert verwiesen wird (zur Auslegung von «Bereitstellung», «automatisiertes Verfahren» und den Rechtsgrundlagen «Einwilligung» und «Vertrag»).

Für Unternehmen kann das Angebot von Datenportabilität einen Wettbewerbsvorteil bedeuten. Sie erhalten Zugriff auf Daten, die bei anderen Unternehmen gespeichert sind und können gestützt darauf neue Geschäftsmodelle entwickeln. Das Angebot der Datenportabilität als neue Dienstleistung erfordert jedoch Investitionen der Unternehmen und die Einrichtung von Datenmanagement-Systemen. Die Lehre anerkennt, dass zumindest die gesetzliche Pflicht von den Datenschutzbehörden und Gerichten auf die Fälle eingeschränkt werden muss, in denen der Schutz der betroffenen Person es tatsächlich erfordert. Darüber hinaus können die herauszugebenden Daten über einen ökonomischen Wert verfügen oder Geschäftsgeheimnisse enthalten. Spätestens dann stellen sich Fragen, wie weit Unternehmen gezwungen werden dürfen, solche Daten ohne nennenswerte Entschädigung herauszugeben.

Das europäische Modell zur Datenportabilität ist umfassend und lässt die neuen Bestimmungen sowohl für Grossunternehmen als auch für KMU und Start-ups gleichermassen gelten. Gerade Letztere verfügen aber selten über eine wettbewerbsrechtlich relevante, marktbeherrschende Stellung. KMU und Start-ups werden dadurch regelmässig höhere Kosten für diese neue Auflage aufwenden müssen, als sich gleichzeitig ein tatsächlicher Vorteil für deren Nutzer ergibt. Gerade bei kleineren Unternehmen wird auch die Innovationskraft gehemmt, da sie besondere technische Hürden überwinden müssten. Schliesslich reagieren die kleineren Unternehmen schneller empfindlich auf die Abwanderung von Daten.

Auf der anderen Seite können durch die Portabilität im Allgemeinen neue Geschäftsmodelle für Unternehmen entstehen. Dies kann beispielsweise in der Kategorie der direkten Datenübermittlung von einem Unternehmen auf ein anderes geschehen. Der Vorwand, wonach Schweizer Unternehmen dem Portabilitätszwang nach dem EU-Recht so oder so unterliegen, greift auf jeden Fall zu kurz. Wie der Charakter der laufenden DSG-Revision zeigt, besteht genügend Spielraum für eine Schweiz-spezifische Lösung. EU-Bestimmungen müssen nicht tel quel, sondern nur soweit sinnvoll übernommen werden; ein Verzicht auf die Portabilität bringt damit gerade für Schweizer KMU, die nicht direkt in den Anwendungsbereich der DSGVO gelangen oder dies bewusst vermeiden, grosse Standortvorteile.

Die Portabilität kann unter gewissen Umständen für den Wettbewerb förderlich sein: Ein digitaler Markt profitiert von dynamischen Ökosystemen. Märkte und Unternehmen sind jedoch nicht alle gleich und reagieren unterschiedlich auf einen gesetzlichen Zwang. Zu unterscheiden sind im Fall von Onlineplattformen folgende Konstellationen:

1. Onlineplattformen können ähnliche Dienstleistungen anbieten (beispielsweise vermitteln Airbnb und Wimdu kurzfristige Übernachtungsmöglichkeiten in Privatwohnungen).
2. Andererseits gibt es Onlineplattformen, welche ergänzende Dienstleistungen anbieten. In diesem Fall profitieren die Anbieter voneinander, da eine Verbesserung des Angebots erreicht wird. Beispiel: Einkauf auf einer Handelsplattform und Bezahlung mithilfe der Dienstleistung einer Bezahlplattform.

Der Auffassung, dass Portabilität für den Wettbewerb immer förderlich ist, stehen gewichtige Stimmen entgegen, die für das Gegenteil plädieren. Wenn zwei Anbieter gemäss dem ersten Beispiel ähnliche Dienstleistungen erbringen und sich somit gegenseitig konkurrieren, ist eine gesetzliche Datenportabilität nicht immer förderlich für den Wettbewerb und die Innovation. Unternehmen müssten dann befürchten, dass ihnen ein leicht «besseres» Unternehmen die Kundschaft abgräbt. Dies führt dazu, dass die Wettbewerbsintensität sinkt und etablierte Unternehmen zum Nachteil der Nutzer ihre Marktmacht ausweiten.

