Der neue Kompromiss zum Entwurf des Datengesetzes, der von EURACTIV gesehen wird, verfeinert den Schutz von Geschäftsgeheimnissen weiter und klärt das Verhältnis zu den Datenschutzbestimmungen und der Anwendung der Cloud-Switching-Bestimmungen.
Der schwedische Ratsvorsitz hat am Mittwoch (8. März) den sechsten Kompromisstext zum Datenschutzgesetz geteilt, um ihn am 14. März in der Telekom-Arbeitsgruppe, einem technischen Gremium des EU-Rates, zu erörtern.
Das Data Act ist ein Flaggschiff-Gesetzesvorschlag, der regeln soll, wie Daten geteilt, abgerufen und übertragen werden. Wenn nächste Woche kein nennenswerter Widerstand erhoben wird, wird der Text des Ratsvorsitzes am 22. März auf dem Tisch des Ausschusses der Ständigen Vertreter (AStV) landen.
Die Absicht ist, schnell interinstitutionelle Verhandlungen mit dem Europäischen Parlament aufzunehmen, das seine Position auf der Plenarsitzung nächste Woche formalisieren wird.
Umfang
Das Data Act führt das Prinzip ein, dass Benutzer vernetzter Geräte das Recht haben sollten, auf die Daten zuzugreifen und sie zu teilen, zu deren Generierung sie beitragen. Welche Art von Daten von diesen Pflichten zur gemeinsamen Nutzung von Daten erfasst werden sollten, war jedoch ein umstrittenes Thema.
Die Kontroverse liegt darin, dass Daten sensible Geschäfts- oder Geschäftsgeheimnisse enthalten können, die sich darauf beziehen, wie die Organisation, die die Daten kontrolliert, der Dateninhaber, sie verarbeitet, um Einblicke und andere Informationen zu erhalten.
Vor diesem Hintergrund schlug der schwedische Ratsvorsitz im vorangegangenen Kompromiss vor, alle Daten, die über Systeme verarbeitet werden, die den Rechten des geistigen Eigentums (IP) oder dem spezifischen Know-how des Dateninhabers unterliegen, aus dem Geltungsbereich herauszunehmen.
Dieser Verweis auf „spezifisches Know-how“ wurde aus dem neuen Text gestrichen, da davon ausgegangen wurde, dass er zu Rechtsunsicherheit führt, da der Begriff im Vorschlag nicht definiert ist.
Betriebsgeheimnisse
Im letzten Kompromiss hat der Ratsvorsitz auch die Möglichkeit für Dateninhaber eingeführt, die Weitergabe von Daten unter außergewöhnlichen Umständen zu verweigern. Das heißt, wenn sie nachweisen können, dass ihnen dies trotz der möglichen Sicherheitsvorkehrungen, die die Empfänger treffen könnten, höchstwahrscheinlich schweren Schaden zufügt.
Der Umfang dieser außergewöhnlichen Weigerung wurde von rechtswidrigem Missbrauch oder Offenlegung von Informationen, die durch geistige Eigentumsrechte geschützt sind, auf Geschäftsgeheimnisse erweitert. Der Dateninhaber müsste die Gründe für seine Ablehnung ordnungsgemäß begründen und die zuständige nationale Behörde informieren.
Schwerwiegender Schaden wurde definiert als „Schäden, die die Ausübung einer wirtschaftlichen Tätigkeit beeinträchtigen, wenn dem Dateninhaber ein erheblicher wirtschaftlicher Schaden entstehen würde, der insbesondere seine Überlebensfähigkeit gefährden oder ein ernsthaftes Konkursrisiko darstellen könnte“.
In der Präambel des Textes sind zu berücksichtigende Faktoren aufgeführt, wie z. B. die mangelnde Durchsetzbarkeit des Schutzes von Geschäftsgeheimnissen in der Gerichtsbarkeit, in die die Daten übermittelt werden würden, das Maß an Vertraulichkeit der angeforderten Daten, die Einzigartigkeit und Neuheit des Produkts und die Cybersicherheit.
Datenschutz
Ein weiterer kritischer Aspekt der Diskussion betraf das Verhältnis des Datenschutzgesetzes zur Datenschutz-Grundverordnung (DSGVO). Der neue Wortlaut stellt klar, dass, wenn Benutzer personenbezogene Daten erhalten, die ihnen nicht gehören, das Datenschutzgesetz keine Rechtsgrundlage für deren Verarbeitung darstellt.
Die Dateninhaber müssten sicherstellen, dass ihre Weitergabe personenbezogener Daten den EU-Datenschutzvorschriften entspricht, einschließlich der Anonymisierung personenbezogener Daten oder der ausschließlichen Übermittlung personenbezogener Daten, die sich auf den Benutzer beziehen.
Cloud-Switching
Das Data Act soll den Wettbewerb auf dem Cloud-Markt fördern, indem Hindernisse für den Wechsel von einem Cloud-Dienst zu einem anderen abgebaut werden. In diesem Zusammenhang schreibt sie drei Jahre nach ihrem Inkrafttreten die vollständige Abschaffung von Datenausgangsgebühren und Switching-Gebühren vor.
Gleichzeitig präzisiert ein neuer Absatz, dass die EU-Verordnung „Parteien nicht daran hindert, Verträge über Datenverarbeitungsdienste mit fester Laufzeit, einschließlich Kündigungsentgelten zur Deckung der vorzeitigen Beendigung dieser Verträge, im Einklang mit nationalem Recht und Unionsrecht zu schließen “.
Business-to-Government (B2G)
Das neue Datengesetz ermächtigt öffentliche Stellen, in Ausnahmefällen Zugang zu Daten privater Unternehmen zu verlangen. Insbesondere, um auf einen öffentlichen Notfall zu reagieren oder ihn abzumildern oder wenn die Behörde die Daten für eine Aufgabe im öffentlichen Interesse benötigt und sie anderweitig nicht erhalten kann.
Für die Erstellung amtlicher Statistiken gilt jedoch die Anforderung, dass die öffentliche Stelle die relevanten Daten nicht auf dem Markt erwerben könnte, nicht, wenn die statistischen Ämter nachweisen können, dass ihnen das geltende Recht dies nicht erlaubt.
Sektorale Gesetzgebung
Das Data Act ist eine der Hauptebenen der europäischen Datenstrategie, die auch die Schaffung sektoraler Datenräume für Sektoren wie Energie und Landwirtschaft umfasst. Als Beispiel für Bereiche, die weitere Anforderungen erfordern könnten, wurde ein Hinweis auf die wissenschaftliche Forschung hinzugefügt.
Rezension
Zwei Jahre nach Geltungsbeginn der neuen Verordnung muss die Europäische Kommission deren Auswirkungen bewerten.
Die Elemente, die die EU-Exekutive bei ihrer Überprüfung berücksichtigen muss, wurden geändert, um die Auswirkungen auf die Entwicklung neuer Produkte und damit verbundener Dienstleistungen, die Auswirkungen auf kleine und mittlere KMU und ihre Innovationsfähigkeit sowie die Verfügbarkeit von Cloud-Diensten abzudecken für europäische Benutzer.
[Edited by Nathalie Weatherald]