cepMonitor: Freier Verkehr nicht-personenbezogener Daten (Verordnung)
Verordnung über den freien Verkehr nicht-personenbezogener Daten
Zuletzt aktualisiert am 5. Juli 2018
ERLASSEN
Inkrafttreten: 18.12.2018 |
13.09.2017 Verordnungsvorschlag COM(2017) 495 |
21.12.2017 Rat: Verhandlungsmandat |
04.06.2018 EP-Ausschuss: Bericht |
19.06.2018 Kommission, Rat und EP: Trilogergebnis |
---|---|---|---|---|
Anwendungsbereich | Die Verordnung gilt für Anbieter, die Datenspeicherungs- und sonstige Datenverarbeitungsdienste für in der EU wohnhafte oder niedergelassene Nutzer erbringen („Cloud-Anbieter“), soweit sie nicht-personenbezogene Daten verarbeiten. Ob der Anbieter einen Sitz in der EU hat, ist unerheblich. (Art. 2 Abs. 1 lit. a) Die Verordnung gilt auch, wenn in der EU wohnhafte oder niedergelassene natürliche oder juristische Personen solche Daten für ihren „Eigenbedarf“ speichern oder verarbeiten (Art. 2 Abs. 1 lit. b). Die Verordnung gilt nicht für (Art. 2 Abs. 2)
|
Die Verordnung gilt für Anbieter, die Datenverarbeitungsdienste für in der EU wohnhafte oder niedergelassene Nutzer erbringen („Cloud-Anbieter“), soweit sie nicht-personenbezogene Daten verarbeiten. Ob der Anbieter einen Sitz in der EU hat, ist unerheblich. (Art. 2 Abs. 1 lit. a) Wie Kommission. Die Verordnung gilt nicht für (Art. 2 Abs. 2, Erwägungsgrund 7b)
|
Wie Rat. Wie Kommission. Wie Kommission. |
Wie Rat. Wie Kommission. Im Wesentlichen wie Rat. |
Definitionen | Nicht-personenbezogene „Daten“ sind „andere“ als „personenbezogene Daten“ nach der DSGVO (Art. 3 Nr. 1 i.V.m Art. 4 Abs. 1 der DSGVO). – „Datenspeicherung“ meint die Speicherung von Daten in elektronischem Format (Art. 3 Ziff. 2) – |
Wie Kommission. Bei gemischten Datensätzen gilt die Datenschutzgrundverordnung (DSGVO) für personenbezogene Daten und diese Verordnung für nicht-personenbezogene Daten. Sind beide Datenarten „untrennbar“ miteinander verbunden sind, gilt diese Verordnung unbeschadet die Anwendung der DSGVO nicht beeinträchtigen. (Erwägungsgrund 10) Vom Rat gestrichen. „Datenverarbeitung“ meint Vorgänge, die an Daten in elektronischer Form durchgeführt werden, wie z.B. ihre Sammlung, Aufzeichnung, Organisation, Strukturierung oder Speicherung (Art. 3 Ziff. 2a). |
Wie Kommission. Im Wesentlichen wie Rat (Erwägungsgrund 10 und Art. 2 Abs. 1). Vom EP-Ausschuss gestrichen. Wie Rat. |
Wie Kommission. Im Wesentlichen wie Rat (Erwägungsgrund 10 und Art. 2 Abs. 1). Im Trilog gestrichen. Wie Rat. |
Abbau von Datenlokalisierungsauflagen | Die Verordnung verbietet alle „Datenlokalisierungsauflagen“ (DLA), es sei denn, sie sind „aus Gründen der öffentlichen Sicherheit" gerechtfertigt (Art. 4 Abs. 1). – – Eine „Datenlokalisierungsauflage“ ist eine in Rechts- und Verwaltungsvorschriften der Mitgliedstaaten enthaltene Verpflichtung, ein Verbot, Bedingung oder Beschränkung, die (Art. 3 Ziff. 5)
Die Mitgliedstaaten müssen binnen 18 Monaten nach Veröffentlichung der Verordnung alle DLA aufheben oder gegenüber der Kommission begründen, welche DLA gerechtfertigt sind und demnach beibehalten werden sollen (Art. 4 Abs. 3, Art. 10 Abs. 2). Die Mitgliedstaaten müssen der Kommission alle Entwürfe neuer oder geänderter DLA notifizieren (Art. 4 Abs. 2). – |