Im zweiten Beispiel, bei Märkten mit sich ergänzenden Produkten, kann die Datenportabilität für Innovation und Wettbewerb förderlich sein, da der Marktzutritt einfacher wird und Anreize zur Innovation steigen, da es für die neuen Plattformen einfacher ist, Nutzer abzuwerben. Ferner können die Innovationskosten und Innovationen mit anderen Anbietern geteilt werden.

Das Wettbewerbsrecht regelt bereits den Missbrauch einer marktbeherrschenden Stellung bei Vorliegen gewisser gesetzlicher Voraussetzungen. Die gesetzliche Datenportabilität steht jedoch im Widerspruch zu den Grundsätzen des Wettbewerbsrechts. So ist die Portabilität nach DSGVO sogar bei Fehlen einer marktbeherrschenden Stellung (und somit bei fehlender Betroffenheit von Konsumenten) anwendbar. Dies kann beispielsweise so weit gehen, dass das Verwenden einer bestimmten Software verboten wird, wenn sie keine Interoperabilität gewährleistet. Das Wettbewerbsrecht zeichnet sich in seiner Natur aber gerade nicht per se durch Regeln, sondern durch die Einzelfallbezogenheit
aus.

Viele Experten gehen davon aus, dass die Datenportabilität gemäss DSGVO nicht die Modelllösung für die Herausforderungen im digitalen Zeitalter ist. Die gesetzliche Datenportabilität fördert vielmehr die Handelbarkeit von Daten. Wenn grosse Datenplattformen dem Nutzer einen Kaufpreis für die durch ihn zur Verfügung gestellten Daten anbieten, so wird dieser in der Praxis dazu tendieren, das Angebot anzunehmen. Diese Art von Übertragbarkeit kann zu vermehrter Kommerzialisierung der Daten führen. Es können neue Hierarchien entstehen von Menschen mit teuren und solchen mit billigen Daten oder mit anderen Worten: Es könnten Nutzer dazu gebracht werden, für verhältnismässig geringfügige Gegenleistungen alle ihre Daten zu billig herzugeben.

Gemäss dem «Privacy Paradox» weichen die abstrakte Wertschätzung eines Nutzers für den Datenschutz und sein konkret an den Tag gelegtes Verhalten regelmässig voneinander ab. Hier bringen eine vermehrte Information und Transparenz mehr datenschutzrechtlichen Nutzen als die gesetzliche Regelung der Portabilität.

Ein erweiterter Zugang zu Daten erhöht regelmässig die Angreifbarkeit und das Sicherheitsrisiko. Einerseits führen die für die Portabilität erforderlichen Schnittstellen zu einer grösseren Angreifbarkeit der Systeme. Andererseits können auch bei der Übertragung von Daten sowie durch die Vermehrung der Daten Sicherheitsrisiken entstehen. Dies wird in den laufenden Diskussionen kaum berücksichtigt. Die Datenportabilität erlaubt es, eine grosse Menge (sensibler) Daten über ein Individuum zu erhalten. Es muss entsprechend sichergestellt werden, dass die zu portierenden Daten nur der tatsächlich anspruchsberechtigten Person zukommen. Nicht zu unterschätzen ist auch das Risiko der Weitergabe von inhaltlich falschen Daten durch einen Verantwortlichen an einen anderen und der unkontrollierte Umlauf von Daten generell.

Gemäss der Regelung in der DSGVO führen portierte Daten nicht zu einer Löschungspflicht beim Verantwortlichen, stellen keine Kündigung und auch keinen Anbieterwechsel dar. Dies ist im Grunde auch sinnvoll, da die betroffene Person in vielen Fällen gar kein Interesse an einem Wechsel oder an einer Löschung hat. Somit wird es in der Praxis bei der Portabilität oft zu einer Anbieterverdoppelung oder gar -vervielfachung kommen. Solche vervielfachten Datensätze erhöhen jedoch die Datenschutzrisiken und widersprechen dem Grundsatz der Datenminimierung.

