7. Dezember 2019
Thomas Steiner, VISCHER AG

DSG-Revision: Umstrittene Tragweite des Rechts auf Datenportabilität

Der Nationalrat hat in der Herbstsession 2019 die Totalrevision des Datenschutzgesetzes (DSG) beraten. Dabei hat er sich überraschend deutlich für die Einführung eines Rechts auf Herausgabe und Übertragung von Personendaten ausgesprochen. Umstritten bleibt die Tragweite dieses sog. Rechts auf Datenportabilität.

Die Mehrheit des Nationalrats möchte den Anspruch auf Datenportabilität auf Personendaten beschränken, welche die betroffene Person dem Anbieter bereitgestellt hat. Eine Minderheit möchte den Anspruch auf Personendaten ausweiten, die der jeweilige Anbieter eines Dienstes (z.B. soziales Netzwerk, Musik- oder Videostreaming-Dienst) durch Umarbeitung, Analyse oder Auswertung der bereitgestellten Personendaten generiert.

Das Recht auf Datenportabilität gemäss DSGVO und E-DSG
Die von der Mehrheit des Nationalrats getroffene Lösung (Art. 25a E-DSG) ist dem Recht auf Datenportabilität gemäss Art. 20 der EU-Datenschutzgrundverordnung (DSGVO) nachgebildet. Gemäss Art. 20 DSGVO haben natürliche Personen in Bezug auf sie betreffende Personendaten das Recht, die dem Anbieter bereitgestellten Personendaten in einem gängigen elektronischen Format heraus zu verlangen. Zudem haben betroffene Personen das Recht, soweit technisch machbar, die direkte Übertragung der Personendaten zum Dienst eines anderen Anbieters zu verlangen.
Vorausgesetzt ist für die Herausgabe wie auch die Übertragung gemäss Art. 20 DSGVO, dass der Anbieter als Rechtsgrundlage für die Verarbeitung der Personendaten die Einwilligung der betroffenen Person (Art. 6(1)(a) DSGVO) oder die Notwendigkeit zur Erfüllung eines Vertrags (Art. 6(1)(b) DSGVO) festgelegt hat. Wenn sich die Verarbeitung hingegen auf einen anderen Rechtsgrund, wie insbesondere die Notwendigkeit zur Wahrung überwiegender berechtigter Interessen des Anbieters oder Dritter (Art. 6(1)(f) DSGVO) bezieht, gilt das Datenportabilitätsrecht nicht (es gilt aber das weitergehende Recht auf Auskunft und Kopie gemäss Art. 15 DSGVO).

Art. 25a E-DSG übernimmt auch diese Einschränkung. Sie wird indes nicht dieselbe Wirkung haben wie unter Art. 20 DSGVO. Denn das DSG ist keine Verbotsgesetzgebung. Verantwortliche müssen nicht für jede Bearbeitung im Voraus die Rechtsgrundlage bzw. den angerufenen Rechtfertigungsgrund festlegen. Rechtfertigungsgründe kommen im DSG bei der Bearbeitung durch Private dann zum Tragen, wenn der Anbieter trotz Widerspruchs der betroffenen Person deren Personendaten weiterbearbeiten möchte, sowie als Grundlage für die Bekanntgabe besonders schützenswerter Personendaten.

Primär wettbewerbspolitische Zwecke

Das Datenportabilitätsrecht bezweckt in erster Linie, den Wechsel zu einem Dienst eines anderen Anbieters zu erleichtern. Durch die Herausgabe der Personendaten in einem gängigen elektronischen Format soll verhindert werden, dass die betroffene Person beim Wechsel zu einem neuen Dienst dieselben Daten nochmals eingeben oder eine gewünschte Personalisierung von Inhalten und Einstellungen nochmals vornehmen muss. Mithin dient das Datenportabilitätsrecht primär wettbewerbspolitischen bzw. konsumentenschützenden Zwecken: Es soll durch Abmilderung von Lock-in-Effekten der Wettbewerb unter verschiedenen Anbietern sowie die Entwicklung neuer Dienste und Online-Plattformen gefördert werden.

Datenschutzrechtliche Nebeneffekte
Datenschutzrechtliche Wirkungen sollen allenfalls als Nebeneffekte des Datenportabilitätsrechts auftreten. Es soll (zusätzlich zum Auskunfts-, Berichtigungs- oder Löschungsrecht) die Kontrolle über die eigenen Daten verbessern (vgl. DSGVO, EG 68) und insbesondere den Wechsel zu einem Anbieter mit einem höheren Datenschutzstandard ermöglichen.
Die Nutzerin eines Online-Diensts vertraut der Anbieterin des Dienstes ihre Personendaten an. Sie investiert in den Aufbau ihres Profils und bezahlt die zunehmende Personalisierung des Angebots mit Einschränkungen ihrer Privatsphäre. So gesehen dient das Datenportabilitätsrecht auch datenschutzrechtlichen Zielen, nämlich dem Schutz der Persönlichkeit vor übermässiger Bindung an einen Anbieter, die durch Investition in den Aufbau von Profilen und die entsprechende Umständlichkeit eines Anbieterwechsels entstehen kann.

Ausgewogene Lösung des Nationalrats
Allerdings ist der datenschutzrechtliche Schutz der Persönlichkeit nicht absolut. Er findet seine Grenze im Schutz der Rechte und Freiheiten anderer Personen sowie im Schutz berechtigter und überwiegender Interessen des Anbieters oder Dritter (vgl. Art. 20(4) DSGVO und Art. 24 i.V.m. Art. 25b E-DSG). Die Lösung des Nationalrats schafft den notwendigen Ausgleich der Interessen.
Erstens erfasst Art. 25a E-DSG (wie auch Art. 20 DSGVO) nur Personendaten des Anspruchsinhabers. Der Anbieter ist berechtigt und zum Schutz anderer Personen verpflichtet, Personendaten anderer Personen unkenntlich zu machen oder die Herausgabe und Übertragung in anderer Weise einzuschränken oder aufzuschieben, wenn es der Schutz der Persönlichkeit oder übermässige Interessen des Anbieters oder Dritter erfordern (vgl. Art. 24 E-DSG).
Zweitens ist das Datenportabilitätsrecht in der Lösung der Mehrheit des Nationalrats (Art. 25a E-DSG) – wie auch in Art. 20 DSGVO – auf bereitgestellte bzw. beobachtete (d.h. vom Anbieter gemessene und aufgezeichnete) Personendaten beschränkt. Der Anspruch erfasst nicht Umarbeitungen, Analysen und Auswertungen des Anbieters und schützt somit die Interessen der Anbieter und Dritter am Schutz von Knowhow, Geschäftsgeheimnissen und immaterialgüterrechtlichen Schutzansprüchen. Die Lösung der Minderheit des Nationalrats würde letzteres gefährden und ginge über den Schutzstandard von Art. 20 DSGVO hinaus. In der Wintersession 2019 behandelt der Ständerat die Vorlage. Zur Vermeidung eines Swiss-Finishs sollte der Ständerat bei der Lösung der Mehrheit des Nationalrats bleiben.