Im Datenschutzrecht ist der Drittlandtransfer seit jeher gesondert zu erlauben – der Data Act transferiert diesen Gedanken nun auf nicht-personenbezogene Daten. Auch diese sind nach dem Entwurf vor einer ungerechtfertigten internationalen Übermittlung und vor dem Schutz des Zugriffs durch staatliche Stellen anderer Länder zu schützen. Dies soll das Vertrauen der Nutzer stärken und dient etwa dem Geheimnis- und Know-How-Schutz.
Eingebettet ist die Regelung in eine Vielzahl von Neuerungen für eine zukunftsweisende Datenwirtschaft. Einen allgemeinen Überblick über den Data Act finden Sie hier:
Der Überblick: Anwendungsbereich und Ziele
Kapitel VII dient dem Schutz vor einer internationalen Übermittlung oder einem internationalen staatlichen Zugriff auf in der Union gespeicherte, nicht personenbezogene Daten. Ziel ist es, das Vertrauen in die Datenverarbeitungsdienste zu stärken (Data Act-Entwurf, S. 4, Erwägungsgrund 78). Für notwendig wird dies erachtet, da in insbesondere staatliche Zugriffsrechte bestehen können, die deutlich über das hinausgehen, was nach dem Recht in der EU zulässig wäre (Erwägungsgrund 77). Die Diskussion ist aus dem Datenschutzrecht bekannt; der Data Act transferiert den Schutzgedanken in begrenztem Umfang auf nicht-personenbezogene Daten, die in der Union gespeichert sind.
Die Adressaten
Die Regelugen verpflichten „Anbieter von Datenverarbeitungsdiensten“. Als „Datenverarbeitungsdienste“ werden digitale Dienstleistungen bezeichnet, die Kunden bereitgestellt werden und Verwaltung auf Abruf sowie breiten Fernzugang zu einem skalierbaren und elastischen Pool gemeinsam nutzbarer, zentralisierter, verteilter oder hochgradig verteilter Rechenressourcen ermöglichen (Art. 2 Nr. 12). Erfasst sind z.B. Cloud- und Edge-Dienstanbieter (Erwägungsgrund 78). Keine Datenverarbeitungsdienste sind Online-Inhaltedienste im Sinne des Art. 2 Abs. 5 der VO (EU) 2017/1128 (Art. 2 Nr. 12), ausgenommen sind damit z.B. Webcasting oder video-on-demand Angebote. Räumlich gilt die Verordnung alle Anbieter, die Kunden in der Union Datenverarbeitungsdienste anbieten, unabhängig von ihrem Sitz (Art. 1 Abs. 2 lit. e).
Der Inhalt: Was ist zu tun?
Der in Art. 27 vorgesehene Schutzkanon erinnert an die aus dem Datenschutzrecht bekannten Sicherungsmaßnahmen, in reduziertem Umfang:
- Angemessene technischen, rechtlichen und organisatorische Maßnahmen [Abs. 1]
Anbieter von Datenverarbeitungsdiensten müssen alle angemessenen technischen, rechtlichen und organisatorischen Maßnahmen ergreifen (inkl. vertraglicher Vereinbarungen), um eine unrechtmäßige internationale Übermittlung oder einen internationalen staatlichen Zugriff auf in der Union gespeicherte, nicht-personenbezogene Daten zu verhindern.
Unrechtmäßig ist der Zugang zu den Daten, wenn er im Widerspruch zu Pflichten des EU-Rechts oder des Rechts des betreffenden Mitgliedstaates steht. Maßnahmen sind beispielsweise die Verschlüsselung von Daten, regelmäßige Audits oder auch die Umsetzung von Systemen der Sicherheitszertifizierung (Erwägungsgrund 78).
