Die Perspektive der Unternehmen auf das Ab- und Annehmen von Daten wurde mit Hilfe von Expert:inneninterviews untersucht. Das Ziel dieser Befragung war es zu erheben, inwieweit die Datenübertragbarkeit nach Art. 20 DSGVO in Unternehmen praktisch umgesetzt wird. Dabei wurden die Vorgehensweise, die Relevanz und das Ziel der Datenportabilität überprüft. Bei der Befragung lag der Fokus auf Unternehmen, die eine Vielzahl personenbezogener Daten von Kund:innen verarbeiten.
Insgesamt wurden 102 Unternehmen per E-Mail angeschrieben und um eine Interviewteilnahme gebeten. Die E-Mail-Adressen der Kontaktpersonen wurden den jeweiligen Datenschutzerklärungen entnommen. Es erklärten sich schließlich zwölf Unternehmensvertreter:innen für ein Interview bereit. Die Unternehmen, bei denen diese beschäftigt sind, gehören zu unterschiedlichen Branchen und variieren in ihrer Größe. Von den zwölf interviewten Unternehmen befinden sich elf in Deutschland und eines in Österreich: Fünf haben die Größe eines Konzerns, drei sind Großunternehmen. Hinzu kommen ein mittelständisches Unternehmen, ein Kleinunternehmen, ein Verkehrsverbund und eine Krankenkasse. Alle Interviewpartner:innen sind Datenschutzbeauftragte im jeweiligen Unternehmen und damit für die Einhaltung der datenschutzrechtlichen Vorschriften zuständig.
Die Interviewfragen wurden vorher in einem Interviewleitfaden festgelegt, der die Vergleichbarkeit der Interviewergebnisse gewährleistet. Der Leitfaden orientierte sich an den übergeordneten Fragen: Wie wird die Datenübertragbarkeit in der Praxis umgesetzt? Besteht ein Bedarf der Betroffenen für dieses Recht? Wie kann man die bereitgestellten Daten wiederverwenden? Welches Format wird eingesetzt, um die Anforderungen eines strukturierten, gängigen und maschinenlesbaren Formats zu erfüllen? Können durch die Datenübertragbarkeit Betriebsgeheimnisse preisgegeben werden?
3.1.1 Ergebnisse der Unternehmensbefragung
Zu Beginn des Interviews wurden die Datenschutzbeauftragen gefragt, inwieweit die Datenübertragbarkeit von den Unternehmen umgesetzt wird. Von den zwölf Befragten gaben zwei an, Anfragen auf Datenübertragbarkeit nicht zu beantworten. Es handelte sich dabei einmal um einen großen Zeitungsverlag, der dies damit begründete, dass personenbezogene Daten immer im Zusammenhang mit einem Abonnement stünden und damit ein Vertrag als Rechtsgrundlage vorläge. Dies steht allerdings im Widerspruch zu Art. 20 Abs. 1 lit. a DSGVO, der Verarbeitung auf Basis von Verträgen explizit nennt. So fand die Datenübertragbarkeit bei der Krankenversicherung ebenfalls keine Anwendung, da dort personenbezogene Daten nicht auf Basis der Einwilligung der Betroffenen verarbeitet werden und Datenübertragbarkeit nicht auf Verarbeitungen anzuwenden ist, die im öffentlichen Interesse liegen (Art. 20 Abs. 3 DSGVO). Die genannten Unternehmen wurden daher bei der weiteren Auswertung der Interviews nicht betrachtet.
Den übrigen zehn Interviewpartner:innen wurde die Frage gestellt, wie viele Anfragen auf Datenportabilität sie bisher erhalten hatten. Acht Unternehmen erhielten bisher keine Anfragen. Fünf der Befragten rechneten auch in Zukunft nicht mit Anfragen, zwei hielten es für unwahrscheinlich. Nur der Datenschutzbeauftragte des Verkehrsverbundes ging davon aus, dass Anfragen eingehen werden. Vier Interviewpartner:innen begründeten ihre Erwartung damit, dass das Recht auf Datenübertragbarkeit sehr eingeschränkt sei, da es nur die Daten umfasse, die Betroffene selbst zur Verfügung gestellt haben. Bei einer Portierung der Daten wären nach Ansicht der Befragten nur wesentliche Kontaktangaben und Vertragsangaben von der Übertragbarkeit betroffen. Zwei Interviewte waren der Meinung, dass der Aufwand der Datenübertragung größer sei als die erneute Eingabe der Daten durch die Betroffenen bei einem neuen Anbieter. Zwei weitere Interviewpartner:innen berichteten, dass sie Kontakt zu anderen Datenschutzbeauftragten in ähnlichen Bereichen hätten und auch dort die Anzahl der Anfragen niedrig sei. Eine der Interviewten erwähnte, als Datenschutzbeauftragte in mehreren Unternehmen tätig zu sein und dass auch bei diesen das Recht noch nicht geltend gemacht worden sei.
