Auf dem 10. gemeinsamen Steuerrechtsseminar der Universitäten Budapest (ELTE), Ferrara und Heidelberg hat der Budapester Jurastudent Daniel Bihary das Projekt revealu [sprich: reveal you] vorgestellt, das Ende April zu den vier Gesamtsiegern des ersten Global Legal Hackathon gehörte.
Der Global Legal Hackathon ist ein dreistufiger Programmierwettbewerb, der in diesem Jahr erstmals stattgefunden hat – zunächst mit örtlichen Wettbewerben unter Beteiligung von rd. 600 Teams weltweit, sodann einem dezentralen Zwischenwettbewerb mit 41 Teams und schließlich Ende April 2018 mit einer zentralen Endausscheidung in New York. An dieser Endausscheidung waren zwei europäische Teams beteiligt – die Berliner Gruppe „Sondier.AI“ und das ungarische Projekt revealu, das sich den Gesamtsieg gesichert hat.
Worum geht es? Revealu ist ein klassischer Informations- und Anspruchsintermediär. Die gleichnamige App erfasst und übermittelt die Informationsauskunftersuchen nach Art. 15 DSGVO, die Einzelne ab dem Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) am 25.05.2018 stellen können. Der Anspruch richtet sich gegen private Unternehmen, Behörden und alle (weiteren) Rechtsträger, die Daten erheben, speichern oder verarbeiten und deshalb als „Verantwortliche“ i.S.d. DSGVO auskunftsverpflichtet sind. Anspruchsinhalt ist die Mitteilung, ob der Verantwortliche personenbezogene Daten verarbeitet – und ggf., welche Daten zu welchem Zweck und für welche Zeit verarbeitet werden, woher sie stammen und wem sie weitergegeben werden.
Das Programm, das auf mobilen Betriebssystemen und als Web-Applikation angeboten werden soll, sammelt zunächst einige wenige persönliche Daten eines Benutzers, mit denen dieser sich gegenüber dem Verantwortlichen eindeutig identifizieren und damit legitimieren kann; dazu ist die Eingabe von Passwörtern, die der Benutzer bei den Zielunternehmen hinterlegt hat, nicht erforderlich. Revealu übermittelt das Auskunftsersuchen in standardisierter elektronischer Form an die Zielunternehmen.
Die Anwendung sammelt danach die von den Zielunternehmen übermittelten Auskünfte nach Art. 15 DSGVO. Dabei kommt revealu zugute, dass Art. 15 Abs. 3 Satz 2 DSGVO dem Betroffenen für den Fall, dass das Auskunftsrecht elektronisch geltend gemacht wird, das Recht auf eine ebenfalls elektronische Erteilung der Auskunft gibt. Die von den Zielunternehmen in heterogenen Formaten erlangten Daten werden von revealu zunächst gefiltert, klassifiziert (analysiert) und standardisiert. Für diese Pipeline werden Algorithmen des maschinellen Lernens verwendet.
Die strukturierten Daten, die revealu verschlüsselt und seinerseits nur kurzzeitig (die Rede ist von zehn Tagen) speichert, werden dem Benutzer in übersichtlich visualisierter Form präsentiert. Ein Prototyp, für den die Auswahl der Daten noch auf dem ungarischen Informationsfreiheitsgesetz (noch nicht auf der DSGVO) beruht, ist bereits online zu besichtigen (https://revealu.eu/proto).
Das alles soll nahezu in Echtzeit geschehen, denn nach Art. 12 Abs. 3 DSGVO sind die Zielunternehmen jedenfalls grundsätzlich zur unverzüglichen Datenlieferung verpflichtet. Die Vorschrift lässt allerdings Raum für – u.U. erhebliche – Verzögerungen bei der Erfüllung der Auskunftspflichten. Aus diesem Risiko für eine Bearbeitung in Echtzeit macht revealu nun eine Tugend: Es bietet Zielunternehmen eine Kooperation an, mit der es ihnen die Nutzung seiner Pipeline zur Sammlung und Strukturierung der Auskunftsdaten nach Art. 15 DSGVO ermöglicht und ihnen dadurch hilft, das nach der DSGVO erforderliche Compliance-System aufzubauen, Auskunftsersuchen in beliebiger Zahl und Frequenz umgehend zu bearbeiten und Schadensersatzansprüche (Art. 82 DSGVO) zu vermeiden.
Zu den zahlreichen weiteren Potenzialen und Perspektiven der revealu-Anwendung zählt benutzerseitig eine Funktion, mit der die Betroffenen die ihnen nach der DSGVO zustehenden Rechte zur Korrektur oder Löschung ihrer personenbezogenen Daten geltend machen können. Die revealu-Anwendung ist dabei EU-weit durch alle 410 Mio. Unionsbürger einsetzbar; letztlich zielt sie sogar auf einen globalen Markt. Den Zielunternehmen ermöglicht revealu das Herausfiltern von bad actors, die mit massenhaften oder missbräuchlichen Auskunftsersuchen sog. denial-of-service-attacks auf die Unternehmenssoftware verüben könnten.
Das junge revealu-Team besteht aus sechs ungarischen Studenten, davon vier Programmierern, einem Betriebswirt und Daniel Bihary als bisher einzigem Jurist. Das Sicherheitsbewusstsein der Gruppe ist hoch. Ihr Anspruch („your digital footprint. Revealed.“) ist nur durch ein Höchstmaß an Absicherung der übermittelten personenbezogenen Daten einzulösen. Das Unternehmen verwendet daher gegenwärtig keine eigenen Server, sondern nutzt Clouds, die den Anforderungen der DSGVO entsprechen, greift selbst nicht auf die verschlüsselten Userdaten zu und löscht sie nach zehn Tagen. Die Anwendung soll im Sommer 2018 – also kurz nach Inkrafttreten der DSGVO am 25. Mai 2018 – an den Start gehen.