Im Entstehungsprozess zur DSGVO war die Regelung der Datenportabilität von Anfang an umstritten. Namentlich wurde die Portabilität als Teil der primär auf den Ausbau des Datenschutzes zielenden, neuen Grundverordnung breit als systemfremd kritisiert. Vereinzelt wurde auch angeregt, statt eine umfassende Portabilität vorzusehen, die Frage unter einem erweiterten Aspekt des Auskunftsrechts in Art. 15 DSGVO zu regeln.

Auch in der Schweiz gewährt des Auskunftsrecht bereits nach dem bestehenden DSG (Art. 8) und in einer detaillierteren Form im neuen E-DSG (Art. 23) weitgehende Rechte für die betroffene Person. So hat diese einen umfassenden Auskunftsanspruch zur Frage, ob Daten über sie bearbeitet werden und Anspruch auf Herausgabe in Form einer kostenlosen Kopie. Jedoch besteht kein explizites Anrecht auf eine strukturierte Datei zwecks besserer Auswertung und Weiterverwendung durch die betroffene Person. Auch sieht keine Vorschrift die Übertragung in einem standardisierten Format vor. Die betroffene Person kann jedoch ähnlich der DSGVO die direkte Übertragung an ein Drittunternehmen gestützt auf bestehende gesetzliche Instrumente verlangen (Rechtsbegriff der Vertretung). Wird die Portabilität in der Praxis so umgesetzt, dass diese Unterschiede zur DSGVO aufgewogen werden, so können die Zwecke der Datenportabilität bereits mit dem heutigen Auskunftsrecht nach Schweizer Recht weitgehend erreicht werden.

Der Persönlichkeitsschutz nach Zivilgesetzbuch (ZGB) sieht unter anderem das Recht auf Privatsphäre, das informationelle Selbstbestimmungsrecht oder das Recht am eigenen Bild vor. Bereits das aktuelle DSG bezieht sich bei den Rechtsansprüchen ausdrücklich auf die Rechtsbehelfe nach Persönlichkeitsrecht im ZGB. Die Ausübung von Kontrollrechten kann im Gegensatz zu anderen Rechtsgebieten und trotz dieser Verbindung aber erschwert sein. Bereits in der Evaluation zum neuen Datenschutzgesetz sieht der Bundesrat vor, dies aber sinnvollerweise nicht über einen Ausbau der Rechtsansprüche im DSG umzusetzen (Art. 15), sondern mittels Erhöhung der Transparenz, Verbesserung der Datenkontrolle und einer verstärkten Sensibilisierung der betroffenen Person.

Fragen zur Datenportabilität können auch unter Anwendung von Art. 7 Kartellgesetz (KG, Missbrauch einer marktbeherrschenden Stellung) behandelt werden. Weltweit tätige soziale Medien und Internetanbieter weisen oft genügend grosse Marktanteile auf, um als marktbeherrschend zu gelten. Bisweilen ist die Feststellung im konkreten Fall an praktische Schwierigkeiten gebunden. So können Fallgruppen, welche sich zur Missbräuchlichkeit einer marktbeherrschenden Stellung äussern, teilweise nicht sinnvoll für die Zwecke der Datenportabilität eingesetzt werden.

Der Bundesgerichtshof Karlsruhe (BGH) hatte sich unlängst damit zu beschäftigen, ob den Eltern als Erben Zugang zum gesperrten Nutzerkonto ihrer verstorbenen Tochter gewährt werden kann. Der BGH stellte fest, dass so wie Briefe und Tagebücher an Erben übergehen, kein Grund besteht, digitale Inhalte anders zu behandeln. Die Eltern seien als Erben in den Nutzervertrag zwischen Facebook und der Tochter eingetreten. Somit ist nicht ausgeschlossen, auch bestehende erbrechtliche Regeln als Auslegungshilfe für die Übertragbarkeit von Daten heranzuziehen.

