cepMonitor: Freier Verkehr nicht-personenbezogener Daten (Verordnung)

Die Verordnung gilt für Anbieter, die Datenspeicherungs- und sonstige Datenverarbeitungsdienste für in der EU wohnhafte oder niedergelassene Nutzer erbringen („Cloud-Anbieter“), soweit sie nicht-personenbezogene Daten verarbeiten. Ob der Anbieter einen Sitz in der EU hat, ist unerheblich. (Art. 2 Abs. 1 lit. a)

Die Verordnung gilt auch, wenn in der EU wohnhafte oder niedergelassene natürliche oder juristische Personen solche Daten für ihren „Eigenbedarf“ speichern oder verarbeiten (Art. 2 Abs. 1 lit. b).

Die Verordnung gilt nicht für (Art. 2 Abs. 2)

• Tätigkeiten, die nicht in den Anwendungsbereich des EU-Rechts fallen.

Die Verordnung gilt für Anbieter, die Datenverarbeitungsdienste für in der EU wohnhafte oder niedergelassene Nutzer erbringen („Cloud-Anbieter“), soweit sie nicht-personenbezogene Daten verarbeiten. Ob der Anbieter einen Sitz in der EU hat, ist unerheblich. (Art. 2 Abs. 1 lit. a)

Wie Kommission.

Die Verordnung gilt nicht für (Art. 2 Abs. 2, Erwägungsgrund 7b)

• Tätigkeiten, die nicht in den Anwendungsbereich des EU-Rechts fallen, oder

• Rechts- und Verwaltungsvorschriften zur internen Organisation der Mitgliedstaaten, mit denen die Befugnisse und Zuständigkeiten für die Verarbeitung von Daten zwischen öffentlichen Einrichtungen geregelt werden; die Verordnung verpflichtet die Mitgliedstaaten also nicht dazu, die Erbringung von Dienstleistungen, die sie selbst erbringen oder auf andere Weise als durch öffentliche Aufträge organisieren wollen, in Auftrag geben oder auslagern zu müssen.

Wie Rat.

Wie Kommission.

Wie Kommission.

Wie Rat.

Wie Kommission.

Im Wesentlichen wie Rat.

Nicht-personenbezogene „Daten“ sind „andere“ als „personenbezogene Daten“ nach der DSGVO (Art. 3 Nr. 1 i.V.m Art. 4 Abs. 1 der DSGVO). 

–

„Datenspeicherung“ meint die Speicherung von Daten in elektronischem Format (Art. 3 Ziff. 2)

–

Wie Kommission.

Bei gemischten Datensätzen gilt die Datenschutzgrundverordnung (DSGVO) für personenbezogene Daten und diese Verordnung für nicht-personenbezogene Daten. Sind beide Datenarten „untrennbar“ miteinander verbunden sind, gilt diese Verordnung unbeschadet die Anwendung der DSGVO nicht beeinträchtigen. (Erwägungsgrund 10)

Vom Rat gestrichen.

„Datenverarbeitung“ meint Vorgänge, die an Daten in elektronischer Form durchgeführt werden, wie z.B. ihre Sammlung, Aufzeichnung, Organisation, Strukturierung oder Speicherung (Art. 3 Ziff. 2a).

Wie Kommission.

Im Wesentlichen wie Rat (Erwägungsgrund 10 und Art. 2 Abs. 1).

Vom EP-Ausschuss gestrichen.

Wie Rat.

Wie Kommission.

Im Wesentlichen wie Rat (Erwägungsgrund 10 und Art. 2 Abs. 1).

Im Trilog gestrichen.

Wie Rat.

Die Verordnung verbietet alle „Datenlokalisierungsauflagen“ (DLA), es sei denn, sie sind „aus Gründen der öffentlichen Sicherheit" gerechtfertigt (Art. 4 Abs. 1).

