Schwedischer EU-Ratsvorsitz will Datengesetz zu lockern
Stockholm hat einen neuen Kompromiss zum Datengesetz vorgelegt, der unter anderem den Anwendungsbereich, Geschäftsgeheimnisse, den Datenzugang zwischen Unternehmen und Behörden (B2G), internationale Übertragungen und Entschädigungen betrifft.
Stockholm hat einen neuen Kompromiss zum Datengesetz vorgelegt, der unter anderem den Anwendungsbereich, Geschäftsgeheimnisse, den Datenzugang zwischen Unternehmen und Behörden (B2G), internationale Übertragungen und Entschädigungen betrifft.
Am Mittwochabend (24. Januar) zirkulierte die schwedische EU-Ratspräsidentschaft einen neuen Kompromiss zum Data Act, einem Gesetz, das den Zugang, die Übertragung und den Austausch von Daten regelt.
Die Schwed:innen baten die anderen Mitgliedstaaten um schriftliche und mündliche Stellungnahmen zu den zentralen noch offenen Fragen und legten eine Liste von Optionen vor. Der neue Text wird am kommenden Dienstag in der Arbeitsgruppe Telekommunikation (WP) des EU-Rates erörtert.
„Um den weiteren Prozess zu verdeutlichen, wird die Präsidentschaft die Delegationen im Anschluss an die Diskussionen in der Arbeitsgruppe bitten, bis zum [3. Februar 2023] Feedback zu den verbleibenden Prioritäten zu geben“, heißt es in dem Dokument. Das Dossier soll in den kommenden Wochen abgeschlossen werden.
Datengesetz: EU-Abgeordnete drängt auf KMU-Ausnahme von Datenweitergabe-Pflicht
Die Berichterstatterin des EU-Parlaments für das Datengesetz hat in ihrem Berichtsentwurf mehrere wichtige Änderungen vorgeschlagen,…
5 Minuten
Anwendungsbereich
Das Datengesetz führt einen neuen Grundsatz ein: Die Nutzer:innen von vernetzten Produkten sollten das Recht haben, auf die Daten, zu deren Erzeugung sie beigetragen haben, sowie auf die Metadaten zuzugreifen, die für die Interpretation und Nutzung dieser Daten erforderlich sind. Die Daten sollten mit Dritten ihrer Wahl geteilt werden können.
Welche Art von Daten unter das Datenrecht fallen soll, war jedoch umstritten. In dem neuen Kompromiss heißt es: „Um den materiellen Anwendungsbereich des Datengesetzes besser zu definieren, wurde beschlossen, sich auf die Funktionen der Daten statt auf die Produkte zu konzentrieren.“
Insbesondere konzentriert sich der Text auf die vorverarbeiteten Daten, die automatisch von den Sensoren erzeugt werden, die in vernetzte Produkte wie Fahrzeuge, Haushalts- und Lifestyle-Geräte eingebaut sind, und nicht auf die Produkte selbst.
Darüber hinaus wurde die Definition von Daten, die von einem Produkt oder einem damit verbundenen Dienst erzeugt werden, geändert: Daten, die für die Anzeige von Inhalten erzeugt werden, und Daten, die mit Hilfe von Apps aufgezeichnet werden, die nicht ausschließlich mit dem Produkt in Verbindung stehen, werden ausgeschlossen.
Geschäftsgeheimnisse
Ein weiterer kritischer Punkt ist die Sicherstellung, dass die gemeinsam genutzten Daten die Geschäftsgeheimnisse der Organisation, die sie bereitstellt, respektieren.
Wenn die ursprüngliche Organisation Daten oder Metadaten identifiziert, die Geschäftsgeheimnisse beinhalten, sollten die Nutzer:innen oder die betreffende dritte Partei alle technischen und organisatorischen Maßnahmen ergreifen, um diese zu schützen.
Die Bestimmungen, die diese Schutzmaßnahmen vorschreiben, wurden verschärft und geben der ursprünglichen Organisation das Recht, eine Entschädigung zu verlangen, wenn sie nicht eingehalten werden.
Business-to-Government
Ebenfalls ein Diskussionspunkt im EU-Rat war die Frage, wie das Datenschutzgesetz für kleine und mittlere Unternehmen (KMU) angemessen gestaltet werden kann. Eine besonders anspruchsvolle Aufgabe ergibt sich aus der Tatsache, dass die Gesetzgebung es öffentlichen Stellen ermöglicht, unter bestimmten Umständen Zugang zu privat gehaltenen Daten (B2G) zu beantragen.
