Tschechien legt Kompromiss für neues EU-Datengesetz vor

Die tschechische EU-Ratspräsidentschaft will die Diskussion über den Vorschlag für ein EU-Datengesetz mit einem Kompromiss zu dem Teil vorantreiben, der sich auf die Möglichkeit von staatlichen Stellen bezieht, Zugang zu privaten Daten zu beantragen.

Die Ratspräsidentschaft hat einen neuen Teilkompromiss zum Datengesetz vorgelegt, der das umstrittene Kapitel V betrifft, in dem festgelegt werden soll, unter welchen Bedingungen Behörden Zugang zu privat gespeicherten Daten verlangen können.

Dieser Teil des Vorschlags ist einer der umstrittensten, da viele aus der Geschäftswelt und darüber hinaus die Bestimmungen als willkürliche und unverhältnismäßige Befugnisse für öffentliche Stellen kritisiert haben.

Der Kompromiss geht auf diese Kritik ein, indem er den Anwendungsbereich präzisiert und Schutzmaßnahmen einführt.

Das Dokument ist auf den 5. August datiert und soll am 5. September in einer Sitzung der Gruppe „Telekommunikation“, dem für das Dossier zuständigen Fachgremium des EU-Rates, diskutiert werden.

Schon der Name des Kapitels wurde geändert, um den Anwendungsbereich von allen EU-Institutionen auf die EU-Kommission und die EU-Agenturen zu beschränken, wie es in der gemeinsamen Stellungnahme des EU-Datenschutzbeauftragten und des Europäischen Datenschutzausschusses heißt.

Dem Vorschlag zufolge können öffentliche Stellen in Ausnahmefällen Daten verwenden, über die ein privates Unternehmen verfügt. Der Begriff des „außergewöhnlichen Bedarfs“ wurde auf unvorhersehbare, zeitlich und räumlich begrenzte Umstände präzisiert.

Prag schloss in die Definition von öffentlichen Notfällen sowohl natürliche als auch von Menschen verursachte Katastrophen ein, wie zum Beispiel größere Vorfälle im Bereich der Cybersicherheit. Diese Ausnahmesituation muss nach EU- oder nationalem Verfahrensrecht definiert werden.

Alternativ können Behörden Daten, einschließlich relevanter Metadaten, anfordern, wenn deren rechtzeitige Bereitstellung zur Erfüllung einer bestimmten Aufgabe im öffentlichen Interesse erforderlich ist. Solche Aufgaben müssen gesetzlich vorgeschrieben sein, damit die Behörden ihre rechtlichen Befugnisse ausüben können.

Die Tschechen gaben an, dass solche Aufgaben im Zusammenhang mit dem Nahverkehr, der Stadtplanung und infrastrukturellen Dienstleistungen stehen können. In jedem Fall müssen die Ersuchen den Grundsätzen der Verhältnismäßigkeit, der Transparenz und der Zweckbindung genügen.

Der Grundsatz der Zweckbindung gilt auch, wenn die erhaltenen Daten an einen Dritten weitergegeben werden, der denselben Verpflichtungen unterliegt wie eine öffentliche Stelle, nämlich die Vertraulichkeit und Integrität der angeforderten Daten zu wahren und Geschäftsgeheimnisse zu schützen.

Der Text besagt nun, dass die Verpflichtungen aus dem Datengesetz nicht die Verpflichtungen aus dem EU-Recht oder dem nationalen Recht in Bezug auf bestimmte Zwecke, einschließlich amtlicher Statistiken, beeinträchtigen sollten.

Statistik und Forschung sind die einzigen Zwecke, für die die erhaltenen Daten weiterverwendet werden können, was eine Abweichung vom Data Governance Act und der Open-Data-Richtlinie darstellt.

Diese Sekundärnutzung der Daten sollte ausschließlich im öffentlichen Interesse und nicht gewinnorientiert sein. Organisationen, welche die Daten bereitstellen, müssen informiert werden, auch darüber, welche Maßnahmen zum Schutz von personenbezogenen Daten und Geschäftsgeheimnissen getroffen wurden.

Die von öffentlichen Stellen zu erfüllenden Anforderungen wurden erweitert, da sie den Zweck des Ersuchens auch für die Einbeziehung Dritter erläutern müssen. Außerdem müssen sie angeben, welche Metadaten zur Verfügung gestellt werden sollen, und die Rechtsgrundlage für ein solches Ersuchen nennen.

Für Ersuchen, die personenbezogene Daten betreffen, wurden Garantien hinzugefügt, da die öffentliche Einrichtung erklären muss, warum die personenbezogenen Daten benötigt werden und welche Maßnahmen zum Schutz dieser Daten getroffen werden.

Die angeforderten Daten sollten öffentlich zugänglich gemacht werden, es sei denn, dies würde ein Risiko für die öffentliche Sicherheit bedeuten.

Die Tschechen sind der Ansicht, dass öffentliche Stellen so weit wie möglich nicht-personenbezogene Daten verwenden sollten. Die Organisation im Besitz der Daten sollte diese anonymisieren und kann eine Entschädigung dafür verlangen, es sei denn, die Erfüllung des Ersuchens erfordert personenbezogene Daten.

Falls eine Anonymisierung nicht möglich ist, muss die öffentliche Einrichtung nachweisen, dass die angeforderten Daten unbedingt erforderlich sind. Maßnahmen wie Aggregation und Pseudonymisierung sollten dann angewendet werden.

Die Ratspräsidentschaft stellte auch klar, dass eine der Bedingungen für die Ablehnung eines Datenersuchens nicht nur die Nichtverfügbarkeit der angeforderten Daten ist, sondern auch die Tatsache, dass die Organisation keine Kontrolle über diese Daten hat.

Wenn die Organisation im Besitz der Daten ist und das Ersuchen anfechten möchte, muss sie sich an die zuständige Behörde des Mitgliedstaates wenden, in dem die Organisation ihren Sitz hat, allerdings nur, wenn eine angemessene Änderung des Ersuchens den Streit nicht beilegen kann.

Umgekehrt wurde ein neuer Artikel hinzugefügt, der die öffentliche Stelle ermächtigt, die von der über die Daten verfügenden Organisation beantragte Entschädigung bei der zuständigen Behörde des Landes anzufechten, in dem die Organisation ihren Sitz hat.

Was schließlich den Anwendungsbereich betrifft, so wird im Text betont, dass die Verordnung nicht anwendbar ist, solange die nationale Sicherheit auf dem Spiel steht.

[Bearbeitet von Nathalie Weatherald]