18.06.2019 | Datenschutz

Die Free-Flow-of-Data-Verordnung: Freier Datenverkehr mit Hindernissen?

Seit dem 29. Mai 2019 findet die Free-Flow-of-Data Verordnung Anwendung. Damit soll in Zukunft innerhalb der EU die Verarbeitung und Übertragung nicht personenbezogener Daten über nationale Grenzen hinweg erleichtert werden. Für Unternehmen scheinen sich dadurch erhebliche Vorteile zu bieten, über die dieser Artikel einen Überblick verschaffen soll.

Freier Datenverkehr soll durch Abbau von Datenlokalisierungsauflagen realisiert werden

Die Verordnung verfolgt das Ziel, den freien Verkehr nicht personenbezogener Daten innerhalb der EU zu erleichtern, indem vor allem der Abbau sog. Datenlokalisierungsauflagen fokussiert wird. Insofern ergänzt die neue und deutlich schlankere Verordnung gewissermaßen die Datenschutz-Grundverordnung (DSGVO), die ausschließlich den Umgang mit personenbezogenen Daten regelt. Auf diese Weise sollen die europäische Datenwirtschaft und die Entwicklung neuer, grenzüberschreitender Technologien gefördert werden.
Hierzu sagte die österreichische Bundesministerin für Digitalisierung und Wirtschaftsstandort Margarete Schramböck:
„Die Stärkung der Datenbranche wird Europas Wettbewerbsfähigkeit verbessern. Der freie Datenverkehr ist ein entscheidender Faktor für das Wachstum und die Schaffung von Arbeitsplätzen und wird unseren Unternehmen mehr Flexibilität bieten. Ab jetzt können sie sich für den Cloud-Anbieter entscheiden, der ihnen am meisten zusagt.“

Negativdefinition kann zu Abgrenzungsschwierigkeiten führen

Der sachliche Anwendungsbereich ist eröffnet, wenn nicht-personenbezogene Daten innerhalb der EU gespeichert, übertragen oder anderweitig verarbeitet werden, solange diese Prozesse als Dienstleistung für Nutzer erfolgen, die ihren Wohn- oder Geschäftssitz innerhalb der EU haben. Irrelevant ist, wo der Dienstleister (z.B. Cloud-Diensteanbieter) seinen Sitz hat.
Artikel 3 Nr. 1 der Free-Flow-of-Data-Verordnung enthält eine Negativdefinition in Abgrenzung zu den sog. personenbezogenen Daten. Danach umfasst die neue Verordnung sämtliche Daten, die keine personenbezogenen Daten im Sinne der DSGVO sind. Insofern kann es durchaus zu Abgrenzungsschwierigkeiten kommen, da schon die Auslegung der Definition von personenbezogenen Daten im Detail umstritten ist (vgl. nur EuGH, Urteil v. 19. Oktober 2016, Rs. C-582/14 – Breyer).
Erwägungsgrund 9 der Verordnung nennt 3 Beispiele nicht personenbezogener Daten, die von der Verordnung erfasst sein sollen:

  • Daten zum Wartungsbedarf von Maschinen
  • Aggregierte und anonymisierte Daten im Kontext von Big Data
  • Daten im Zusammenhang mit der Präzisionslandwirtschaft zwecks Überwachung und Optimierung des Einsatzes von Pestiziden und Wasser

Leitlinien zeigen auf, wie mit gemischten Datensätzen umzugehen ist

Gemischte Datensätze (sog. „mixed data sets“) sind in der Datenwirtschaft die Regel. Insofern stellt sich die Frage, wie mit solchen Datensätzen umzugehen ist. Eine getrennte Verarbeitung von personenbezogenen und nicht personenbezogenen Daten ist in der Praxis selten möglich bzw. oftmals sehr unwirtschaftlich.
Begrüßenswerter Weise hat die Kommission Leitlinien zum freien Verkehr nicht personenbezogener Daten veröffentlicht, in der sie auf diese Frage näher eingeht. Danach soll die neue Verordnung für sämtliche nicht personenbezogenen und die DSGVO für alle personenbezogenen Daten eines Datensatzes gelten. Für ein und denselben Datensatz werden demnach zwei Verordnungen relevant. Im Falle von „untrennbar miteinander verbundenen“ soll die DSGVO für den gesamten Datensatz gelten – auch, wenn bloß wenige personenbezogene Daten enthalten sind. In den Leitlinien wird erläutert, was unter „untrennbar miteinander verbunden“ zu verstehen ist.

Datenlokalisierungsmaßnahmen nicht mehr zeitgemäß

Nicht personenbezogene Daten unterfallen grundsätzlich nicht der DSGVO. Der Transfer solcher Daten unterliegt daher grundsätzlich dem nationalen Recht der Mitgliedstaaten. Diese wollen z. B. verhindern, dass Buchhaltungsdaten ins Ausland transferiert werden, damit die Daten nicht dem Einflussbereich der nationalen Verwaltungs- und Justizbehörden entzogen werden und diese einfacher gegen mögliche Steuersünder vorgehen können. Solche und vergleichbare Datenlokalisierungsauflagen (kurz: DLA) sorgten für erhebliche Rechtsunsicherheiten und standen dem freien Datenverkehr innerhalb der EU entgegen.

