Die tschechische EU-Ratspräsidentschaft schloss ihre zweite vollständige Überarbeitung des Datenschutzgesetzes ab, indem sie den Kunden mehr Ermessen beim Zeitpunkt des Wechsels von einem Cloud-Dienst zum anderen einräumte.
Das Data Act ist ein wegweisendes Gesetz, das regelt, wie auf Daten zugegriffen, sie geteilt und übertragen werden können. Der neue Kompromisstext, der EURACTIV vorliegt, wurde am Donnerstag (3. November) verteilt und wird während eines Treffens der Arbeitsgruppe Telekommunikation des EU-Rates am 8. November diskutiert.
Die Diskussion wird zeigen, ob es der Ratspräsidentschaft gelingen wird, den Standpunkt des Rates bis Dezember endgültig festzulegen.
Cloud-Switching
Aufgrund des neuen Textes wurde die Kündigungsfrist für den Kunden von ursprünglich 30 Tagen auf 2 Monate verlängert. In ähnlicher Weise wurde dem Kunden ein weitreichender Ermessensspielraum eingeräumt, die Übergangsfrist für die Änderung des Dienstes, die ebenfalls ursprünglich auf 30 Tage festgelegt war, zu verlängern, wenn „der Kunde es für angemessener hält“.
Es wird auch klargestellt, dass die Verpflichtungen zum effektiven Wechsel zu einem anderen Cloud-Dienst nur für „die vom ursprünglichen Anbieter bereitgestellten Dienste, vertraglichen Vereinbarungen oder Geschäftspraktiken“ gelten.
In der vertraglichen Vereinbarung müsste der Cloud-Anbieter die für die interne Funktionsweise seines Dienstes spezifischen Metadatenkategorien angeben, die dann zum Schutz von Geschäftsgeheimnissen vom Portierungsprozess ausgenommen wären.
Für die Ratspräsidentschaft müssten sich Verträge auch auf ein aktuelles Online-Register von Standards und technischen Spezifikationen für die Portabilität beziehen, die im Portierungsprozess verwendet würden. Der ursprüngliche Anbieter müsste die Daten des Kunden nach einem Monat nach Abschluss der Übertragung löschen und dabei sicherstellen, dass keine Daten verloren gegangen sind.
Internationale Datenübertragungen
Die meisten Änderungen am Teil des internationalen Datentransfers sollten den Wortlaut an die ähnlichen Bestimmungen des vorherigen Bausteins der europäischen Datenstrategie, des kürzlich verabschiedeten Data Governance Act, anpassen.
Diese Maßnahmen schreiben vor, dass Cloud-Anbieter Anträgen auf Datenzugriff, die von Richtern aus Nicht-EU-Ländern gestellt werden, nur nachkommen können, entweder wenn ein Abkommen über justizielle Zusammenarbeit besteht oder unter bestimmten Bedingungen der Verhältnismäßigkeit und des Rechtsbehelfs.
a Im letzteren Szenario präzisierte Prag, dass der Cloud-Anbieter, der die Anfrage erhalten hat, die Meinung der nationalen Behörde einholen kann, die für Rechtsfragen im Zusammenhang mit der internationalen Zusammenarbeit zuständig ist. Berührt das gerichtliche Ersuchen die nationale Sicherheit der EU oder eines Mitgliedsstaates, müssen Sicherheitsbehörden hinzugezogen werden.
Dieser Abschnitt des Datenschutzgesetzes wurde seit Beginn der Verhandlungen im EU-Rat nicht wesentlich geändert. EURACTIV geht davon aus, dass es angesichts seiner potenziellen Auswirkungen auf die internationale Zusammenarbeit zu einem späteren Zeitpunkt Gegenstand politischer Diskussionen sein könnte.
Interoperabilität
Der Kompromisstext bezieht sich nun ausdrücklich auf gemeinsame europäische Datenräume, eine weitere grundlegende Komponente der Datenstrategie der Kommission, die einen Rahmen für die gemeinsame Nutzung oder gemeinsame Verarbeitung von Daten in Bezug auf einen bestimmten Sektor wie Gesundheit oder Verkehr bietet.
Durchsetzung
Das Datenschutzgesetz bietet eine Rechtsgrundlage für öffentliche Stellen, um unter bestimmten Umständen Zugang zu privat gehaltenen Daten zu verlangen. Der überarbeitete Wortlaut beauftragt die zuständigen nationalen Behörden, freiwillige Vereinbarungen zur gemeinsamen Nutzung von Daten zwischen öffentlichen und privaten Akteuren zu fördern.
Intelligente Verträge
Es wurde ein neuer Absatz hinzugefügt, in dem verlangt wird, dass Anbieter, die Smart Contracts zur Erfüllung einer Datenzugangsvereinbarung verwenden, eine Konformitätsbewertung für den Smart Contract durchführen müssen, die in Form einer Selbstbewertung auf der Grundlage der EU-Marktüberwachungsvorschriften durchgeführt wird.
[Edited by Alice Taylor]