Die Organe der EU haben im Juni eine politische Einigung über die Verordnung zum freien Verkehr nicht personenbezogener Daten erzielt. Diese Verordnung soll bestehende Schranken im europäischen Datenaustausch, wie etwa Datenlokalisierungsanforderungen, zwischen den einzelnen EU-Mitgliedstaaten aufheben und einen freien Austausch nicht personenbezogener Daten ermöglichen („free flow of data“). Die Verordnung richtet sich zwar primär an die nationalen Gesetzgeber, wird aber gleichwohl zumindest faktische Neuerungen für Unternehmen mit sich bringen.

Weiterer Schritt zum digitalen Binnenmarkt

Mit der neuen Verordnung über den freien Verkehr nicht personenbezogener Daten will die EU das Potenzial der Datenwirtschaft maximieren, indem der Austausch nicht personenbezogener Daten vereinfacht wird. Ziel der Verordnung ist es, solche Daten frei zwischen den einzelnen Staatsgrenzen fliessen zu lassen („free flow of data“) und grenzübergreifend nutzbar zu machen. Laut der Europäischen Kommission wird damit bis 2020 eine Verdopplung des Anteils der Datenwirtschaft am BIP erreicht. Die neue Verordnung stellt somit einen weiteren wichtigen Schritt auf dem Weg zu einem digitalen Binnenmarkt innerhalb der EU dar.

Verbot von ungerechtfertigten Datenlokalisierungsvorgaben

Aktuell bestehen in den einzelnen EU-Mitgliedstaaten diverse Einschränkungen für den grenzüberschreitenden Datenverkehr. Viele Regelungen der EU-Mitgliedstaaten sehen vor, dass Daten lokal gespeichert werden müssen. Beispiele sind der Finanzsektor, in welchem die Aufsichtsbehörden die Speicherung von Daten im Inland fordern oder Vertraulichkeitsvorschriften im Gesundheitssektor, die eine lokale Datenspeicherung und -verarbeitung vorsehen. Damit werden Unternehmen gehindert bspw. Cloud-Dienste optimal zu nutzen, kostengünstigere IT-Standorte zu wählen oder frei zwischen Dienstanbietern zu wechseln.

Die Verordnung über den freien Verkehr nicht personenbezogener Daten soll solche Einschränkungen verbieten, die nicht wie bspw. im Bereich der öffentlichen Sicherheit gerechtfertigt oder verhältnismässig sind. Mit dem Verbot von ungerechtfertigten Datenlokalisierungsauflagen wird ein effizienter Wettbewerb unter Datenspeicherungs- und Datenverarbeitungsanbieter angestrebt, was zu kostengünstigeren IT-Lösungen für Unternehmen führen soll. Der Wechsel zu anderen Datenspeicherungs- und Datenverarbeitungsanbieter wird hierdurch erleichtert. Zudem können grenzüberschreitend tätige Unternehmen Redundanzen bei Datensammlungen auflösen, indem die Daten nicht mehr lokal in den einzelnen Ländern gespeichert werden müssen.

Auswirkungen auf Unternehmen?

Die neuen Vorgaben richten sich somit primär an die nationalen Gesetzgeber. Sie müssen bestehende Datenlokalisierungsvorgaben aufheben und dürfen keine neuen einführen. Zugleich wird in der Verordnung sichergestellt, dass die zuständigen Behörden zu Prüf- und Kontrollzwecken weiterhin auf Daten zugreifen können unabhängig davon, wo in der EU sie gespeichert oder verarbeitet werden. Unternehmen müssen den zuständigen nationalen Behörden somit den Zugang zu Daten somit weiterhin gewähren. Wird der Zugang verweigert, können die Mitgliedstaaten Sanktionen vorsehen.

In der Verordnung wird zudem auch klargestellt, dass alle derzeit für Unternehmen und öffentliche Verwaltungen gültigen Sicherheitsanforderungen auch weiterhin gelten, wenn diese Einrichtungen sich für die Datenspeicherung oder -verarbeitung in einem anderen Mitgliedstaat bzw. für die Nutzung von Cloud-Diensten entscheiden. Mit der Verordnung soll ferner auch die Schaffung von Verhaltenskodizes für Cloud-Dienste angeregt werden, um den Wechsel zwischen Cloud-Diensteanbietern zu erleichtern. Die Verordnung enthält besondere Vorgaben für solche Verfahrensregeln. Beispielweise müssen die Nutzer über die Bedingungen informiert werden, unter denen sie Daten ausserhalb ihrer IT-Umgebungen übertragen können. In den Verfahrensregeln sollten auch bewährte Praktiken in Bezug auf die Prozesse, technischen Anforderungen, zeitlichen Abläufe und Kosten, die bei einem Anbieterwechsel entstehen können, berücksichtigt werden. In vier Jahren wird die Europäische Kommission die Umsetzung der Verhaltenskodizes überprüfen und gegebenenfalls zusätzliche Massnahmen vorschlagen.

Zusammenspiel mit der Datenschutzgrundverordnung

Die neue Verordnung gilt nur in Bezug auf nicht personenbezogene Daten. Nicht personenbezogen sind Daten, welche sich nicht auf eine bestimmte oder bestimmbare Person beziehen, wie etwa anonymisierte Daten. Damit ergänzt die Verordnung die am 25. Mai 2018 in Kraft getretene Datenschutz-Grundverordnung (DSGVO), welche die Bearbeitung personenbezogener Daten regelt (vgl. MLL-News vom 15. Mai 2018; MLL-News vom 30. Juli 2017; MLL-News vom 14. Januar 2016). Die DSGVO verbietet den EU-Mitgliedstaaten bereits, Datenlokalisierungsbeschränkungen zum Schutz personenbezogener Daten aufzustellen. Diese Schranken sollen nun auch für nicht personenbezogene Daten abgebaut werden.

Es stellt sich für Unternehmen die Frage, wie bei gemischten Datensätzen, welche personenbezogene und nicht personenbezogene Daten enthalten, zu verfahren ist. Grundsätzlich regelt die DSGVO den Teil mit personenbezogenen Daten und die neue Verordnung über den freien Verkehr nicht personenbezogener Daten die nicht personenbezogenen Daten. Die Europäische Kommission kündigte an, im Hinblick auf die Handhabung gemischter Datensätze noch weitere Hinweise zu veröffentlichen. Insbesondere soll aber mit der neuen Verordnung keine Pflicht zur Trennung personenbezogener und nicht personenbezogener Daten statuiert werden, was mit hohen Kostenfolgen für Unternehmen verbunden wäre.

Geltung für CH-Unternehmen?

Die neue Verordnung gilt nur für den Datenverkehr innerhalb der EU. Der Datenverkehr zwischen der EU und Drittstaaten wie der Schweiz werden damit grundsätzlich nicht erfasst. Eine nationale Vorschrift, die Unternehmen aus Drittstaaten die Datenspeicherung und -verarbeitung innerhalb der EU vorschreibt, ist somit nach dieser Verordnung nicht verboten. Das bedeutet hingegen nicht, dass Unternehmen aus Drittstaaten nicht von den neuen Regeln profitieren könnten. Der abschliessende Verordnungstext liegt zwar noch nicht vor. Nach dem Entwurf der Europäischen Kommission erstreckte sich der Anwendungsbereich jedoch auf die Speicherung und Verarbeitung nicht personenbezogener elektronischer Daten in der Union, wenn diese als Dienstleistung an Personen mit Wohnsitz oder Niederlassung innerhalb der EU erfolgt. Dabei spielt es keine Rolle, ob der Anbieter der Dienstleistung in der EU niedergelassen ist oder nicht. Sofern der Anwendungsbereich im abschliessenden Verordnungstext nicht eingeschränkt wurde, würde dies konkret bedeuten, dass die Mitgliedstaaten auch Schweizer Unternehmen, welche Dienstleistungen an Nutzer in EU-Ländern anbieten, keine Vorgaben dazu machen dürften, in welchem Mitgliedstaat sie ihre Datenverarbeitungen durchführen.