Datenlokalisierungsmaßnahmen sind häufig nicht mehr zeitgemäß. Das Internet der Dinge (IoT) und moderne Cloud-Systeme erfordern den Transfer nicht personenbezogener Daten auch über nationale Grenzen hinweg. Der freie Datenverkehr erlaubt es, Unternehmensabläufe zu optimieren und die Wettbewerbsfähigkeit der EU gegenüber anderen Regionen aufrechtzuerhalten. Vor allem Cloud-Dienste können durch ein grenzüberschreitendes Angebot zuverlässiger arbeiten und Daten dort speichern, wo sie benötigt werden. Dies ermöglicht es Unternehmen, ihr Datenmanagement an die Entwicklung der digitalen Wirtschaft anzupassen.

Ein weiterer Vorteil, den man sich für Unternehmen erhofft, besteht darin, dass sie Anbieter von Cloud-Diensten in Zukunft leichter wechseln können (sog. Datenportabilität), da der Standort und das Angebot von Diensten nicht mehr auf Mitgliedstaaten beschränkt sein müssen.

Unternehmen müssen Zugriff durch Behörden auf relevante Daten im EU-Ausland gewährleisten

Aus der Verordnung folgt nicht, dass nationale Verwaltungs- und Justizbehörden keinen Zugriff mehr auf entsprechende Daten haben. Datenlokalisierungsauflagen sind aus Gründen der öffentlichen Sicherheit unter Achtung des Verhältnismäßigkeitsgrundsatzes weiterhin ausnahmsweise zulässig. Zudem dürfen nationale Behörden weiterhin Auskunftsverlangen gegenüber Unternehmen zum Zwecke der Überprüfung stellen.
Nach Artikel 5 der Verordnung dürfen Unternehmen einen Zugriff durch Behörden nicht mit der Begründung verweigern, dass die Daten in einem anderen Mitgliedstaat verarbeitet werden. Die Befürchtung, das nationale Abgabenrecht nicht mehr effektiv durchsetzen zu können, besteht daher nicht. Umfassende Lokalisierungsverbote, die es Mitgliedstaaten nur in eng begrenzten Ausnahmefällen gestatten, die Datenspeicherung auf die eigenen Grenzen zu beschränken bzw. Datentransfers in andere Mitgliedstaaten zu verbieten, sind somit die Ausnahme.
Die Privatautonomie der Unternehmen bleibt vom Verbot der Datenlokalisierungsmaßnahmen jedoch unberührt, so dass vertraglich weiterhin ein bestimmter Ort der Datenverarbeitung vereinbart werden kann (so ausdrücklich in Erwägungsgrund 4 der Verordnung).

Unternehmen werden zur Selbstregulierung angehalten

Artikel 6 der neuen Verordnung hält die Unternehmen zur Selbstregulierung an. Danach sollen Unternehmen Verhaltensregeln (sog. Code of Conduct) erstellen, die die Grundsätze der Transparenz und der Interoperabilität sicherstellen, um so zu einer wettbewerbsfähigen Datenwirtschaft beizutragen. Anders als Artikel 20 DSGVO handelt es sich hierbei also um keine gesetzliche Verpflichtung der Unternehmen, Datenportabilität zu gewährleisten. Die Diensteanbieter sollen die Entwicklung dieser Verhaltensregeln bis zum 29. November 2019 abschließen und bis zum 29. Mai 2020 wirksam umsetzen.
Es bleibt abzuwarten, ob das Konzept einer Selbstregulierung hinsichtlich nicht personenbezogener Daten auf der einen und die gesetzliche Pflicht bezüglich personenbezogener Daten auf der anderen Seite vor dem Hintergrund der oben aufgezeigten Abgrenzungsschwierigkeiten wie gewünscht umsetzbar sein wird.
Die Verhaltensregeln sollen vor allem folgende Gesichtspunkte berücksichtigen:

  • Erleichterung des Wechsels von Anbietern
  • Transparenzvorschrift bzgl. eines Anbieterwechsels
  • Zertifizierungssysteme, um Vergleichbarkeit der Dienste zu fördern

Fazit und Ausblick

Die Free-Flow-of-Data-Verordnung stellt eine Ergänzung zur DSGVO dar. Sie soll es Unternehmen ermöglichen, auf moderne Angebote wie Cloud-Dienste zurückzugreifen und stärkt durch den grenzüberschreitenden Datentransfer den europäischen Binnenmarkt.
Die Effektivität der Verordnung hängt allerdings auch entscheidend von der Kooperation zwischen Unternehmen mit den mitgliedstaatlichen Behörden ab, indem zum Beispiel Auskunftsanfragen in wichtigen Fällen zügig beantwortet werden. Doch auch dafür hält die Verordnung eine Antwort bereit: In Zukunft sollen freiwillige Selbstverpflichtungen der Unternehmen in Form von Code of Conducts erheblich gefördert werden.



Weitere Artikel

Anwälte der Kanzlei empfohlen durch: