Der neue Kompromisstext zum Datenschutzgesetz, der am Donnerstag (8. Dezember) in Umlauf gebracht und von EURACTIV eingesehen wurde, führt wesentliche Änderungen an dem Teil ein, der den Wechsel von einem Cloud-Anbieter zum anderen erleichtern soll.
Das Datengesetz der EU ist ein Flaggschiff-Legislativvorschlag, der den Wettbewerb auf dem Cloud-Markt freigeben, den Benutzern vernetzter Geräte die Kontrolle über ihre Daten geben und es öffentlichen Behörden ermöglichen soll, unter bestimmten Bedingungen auf Daten zuzugreifen, die von Privatunternehmen kontrolliert werden.
Der tschechischen EU-Ratspräsidentschaft ist es nicht gelungen, bei einem Ministertreffen am Dienstag eine gemeinsame Position zu dem Dossier auszuhandeln, sondern hat an einem neuen Kompromisstext gearbeitet, um einige der offenen Fragen anzugehen. Der Text wird am 13. Dezember diskutiert.
Multi-Cloud
Digitale Dienste sind oft Teil von Multi-Cloud-Architekturen. Beispielsweise könnte ein E-Mail-Dienst von einem Cloud-Anbieter gehostet werden, während er einen Kalender integriert, der von einem konkurrierenden Cloud-Dienst gehostet wird.
Die Cloud-Switching-Bestimmungen des Data Act mit einer so komplexen Umgebung kompatibel zu machen, war ein heißes Thema für technische Diskussionen im EU-Rat.
Daher wurde ein neuer Artikel hinzugefügt, der vorschreibt, dass die Interoperabilitätsbestimmungen, nach denen Cloud-Anbieter ihren Kunden den Wechsel zu konkurrierenden Diensten ermöglichen sollen, auch für die Cloud-Anbieter paralleler Dienste gelten sollten.
Die Idee ist, dass Kunden frei vom besten Cloud-Dienst zum anderen wechseln können. Daher sollten auch die nicht unmittelbar an der Vertragsbeendigung beteiligten Cloud-Anbieter den Wechsel nicht behindern.
Austrittsgebühr
Ein weiteres viel diskutiertes Konzept sind Egress-Gebühren, die Cloud-Anbieter verlangen, wenn Kunden ihre Daten abrufen möchten, und die im ursprünglichen Vorschlag nicht berücksichtigt wurden.
Der Kommissionsentwurf konzentrierte sich lediglich auf Wechselgebühren, die nach drei Jahren seit Inkrafttreten des Datengesetzes vollständig entfallen müssten. Diese Maßnahme wurde auch auf Ausgangsgebühren ausgeweitet.
Interoperabilität
Die Anforderungen an die Cloud-Interoperabilität wurden neu formuliert, um den Text an den in anderen Rechtsvorschriften definierten Standardsetzungsprozess anzupassen, nämlich den horizontalen Ansatz für gemeinsame Spezifikationen, die harmonisierte europäische Normen ergänzen.
In der Begleitnotiz heißt es, dass diese Änderungen, wenn sie akzeptiert werden, im gesamten Text angewendet werden, beispielsweise im Abschnitt über intelligente Verträge für die gemeinsame Nutzung von Daten.
Die Verordnung ermächtigt die Kommission auch zum Erlass delegierter Rechtsakte zur Einrichtung eines EU-Speichers mit offenen Interoperabilitätsspezifikationen und europäischen Standards für die Interoperabilität von Cloud-Diensten.
Für die EU-Exekutive wurde die Möglichkeit hinzugefügt, außereuropäische Normen in das Repository aufzunehmen, sofern sie bestimmte Kriterien erfüllen.
Art der Daten
Da das Datengesetz es dem Nutzer eines Internet-of-Things-Produkts ermöglicht, die generierten Daten zu erhalten, war die Art der Daten, auf deren Erhalt der Nutzer Anspruch hat, Gegenstand intensiver Diskussionen.
Diese generierten Daten wurden definiert als „Daten, die vom Benutzer absichtlich oder als Nebenprodukt der Benutzeraktion aufgezeichnet wurden, sowie Daten, die während der rechtmäßigen Verwendung, unter anderem im Standby-Modus oder während das Produkt ausgeschaltet ist, generiert oder aufgezeichnet wurden “, heißt es in dem Kompromiss.
Aus dem Anwendungsbereich fallen dabei alle Daten, die nicht aus der Nutzung des Produkts selbst, sondern aus der Verarbeitung resultieren, die darauf abzielt, daraus Erkenntnisse zu gewinnen, wie beispielsweise eingebettete Anwendungen und Diagnosen, die die Ausgangsform erheblich verändern.
B2G-Datenzugriff
Das Datenschutzgesetz erlaubt es öffentlichen Stellen, unter bestimmten Bedingungen Zugang zu privat gehaltenen Daten zu verlangen.
Typischerweise müssten die öffentlichen Stellen die erhaltenen Daten löschen, sobald sie für den im Antrag genannten Zweck nicht mehr erforderlich sind. Es wurde jedoch eine Ausnahme hinzugefügt, wenn die Datenarchivierung erforderlich ist, um Transparenzanforderungen nach nationalem Recht zu erfüllen.
Die öffentliche Stelle könnte ihrerseits beschließen, die Daten mit nationalen statistischen Ämtern, Eurostat, Einzelpersonen und Organisationen, die wissenschaftliche Forschung betreiben, zu teilen. Diese Stellen können die Daten sechs weitere Monate aufbewahren, nachdem die öffentliche Stelle sie gelöscht hat.
Betriebsgeheimnisse
Ein heikler Aspekt der Gesetzgebung ist der Schutz von Geschäftsgeheimnissen, zumal die Benutzer das Recht haben, die von ihnen erhaltenen Daten mit Dritten zu teilen. Eine besonders umstrittene Bestimmung würde es dem Dritten ermöglichen, die Daten weiter mit anderen Organisationen zu teilen.
Diesbezüglich heißt es im Text nun, dass diese Datenübermittlung nur erfolgen kann, wenn die empfangende Stelle die gleichen Maßnahmen ergreift, die bei der ursprünglichen Transaktion vereinbart wurden, um die Vertraulichkeit von Geschäftsgeheimnissen zu wahren.
Ein Unternehmensvertreter sagte jedoch gegenüber EURACTIV, der neue Kompromiss trage wenig zum Schutz von Geschäftsgeheimnissen bei, da die betroffene Organisation keine Möglichkeit hätte, die Vereinbarung durchzusetzen, geschweige denn jeden im Auge zu behalten, der die Daten erhält.
Gesetzliche Überprüfung
Innerhalb von zwei Jahren nach Inkrafttreten der Verordnung müsste die Kommission eine Bewertung vornehmen. Die bei dieser legislativen Überprüfung zu berücksichtigenden Aspekte wurden um die Auswirkungen auf Geschäftsgeheimnisse und die Wirksamkeit des Durchsetzungssystems erweitert.
Zeitleiste
Die Frist für das Inkrafttreten des Datenschutzgesetzes wurde von ursprünglich 12 Monaten auf 18 Monate verlängert.
[Edited by Nathalie Weatherald]