Ab Mai 2019 wird die neue „Free Flow of Data“-Verordnung gelten (Verordnung (EU) 2018/1907). Die Verordnung soll Effizienzgewinne in der Datenwirtschaft generieren, indem sie den „freien Verkehr nicht-personenbezogener Daten“ gewährleistet.  Um welche Daten geht es? Der Anwendungsbereich der Free Flow of Data-VO ist beschränkt auf elektronische Daten, die keine personenbezogenen Daten sind. Damit erfasst sie genau die elektronischen Daten, die nicht dem Anwendungsbereich der DSGVO unterfallen. Hierfür nennt Erwägungsgrund 9 der Verordnung drei Beispiele:

Aggregierte und anonymisierte Datensätze für Big-Data-Analysen; Daten im Zusammenhang mit der Präzisionslandwirtschaft, die dabei helfen können, den Einsatz von Pestiziden und Wasser zu überwachen und zu optimieren; Daten zum Wartungsbedarf von Industriemaschinen.

Die Beispiele verdeutlichen, dass die Free Flow of Data-VO im Wesentlichen Unternehmer betrifft. Wegen des fehlenden Personenbezugs spielt das Ziel des Schutzes vor bestimmten Datenverarbeitungen – anders als in der DSGVO – keine nennenswerte Rolle. Die Free Flow of Data-Verordnung ist dadurch auch deutlich kürzer: Sie umfasst nur neun Artikel plus Erwägungsgründe.

Für die Praxis stellt sich die Frage, wie man personenbezogene und nicht-personenbezogene Daten sinnvoll voneinander abgrenzen kann. Beispielsweise können nicht-personenbezogene Daten unter Umständen später durch Auswertung und Verknüpfung wieder zu personenbezogenen Daten werden. Zudem ist die Auslegung der Definition der „personenbezogenen Daten“ (Art. 4 Nr. 1 DSGVO) in Einzelheiten umstritten (siehe dazu insbesondere EuGH, Urteil v. 19. Oktober 2016, Rs. C-582/14 – Breyer). 

Zum Punkt der Abgrenzung ist das letzte Wort noch nicht gesprochen: Laut Art. 8 Abs. 3 der Free Flow of Data-Verordnung muss die EU-Kommission bis zum 29. Mai 2019 noch „informierende Leitlinien“ über die Wechselwirkungen zwischen der Free Flow of Data-VO und der DSGVO veröffentlichen – „insbesondere im Hinblick auf Datensätze, die sowohl aus personenbezogenen als auch aus nicht-personenbezogenen Daten bestehen“. Das Verbot von staatlichen „Datenlokalisierungsauflagen“ Die zentrale Regelung der Free Flow of Data-VO findet sich in Art. 4. Dieser untersagt sog. „Datenlokalisierungsauflagen“, lässt hiervon aber Ausnahmen zu. Datenlokalisierungsauflagen sind laut Art. 3 Nr. 5 der Verordnung Anforderungen der EU-Mitgliedstaaten, laut denen die Datenverarbeitung im Hoheitsgebiet eines bestimmten Mitgliedstaats stattfinden muss oder die die Verarbeitung von Daten in einem anderen Mitgliedstaat behindern. Ausnahmen von diesem Grundsatz sind lediglich aus Gründen der öffentlichen Sicherheit zulässig. 

Die Mitgliedstaaten sind verpflichtet, ihre Rechts- und Verwaltungsvorschriften, soweit diese unzulässige Datenlokalisierungsauflagen begründen, bis zum 30. Mai 2021 aufzuheben.  Privatrechtliche Vereinbarungen bleiben unberührt. So wird die Möglichkeit, vertraglich einen bestimmten Ort für eine Datenverarbeitung festzulegen, ausdrücklich nicht eingeschränkt (Erwägungsgrund 4). 

Der grenzüberschreitende Zugriff auf Daten

Damit das Verbot von „Lokalisierungspflichten“ ordnungspolitische Kontrollen nicht beeinträchtigt, enthält die Free Flow of Data-Verordnung auch Regelungen, die die Verfügbarkeit von im Ausland gespeicherten Daten für Behörden im Inland gewährleisten (vor allem in Art. 5). Hiernach sind zuständige Behörden weiterhin befugt, zur Erfüllung ihrer amtlichen Pflichten Zugang zu Daten zu erhalten. Der Zugang zu den Daten darf nicht mit dem Argument verweigert werden, diese lägen in einem anderen EU-Mitgliedstaat. Die „Verhaltensregeln für die Selbstregulierung“ Eine der umstritteneren Regelungen der Free Flow of Data-VO ist schließlich Art. 6. Danach fördert und erleichtert die EU-Kommission im Sinne einer Selbstregulierung die Entwicklung von „Verhaltensregeln“ für die „Datenwirtschaft“.  Diese Verhaltensregeln sollen u.a. folgende Aspekte abdecken:

Verfahren zur Erleichterung des Wechsels des Diensteanbieters, insbesondere zur Übertragung von Daten; Transparenzvorschriften in Bezug auf den Anbieterwechsel; Zertifizierungssysteme, mit denen die Vergleichbarkeit der Dienste gefördert werden soll.

Es wurde teilweise gefordert, stattdessen ein dem Art. 20 DSGVO entsprechendes Recht auf Datenübertragbarkeit vorzusehen. Diese Forderung findet sich in der Free Flow of Data-Verordnung nicht wieder. Sie belässt es bei der Aufforderung zur Selbstregulierung. 

Gemäß Art. 6 Abs. 3 wird die EU-Kommission die Diensteanbieter aber dazu anhalten, die Entwicklung dieser Verhaltensregeln bis zum 29. November 2019 abzuschließen und sie bis zum 29. Mai 2020 wirksam umzusetzen. Es ist daher zu erwarten, dass das kommende Jahr etwas Aufschluss darüber bringt, inwieweit der Ansatz der geförderten Selbstregulierung Wirkung zeigt.