Seit dem 28.05.2019 gilt die VO (EU) 2018/1807 für den freien Verkehr von nicht personenbezogenen Daten. Zusammen mit der DSGVO soll die neue Vorgabe den entsprechenden Rechtsrahmen schaffen. Für die EU-Kommission ein Anlass, Unternehmen durch Leitlinien bei der Anwendung zu unterstützen.

Um den grenzüberschreitenden Austausch von Daten zu verbessern, hatte die Kommission dem Europäischen Parlament und dem Rat einen Rahmen für den freien Verkehr von nicht-personenbezogenen Daten vorgeschlagen. Beide Gremien nahmen den Vorschlag im November 2018 in Gestalt der Verordnung (EU) 2018/1807 an. Die Neuregelung hat den Zweck, Daten innerhalb der EU ohne ungerechtfertigte Beschränkungen verarbeiten zu können. Auch der Leitfaden der Kommission – der vor allem kleine und mittlere Unternehmen (KMU) unterstützen soll – gilt seit dem 28.05.2019.

Konkret dürfen die Mitgliedstaaten nun grundsätzlich keine Normen erlassen, nach denen Daten ohne Rechtsgrund ausschließlich im Inland gespeichert werden dürfen. Es sei denn, die Speicherung im Inland ist aus Gründen der öffentlichen Sicherheit gerechtfertigt und verhältnismäßig. Dies ergibt sich aus Art. 4 der VO (EU) 2018/1807.

Die Zwecke der neuen Vorgaben

• Sicherung der Verfügbarkeit: Der neue Rechtsrahmen soll vor allem die Verfügbarkeit von Daten für ordnungspolitische Kontrollzwecke sicherstellen. Das heißt, die Behörden sind dazu befugt, für Prüf- und Aufsichtszwecke auf Daten innerhalb der kompletten EU zuzugreifen. Und dies unabhängig davon, wo diese gespeichert oder verarbeitet werden.
• Gemeinsamer Datenraum: Beide Verordnungen – die DSGVO und sowie die VO (EU) 2018/1807) – sollen gemeinsam den freien Verkehr von allen Daten ermöglichen, und zwar unabhängig davon, ob diese personenbezogen oder nicht personenbezogen sind. Auf diese Weise soll ein  gemeinsamer europäischer Datenraum entstehen.
• Sanktionen: Zudem können die Mitgliedstaaten Sanktionen gegen Nutzer vorsehen, wenn diese nach Aufforderung einer zuständigen Behörde den Zugriff auf Daten verweigern, die in einem anderen Mitgliedstaat gespeichert sind.
• Mitteilung von Lokalisierungsauflagen: Etwaige verbleibende oder geplante Datenlokalisierungsauflagen müssen die Mitgliedstaaten nun der EU-Kommission mitteilen. Die Kommission wird dann prüfen, ob diese gerechtfertigt sind.

Von den Leitlinien verspricht sich die Kommission mehr Rechtssicherheit und eine Stärkung des Vertrauens der Unternehmen. Ferner soll es gerade für KMU und Start-ups einfacher werden, neue innovative Dienstleistungen zu entwickeln, die besten Angebote von Datenverarbeitungsdiensten im Binnenmarkt zu nutzen und grenzüberschreitend tätig zu werden. 
 

Wo Datenschützer ihre Nase reinstecken PinG Privacy in Germany Die Zeitschrift für alle, die mit Datenschutz in Unternehmen zu tun haben und bei der regelkonformen Umsetzung stets auf der sicheren Seite sein wollen: Privacy Topics – Spezialthemen und richtungweisende Beiträge aus aller Welt, Privacy News – prägnante Artikel zu aktuellen rechtspolitischen Themen, Privacy Compliance – Antworten auf alle drängenden Fragen aus dem betrieblichen Alltag. PinG ist interdisziplinär, international, intermedial und vesteht sich als Forum für ein breites Meinungsspektrum. Hier schreiben Insider, Experten und hochkarätige Autoren. Aufbereitet wird das Ganze von einem gut eingespielten Team aus Datenschutz- und Medienrechtsfachleuten unter dem Herausgeber RA Prof. Niko Härting.

