EU-Datengesetz steht vor Einigung

Beim EU-Datengesetz wird die EU voraussichtlich nächste Woche eine politische Einigung erzielen. Diskussionen über Geschäftsgeheimnisse, Governance, territorialen Anwendungsbereich, Produktsicherheit und den Zeitpunkt der Anwendung dauern jedoch momentan noch an.

Das Datengesetz ist ein wichtiger Gesetzesvorschlag, der den Zugang zu industriellen Daten und deren Weitergabe regeln soll. Das Dossier befindet sich in der letzten Phase des Gesetzgebungsverfahrens. Bereits am kommenden Dienstag (27. Juni) wird eine Einigung zwischen dem EU-Rat, dem Parlament und der Kommission im Rahmen des sogenannten Trilogs erwartet.

Die schwedische EU-Ratspräsidentschaft hat am Dienstag (20. Juni) ein aktualisiertes Dokument in Umlauf gebracht, das einen Überblick über die wichtigsten Änderungen und die noch offene politischen Fragen darlegt. Damit soll beim Treffen der EU-Botschafter am Freitag, dem COREPER, ein aktualisiertes Verhandlungsmandat beantragt werden.

Verpflichtungen zum Datenaustausch

Das Datengesetz führt den Grundsatz ein, dass Nutzer von vernetzten Geräten wie intelligenten Kühlschränken in der Lage sein sollten, auf den von ihnen erzeugten Daten zuzugreifen oder sie mit Dritten zu teilen.

Das Kapitel, das den Datenaustausch zwischen Unternehmen und Kunden, sowie Unternehmen untereinander, regelt, wurde nun weitgehend vereinbart. Es wurden nur geringfügige Änderungen vorgenommen, um „die Daten, die in den Anwendungsbereich der Verordnung fallen, besser zu definieren und die Rechte und Pflichten der verschiedenen Akteure zu klären“, heißt es in dem Dokument.

Die wichtigste Änderung ist die vom EU-Parlament eingeführte Unterscheidung zwischen „Produktdaten“, also den Daten, die durch die Nutzung eines vernetzten Produkts erzeugt werden, und „damit verbundenen Dienstleistungsdaten“, die die Digitalisierung der Handlungen der Nutzer darstellen.

Gleichzeitig wurde das horizontale Konzept der „leicht verfügbaren Daten“ beibehalten, um Daten zu bezeichnen, die ohne unverhältnismäßigen Aufwand beschafft werden können.

Geschäftsgeheimnisse

Die Frage, wie wirtschaftlich sensible Informationen bei der Weitergabe von Daten an ein anderes Unternehmen zu schützen sind, bleibt ein heikler Punkt. Bei der Zusammenführung der Positionen der EU-Regierungen und der Europaabgeordneten wurden jedoch bereits bedeutende Fortschritte erzielt.

Die schwedische Ratspräsidentschaft bittet die nationalen Vertreter um Flexibilität bei der Einführung des Konzepts des „Inhabers von Geschäftsgeheimnissen.“ Dies soll helfen, um Situationen zu unterscheiden, in denen die Dateninhaber, also das Unternehmen, welches die Daten kontrolliert, nicht gleichzeitig auch das Unternehmen ist, welches von den wirtschaftlich sensiblen Informationen betroffen ist.

Darüber hinaus werden die Mitgliedstaaten gebeten, sich darauf zu einigen, die Möglichkeit für Dateninhaber, Anträge auf Datenzugang zu verweigern, auf außergewöhnliche Umstände zu beschränken.

Cloud-Switching

Das Datengesetz enthält auch Maßnahmen zur Beseitigung von Hindernissen für den Wechsel von einem Cloud-Service-Anbieter zu einem anderen.

„Die Überarbeitung dieses Kapitels zielte darauf ab, die Bestimmung über den effektiven Wechsel klarer und breiter anwendbar zu machen, ganz im Sinne des COREPER-Mandats“, heißt es in der Mitteilung des Ratsvorsitzes.

Einige Änderungsanträge des Europäischen Parlaments wurden übernommen, insbesondere die Einführung einer Verpflichtung für Cloud-Anbieter, keine Hindernisse zu errichten oder zu beseitigen, die die Kunden daran hindern würden, verschiedene Cloud-Dienste zu entbündeln.

Die Abgeordneten haben auch Informationspflichten für Cloud-Anbieter in Bezug auf die Umschaltbedingungen und die damit verbundenen technischen Beschränkungen sowie ein aktuelles Register mit Angaben zu den Datenstrukturen und -formaten aufgenommen.

Darüber hinaus verpflichtet ein neuer Artikel alle am Umstellungsprozess beteiligten Parteien, nach Treu und Glauben zusammenzuarbeiten, um eine rechtzeitige Datenübertragung zu gewährleisten und die Kontinuität des Dienstes zu erhalten.

Governance

In Bezug auf die Governance-Architektur sind sich die Abgeordneten und die Mitgliedstaaten der EU uneinig darüber, ob es eine einzige Anlaufstelle, den Datenkoordinator, für alle Durchsetzungsmaßnahmen im Rahmen dieser Verordnung auf nationaler Ebene geben sollte.

Die Präsidentschaft ist der Ansicht, dass einige Zugeständnisse gemacht werden müssen, indem einer zuständigen Behörde zusätzliche sektorübergreifende Aufgaben zugewiesen werden, die sich auf Geschäftsgeheimnisse, die gemeinsame Nutzung von Daten mit öffentlichen Stellen oder das gesamte Datengesetz beziehen könnten.

Territorialer Geltungsbereich

Eine der Fragen, bei der die EU-Gesetzgeber noch weiter auseinander liegen, ist der geografische Geltungsbereich der Verordnung. Der EU-Rat möchte, dass die Verordnung unabhängig vom Standort des Datenempfängers gilt, während das Parlament skeptisch ist, dass sie außerhalb der EU durchgesetzt werden kann.

Die Präsidentschaft hat die Mitgliedstaaten gefragt, ob sie bereit sind, sich auf den begrenzteren Anwendungsbereich der Abgeordneten zuzubewegen, der es den Dateninhabern erlaubt, Datenzugriffsanfragen von Einrichtungen mit Sitz außerhalb Europas zu verweigern.

Produktsicherheit

Das Mandat des Europäischen Parlaments enthält eine Bestimmung, die es Nutzern und Dateninhabern ermöglicht, vertraglich zu vereinbaren, den Zugang, die Nutzung oder die Weitergabe von Daten einzuschränken. Insbesondere soll dies in Situationen gelten, die der Gesundheit und Sicherheit von Menschen ernsthaft schaden könnten.

Der Text des Rates enthält keine solche Bestimmung, obwohl die Frage diskutiert wurde. Die Präsidentschaft fragt die Mitgliedstaaten, ob sie bereit wären, eine solche Bestimmung zu akzeptieren.

B2G-Datenfreigabe

Das Datengesetz erlaubt es öffentlichen Stellen, unter bestimmten Umständen bei privaten Unternehmen, ihre Daten anzufragen. Die Weitergabe personenbezogener Daten wurde auf die Reaktion auf einen öffentlichen Notfall beschränkt, wobei die Europäische Kommission mit der Evaluierung dieser Bestimmung beauftragt wurde.

Datum der Anmeldung

Ein weiterer Punkt, der noch geklärt werden muss, ist das Inkrafttreten der Verordnung. Das Parlament drängt auf eine Einführung nach 18 Monaten, der Rat bevorzugt 24 Monate.

[Bearbeitet von Alice Taylor/Kjeld Neubert]