weerapat1003 - stock.adobe.com
Mögliche Sicherheitslücken bei der Datenübertragbarkeit
Datenportabilität kann zu Datenrisiken führen, wenn die Sicherheit der Datenübertragung nicht richtig umgesetzt wird. Passende Datenformate sind nicht alles.
Die Internationale Arbeitsgruppe zum Datenschutz in der Technologie (sogenannt Berlin Group) hat im März 2021 neue Arbeitspapiere verabschiedet. Diese Arbeitsgruppe wurde im Rahmen der Internationalen Konferenz der Datenschutzbeauftragten auf Initiative des Berliner Datenschutzbeauftragten gegründet.
Teilnehmer sind Datenschutzbehörden, aber auch Regierungsstellen, Vertreter internationaler Organisationen und Wissenschaftler aus aller Welt. Die Arbeitsgruppe beschäftigt sich mit Themen im Bereich der Telekommunikation und vor allem mit Fragen des Datenschutzes im Internet.
Eines der neuen Arbeitspapiere behandelt Fragen zur Datenportabilität oder Datenübertragbarkeit nach Datenschutz-Grundverordnung (DSGVO).
Weiterhin Klärungsbedarf bei Datenportabilität
Datenportabilität soll es Einzelpersonen ermöglichen, sowohl direkt auf einige oder alle ihrer personenbezogenen Daten zuzugreifen als auch deren Übertragung in einer wiederverwendbaren digitalen Form zu verlangen, so die Berliner Beauftragte für Datenschutz und Informationsfreiheit. Datenübertragbarkeit kann Konsumenten somit individuelle Autonomie und erweiterte Zugriffsrechte verschaffen.
Das neue Arbeitspapier „Argumente für Datenübertragbarkeit als Mittel zum Datenschutz im digitalen Zeitalter“ untersucht das Konzept der Datenportabilität und seine Beziehung zu anderen anerkannten Konzepten zum Schutz der Privatsphäre und des Datenschutzes.
Das Papier analysiert die potenziellen Vorteile, die Datenportabilität bietet, und reflektiert zusammenhängende und komplexe politische Fragen, die sowohl beim rechtlichen Ansatz der Datenübertragbarkeit als auch bei ihrer Umsetzung zu berücksichtigen sind.
Das Arbeitspapier trifft einen wichtigen Punkt bei der Umsetzung der DSGVO: Viele Unternehmen haben weiterhin Probleme mit der Umsetzung des Rechts auf Datenportabilität, wie es die DSGVO vorsieht. Dabei konzentrieren sich jedoch viele Überlegungen auf die Frage, wie ein maschinenlesbares, offenes Format aussehen sollte, damit die Datenübertragbarkeit technisch wie gewünscht funktioniert.
Wie jedoch auch das neue Arbeitspapier der Datenschützer zeigt, gibt es weitaus mehr Fragen zu klären, darunter auch die Fragen nach möglichen Datenrisiken und notwendigen Schutzmaßnahmen.
Was bei der Umsetzung nicht vergessen werden sollte
Maßnahmen zur Umsetzung der Datenübertragbarkeit sollten zum Beispiel umfassen, dass sichergestellt wird, dass die Daten unbeteiligter Dritter nicht durch die Datenportabilität berührt, also die Daten Dritter nicht zusammen mit den Daten der Person, die angefragt hat, bereitgestellt werden. Somit sind die Daten der anfragenden Person und Dritter genau zu trennen. Würde dies nicht geschehen, könnte die Umsetzung eines Betroffenenrechtes letztlich zu einer Datenschutzverletzung führen, indem Daten Dritter in unbefugte Hände gelangen könnten.
Dies ist nur ein Beispiel für mögliche Datenrisiken bei der Datenportabilität, so dass man vor der Umsetzung der Datenübertragbarkeit eine Datenschutz-Folgenabschätzung (DSFA) nicht vergessen sollte. Gerade im Bereich der Datensicherheit kann die Datenübertragbarkeit zu Herausforderungen führen, die nicht übersehen werden dürfen.
Sicherheitsfragen zur Datenübertragbarkeit klären
Unternehmen sollten die Sicherheitsrisiken bei der Übertragung personenbezogener Daten von einem Dienst auf einen anderen nicht übersehen, so die Datenschützer. Die Datenübertragbarkeit kann zu einem riskanten Informationsaustausch führen, wenn zum Beispiel ein böswilliger Dritter illegal auf Informationen zugreifen kann. Die Datenübertragbarkeit kann auch den potenziellen Schaden erhöhen, wenn ein Unbefugter Zugriff auf ein Benutzerkonto erhält.
Die Datenportabilität birgt erhebliche Sicherheitsrisiken, wenn Organisationen die Daten einer Person nicht mit angemessenen Sicherheitsstandards portieren, die sowohl während der Übertragung als auch während der Speicherung bei der empfangenden Organisation vorhanden sein müssen. Daten sollten somit während des Transports und an ihrem neuen Speicherort stets mit hoher Sicherheit geschützt werden, wie das Arbeitspapier der Berlin Group unterstreicht.
Fragen des Datenschutzes und der Datensicherheit bestehen auch dann, wenn zum Beispiel ein spezieller Service für die Datenmigration von einem Dienst zu einem anderen genutzt wird, wobei zu bedenken ist, dass bei einer solchen Auftragsverarbeitung auch der Auftraggeber für die Datenübertragung in der datenschutzrechtlichen Verantwortung bleibt.
Somit müssen spezielle Schutzmaßnahmen definiert werden für die Datenübertragung von einer Organisation zur anfragenden Person und für die Datenübertragung zwischen der bisherigen und der neuen Organisation, bei der die Daten vorgehalten werden sollen, wenn die Daten direkt von einem Service zum anderen portiert werden.
Nicht zuletzt müssen auch Maßnahmen ergriffen werden, um zu prüfen, ob eine Person, die eine Datenportierung verlangt, überhaupt die berechtigte Person und kein unbefugter Dritter ist. Zu klären ist auch, wer eine mögliche Datenschutzverletzung meldet, wenn diese bei der Datenübertragung im Sinne der Datenportabilität auftritt, der ursprüngliche Datenverarbeiter, der neue Datenverarbeiter oder beide.
Es zeigt sich, dass die Datenportabilität auch heute noch viele Fragen aufwirft, auch wenn die DSGVO nun schon seit 2018 zur Anwendung kommt. Dabei sind die Datenformate nicht die einzige Herausforderung, auch Fragen der Datensicherheit und mögliche Meldepflichten sind in den Blick zu nehmen.