Die Inhalte der Leitlinien

Grundsätze des freien Datenverkehrs

Der Leitfaden der Kommission bekräftigt die Grundsätze des freien Datenverkehrs zusammen mit dem Verbot der Datenlokalisierung – und zwar sowohl im Rahmen der DSGVO als auch nach der neuen VO (EU) 2018/1807. Der Leitfaden gibt nun vor allem Hilfen bei der Auslegung zahlreicher Begriffe, wie zum Beispiel „Personenbezogene Daten“, „Gemischter Datensatz, „Pseudonymisierung“ oder „Anonymisierung“. Darüber hinaus soll das Papier bei der Anwendung der DSGVO und/oder der VO (EU) 2018/1807 helfen. Die wesentlichen Inhalte der Leitlinien:

Personenbezogene Daten

Die DSGVO bezeichnet personenbezogene Daten als Informationen, die sich auf identifizierte oder identifizierbare natürliche Person beziehen.

• Identifizierbarkeit: Identifizierbar ist nach DSGVO jede natürliche Person, die direkt oder indirekt –  etwa über die Zuordnung zu ihrem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu besonderen physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen Merkmalen – identifiziert werden kann.
• Pseudonymisierung: Auch pseudonymisierte Daten bleiben personenbezogen im Sinne des DSGVO. Pseudonymisierung heißt Verarbeitung personenbezogener Daten, die es unmöglich macht, diese Daten ohne zusätzliche Informationen einer bestimmten Person zuzuordnen. Die zusätzlichen Informationen werden getrennt aufbewahrt und zum Beispiel durch Verschlüsselung gesichert.

Nicht personenbezogene Daten

Hierzu gehören alle Daten, die keine personenbezogenen Merkmale enthalten. Auch Daten, die ursprünglich personenbezogen waren, aber später anonymisiert wurden, sind von diesem Begriff erfasst.

• Anonymisierung: Die  Anonymisierung  unterscheidet sich von der Pseudonymisierung  dadurch, dass eine Zuordnung zu einer bestimmten Person nicht einmal durch die Verwendung zusätzlicher Daten möglich ist.
• Beispiele: Dies wäre etwa beim Aggregieren von Reisemustern aus Daten von natürlichen Personen, die nicht mehr identifizierbar sind der Fall. Gleiches gilt für Hochfrequenzhandelsdaten im Finanzsektor oder für Daten zur Präzisionslandwirtschaft, die dazu beitragen, den Einsatz von Pestiziden, Nährstoffen und Wasser zu überwachen und zu optimieren.

Gemischte Datensätze

Gemischte Datensätze bestehen aus personenbezogenen und aus nicht-personenbezogenen Daten. Grund für die Vermischung sind technologische Entwicklungen, wie zum Beispiel das Internet der Dinge, etwa bedingt durch die digitale Vernetzung von Objekten. Weitere Beispiele sind Anwendungen der künstlichen Intelligenz (KI) und Technologien für die Analyse großer Datenmengen. Gemischte Datensätze machen den größten Teil der Datensätze aus, die die Datenwirtschaft verwendet.

Für gemischte Datensätze gilt nach der neuen VO (EU) 2018/1807 folgendes:

• Nicht-personenbezogene Daten: Die neue VO gilt für nicht-personenbezogene Daten eines Datensatzes.
• Personenbezogenen Daten: Für die personenbezogenen Daten gilt die Regelung der DSGVO, die den freien Verkehr regelt. Damit gilt den Leitlinien zufolge insoweit Artikel 1 Absatz 3 DSGVO.
• Untrennbarkeit: Sind personenbezogene und nicht personenbezogene Daten untrennbar miteinander verbunden, ist die DSGVO vollständig auf den gesamten gemischten Datensatz anzuwenden – und zwar auch dann, wenn der personenbezogene Teil des Datensatzes nur sehr gering ist.

Der kostenlose Newsletter Recht – Hier können Sie sich anmelden!

Redaktionelle Nachrichten zu neuen Entscheidungen und Rechtsentwicklungen, Interviews und Literaturtipps.

Verhaltensregeln für Cloud-Dienste

Die Leitlinien sollen auch die Schaffung von Verhaltensregeln für Cloud-Dienste unterstützen. Bis Ende November 2019 soll hierdurch der Wechsel zwischen Cloud-Diensteanbietern leichter werden. Dies soll den Markt für Cloud-Dienste flexibilisieren und Datendienste in der EU erschwinglicher machen.

Datenübertragbarkeit und Selbstregulierung

Darüber hinaus sollen die Leitlinien den Begriff der Datenübertragbarkeit im Rahmen der neuen VO klären und die Anforderungen an die Selbstregulierung festlegen.

Quellen: PM der EU-Kommission vom 29.05.2019 sowie VO (EU) 2018/1807