Zwischen Vertragsparteien kommen in der Praxis regelmässig private, selbstständige Lösungen zur Anwendung, welche die Übertragung von Daten regeln. In IT-Verträgen finden sich oftmals Bestimmungen, welche die Rückgabe von Daten bei Vertragsbeendigung vorsehen. Solche Rechte finden sich auch in den Allgemeinen Geschäftsbedingungen (AGB) grosser Internetanbieter. Die Lehre sieht Verbesserungspotenzial darin, dass diese Praxis noch nicht bei allen Dienstleistungsanbietern angekommen ist (z.B. Streamingdienste, Fitnesstracker, Vergleichsdienste). Ausserdem fehlt zum jetzigen Zeitpunkt oftmals noch die Beschreibung der zu portierenden Daten, des Formats der Übertragung und die Verteilung der anfallenden Kosten.

Eine Selbstregulierung der betroffenen Branchen im Bereich der Datenportabilität kann nicht nur zu deren technischer Umsetzbarkeit verhelfen, sondern bringt auch weitere Vorteile mit sich. Selbstregulative Vorschläge im Verhältnis B2B und B2C können zu Vereinfachungen für alle Beteiligten führen und als Unterstützung für die ausgeglichene Gestaltung von vertraglichen Abreden und AGB dienen.

Personal Information Management Systems (PIMS) sollen es den Nutzern ermöglichen, eine Art neutrale Plattform zur Verwaltung ihrer Daten zu erhalten. Dadurch erhielten sie konstant die Kontrolle über ihre Daten. Solche PIMS werden teilweise als technische Infrastruktur beschrieben, um die «eigenen» Daten zentral zu sammeln, zu verwalten und weiterzugeben. Die Anbieter von PIMS müssen dabei das Datenschutzgesetz und gewisse spezialgesetzliche Regeln beachten, insbesondere stünde aber das Vertragsverhältnis zu ihren Kunden im Zentrum. Als mögliche Fördermassnahme wird eine gesetzliche Regelung der Datenportabilität angesehen. Aufgrund der Fragestellungen, die sich bei einem gesetzlichen Konzept ergeben, sollte PIMS die Durchsetzung in der Praxis jedoch ohne eine solche unerprobte Kodifizierung erlaubt werden.  

Seit der Verabschiedung des Datenschutzpakets durch die Europäische Kommission im Januar 2012 und bei der darauf folgenden Diskussion um die Erstellung der DSGVO konnten viele der neuen technologischen Möglichkeiten noch nicht in Betracht gezogen werden. So zeichnen sich heute grosse Umbrüche beim Umgang mit Daten ab. Dies aufgrund der Technologie des Distributed Ledgers, auch vereinfacht «Blockchain» genannt. Vergleicht man zentrale Elemente der Blockchain und Prinzipien des Datenschutzes, so kann aufgezeigt werden, dass Blockchains so gebaut werden könnten, dass sie effektiven Datenschutz ermöglichen. Dies bedeutet, dass der Nutzer – ähnlich wie heute bei einem Gegenstand – die Verfügungsgewalt über seine Daten halten kann. Es ist möglich, dass die Technologie hinter Blockchain, das heutige Verständnis der Datenlandschaft erheblich beeinflussen wird. Ein Fokus auf ein veraltetes Denkmuster, wie sie die gesetzliche Portabilität beschreibt, kann die entsprechenden Entwicklungen zu mehr (technologischer) Selbstbestimmung lähmen.

Der digitale Markt befindet sich in einer ständigen Transformation, unabhängig von einer gesetzlichen Regulierung. Dies ist beispielsweise daran ersichtlich, dass sich in der Praxis gewisse technische Formate durchgesetzt haben, andere wiederum nicht. Soziale Plattformen befinden sich momentan auf einem Höhepunkt, einige von ihnen wurden aber in jüngster Zeit auch von Skandalen gebeutelt. Um das Vertrauen ihrer Nutzer wiederzuerlangen, ist zu erwarten, dass sich diese unabhängig von einer gesetzlichen Regulierung selbst neu erfinden und ausrichten werden. Schon dies wird Einfluss auf die Datenallokation haben.

