Auf Twitter kam die Frage auf, warum GDPR gegen Datenportabilität arbeitet, wie ich gestern schrieb, während diese doch explizit darin vorgeschrieben und somit gesetzlich erzwungen werden soll. Die Antwort: GDPR schreibt Portabilität eher „unwichtiger“ Daten wie Fotos und Statusupdates vor, erschwert aber das Gleiche für die wichtigen Datenpunkte.
Was eigentlich entscheidend ist, um ein neues Facebook zu etablieren, ist der „Social Graph“. Also meine Freunde, Followings, Verbindungen, wie auch immer man die Vernetzungen nennen will. Diese Daten müssen möglichst leicht mitnehmbar sein.
Warum es wichtig ist: Soll Facebook für immer regieren?
Kurze Geschichtsstunde: Instagram hat seinerzeit über die Twitter-API Twitter-Nutzern ermöglicht, ihre Vernetzungen zu importieren. Ohne diese Portabilität hätte es für Instagram sehr viel länger gedauert, um zu wachsen. Wenig überraschend also, dass Twitter Instagram irgendwann den API-Hahn abgedreht und diese Funktionalität zurückgeschraubt hat.
Eine unproblematische Social-Graph-Mitnahme ist die Basis für mehr Wettbewerb unter Social Networks.1 Alles andere ist Nebensache.
Cambridge Analytica und GDPR sind zwei Seiten der gleiche Medaille. Facebook erlaubte mit der ersten Version von Open Graph im Gegenzug für Reziprozität2 Drittanbietern vollen Zugriff auf den Social Graph der Nutzer ihrer Dienste. Also auch auf die Freunde der Nutzer. Das führte zum Datenschatz, der in die Hände von CA fiel, obwohl der Übeltäter eine verhältnismäßig sehr kleine App war.
GDPR unterbindet solche Angebote explizit in seinen Datenportabilitätsregeln. Cambridge Analytica ist ein gutes Argument für diese Regelung im GDPR.
Aus den Guidelines (PDF, ab S. 11):
With respect to personal data concerning other data subjects:
The third condition is intended to avoid the retrieval and transmission of data containing the personal data of other (non-consenting) data subjects to a new data controller in cases where these data are likely to be processed in a way that would adversely affect the rights and freedoms of the other data subjects (Article 20(4) of the GDPR).
Such an adverse effect would occur, for instance, if the transmission of data from one data controller to another, would prevent third parties from exercising their rights as data subjects under the GDPR (such as the rights to information, access, etc.).
The data subject initiating the transmission of his or her data to another data controller, either gives consent to the new data controller for processing or enters into a contract with that controller. Where personal data of third parties are included in the data set another legal basis for the processing must be identified. For example, a legitimate interest may be pursued by the data controller under Article 6(1)(f), in particular when the purpose of the data controller is to provide a service to the data subject that allows the latter to process personal data for a purely personal or household activity. The processing operations initiated by the data subject in the context of personal activity that concern and potentially impact third parties remain under his or her responsibility, to the extent that such processing is not, in any manner, decided by the data controller…
Therefore, to prevent adverse effects on the third parties involved, the processing of such personal data by another controller is allowed only to the extent that the data are kept under the sole control of the requesting user and is only managed for purely personal or household needs. A receiving ‘new’ data controller (to whom the data can be transmitted at the request of the user) may not use the transmitted third party data for his own purposes e.g. to propose marketing products and services to those other third party data subjects. For example, this information should not be used to enrich the profile of the third party data subject and rebuild his social environment, without his knowledge and consent. Neither can it be used to retrieve information about such third parties and create specific profiles, even if their personal data are already held by the data controller. Otherwise, such processing is likely to be unlawful and unfair, especially if the third parties concerned are not informed and cannot exercise their rights as data subjects.
(Hervorhebung von mir)
Selbstbestimmung über eigene Daten überwiegt hier für die Gesetzgeber gegenüber Datenportabilität und Wettbewerb auf Anbieterebene.
~
neunetz.com per Email abonnieren!
~
Ben Thompson in einem Daily Update letztes Jahr (Bezahlschranke):
This forbids what I proposed: the easy re-creation of one’s social graph on other networks. Moreover, it’s a reasonable regulation: my friend on Facebook didn’t give permission for their information to be given to Snapchat, for example. It does, though, make it that much more difficult to bootstrap a Facebook competitor: the most valuable data (from a business perspective, anyways) is the social graph, not the updates and pictures that must now be portable, which means that again, thanks to (reasonable!) regulation, Facebook’s position is that much more secure.
Der Datenmissbrauch durch Cambridge Analytica hat gezeigt, dass die Macher hinter dem GDPR mit dieser Regulierung durchaus nicht daneben liegen. Die Daten von vielen Personen wurden zweckentfremdet und missbraucht, „nur“ weil deren Freunde eine Facebook-App mit Datenzugang genutzt haben. Die Betroffenen konnten nichts dagegen machen, sie haben nie von irgendetwas erfahren.
Gleichzeitig bleibt es ein Kompromiss mit entsprechenden Nachteilen: Der Social-Network-Marktfüher Facebook wird mit der Art, wie Datenportabilität im GDPR festgeschrieben wird, ebenfalls als Marktführer festgeschrieben.
Reibung ist wichtig, positiv wie negativ.
- Es gibt natürlich auch abseits von Social Networks Bereiche, bei denen GDPR im Gegensatz für mehr Wettbwerb sorgen wird: “Imagine you’re a small streaming media provider. You offer the same services as the big competitors but struggle to pull customers away from their “sticky” service of play history and playlists. The Right to Portability offers these smaller operators an opportunity to provide a simple “import your Spotify playlist” or “transfer your account to us” facility and acquire new customers. The Right to Portability helps level the playing field in many industries, offering an opportunity and a challenge for many businesses.“ ↩
- Das strategische Ziel hinter Open Graph war, immer alle Daten von allen nachkommenden Social Networks zu haben, weil keines auf eine Facebook-Integration verzichten kann. Das hat nicht funktioniert, weil die Nutzer nicht so teilbereit waren, wie Facebook vermutet hatte. (Und vielleicht gab es auch nicht genügend gute Dritt-Anbieter, die sich integriert haben.) ↩