Tschechische Ratspräsidentschaft schlägt ersten Kompromiss für EU-Datengesetz vor

Die tschechische Ratspräsidentschaft, die erst vor zwei Wochen das Ruder in der EU übernommen hat, hat Anfang dieser Woche einen ersten Teilkompromiss zum EU-Datengesetz in Umlauf gebracht, den EURACTIV einsehen konnte.

Das Datengesetz ist eine horizontale Rechtsvorschrift, die die Bedingungen für den Zugriff auf Daten regelt, die über vernetzte Geräte erzeugt oder gesammelt werden.

Prag schlug eine Angleichung an Definitionen vor, die auf dem EU-Datenschutzrecht basieren, breitere Ausnahmen für mittlere Unternehmen, eine striktere Trennung zwischen Bestimmungen, die Beziehungen zwischen Unternehmen und Kunden regeln, Schutzmaßnahmen für Geschäftsgeheimnisse und ein Verbot von „Dark Patterns“.

Das Dokument wird die Grundlage für die technische Diskussion auf der Sitzung der Arbeitsgruppe Telekommunikation am 19. Juli sein.

Definitionen und Anwendungsbereich

Der Text erläutert die Arten von Daten, die von den verschiedenen Abschnitten des Vorschlags erfasst werden. Die Vorschriften gelten für alle angeschlossenen Geräte, die in der EU verwendet werden, unabhängig davon, wo der Anbieter seinen Sitz hat.

Wichtig ist, dass die Definition des Begriffs „Produkt“ dahingehend geändert wurde, dass es sich um jeden Gegenstand handelt, der in der Lage ist, Daten zu sammeln oder zu erzeugen und diese zu übermitteln.

Das Adjektiv „beweglich“ wurde gestrichen, wodurch wichtige Geräte wie intelligente Netzwerke oder Windkraftanlagen ausgeschlossen worden wären.

Die Definitionen der Begriffe „personenbezogene Daten“, „nicht personenbezogene Daten“, „Einwilligung“ und „Datensubjekt“ wurden in Bezug auf das EU-Datenschutzrecht, die Datenschutz-Grundverordnung, hinzugefügt.

Der Geltungsbereich der Verpflichtungen zur obligatorischen Weitergabe von Daten in Kapitel III wurde präzisiert und bezieht sich nur auf Beziehungen zwischen Unternehmen.

Der Vorschlag legt fest, dass Smart-TVs und Lautsprecher sowie andere Geräte, die Inhalte übertragen, vom Anwendungsbereich ausgenommen sind, während Smartwatches eingeschlossen sind. Neben Unternehmen und Verbrauchern wurden auch öffentliche Stellen als potenzielle Nutzer aufgenommen.

Gemeinsame Datennutzung

Das Datengesetz führt den Grundsatz ein, dass die Nutzer von vernetzten Geräten oder damit verbundenen Diensten in der Lage sein sollten, auf die Daten zuzugreifen, zu deren Erstellung sie beigetragen haben, oder diesen Zugriff an Dritte zu delegieren.

Für die Präsidentschaft muss dieses Recht auf Zugang auch für Metadaten gelten, die Informationen darüber liefern, wo und wie die Daten erzeugt wurden.

Diese müssen „standardmäßig kostenlos und in einem strukturierten, allgemein verwendeten und maschinenlesbaren Format“ zur Verfügung gestellt werden.

Es wurde ein Artikel zum Schutz vor Versuchen hinzugefügt, die Nutzer zu zwingen, ihr Recht auf Zugang und Portierung der von ihnen erstellten Daten nicht in Anspruch zu nehmen.

Dieser Schutz vor manipulativen Techniken, die auch als „Dark Patterns“ bekannt sind, wurde auf alle Personen ausgedehnt, deren Daten gesammelt werden, was nicht unbedingt mit dem Nutzer identisch sein muss.

Der Text geht weiter auf die Garantien für den Datenanbieter in Fällen ein, in denen der Datenempfänger unvollständige Informationen liefert oder die Daten zur Entwicklung eines konkurrierenden Produkts verwendet, was nach der Verordnung nicht zulässig ist. Diese Garantien gelten auch für Nutzer, die die Daten an Dritte weitergegeben haben.

Die Nutzer könnten verlangen, dass die Daten in einer IT-Umgebung verarbeitet werden, die nicht die des Herstellers ist.

Wenn ein Gerät die Daten nicht nach außen übermittelt, wäre der Hersteller nicht gezwungen, die Daten außerhalb zu speichern, es sei denn, die Nutzer stimmen zu.

Mit anderen Worten, das Datengesetz würde keine zusätzliche Datenspeicherung erzwingen, „wenn dies im Verhältnis zur erwarteten Nutzung unverhältnismäßig wäre“.

Beziehungen zwischen Unternehmen

Die Verpflichtung zur gemeinsamen Datennutzung sieht eine Ausnahme für Klein- und Kleinstunternehmen vor.

Für die Tschechen sollte die Ausnahmeregelung weiterhin für Unternehmen gelten, die seit weniger als einem Jahr die mittlere Größe erreicht haben oder für ihre Produkte, die seit weniger als einem Jahr auf dem Markt sind.

Was die Beziehungen zwischen Unternehmen betrifft, so wurde die Formulierung etwas abgeschwächt. Die Dateninhaber müssen auf Anfrage des Unternehmens, das die Daten erhält, lediglich nachweisen, dass der gewährte Zugang nicht diskriminierend war.

Das Datengesetz sieht eine finanzielle Entschädigung für die Bereitstellung von Daten vor. Für KMU sollte diese Entschädigung auf die tatsächlichen Kosten beschränkt sein, es sei denn, das Unternehmen ist ein Partner oder mit einem größeren Unternehmen verbunden.

Diese Kosten sollten sich auf die Kosten für die Reproduktion, Speicherung und Verbreitung der Daten beziehen, nicht aber auf die Datenerhebung oder -produktion.

Verträge und Geschäftsgeheimnisse

Nutzer werden die Möglichkeit haben, den Zugang zu Daten an Dritte zu übertragen oder zu verkaufen. Der Text legt nun fest, dass die Zugangsbedingungen für Dritte fair, angemessen, nicht diskriminierend und transparent sein müssen.

Im Falle einer Uneinigkeit können die beiden Parteien freiwillig vereinbaren, eine Streitbeilegungsstelle ihrer Wahl in einem beliebigen EU-Land anzurufen.

Es wurde ein neuer Absatz hinzugefügt, der die Streitbeilegungsstellen verpflichtet, einen Jahresbericht zu veröffentlichen, in dem die Anzahl der eingegangenen Streitfälle, ihre Ergebnisse und die durchschnittliche Dauer sowie eine Bewertung der häufigsten Probleme mit Empfehlungen zu deren Vermeidung aufgeführt sind.

In der Präambel des Textes wird klargestellt, dass das Gesetz in Fragen, die nicht von der Verordnung berührt werden, das nationale Vertragsrecht nicht berührt.

Was Geschäftsgeheimnisse betrifft, so können Nutzer oder Dritte aufgefordert werden, diese geheim zu halten. Sie können jedoch kein Grund sein, den Zugang zu Daten zu verweigern, „da dies die beabsichtigte Wirkung dieser Verordnung zunichte machen würde“.

Außerdem müsste die Organisation, die die Daten zur Verfügung stellt, angeben, welche Daten Geschäftsgeheimnisse enthalten.

[Bearbeitet von Alice Taylor]