- Internationale(r) Datenzugang und -übermittlung nach gerichtlichen und behördlichen Entscheidungen eines Drittlandes [Abs. 2-4]
Ergeht gegen einen Anbieter von Datenverarbeitungsdiensten ein Gerichtsurteil oder eine Entscheidung einer Behörde oder eines Gerichts aus einem Drittlande, dass eine unmittelbare Übermittlung oder den Zugang zu in der Union gespeicherten Daten fordert, müssen die besonderen Anforderungen des Art. 27 Abs. 2 und Abs. 3 beachtet werden:
- Gibt es ein internationale Übereineinkunft (z.B. Rechtshilfeabkommen) zwischen dem ersuchenden Drittland und der Union bzw. dem betreffenden Mitgliedstaat, dass das Urteil oder die Entscheidung anerkennt und für vollstreckbar erklärt, kann der Forderung nachgekommen werden, also die verlangten Daten übertragen oder Zugang gewährt werden (Abs. 2).
- Fehlt es hingegen an einem solchen Übereinkommen und würde die Befolgung des Urteils oder der Entscheidung den Adressaten in Widerspruch zum EU-Recht oder nationalen Recht des betreffenden Mitgliedstaats bringen, darf die Übermittlung oder die Zugangsgewährung nur unter bestimmten Bedingungen erfolgen (Abs. 3 UAbs. 1): Das Rechtssystem des Drittlandes muss die Begründung, Verhältnismäßigkeit und die hinreichende Bestimmtheit (z.B. Nennung der verdächtigen Person oder der Rechtsverletzung) der gerichtlichen oder behördlichen Entscheidung vorschreiben (lit. a). Zudem muss der Adressat die Möglichkeit haben, vor einem zuständigen Gericht des Drittlandes seine rechtlichen Interessen im Hinblick auf die nach EU-Recht oder nationalen Recht des bestreffenden Mitgliedstaats geschützten Daten überprüfen zu lassen (lit. b und c, vgl. Erwägungsgrund 77).
Hierzu kann der Adressat der Maßnahme eine ergänzende Stellungnahme anfordern (Abs. 3 UAbs. 2). Vorgesehen ist zudem eine Leitlinie der EU-Kommission, anhand derer bewertet werden kann, ob die genannten Bedingungen im Einzelfall erfüllt sind (Abs. 3 UAbs. 3).
Kommt der Anbieter von Datenverarbeitungsdiensten der gerichtlichen oder behördlichen Anordnung eines Drittlandes nach, darf er nur die notwendige Mindestmenge der verlangten Daten bereitstellen.
- Mitteilungspflicht [Abs. 5]
Der betroffene Dateninhaber hat regelmäßig ein Interesse daran, zu überprüfen, ob der verlangte Zugang gegen EU-Recht oder mitgliedstaatliches Recht verstößt (z.B. Schutz sensibler Geschäftsdaten, Schutz von Geschäftsgeheimnissen, Rechte des geistigen Eigentums, vertragliche Vertraulichkeitspflichten, uvm.; Erwägungsgrund 77). Dazu muss der Anbieter eines Datenverarbeitungsdienstes grundsätzlich den betreffenden Dateninhaber über Zugangs- bzw. Herausgabeverlangen informieren, bevor er dem nachkommt. Ihn trifft nur dann keine Mitteilungspflicht, wenn dies aus Gründen einer effektiven Strafverfolgung ausgeschlossen ist.
Ausblick: Bedeutung für die Praxis
Der ergänzende Drittlandschutz auch für nicht-personenbezogene Daten komplettiert den Schutz und vermag das Vertrauen in die Nutzung von Cloud- und Edge-Angeboten u.ä. stärken. In der Umsetzung ist indes darauf zu achten, die Anbieter nicht über Gebühr zu belasten. Gerade die Bewertung der nationalen Rechtslage in Drittländern ist oft für einzelne Unternehmen nicht leistbar – die könnte eine umfassende Leitlinie der Kommission auffangen, die dadurch zum zentralen Dreh- und Angelpunkt für die Praktikabilität der Regelung wird.