–

–

Eine „Datenlokalisierungsauflage“ ist eine in Rechts- und Verwaltungsvorschriften der Mitgliedstaaten enthaltene Verpflichtung, ein Verbot, Bedingung oder Beschränkung, die (Art. 3 Ziff. 5)

• festlegt, dass sich der Ort der Datenspeicherung oder sonstigen Datenverarbeitung im Hoheitsgebiet eines bestimmten Mitgliedstaats befinden muss, oder

• die eine Datenspeicherung oder sonstige Datenverarbeitung in einem anderen Mitgliedstaat behindert.

Die Mitgliedstaaten müssen binnen 18 Monaten nach Veröffentlichung der Verordnung alle DLA aufheben oder gegenüber der Kommission begründen, welche DLA gerechtfertigt sind und demnach beibehalten werden sollen (Art. 4 Abs. 3, Art. 10 Abs. 2).

Die Mitgliedstaaten müssen der Kommission alle Entwürfe neuer oder geänderter DLA notifizieren (Art. 4 Abs. 2).

–

Die Verordnung verbietet alle „Datenlokalisierungsauflagen“ (DLA), es sei denn, sie sind „aus Gründen der öffentlichen Sicherheit“ gerechtfertigt oder bereits im EU-Recht verankert (Art. 4 Abs. 1).

"Öffentlichen Sicherheit" umfasst hier die innere und äußere Sicherheit eines Mitgliedstaats und Fragen der öffentlichen Sicherheit, insbesondere um die Ermittlung, Aufdeckung und Verfolgung von Straftaten zu ermöglichen. Sie gilt als gefährdet, wenn eine „ernste Bedrohung“ besteht, die grundlegenden Interessen der Gesellschaft berühren, wie z.B. das Überlebens der Bevölkerung, die Gefahr einer ernsthaften Störung der Außenbeziehungen oder des friedlichen Zusammenlebens der Nationen oder die Gefährdung militärischer Interessen. (Erwägungsgrund 12a)

Eine „Datenlokalisierungsauflage“ ist eine in Rechts- und Verwaltungsvorschriften der Mitgliedstaaten enthaltene oder in allgemeinen und konsistenten Verwaltungspraktiken verankerte Verpflichtung, ein Verbot, Bedingung oder Beschränkung, die (Art. 3 Ziff. 5)

• festlegt, dass sich der Ort der Datenverarbeitung im Hoheitsgebiet eines bestimmten Mitgliedstaats befinden muss, oder

• die eine Datenverarbeitung in einem anderen Mitgliedstaat behindert.

Die Mitgliedstaaten müssen binnen 30 Monaten nach Veröffentlichung der Verordnung alle DLA, die in Rechts- oder Verwaltungsvorschrift allgemeiner Art festgelegt sind, aufheben oder gegenüber der Kommission begründen, welche DLA gerechtfertigt sind und demnach beibehalten werden sollen (Art. 4 Abs. 3, Art. 10 Abs. 2).

Die Mitgliedstaaten müssen der Kommission alle Entwürfe neuer oder geänderter DLA sofort mitteilen (Art. 4 Abs. 2).

–

Die Verordnung verbietet alle „Datenlokalisierungsauflagen“ (DLA), es sei denn, sie sind „aus zwingenden Gründen der öffentlichen Sicherheit“ ausnahmsweise gerechtfertigt und im Einklang mit dem Verhältnismäßigkeitsprinzip (Art. 4 Abs. 1).

"Öffentlichen Sicherheit" umfasst hier die innere und äußere Sicherheit eines Mitgliedstaats. Sie gilt als gefährdet, wenn eine „ernste Bedrohung“ besteht, die grundlegenden Interessen der Gesellschaft berühren, wie z.B. das Überlebens der Bevölkerung, die Gefahr einer ernsthaften Störung der Außenbeziehungen oder des friedlichen Zusammenlebens der Nationen oder die Gefährdung militärischer Interessen. (Erwägungsgrund 12a)

Das Konzept der „zwingenden Gründen der öffentlichen Sicherheit“ setzt eine besonders schwerwiegende Bedrohung der öffentlichen Sicherheit voraus (Erwägungsgrund 12a).

