Der von EURACTIV eingesehene Entwurf der Folgenabschätzung des EU-Datengesetzes veranschaulicht die wichtigsten Aspekte des bevorstehenden Gesetzgebungsvorschlags, der kürzlich einer unabhängigen Prüfung gescheitert ist.
Das Regulatory Scrutiny Board, ein unabhängiges Gremium, das die Folgenabschätzungen der Kommission für neue Legislativvorschläge qualitätsüberprüft, lehnte das Datengesetz am Mittwoch (27 Unternehmen und das Verhältnis zu anderen gesetzgeberischen Maßnahmen.
„Das allgemeine Ziel des Datenschutzgesetzes besteht darin, mehr Daten in der EU nutzbar zu machen, um nachhaltiges Wachstum und Innovation in allen Sektoren der Datenwirtschaft sowie evidenzbasierte und effiziente öffentliche Politiken und Dienste zu unterstützen“, heißt es in der Folgenabschätzung.
Der Vorschlag ist ein wesentlicher Bestandteil der europäischen Datenstrategie und dürfte sich insbesondere auf den Cloud-Markt auswirken.
„Dies liefert weitere Beispiele dafür, wie die Kommission nach Instrumenten außerhalb der Wettbewerbspolitik sucht, um wahrgenommene Wettbewerbsungleichgewichte in Märkten wie der Cloud anzugehen“, sagte ein Interessenvertreter gegenüber EURACTIV unter der Bedingung der Anonymität.
Zugriff auf Daten
Das Datenschutzgesetz zielt darauf ab, allgemeine Bedingungen für Verbraucher und Unternehmen einzuführen, um auf faire, transparente und nicht diskriminierende Weise auf die Daten zuzugreifen, die sie bei der Nutzung eines Produkts oder einer Dienstleistung erzeugen.
Die sektoralen Rechtsvorschriften würden jedoch hauptsächlich Datenzugriffsrechte definieren, um für jeden Sektor genügend Flexibilität zu ermöglichen. In künftigen Rechtsvorschriften soll ein Streitbeilegungsmechanismus eingerichtet werden, um sicherzustellen, dass diese Bedingungen konsequent angewendet werden.
Der Interessenträger stellte fest, dass „das Datengesetz selbst trotz einiger widersprüchlicher Verweise in der Folgenabschätzung möglicherweise keine wesentlichen Zugangsrechte gewährt, was die interne Debatte über die Form des Vorschlags hervorhebt“.
Nach der von der Kommission bevorzugten Option würden diese allgemeinen Bedingungen nicht das Recht auf Zugang zu Lieferkettendaten beinhalten, da Hersteller und Dienstleister weiterhin Zugang zu den durch ihre Dienstleistungen und Produkte generierten Daten behalten würden.
Eine Vereinbarung über die gemeinsame Nutzung von Daten würde über Smart Contracts und Anwendungsprogrammierschnittstellen „ermutigt“. Der Text verweist jedoch auch auf die Einführung „wesentlicher“ technischer Maßnahmen für die Interoperabilität, was die Frage aufwirft, ob diese Maßnahmen obligatorisch wären oder nicht.
Der Vorschlag würde auch einen vertraglichen Fairnesstest für Vereinbarungen über die gemeinsame Nutzung von Daten zwischen Unternehmen (B2B) einführen, der auf Vertragsbedingungen beschränkt wäre, die von einer Partei einzeln auferlegt werden.
Die Kommission schlägt eine Expertengruppe vor, die die EU-Exekutive insbesondere in Bezug auf die gemeinsame Nutzung von Daten zwischen Unternehmen und Cloud-Computing-Verträge berät.
Transparenzpflichten würden Diensteanbieter zwingen, in der Vereinbarung anzugeben, welche Art von Daten wahrscheinlich generiert werden und wie Kunden darauf zugreifen können, wobei KMU ausgenommen sind.
Die Kommission erwartet außerdem eine Überarbeitung der Datenbankrichtlinie, um maschinengenerierte Daten aus dem Anwendungsbereich auszuschließen, diese Art von Daten zugänglicher zu machen und Lock-in-Situationen zu verhindern.
Öffentlicher Zugriff auf Daten
In Bezug auf die Verpflichtung von Unternehmen, Daten mit Behörden auszutauschen, würde der Zugang auf einer auf EU-Ebene definierten Liste von Zwecken basieren, die auf „nur die dringendsten sozialen Bedürfnisse, wenn andere Möglichkeiten des Datenzugangs nicht verfügbar sind“, einschließlich außergewöhnlicher Umstände beschränkt sind , Umweltschutz und öffentliche Gesundheit.
Darüber hinaus schlägt die Kommission vor, die Mitgliedstaaten auf der Grundlage einer öffentlichen Bedarfsanalyse um weitere Zwecke in die Liste aufzunehmen. Die EU-Länder müssten außerdem nationale Koordinierungsstrukturen einrichten, die den Datenaustausch mit öffentlichen und privaten Einrichtungen erleichtern und registrieren.
Das Datengesetz würde Vorkehrungen treffen, um sicherzustellen, dass die Weitergabe von B2G-Daten verhältnismäßig ist und die Grundrechte und die Interessen des Unternehmens an der Bereitstellung der Daten gewahrt werden. Der Begriff des öffentlichen Interesses und die Gewährleistung der Verhältnismäßigkeit scheinen jedoch nicht ausreichend entwickelt.
Unternehmen, die die Daten bereitstellen, sollten im Rahmen einer Vorzugsbehandlung mit niedrigeren Preisen entschädigt werden, obwohl unklar bleibt, wie den Daten ein wirtschaftlicher Wert beigemessen wird. Die für öffentliche Notfälle angeforderten Daten müssten kostenlos angeboten werden.
Cloud-Switching und Extraterritorialität
Die Folgenabschätzung sieht die Einführung rechtlicher Anforderungen vor, die die „Umschaltbarkeit“ von einem Cloud-Dienstleister zum anderen gewährleisten würden, insbesondere durch die Festlegung von Mindestfunktionen über einen Standardisierungsrahmen.
Die Kommission schlägt jedoch vor, im Datengesetz keine technischen Merkmale oder Standards für die gemeinsame Nutzung von Daten vorzusehen, sondern stattdessen die Möglichkeit zu belassen, abgeleitete Rechtsvorschriften in Bezug auf den Standardsetzungsprozess zu erlassen oder spezifische Wechselstandards vorzuschreiben.
„Die Kommission wäre ermächtigt, von Normungsgremien oder der Industrie ausgearbeitete Dateninteroperabilitätsanforderungen für ausgewählte gemeinsame europäische Datenräume in delegierten Rechtsakten zu bestätigen. Die Anforderungen wären für Stakeholder in den Datenräumen nicht verpflichtend“, heißt es in der Folgenabschätzung.
Der Interessenträger stellt fest, dass sich die Prüfung von „Datenverarbeitungsdienstleistern“ voraussichtlich hauptsächlich auf Cloud-Anbieter konzentrieren wird. Dennoch könnte die breite Terminologie die Tür für einen breiteren Anwendungsbereich öffnen.
In Anlehnung an ähnliche Bestimmungen im Data Governance Act verpflichtet das Data Act private Anbieter, technische, rechtliche und organisatorische Maßnahmen zu treffen, die die Übermittlung von Daten an Länder mit Rechtsvorschriften, die mit EU- oder nationalen Gesetzen im Widerspruch stehen, verhindern.
Die Verabschiedung des Datenschutzgesetzes wird nun im ersten Quartal 2022 erwartet.
[Edited by Alice Taylor]