Das gesetzliche Recht auf Datenportabilität gemäss europäischem Modell wird in der Lehre auch als «normatives Luftschloss» oder als «stumpfes Schwert» bezeichnet. Die Zukunftsbeständigkeit des Konzepts hängt zwar stark von der Umsetzung in der Praxis (und dem Erreichen einer Interoperabilität) ab. Der Normtext zu Art. 20 DSGVO wirft aber zahlreiche Fragen auf und die gewünschten Auswirkungen auf den Wettbewerb können durch eine Pauschallösung kaum erreicht werden. Während eine Portabilität auf freiwilliger Basis sowohl für Unternehmen als auch für Konsumenten vorteilhafter ausfällt, wird sich das Novum der gesetzlichen Portabilität aus der EU erst noch unter Beweis stellen müssen.

Da bei der Frage der Portabilität keine allgemeingültigen Lösungen zielführend sind, braucht es eine differenzierte Vorgehensweise. Eine Möglichkeit sind Selbstregulierung und Transparenz gegenüber den Nutzern. Gerade die Schweiz und ihre Wirtschaft mit einer Tradition von gut etablierten und breit akzeptierten Instrumenten der Selbstregulierung kann hier Lösungen anbieten.

Keine Regelung der Datenportabilität im Schweizer Datenschutzgesetz (DSG)
Der Datenportabilität kann mit den bestehenden gesetzlichen Mitteln und der Privatautonomie hinreichend Rechnung getragen werden. Eine spezifische Norm gemäss Art. 20 DSGVO ist systemfremd und ein Ausbau des bestehende Auskunftsrechts unnötig.

Gesetzliche Datenportabilität ist ein Thema des Wettbewerbsrechts und nicht des Datenschutzes
Das freiwillige Angebot von Datenportabilität kann für Unternehmen einen Wettbewerbsvorteil bedeuten; eine gesetzliche Pflicht hingegen unerwünschte Verschiebungen auf dem Markt bewirken. Die informationelle Selbstbestimmung ist nur sekundär tangiert.  

Soweit die Schaffung von dynamischen Ökosystemen – im Gegensatz zu den Datensilos – der Datenwirtschaft im Zentrum steht, bringen auf Freiwilligkeit und gegenseitiger Vereinbarung beruhende Lösungen allen Beteiligten grösseren Mehrwert als eine gesetzliche Pauschalregelung
Bei der Portabilität müssen die individuellen Bedürfnisse von Konsumenten, branchenspezifische Umstände, konkrete Sicherheitsrisiken und die technische Umsetzbarkeit sinnvoll angegangen werden können, was nur durch flexible Lösungen möglich ist. Zugleich lässt sich finanzieller Mehraufwand ohne Konsumentennutzen verhindern, was wiederum positiv auf den Konsumenten zurückfällt. Es ist nicht sachgemäss, Start-ups, KMU und Grossunternehmen in gleicher Weise zu erfassen, dies gerade auch unter dem wettbewerbsrechtlichen Aspekt. 

Gesetzliche Regelungen schränken die Verhältnismässigkeit bei der Umsetzung ein
An einen Nutzer sollen nur Daten herausgegeben werden, welche er nicht bereits aus anderen Gründen erhalten hat. Der konkrete Nutzen der betroffenen Person muss dabei in einem vernünftigen Verhältnis zum Aufwand des sich verpflichtenden Unternehmens stehen. Wird beispielsweise ein Bankkunde laufend über jede erfolgte Börsentransaktion mittels detailliertem Abrechnungsbeleg informiert, so ist es nicht sachgemäss, diese Angaben im Rahmen einer Portabilität nochmals aufzubereiten und herauszugeben.  

An Daten betriebener finanzieller Aufwand muss anerkannt werden
Grundsätzlich wird bei der gesetzlichen Portabilität von Kostenfreiheit ausgegangen, was hinsichtlich der notwendigen Anbieterinvestitionen nicht sachgemäss ist. Insbesondere Daten, an denen ein Mehraufwand und Weiterentwicklungen betrieben wurden, dürfen nicht (kostenlos) zur Herausgabe erzwungen werden, da ansonsten ein Trittbrettfahrerproblem entsteht.