Nur zwei der Interviewten gaben an, bereits Anfragen im einstelligen Bereich erhalten zu haben. Dabei handele es sich um Anfragen, bei denen die Betroffenen die Daten als Kopie erhalten wollten. Fälle von tatsächlichen Datenübertragungen zu einem anderen Verantwortlichen gab es bisher bei keinem der interviewten Unternehmen.
Bezüglich der Umsetzung gaben sieben Unternehmen an, die Daten gegebenenfalls manuell bereit zu stellen. Das bedeutet, dass die personenbezogenen Daten im Falle einer Anfrage durch einen Datenbankexport erzeugt würden. Der aus der Datenbank exportierte Auszug werde der betroffenen Person anschließend durch eine verschlüsselte Mail bzw. auf einer CD oder einem USB-Stick übermittelt.
Die strukturierteste Umsetzung beschrieb der Interviewte eines Softwareunternehmens, das für die Umsetzung die eigene Software zum Personalmanagement einsetzt, die im selben Unternehmen entwickelt und vermarktet wird. Teil der Software sei ein Auswertungstool, mit dem ein Bericht erstellt werden könne. Eine dieser Berichtsarten sei die Auswertung mit dem Fokus auf Datenportabilität. Dabei könne festgelegt werden, in welchem Format die Daten zur Verfügung gestellt werden sollen, bevor sie aus der Datenbank exportiert würden.
Der Datenschutzbeauftragte eines Logistikunternehmens erklärte, dass ein Tool für die Personalverwaltung bei einem Drittanbieter verwendet werde und auf Wunsch eine komplette Personalakte generiert werden könne. Bei den Kund:innen setze das Unternehmen die Datenportabilität manuell um. Den Nutzer:innen wird zudem ein Portal bereitgestellt, das verschiedene Betroffenenrechte bündelt, sodass die eigenen Daten kontrolliert, korrigiert oder gelöscht werden können. Auch bei einem interviewten Kreditinstitut können personenbezogene Daten im Onlinebanking-Portal von Betroffenen selbst bearbeitet werden und Daueraufträge sowie Überweisungen heruntergeladen werden. Bei einem Fitness-App-Hersteller haben Nutzer:innen über die Webseite jederzeit die Möglichkeit, eine Kopie ihrer Daten herunterzuladen – dabei wird zwischen einer Kopie nach Art. 15 Abs. 3 DSGVO und Art. 20 DSGVO nicht unterschieden. Nach Bestätigung der E-Mail-Adresse können die eigenen Daten über einen bereitgestellten Link als ZIP-Datei heruntergeladen werden.
Die unmittelbare Übertragung der Daten zu einem anderen Verantwortlichen ist in keinem der befragten Unternehmen automatisiert möglich. Der Interviewpartner eines Kreditinstituts erklärte, dass Daten anderer Unternehmen aus technischen Gründen nicht importiert werden könnten. Zwei Interviewpartner:innen gaben an, dass die Ausgabe der Daten keine Probleme darstelle, jedoch die Übernahme der Daten von anderen Anbietern fast unmöglich sei. Sie waren der Meinung, dass alle Unternehmen unterschiedliche Daten speichern und somit unterschiedliche Systeme verwendet würden, sodass die Datenformate eine Barriere darstellten. Ein Import sei sehr aufwändig, da die Daten zuerst zeitintensiv bearbeitet werden müssten. Der Interviewpartner beim Fitness-App-Hersteller sprach sich daher für gesetzliche Vorgaben bezüglich des Formats aus.
Bei der Übertragung der personenbezogenen Daten kommen bei den untersuchten Unternehmen ausschließlich die Formate PDF, CSV, XML und JSON zum Einsatz. Zwei Unternehmen stellen die personenbezogenen Daten als PDF-Datei zur Verfügung. Drei Interviewpartner:innen gaben an, die Daten in mehreren Formaten zur Verfügung stellen zu können. Möglich seien PDF, CSV oder XML. Der Datenschutzbeauftragte des Kreditinstituts teilte mit, dass die Daten, die dokumentenhaft verfügbar seien, als PDF-Datei und listenartige Daten als CSV-Datei aus der Datenbank exportiert würden. Der Datenschutzbeauftragte der Fitnessstudio-Kette gab an, dass die Daten in XML-Format übermittelt würden. Zwei weitere teilten mit, dass die Übertragung als JSON-Datei stattfände.