Eine „Datenlokalisierungsauflage“ ist eine in Rechts- und Verwaltungsvorschriften der Mitgliedstaaten enthaltene oder in Verwaltungspraktiken, inklusive im öffentlichen Beschaffungswesen, verankerte Verpflichtung, ein Verbot, Bedingung oder Beschränkung, die (Art. 3 Ziff. 5)

• festlegt, dass sich der Ort der Datenverarbeitung im Hoheitsgebiet eines bestimmten Mitgliedstaats befinden muss, oder

• die eine Datenverarbeitung in einem anderen Mitgliedstaat behindert.

Die Mitgliedstaaten müssen binnen 12 Monaten nach Inkrafttreten der Verordnung alle DLA aufheben oder gegenüber der Kommission begründen, welche DLA gerechtfertigt sind und demnach beibehalten werden sollen (Art. 4 Abs. 3, Art. 10 Abs. 2).

Wie Rat.

Binnen drei Monaten nach Erhalt einer Mitteilung zu neuen oder geänderten DLA überprüft die Kommission die DLA und kann den entsprechenden Mitgliedstaat auffordern die DLA anzupassen oder aufzuheben (Art. 4 Abs. 3a).

Die Verordnung verbietet alle „Datenlokalisierungsauflagen“ (DLA), es sei denn, sie sind „aus Gründen der öffentlichen Sicherheit“ gerechtfertigt oder bereits im EU-Recht verankert, und im Einklang mit dem Verhältnismäßigkeitsprinzip (Art. 4 Abs. 1).

Wie Rat.

–

Eine „Datenlokalisierungsauflage“ ist eine in Rechts- und Verwaltungsvorschriften der Mitgliedstaaten enthaltene oder in Verwaltungspraktiken, inklusive im öffentlichen Beschaffungswesen, – auch von Körperschaften des öffentlichen Rechts – verankerte Verpflichtung, ein Verbot, Bedingung oder Beschränkung, die (Art. 3 Ziff. 5)

• festlegt, dass sich der Ort der Datenverarbeitung im Hoheitsgebiet eines bestimmten Mitgliedstaats befinden muss, oder

• die eine Datenverarbeitung in einem anderen Mitgliedstaat behindert.

Im Wesentlichen wie Rat.

Wie Rat.

Binnen sechs Monaten nach Erhalt einer Mitteilung zu neuen oder geänderten DLA überprüft die Kommission die DLA und kann den entsprechenden Mitgliedstaat empfehlen die DLA anzupassen oder aufzuheben (Art. 4 Abs. 3).

Regulierungs- und Aufsichtsbehörden, die für amtliche Zwecke Zugang zu den Daten benötigen, behalten ihre Zugriffsrechte. Der Zugang darf ihnen nicht aus dem Grund versagt werden, dass die Daten in einem anderen Mitgliedstaat gespeichert oder verarbeitet werden. (Art. 5 Abs. 1, Erwägungsgrund 16)

Wenn der zur Datenübermittlung verpflichtete Nutzer eines Cloud-Dienstes der Behörde keine Daten übermittelt oder ihr keinen Zugang gewährt, gilt:

• Sieht das EU-Recht oder ein internationales Abkommen einen „besonderen Kooperationsmechanismus“ für den Datenaustausch vor, muss die Behörde diesen nutzen (Art. 5 Abs. 4, Erwägungsgrund 18).

• Greift kein „besonderer Kooperationsmechanismus“ und hat die Behörde „alle anwendbaren Mittel“ ausgeschöpft, muss die zuständige Behörde im Land des Speicherorts ihr auf Antrag Amtshilfe leisten, außer wenn dies der „öffentlichen Ordnung“ in diesem Land zuwiderläuft (Art. 5 Abs. 2).

–

Wie Kommission.

Wenn der zur Datenübermittlung verpflichtete Nutzer eines Cloud-Dienstes der Behörde keine Daten übermittelt oder ihr keinen Zugang gewährt, gilt:

• Sieht das EU-Recht oder ein internationales Abkommen einen „besonderen Kooperationsmechanismus“ für den Datenaustausch vor, muss die Behörde diesen nutzen.