Die Verordnung verbietet alle „Datenlokalisierungsauflagen“ (DLA), es sei denn, sie sind „aus Gründen der öffentlichen Sicherheit“ gerechtfertigt oder bereits im EU-Recht verankert (Art. 4 Abs. 1). "Öffentlichen Sicherheit" umfasst hier die innere und äußere Sicherheit eines Mitgliedstaats und Fragen der öffentlichen Sicherheit, insbesondere um die Ermittlung, Aufdeckung und Verfolgung von Straftaten zu ermöglichen. Sie gilt als gefährdet, wenn eine „ernste Bedrohung“ besteht, die grundlegenden Interessen der Gesellschaft berühren, wie z.B. das Überlebens der Bevölkerung, die Gefahr einer ernsthaften Störung der Außenbeziehungen oder des friedlichen Zusammenlebens der Nationen oder die Gefährdung militärischer Interessen. (Erwägungsgrund 12a) Eine „Datenlokalisierungsauflage“ ist eine in Rechts- und Verwaltungsvorschriften der Mitgliedstaaten enthaltene oder in allgemeinen und konsistenten Verwaltungspraktiken verankerte Verpflichtung, ein Verbot, Bedingung oder Beschränkung, die (Art. 3 Ziff. 5)
Die Mitgliedstaaten müssen binnen 30 Monaten nach Veröffentlichung der Verordnung alle DLA, die in Rechts- oder Verwaltungsvorschrift allgemeiner Art festgelegt sind, aufheben oder gegenüber der Kommission begründen, welche DLA gerechtfertigt sind und demnach beibehalten werden sollen (Art. 4 Abs. 3, Art. 10 Abs. 2). Die Mitgliedstaaten müssen der Kommission alle Entwürfe neuer oder geänderter DLA sofort mitteilen (Art. 4 Abs. 2). – |
Die Verordnung verbietet alle „Datenlokalisierungsauflagen“ (DLA), es sei denn, sie sind „aus zwingenden Gründen der öffentlichen Sicherheit“ ausnahmsweise gerechtfertigt und im Einklang mit dem Verhältnismäßigkeitsprinzip (Art. 4 Abs. 1). "Öffentlichen Sicherheit" umfasst hier die innere und äußere Sicherheit eines Mitgliedstaats. Sie gilt als gefährdet, wenn eine „ernste Bedrohung“ besteht, die grundlegenden Interessen der Gesellschaft berühren, wie z.B. das Überlebens der Bevölkerung, die Gefahr einer ernsthaften Störung der Außenbeziehungen oder des friedlichen Zusammenlebens der Nationen oder die Gefährdung militärischer Interessen. (Erwägungsgrund 12a) Das Konzept der „zwingenden Gründen der öffentlichen Sicherheit“ setzt eine besonders schwerwiegende Bedrohung der öffentlichen Sicherheit voraus (Erwägungsgrund 12a). Eine „Datenlokalisierungsauflage“ ist eine in Rechts- und Verwaltungsvorschriften der Mitgliedstaaten enthaltene oder in Verwaltungspraktiken, inklusive im öffentlichen Beschaffungswesen, verankerte Verpflichtung, ein Verbot, Bedingung oder Beschränkung, die (Art. 3 Ziff. 5)
Die Mitgliedstaaten müssen binnen 12 Monaten nach Inkrafttreten der Verordnung alle DLA aufheben oder gegenüber der Kommission begründen, welche DLA gerechtfertigt sind und demnach beibehalten werden sollen (Art. 4 Abs. 3, Art. 10 Abs. 2). Wie Rat. Binnen drei Monaten nach Erhalt einer Mitteilung zu neuen oder geänderten DLA überprüft die Kommission die DLA und kann den entsprechenden Mitgliedstaat auffordern die DLA anzupassen oder aufzuheben (Art. 4 Abs. 3a). |
Die Verordnung verbietet alle „Datenlokalisierungsauflagen“ (DLA), es sei denn, sie sind „aus Gründen der öffentlichen Sicherheit“ gerechtfertigt oder bereits im EU-Recht verankert, und im Einklang mit dem Verhältnismäßigkeitsprinzip (Art. 4 Abs. 1). Wie Rat. – Eine „Datenlokalisierungsauflage“ ist eine in Rechts- und Verwaltungsvorschriften der Mitgliedstaaten enthaltene oder in Verwaltungspraktiken, inklusive im öffentlichen Beschaffungswesen, – auch von Körperschaften des öffentlichen Rechts – verankerte Verpflichtung, ein Verbot, Bedingung oder Beschränkung, die (Art. 3 Ziff. 5)
Im Wesentlichen wie Rat. Wie Rat. Binnen sechs Monaten nach Erhalt einer Mitteilung zu neuen oder geänderten DLA überprüft die Kommission die DLA und kann den entsprechenden Mitgliedstaat empfehlen die DLA anzupassen oder aufzuheben (Art. 4 Abs. 3). |
Verfügbarkeit der Daten für zuständige Behörden, Amtshilfe | Regulierungs- und Aufsichtsbehörden, die für amtliche Zwecke Zugang zu den Daten benötigen, behalten ihre Zugriffsrechte. Der Zugang darf ihnen nicht aus dem Grund versagt werden, dass die Daten in einem anderen Mitgliedstaat gespeichert oder verarbeitet werden. (Art. 5 Abs. 1, Erwägungsgrund 16) Wenn der zur Datenübermittlung verpflichtete Nutzer eines Cloud-Dienstes der Behörde keine Daten übermittelt oder ihr keinen Zugang gewährt, gilt:
