Mit einer neuen Verordnung möchte die EU den grenzüberschreitenden Verkehr nicht personenbezogener Daten erleichtern. Der Beitrag stellt den Inhalt der Verordnung vor und erörtert einige auftretende Rechtsfragen.

1. Ausgangssituation

2. Übersicht über die Regelungen

3. Rechtsfragen

a) Personenbezogene Daten

b) Sammlungen gemischter Daten

c) Verhaltensregeln

4. Zusammenfassung und Ausblick

1. Ausgangssituation
Die Beseitigung von Hindernissen, die nationale Gesetze für die grenzüberschreitende Tätigkeit vom Unternehmen aufgestellt haben und weiterhin aufstellen, ist seit langem ein wichtiges Ziel der EU-Gesetzgebung. Gleichzeitig werden die internationale Zugänglichkeit von und der internationale Handel mit Daten immer wichtiger; Daten werden als Rohstoffe des 21. Jahrhunderts bezeichnet. Es ist daher kein Wunder, dass die EU durch eine Verordnung nationale Barrieren beseitigen möchte, die der EU-weiten Nutzung von Daten entgegenstehen. Nachdem schon die DSGVO u.a. das Ziel verfolgt, Handelshemmnisse in der EU durch ein EU-weites und damit in allen Staaten gleiches Datenschutzrecht zu beseitigen, geht es jetzt um den freien Fluss nicht personenbezogener Daten. Dafür will die EU eine eigene Verordnung erlassen, die insb. Regelungen außer Kraft setzen und für die Zukunft verhindern will, die vorschreiben, dass die Daten nur innerhalb eines bestimmten Nationalstaats gespeichert werden dürfen. Die Verordnung soll in der Folge auf Basis des Texts vorgestellt werden, über den im Trilog-Verfahren Einigung erzielt wurde.

2. Übersicht über die Regelungen
Der Anwendungsbereich der Verordnung ergibt sich aus Art. 2: Sie gilt für die Verarbeitung elektronischer Daten, wenn sie Teil eines Diensts sind, der entweder Nutzern in der EU angeboten wird oder von Personen angeboten wird, die Sitz oder Wohnsitz innerhalb der EU haben (Art. 2 Abs. 1 VO). Besteht eine Datei aus personenbezogenen und nicht personenbezogenen Daten, gilt die Verordnung nur für nicht personenbezogene Daten. Lassen sich die beiden Datenarten nicht trennen, darf die Verordnung die Anwendung der DSGVO nicht beeinträchtigen (Art. 2 Abs. 2 VO). Die Verordnung gilt nicht für die interne staatliche Organisation und Regelungen darüber, welche Gliederung innerhalb der öffentlichen Verwaltung für die Datenverarbeitung verantwortlich ist – es sei denn, es geht um die Vergütung von Privatunternehmen (Art. 2 Abs. 3 VO). Nach Erwgrd. 14 zielt dies in erster Linie darauf ab, der öffentlichen Verwaltung die Entscheidung darüber zu überlassen, ob sie eine IT-Dienstleistung selbst erbringt oder nicht.

Art. 4 Abs. 1 VO verbietet grundsätzlich alle Regelungen, nach denen Daten lokal in einem bestimmten Land gespeichert werden müssen (Lokalisationsgebote), es sei denn, sie seien für die öffentliche Sicherheit erforderlich und verhältnismäßig. Solche Anforderungen sind dabei nach der Definition in Art. 3 Nr. 5 VO nicht nur untersagt, wenn sie sich aus förmlichen Gesetzen oder anderen Normen ergeben, sondern auch dann, wenn sie sich aus einer generellen Verwaltungspraxis oder Gebräuchen von Personen ergeben, die dem öffentlichen Recht unterliegen. Das Verbot gilt auch im Vergaberecht. Die Vergabe-RL bleibt unberührt. Lokalisationsgebote, die auf EU-Recht beruhen, bleiben ebenfalls unberührt.

Bestehende Lokalisationsgebote sollen binnen zwei Jahren nach Beginn der Anwendung der Verordnung außer Kraft gesetzt werden, soweit sie nicht den Anforderungen des Art. 4 Abs. 1 VO entsprechen. Faktisch sind dies 30 Monate nach Veröffentlichung der Verordnung im Amtsblatt (vgl. Art. 9 der Verordnung). Will ein Mitgliedsstaat ein solches Gebot beibehalten, weil ...