• Greift kein „besonderer Kooperationsmechanismus“ und hat die Behörde keinen Zugang zu den Daten erhalten, muss die zuständige Behörde im Land des Speicherorts ihr auf Antrag Amtshilfe leisten (Art. 5 Abs. 2).

Die Mitgliedstaaten können Sanktionen gegenüber Nutzern von Cloud-Diensten verhängen, wenn diese Verpflichtungen zur Datenübermittlung nicht nachkommen (Art. 5 Abs. 3a).

Sanktionen können bei Rechtsmissbrauch eines Nutzers auch Maßnahmen umfassen, wonach temporär Datenlokalisierungsauflagen möglich sind (Art. 5 Abs. 3a).

Wie Kommission.

Im Wesentlichen wie Rat.

–

Wie Kommission.

Wenn der zur Datenübermittlung verpflichtete Nutzer eines Cloud-Dienstes der Behörde keine Daten übermittelt oder ihr keinen Zugang gewährt, gilt:

• Sieht das EU-Recht oder ein internationales Abkommen einen „besonderen Kooperationsmechanismus“ für den Datenaustausch vor, muss die Behörde diesen nutzen.

• Greift kein „besonderer Kooperationsmechanismus“ und hat die Behörde keinen Zugang zu den Daten erhalten, obwohl sie dies vom Nutzer verlangt hat, muss die zuständige Behörde im Land des Speicherorts ihr auf Antrag Amtshilfe leisten (Art. 5 Abs. 2).

Wie Rat.

Sanktionen können bei Rechtsmissbrauch eines Nutzers auch vorläufige, aber verhältnismäßige Maßnahmen umfassen, wenn dies nötig ist, um rasch Zugang zu Daten zu erhalten. Gilt die vorläufige Maßnahme länger als 180 Tage und umfasst sie eine Re-Lokalisierung von Daten, muss die Kommission prüfen. ob die Maßnahme mit EU-Recht vereinbar ist. (Art. 5 Abs. 3a).

„Berufliche Nutzer“ sind alle (Art. 3 Nr. 8)

• natürlichen und juristischen Personen, die einen Datenspeicherungs- und Datenverarbeitungsdienst bei ihrer gewerblichen, geschäftlichen, handwerklichen oder sonstigen beruflichen Tätigkeit nutzen, sowie

• öffentlichen Einrichtungen, die diese Dienste nutzen, um ihre Aufgaben zu erfüllen.

Die Kommission fördert die Entwicklung EU-weit geltender Verhaltensregeln („Codes of Conduct“) für Cloud-Dienste im Wege der Selbstregulierung: 

Berufliche Nutzer solcher Dienste sollen (Art. 6 Abs. 1).

• einfacher den Anbieter wechseln können, indem „Leitlinien für bewährte Verfahren“ entwickelt werden,

• vorvertraglich über die Konditionen für den Wechsel zu einem anderen Cloud-Anbieter bzw. für die Rückübertragung gespeicherter Daten in die nutzereigenen IT-Systeme informiert werden, und

• die Konditionen verschiedener Anbieter – etwa die technischen und betrieblichen Anforderungen, Prozesse, Fristen, Formate, Entgelte und Garantien bei Insolvenz – einfacher vergleichen können.

–

Die Cloud-Anbieter sollen die Verhaltensregeln innerhalb von 18 Monaten nach Veröffentlichung der Verordnung im EU-Amtsblatt „wirksam umsetzen“, was die Kommission überprüft (Art. 6 Abs. 2, 3).

„Berufliche Nutzer“ sind alle (Art. 3 Nr. 8)

• natürlichen und juristischen Personen, die einen Datenverarbeitungsdienst bei ihrer gewerblichen, geschäftlichen, handwerklichen oder sonstigen beruflichen Tätigkeit nutzen, sowie

• öffentlichen Einrichtungen, die diese Dienste nutzen, um ihre Aufgaben zu erfüllen.

