Tschechische Ratspräsidentschaft schlägt neue Kompromisse zum EU-Datengesetz vor

Die tschechische EU-Ratspräsidentschaft hat einen neuen Teilkompromiss für das kommende Datengesetz in Umlauf gebracht, der sich auf die Bedingungen für den Cloud-Wechsel, die Interoperabilitätsanforderungen und die Zusammenarbeit bei der Durchsetzung auf EU-Ebene bezieht.

Der Text vom 9. September vervollständigt die erste Überarbeitung des rotierenden Ratsvorsitzes zum Vorschlag für das Datengesetz.

Der Kompromiss wird am Donnerstag (15. September) im EU-Rat in der Gruppe „Telekommunikation“ diskutiert werden.

Geltungsbereich

Das Datengesetz zielt darauf ab, neue Rechte für Nutzer einzuführen, um Zugang zu den von ihnen erzeugten Daten zu erhalten.

Der Text wurde dahingehend geändert, „dass klargestellt wird, dass Verweise auf Produkte oder damit verbundene Dienstleistungen so zu verstehen sind, dass sie virtuelle Assistenten im gesamten Datengesetz einschließen“.

Darüber hinaus werden die Nutzer das Recht haben, drei Jahre nach Inkrafttreten der neuen Vorschriften ohne zusätzliche Kosten die Cloud-Dienste zu wechseln. Diese Maßnahme soll den Wettbewerb auf dem Cloud-Markt fördern. Die Ratspräsidentschaft stellt klar, dass diese Bestimmungen nur für Infrastructure-as-a-Service (Iaas) gelten, der grundlegendsten Ebene von Computing-Diensten.

Cloud-Switching

Der ursprüngliche Entwurf sah eine Übergangsfrist von 30 Kalendertagen für den Wechsel von einem Cloud-Anbieter zum anderen vor. Die Tschechen führten jedoch die Möglichkeit ein, eine Verlängerung zu beantragen, wenn außergewöhnliche Umstände vorliegen, die durch technische Unzulänglichkeiten begründet sind.

Aus dem Dokument geht hervor, dass der Cloud-Anbieter auf Antrag des Kunden nicht nur seine Daten, sondern auch seine Metadaten zu einem anderen Cloud-Anbieter oder einem sogenannten On-Premise-System migrieren muss. Allerdings lässt die Formulierung nicht darauf schließen, dass diese Verpflichtungen auch für On-Premise-Systeme gelten.

Nach der zusätzlichen Formulierung müsste der ausgehende Cloud-Dienst die funktionale Gleichwertigkeit erleichtern, indem er „alle in seiner Macht stehenden Maßnahmen ergreift, auch in Zusammenarbeit mit dem Betreiber des Datenverarbeitungsdienstes des Zieldienstes.“

Darüber hinaus möchte die Präsidentschaft, dass der scheidende Dienst ein hohes Maß an Cybersicherheit während der Übertragung und der neu eingeführten Aufbewahrungsfrist von 30 Kalendertagen nach Beendigung des Vertrags gewährleistet.

Interoperabilität

Das Datengesetz ist Teil einer umfassenderen EU-Datenstrategie, die die Einrichtung sektoraler Datenräume mit spezifischen Verwaltungsvorschriften für die Sektoren Gesundheit, Energie und Landwirtschaft vorsieht.

Die Tschechen haben festgelegt, dass die grundlegenden Anforderungen an die Interoperabilität nur für Organisationen gelten, die Teil solcher Datenräume sind.

In Bezug auf die grundlegenden Anforderungen an die Interoperabilität in Datenräumen änderten die Tschechen den Text, um klarzustellen, dass die automatische Ausführung von Vereinbarungen über die gemeinsame Nutzung von Daten mit Werkzeugen wie Smart Contracts nicht zwingend erforderlich ist.

Die Anbieter von Cloud-Diensten müssen die EU-Spezifikationen und -Standards für die Interoperabilität innerhalb eines Jahres nach Veröffentlichung erfüllen.

Governance

Die Durchsetzungsstruktur soll dem Grundsatz des Niederlassungslandes folgen. Mit anderen Worten: Die zuständige Behörde des Landes, in dem die betreffende Organisation ihren Hauptsitz in der EU hat, wird für ihre Fälle zuständig sein.

Hat die Organisation keinen rechtlichen Vertreter in der Union, wären alle Mitgliedstaaten zuständig. Es wird jedoch nicht möglich sein, dasselbe Verfahren in mehreren Ländern zu führen.

Der Artikel über Mustervertragsklauseln wurde erweitert, um die Kommission zu beauftragen, Standardvertragsklauseln für Cloud-Computing-Verträge zu entwickeln.

Es wurde außerdem ein Artikel hinzugefügt, in dem die Rolle des Europäischen Dateninnovationsrates bei der Anwendung des Datengesetzes definiert wird, insbesondere bei der Unterstützung der Kommission in Fragen im Zusammenhang mit einheitlichen Standards, Sekundärrecht und Interoperabilitätsleitlinien.

Darüber hinaus wird das im Rahmen des kürzlich verabschiedeten Daten-Governance-Gesetzes eingerichtete Gremium die Kommission beraten, um die Zusammenarbeit zwischen den zuständigen Behörden durch den Aufbau von Kapazitäten zu erleichtern.

Dabei geht es auch um den Informationsaustausch, insbesondere bei grenzüberschreitenden Fällen, und die Koordinierung bei der Festlegung von Sanktionen.

Sanktionen

Die Ratspräsidentschaft hat den Grundsatz gestärkt, dass gegen einen Betreiber wegen desselben Verstoßes gegen die Verordnung nicht zweimal eine Geldbuße verhängt werden kann, und vorgeschrieben, dass jede Sanktion mit allen nationalen Behörden und der Kommission abgestimmt werden muss.

Was die Sanktionen betrifft, so wurde in dem Kompromiss eine Reihe von Kriterien vorgeschlagen, die zu berücksichtigen sind: Art, Schwere, Umfang und Dauer des Verstoßes, etwaige Versuche der Schadensbegrenzung oder Abhilfe, frühere Verstöße, durch den Verstoß erzielte finanzielle Vorteile und mögliche erschwerende oder abschwächende Faktoren.

Datenbank-Richtlinie

Das Datengesetz überprüft die Datenbankrichtlinie, die EU-Rechtsvorschrift aus dem Jahr 1996, die die Anwendung des Urheberrechts auf Datenbanken harmonisiert.

Dazu gehören auch spezifische Rechte für die Urheber von Datenbanken, die nicht unter den Urheberrechtsschutz fallen. Die tschechische Präsidentschaft hat zwei Optionen für die Behandlung dieses Punktes vorgeschlagen.

Die erste Option sieht einen umfassenderen Ausschluss dieser besonderen Rechte vor, wenn die Daten unter Verwendung verbundener Produkte oder verwandter Dienstleistungen gewonnen oder erstellt werden.

Alternativ schlägt Prag einen engeren Ausschluss solcher Rechte nur für Fälle vor, in denen Nutzer ihr Recht auf Zugang zu den von ihnen erzeugten Daten ausüben oder wenn der Nutzer beschließt, diese Daten mit einem Dritten zu teilen.

Zukunftssicherheit

Zwei Jahre nach Inkrafttreten des Datengesetzes muss die Kommission eine Überprüfung vornehmen.

Tschechien möchte außerdem, dass die EU-Exekutive prüft, ob die Zugangsrechte und die Verpflichtung zum Datenaustausch auch auf andere Dienste angewendet werden sollten.

[Bearbeitet von Alice Taylor]