Ursprünglich waren Kleinst- und Kleinunternehmen von dieser B2G-Verpflichtung ausgenommen. Der jüngste Kompromiss sieht jedoch vor, dass diese der Verpflichtung nur dann unterliegen, wenn sie auf einen öffentlichen Notfall wie eine Pandemie reagieren müssen. Im Gegensatz zu größeren Unternehmen können sie jedoch eine Entschädigung verlangen.
Internationale Datenübermittlung
Das vorgeschlagene Gesetz enthält Beschränkungen für Cloud-Dienste bei der Übermittlung nicht personenbezogener Daten in ein Drittland und den damit verbundenen Zugriff durch die Justizbehörden einer ausländischen Gerichtsbarkeit.
Es wurde ein neuer Artikel über vertragliche Transparenzverpflichtungen in Bezug auf den internationalen Zugang und die internationale Übermittlung hinzugefügt, in dem Cloud-Dienste aufgefordert werden, den physischen Standort ihrer digitalen Infrastruktur auf ihren Websites zu veröffentlichen. Weiterhin müssen sie die Maßnahmen bekannt geben, die sie ergriffen haben, um den Zugriff ausländischer Regierungen auf nicht-personenbezogene Daten aus der EU zu verhindern.
Der Kompromiss stellt klar, dass die nationalen Behörden immer dann einbezogen werden sollten, wenn eine gerichtliche Anordnung zum Zugriff auf Daten vorliegt, die die nationale Sicherheit oder die Verteidigungsinteressen der EU oder ihrer Mitgliedstaaten beeinträchtigen könnten.
Zusammenspiel mit der DSGVO
Wie EURACTIV letzte Woche enthüllte, lieferte Deutschland mit der Bemerkung, dass das Verhältnis zwischen dem Datengesetz und der Allgemeinen Datenschutzverordnung (DSGVO), dem EU-Recht zum Schutz der Privatsphäre, geklärt werden müsse, einen entscheidenden Hinweis auf das Fehlen möglicher Überschneidungen und Unstimmigkeiten zwischen den beiden EU-Gesetzen.
In dem Text heißt es, dass die Verordnung keine Rechtsgrundlage im Einklang mit der DSGVO für die Verarbeitung der erzeugten Daten anerkennt oder schafft. Darüber hinaus wurden die Organisationen, die von den Datenweitergabepflichten des Gesetzes betroffen sind, auf öffentliche Stellen erweitert.
Wenn eine öffentliche Stelle einen Datensatz anfordert, der personenbezogene Daten enthält, schlägt der schwedische Ratsvorsitz vor, dass die zuständige Datenschutzbehörde unverzüglich informiert wird.
Deutschlands Position zum EU-Datengesetz
In der Diskussion um das EU-Datengesetz wünscht sich die Bundesregierung mehr Klarheit darüber, wie das…
5 Minuten
Entschädigung
Die Organisation, die über die Daten verfügt, müsste sich mit der Organisation, die die Daten erhält, auf eine angemessene Entschädigung einigen – vorausgesetzt, es handelt sich um ein Unternehmen und nicht um einen Verbraucher.
Die Kommission hat kürzlich eine Studie darüber veröffentlicht, was als „angemessene“ Entschädigung angesehen werden könnte. Darin wurden einige Elemente wie die entstandenen Kosten, die für die Bereitstellung der Daten erforderlichen Investitionen und eine Marge berücksichtigt.
Darüber hinaus möchte die Präsidentschaft, dass die Kommission Leitlinien für die Berechnung einer solchen Entschädigung herausgibt.
Wechsel in die Cloud
Mit dem Datengesetz werden auch Maßnahmen eingeführt, die den Wechsel von einem Cloud-Anbieter zum anderen erleichtern sollen. In dem Kompromiss wird betont, dass die Art der Hindernisse vorkommerzieller, kommerzieller, technischer, vertraglicher oder organisatorischer Natur sein kann.
Die technischen Schritte des Wechselprozesses und die Rechte und Pflichten der verschiedenen Parteien wurden präzisiert.
Vertragliche Fairness
Der ursprüngliche Vorschlag sah eine „Fairnessprüfung“ für Verträge vor, die sich auf die Verpflichtungen zur gemeinsamen Nutzung von Daten zwischen kleinen und mittleren sowie großen Unternehmen beziehen. Diese Maßnahme wurde auf alle vertraglichen Vereinbarungen ausgeweitet, unabhängig von ihrer Größe.
[Bearbeitet von Nathalie Weatherald]