Die Kommission fördert die Entwicklung EU-weit geltender Verhaltensregeln („Codes of Conduct“) für Cloud-Dienste im Wege der Selbstregulierung zur Förderung einer wettbewerbsfähigen Datenwirtschaft. Offene Standards und das Prinzip der Interoperabilität sollen dabei Leitplanken sein. (Art. 6 Abs. 1)

Berufliche Nutzer solcher Dienste sollen (Art. 6 Abs. 1).

• einfacher den Anbieter wechseln und Daten übertragen können, indem „bewährte Verfahren“ entwickelt werden, die den Nutzern genügend Zeit für den Wechsel bzw. die Übertragung gewähren,

• vorvertraglich über die Konditionen für den Wechsel zu einem anderen Cloud-Anbieter bzw. für die Rückübertragung gespeicherter Daten in die nutzereigenen IT-Systeme informiert werden, und

• die Konditionen verschiedener Anbieter – etwa die technischen und betrieblichen Anforderungen, Prozesse, Fristen, Formate, Entgelte und Garantien für den Datenzugang bei Insolvenz – einfacher vergleichen können.

Die Codes of Conduct sollen auch Ansätze für die Zertifizierung von Produkten und Dienstleistungen der Datenverarbeitung umfassen (Art. 6 Abs. 1 lit. c)

Wie Kommission.

Wie Rat.

Die Kommission fördert die Entwicklung EU-weit geltender Verhaltensregeln („Codes of Conduct“) für Cloud-Dienste im Wege der Selbstregulierung zur Förderung einer wettbewerbsfähigen Datenwirtschaft. Das Prinzip der Transparenz soll dabei eine Leitplanke sein. (Art. 6 Abs. 1)

Berufliche Nutzer solcher Dienste sollen (Art. 6 Abs. 1).

• einfacher den Anbieter wechseln und Daten übertragen können, indem „bewährte Verfahren“ entwickelt werden, die auch offene Standards umfassen, sofern dies nötig oder vom empfangenden Anbieter gewünscht ist,

• vorvertraglich über die Konditionen für den Wechsel zu einem anderen Cloud-Anbieter bzw. für die Rückübertragung gespeicherter Daten in die nutzereigenen IT-Systeme informiert werden, und

• die Garantien verschiedener Anbieter für den Datenzugang bei Insolvenz einfacher vergleichen können.

–

Die Cloud-Anbieter sollen die Verhaltensregeln innerhalb von 12 Monaten nach Veröffentlichung der Verordnung im EU-Amtsblatt entwickeln und binnen 24 Monaten „wirksam umsetzen“, was die Kommission überprüft (Art. 6 Abs. 2, Art. 9 Abs. 1 lit. c).

Wie Rat.

Die Kommission fördert die Entwicklung EU-weit geltender Verhaltensregeln („Codes of Conduct“) für Cloud-Dienste im Wege der Selbstregulierung zur Förderung einer wettbewerbsfähigen Datenwirtschaft. Offene Standards sowie die Prinzipien der Interoperabilität und der Transparenz sollen dabei Leitplanken sein. (Art. 6 Abs. 1)

Berufliche Nutzer solcher Dienste sollen (Art. 6 Abs. 1).

• einfacher den Anbieter wechseln und Daten übertragen können, indem „bewährte Verfahren“ entwickelt werden, die auch offene Standards umfassen, sofern dies nötig oder vom empfangenden Anbieter gewünscht ist, und

• vorvertraglich über die Konditionen für den Wechsel zu einem anderen Cloud-Anbieter bzw. für die Rückübertragung gespeicherter Daten in die nutzereigenen IT-Systeme informiert werden.

Im Wesentlichen wie Rat.

Die Cloud-Anbieter sollen die Verhaltensregeln innerhalb von 12 Monaten nach Veröffentlichung der Verordnung im EU-Amtsblatt entwickeln und binnen 18 Monaten „wirksam umsetzen“, was die Kommission überprüft (Art. 6 Abs. 2, Art. 9 Abs. 1 lit. c).