– |
Wie Kommission. Wenn der zur Datenübermittlung verpflichtete Nutzer eines Cloud-Dienstes der Behörde keine Daten übermittelt oder ihr keinen Zugang gewährt, gilt:
Die Mitgliedstaaten können Sanktionen gegenüber Nutzern von Cloud-Diensten verhängen, wenn diese Verpflichtungen zur Datenübermittlung nicht nachkommen (Art. 5 Abs. 3a). Sanktionen können bei Rechtsmissbrauch eines Nutzers auch Maßnahmen umfassen, wonach temporär Datenlokalisierungsauflagen möglich sind (Art. 5 Abs. 3a). |
Wie Kommission. Im Wesentlichen wie Rat. – |
Wie Kommission. Wenn der zur Datenübermittlung verpflichtete Nutzer eines Cloud-Dienstes der Behörde keine Daten übermittelt oder ihr keinen Zugang gewährt, gilt:
Wie Rat. Sanktionen können bei Rechtsmissbrauch eines Nutzers auch vorläufige, aber verhältnismäßige Maßnahmen umfassen, wenn dies nötig ist, um rasch Zugang zu Daten zu erhalten. Gilt die vorläufige Maßnahme länger als 180 Tage und umfasst sie eine Re-Lokalisierung von Daten, muss die Kommission prüfen. ob die Maßnahme mit EU-Recht vereinbar ist. (Art. 5 Abs. 3a). |
Erleichterte Datenübertragung für „berufliche Nutzer“ | „Berufliche Nutzer“ sind alle (Art. 3 Nr. 8)
Die Kommission fördert die Entwicklung EU-weit geltender Verhaltensregeln („Codes of Conduct“) für Cloud-Dienste im Wege der Selbstregulierung: Berufliche Nutzer solcher Dienste sollen (Art. 6 Abs. 1).
– Die Cloud-Anbieter sollen die Verhaltensregeln innerhalb von 18 Monaten nach Veröffentlichung der Verordnung im EU-Amtsblatt „wirksam umsetzen“, was die Kommission überprüft (Art. 6 Abs. 2, 3). |
„Berufliche Nutzer“ sind alle (Art. 3 Nr. 8)
Die Kommission fördert die Entwicklung EU-weit geltender Verhaltensregeln („Codes of Conduct“) für Cloud-Dienste im Wege der Selbstregulierung zur Förderung einer wettbewerbsfähigen Datenwirtschaft. Offene Standards und das Prinzip der Interoperabilität sollen dabei Leitplanken sein. (Art. 6 Abs. 1) Berufliche Nutzer solcher Dienste sollen (Art. 6 Abs. 1).
Die Codes of Conduct sollen auch Ansätze für die Zertifizierung von Produkten und Dienstleistungen der Datenverarbeitung umfassen (Art. 6 Abs. 1 lit. c) Wie Kommission. |
Wie Rat. Die Kommission fördert die Entwicklung EU-weit geltender Verhaltensregeln („Codes of Conduct“) für Cloud-Dienste im Wege der Selbstregulierung zur Förderung einer wettbewerbsfähigen Datenwirtschaft. Das Prinzip der Transparenz soll dabei eine Leitplanke sein. (Art. 6 Abs. 1) Berufliche Nutzer solcher Dienste sollen (Art. 6 Abs. 1).
– Die Cloud-Anbieter sollen die Verhaltensregeln innerhalb von 12 Monaten nach Veröffentlichung der Verordnung im EU-Amtsblatt entwickeln und binnen 24 Monaten „wirksam umsetzen“, was die Kommission überprüft (Art. 6 Abs. 2, Art. 9 Abs. 1 lit. c). |
Wie Rat. Die Kommission fördert die Entwicklung EU-weit geltender Verhaltensregeln („Codes of Conduct“) für Cloud-Dienste im Wege der Selbstregulierung zur Förderung einer wettbewerbsfähigen Datenwirtschaft. Offene Standards sowie die Prinzipien der Interoperabilität und der Transparenz sollen dabei Leitplanken sein. (Art. 6 Abs. 1) Berufliche Nutzer solcher Dienste sollen (Art. 6 Abs. 1).
Im Wesentlichen wie Rat. Die Cloud-Anbieter sollen die Verhaltensregeln innerhalb von 12 Monaten nach Veröffentlichung der Verordnung im EU-Amtsblatt entwickeln und binnen 18 Monaten „wirksam umsetzen“, was die Kommission überprüft (Art. 6 Abs. 2, Art. 9 Abs. 1 lit. c). |
Nächste Schritte im EU-Gesetzgebungsverfahren:
Das Gesetzgebungsverfahren ist abgeschlossen.