Symbolbild API

Die grossen Technologieunternehmen (Facebook, Google, Microsoft usw.) haben einen neuen Weg gefunden, um die DSGVO und damit die Rechte der Nutzer auf Besitz und Kontrolle ihrer persönlichen Daten zu unterminieren.

In der Vergangenheit boten alle Tech-Player kostenlose und leistungsstarke APIs an, die es Nutzern ermöglichten, in Echtzeit auf ihre Daten zuzugreifen. Diese APIs ermöglichten es ebenfalls Startups wie BitsaboutMe, in Kombination mit einer robusten Authentisierungsebene (oauth), innovative Konsumgüter zu entwickeln, die mit der Zustimmung des Nutzers zur Extraktion und Verwendung personenbezogener Daten basieren, d.h. die Datenübertragbarkeit ermöglichen und Nutzer zu wahren Eigentümern ihrer Daten machen.

Dann wurde der Cambridge Analytica Skandal ausgelöst und die viel zu grosszügige Facebook Graph API missbraucht, um nicht nur die persönlichen Daten des zustimmenden Nutzers, sondern auch Daten anderer Personen (Freunde) zu nutzen. Eine Überprüfung des Umfangs einer solchen API und ihrer Datenschutzrichtlinien war überfällig, aber jetzt hat die Big Tech Branche eine neue Möglichkeit entdeckt, sie als Mittel zur Untergrabung der Datenportabilität zu nutzen, indem die Unternehmen den Umfang des API-Zugriffs als Abwehrmassnahme drastisch reduzieren, um ihre Datenmonopole zu schützen.

Facebook, LinkedIn, Amazon und jetzt auch Google machen alle dasselbe. Sie bieten weiterhin leistungsstarke APIs für Werbekunden an, die Data Mining betreiben und die Nutzerschaft nach Belieben darauf ausrichten können, leistungsfähigere Werbung zu versenden. Andererseits aber reduzieren sie die Daten, die der einzelne selbst Nutzer über die API erhalten kann, stark (für LinkedIn sind es beispielsweise nur noch Name und E-Mail). Sie entsprechen zwar nach wie vor der Übertragbarkeit von DSGVO-Daten (Art. 7), indem sie es Nutzern ermöglichen, riesige Datenbestände auf ihre lokalen Festplatten in manuellen Prozessen und verschiedenen Formaten zu extrahieren, jedoch mit eingeschränktem Nutzen für einen „gewöhnlichen“ Nutzer. Sie haben auch künstliche Verzögerungen eingebaut, die eine solche Datei in manchen Fällen erst nach Tagen oder sogar Wochen, aber immer innerhalb ihrer gesetzlichen 30-Tage-Grenze produzieren. Alle entsprechen der heutigen DSGVO, führten aber zu einer Verschlechterung der Nutzerfreundlichkeit.

Anfang des Jahres schloss sich Google an, indem neue Regeln für die begrenzte Nutzung der Gmail-APIs durchgesetzt wurden. Diese Regeln schränken die Möglichkeit der Übertragung von Gmail-Daten stark ein „All other transfers or sales of the user data are prohibited“, was in etwa so viel heisst wie „Alle anderen Übertragungen oder Verkäufe von Nutzerdaten sind verboten“. Google geht aber noch einen Schritt weiter und sagt: „Note that the Limited Use restrictions apply even if you seek permission from your users“, also „Beachten Sie, dass die Einschränkungen der begrenzten Verwendung gelten, auch wenn Sie die Erlaubnis Ihrer Nutzer einholen“. Hochbezahlte Anwälte haben sich darüber klar Gedanken gemacht, aber es scheint eine grobe Verletzung des Data Ownership Konzepts zu sein, wenn Google mir verbieten kann, meine Daten über eine App meiner Wahl zu teilen oder zu verkaufen.

Grundsätzlich verbietet Google App Developers all die Dinge, die Google routinemässig mit Gmail-Daten macht (Teilen, Werbung, Marktforschung). Um die Sache noch schlimmer zu machen, verlangt Google jetzt eine jährliche Sicherheitsüberprüfung, die zwischen 15’000-75’000 $ zu Buche schlägt, um die Gmail-API zu nutzen und damit alle kleinen Unternehmen und Startups vom Markt zu nehmen. Das Ergebnis wird sein, dass in Zukunft nur noch grosse Player sowie Google selbst zusätzliche Dienste für dein Gmail-Konto anbieten können. Willkommen zurück in der alten Welt der Silodaten.

Die Regulierungsbehörde muss die Übertragbarkeit der DSGVO-Daten schnell verbessern: So wie die EU ihren Banken PSD2 auferlegt hat, um Backend-Dienste bereitzustellen, die sie sowohl für Fintech-Startups als auch für GAFAs zur leichten Beute machen, muss die DSGVO um eine Anforderung ergänzt werden, die verlangt, dass grosse Datenverantwortliche freien und uneingeschränkten API-Zugang zu den personenbezogenen Daten der Nutzer bieten müssen. Eine maschinenlesbare Datei nach 30 Tagen ist einfach bei Weitem nicht gut genug für die Datenübertragbarkeit in der heutigen Zeit.