EU-Kommission: Neuer Leitfaden zum Umgang mit nicht personenbezogenen Daten
Konkret dürfen die Mitgliedstaaten nun grundsätzlich keine Normen erlassen, nach denen Daten ohne Rechtsgrund ausschließlich im Inland gespeichert werden dürfen. Es sei denn, die Speicherung im Inland ist aus Gründen der öffentlichen Sicherheit gerechtfertigt und verhältnismäßig. Dies ergibt sich aus Art. 4 der VO (EU) 2018/1807.
Die Zwecke der neuen Vorgaben
- Sicherung der Verfügbarkeit: Der neue Rechtsrahmen soll vor allem die Verfügbarkeit von Daten für ordnungspolitische Kontrollzwecke sicherstellen. Das heißt, die Behörden sind dazu befugt, für Prüf- und Aufsichtszwecke auf Daten innerhalb der kompletten EU zuzugreifen. Und dies unabhängig davon, wo diese gespeichert oder verarbeitet werden.
- Gemeinsamer Datenraum: Beide Verordnungen – die DSGVO und sowie die VO (EU) 2018/1807) – sollen gemeinsam den freien Verkehr von allen Daten ermöglichen, und zwar unabhängig davon, ob diese personenbezogen oder nicht personenbezogen sind. Auf diese Weise soll ein gemeinsamer europäischer Datenraum entstehen.
- Sanktionen: Zudem können die Mitgliedstaaten Sanktionen gegen Nutzer vorsehen, wenn diese nach Aufforderung einer zuständigen Behörde den Zugriff auf Daten verweigern, die in einem anderen Mitgliedstaat gespeichert sind.
- Mitteilung von Lokalisierungsauflagen: Etwaige verbleibende oder geplante Datenlokalisierungsauflagen müssen die Mitgliedstaaten nun der EU-Kommission mitteilen. Die Kommission wird dann prüfen, ob diese gerechtfertigt sind.
Wo Datenschützer ihre Nase reinsteckenPinG Privacy in GermanyDie Zeitschrift für alle, die mit Datenschutz in Unternehmen zu tun haben und bei der regelkonformen Umsetzung stets auf der sicheren Seite sein wollen:
|
Die Inhalte der Leitlinien
Grundsätze des freien DatenverkehrsDer Leitfaden der Kommission bekräftigt die Grundsätze des freien Datenverkehrs zusammen mit dem Verbot der Datenlokalisierung – und zwar sowohl im Rahmen der DSGVO als auch nach der neuen VO (EU) 2018/1807. Der Leitfaden gibt nun vor allem Hilfen bei der Auslegung zahlreicher Begriffe, wie zum Beispiel „Personenbezogene Daten“, „Gemischter Datensatz, „Pseudonymisierung“ oder „Anonymisierung“. Darüber hinaus soll das Papier bei der Anwendung der DSGVO und/oder der VO (EU) 2018/1807 helfen. Die wesentlichen Inhalte der Leitlinien:
Personenbezogene Daten
Die DSGVO bezeichnet personenbezogene Daten als Informationen, die sich auf identifizierte oder identifizierbare natürliche Person beziehen.
- Identifizierbarkeit: Identifizierbar ist nach DSGVO jede natürliche Person, die direkt oder indirekt – etwa über die Zuordnung zu ihrem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu besonderen physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen Merkmalen – identifiziert werden kann.
- Pseudonymisierung: Auch pseudonymisierte Daten bleiben personenbezogen im Sinne des DSGVO. Pseudonymisierung heißt Verarbeitung personenbezogener Daten, die es unmöglich macht, diese Daten ohne zusätzliche Informationen einer bestimmten Person zuzuordnen. Die zusätzlichen Informationen werden getrennt aufbewahrt und zum Beispiel durch Verschlüsselung gesichert.
Hierzu gehören alle Daten, die keine personenbezogenen Merkmale enthalten. Auch Daten, die ursprünglich personenbezogen waren, aber später anonymisiert wurden, sind von diesem Begriff erfasst.
- Anonymisierung: Die Anonymisierung unterscheidet sich von der Pseudonymisierung dadurch, dass eine Zuordnung zu einer bestimmten Person nicht einmal durch die Verwendung zusätzlicher Daten möglich ist.
- Beispiele: Dies wäre etwa beim Aggregieren von Reisemustern aus Daten von natürlichen Personen, die nicht mehr identifizierbar sind der Fall. Gleiches gilt für Hochfrequenzhandelsdaten im Finanzsektor oder für Daten zur Präzisionslandwirtschaft, die dazu beitragen, den Einsatz von Pestiziden, Nährstoffen und Wasser zu überwachen und zu optimieren.
Gemischte Datensätze bestehen aus personenbezogenen und aus nicht-personenbezogenen Daten. Grund für die Vermischung sind technologische Entwicklungen, wie zum Beispiel das Internet der Dinge, etwa bedingt durch die digitale Vernetzung von Objekten. Weitere Beispiele sind Anwendungen der künstlichen Intelligenz (KI) und Technologien für die Analyse großer Datenmengen. Gemischte Datensätze machen den größten Teil der Datensätze aus, die die Datenwirtschaft verwendet.
Für gemischte Datensätze gilt nach der neuen VO (EU) 2018/1807 folgendes:
- Nicht-personenbezogene Daten: Die neue VO gilt für nicht-personenbezogene Daten eines Datensatzes.
- Personenbezogenen Daten: Für die personenbezogenen Daten gilt die Regelung der DSGVO, die den freien Verkehr regelt. Damit gilt den Leitlinien zufolge insoweit Artikel 1 Absatz 3 DSGVO.
- Untrennbarkeit: Sind personenbezogene und nicht personenbezogene Daten untrennbar miteinander verbunden, ist die DSGVO vollständig auf den gesamten gemischten Datensatz anzuwenden – und zwar auch dann, wenn der personenbezogene Teil des Datensatzes nur sehr gering ist.
Der kostenlose Newsletter Recht – Hier können Sie sich anmelden! |
Redaktionelle Nachrichten zu neuen Entscheidungen und Rechtsentwicklungen, Interviews und Literaturtipps. |
Verhaltensregeln für Cloud-Dienste
Die Leitlinien sollen auch die Schaffung von Verhaltensregeln für Cloud-Dienste unterstützen. Bis Ende November 2019 soll hierdurch der Wechsel zwischen Cloud-Diensteanbietern leichter werden. Dies soll den Markt für Cloud-Dienste flexibilisieren und Datendienste in der EU erschwinglicher machen.
Datenübertragbarkeit und Selbstregulierung
Darüber hinaus sollen die Leitlinien den Begriff der Datenübertragbarkeit im Rahmen der neuen VO klären und die Anforderungen an die Selbstregulierung festlegen.
Quellen: PM der EU-Kommission vom 29.05.2019 sowie VO (EU) 2018/1807
Programmbereich: Wirtschaftsrecht