28.6.2018   

DE

Amtsblatt der Europäischen Union

C 227/78

Stellungnahme des Europäischen Wirtschafts- und Sozialausschusses zum „Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates über einen Rahmen für den freien Verkehr nicht personenbezogener Daten in der Europäischen Union“

(COM(2017) 495 final — 2017/0228(COD))

(2018/C 227/12)

Berichterstatter:

Jorge PEGADO LIZ

Befassungen

Europäisches Parlament, 23.10.2017

Rat der Europäischen Union, 24.10.2017

Rechtsgrundlage

Artikel 114 des Vertrags über die Arbeitsweise der Europäischen Union

Zuständige Fachgruppe

Fachgruppe Verkehr, Energie, Infrastrukturen, Informationsgesellschaft

Annahme in der Fachgruppe

5.2.2018

Verabschiedung auf der Plenartagung

15.2.2018

Plenartagung Nr.

532

Ergebnis der Abstimmung

(Ja-Stimmen/Nein-Stimmen/Enthaltungen)

163/3/4

1.   Schlussfolgerungen und Empfehlungen

1.1.    Schlussfolgerungen

1.1.1.

 Der Europäische Wirtschafts- und Sozialausschuss (EWSA) hat sich bereits in mehreren früheren Stellungnahmen für eine Rechtsetzungsinitiative zum freien Verkehr nicht personenbezogener Daten ausgesprochen, der ja eine Grundvoraussetzung für die Ziele der digitalen Agenda und die Verwirklichung des digitalen Binnenmarkts ist.

1.1.2.

 Dieser Vorschlag der Kommission ist bislang der wichtigste rechtliche Aspekt der künftigen europäischen Politik für die Entwicklung der Datenwirtschaft und im Hinblick auf deren Auswirkungen auf das Wirtschaftswachstum, die wissenschaftliche Forschung, die Förderung neuer Technologien (insbesondere im Bereich der künstlichen Intelligenz), das Cloud-Computing, die Big-Data und das Internet der Dinge (IoT), die Industrie sowie die Dienstleistungen im Allgemeinen und die öffentlichen Dienstleistungen im Besonderen.

1.1.3.

 Der EWSA ist jedoch der Auffassung, dass der Vorschlag nicht nur spät vorgelegt wurde, sondern auch, dass sein stark eingeschränkter Anwendungsbereich, die Ungenauigkeit und Unbestimmtheit der angekündigten Mechanismen, das Fehlen überzeugender Mittel für ihre effektive Umsetzung und vor allem der Mangel an politischem Ehrgeiz und Willen sowie politischer Entschlossenheit die diesbezüglichen Ziele unterminieren könnten.

1.1.4.

 Der EWSA hält es nämlich im Gegensatz zur Kommission in Bezug auf das erste und wichtigste Ziel — „Verbesserung der grenzüberschreitenden Mobilität nicht personenbezogener Daten im Binnenmarkt“ — in einem ersten Schritt nicht für ausreichend, die Mitgliedstaaten dazu aufzufordern, ihr „alle Entwürfe von Vorschriften mit[zuteilen], die neue Datenlokalisierungsauflagen enthalten oder bestehende Datenlokalisierungsauflagen ändern“. Die Mitgliedstaaten müssen aber erst binnen 12 Monaten nach dem Beginn der Anwendung dieser Verordnung (also bestenfalls und frühestens Ende 2018) dafür sorgen, „dass alle Datenlokalisierungsauflagen […] aufgehoben werden“, die nicht mit der Bestimmung vereinbar sind, wonach der freie Verkehr der betreffenden Daten nicht eingeschränkt werden darf, außer wenn Gründe der öffentlichen Sicherheit vorliegen.

1.1.5.

 In Bezug auf das zweite genannte Ziel — „Gewährleistung, dass die Befugnisse der zuständigen Behörden, zu ordnungspolitischen Kontrollzwecken Zugang zu Daten zu verlangen und zu erhalten, unberührt bleiben“ — kritisiert der EWSA, dass sich der Vorschlag darauf beschränkt, ein Verfahren zur Zusammenarbeit zwischen den zuständigen Behörden in den einzelnen Mitgliedstaaten vorzuschlagen, um so ein Netz zentraler Anlaufstellen zu schaffen, die bezüglich der Anwendung dieser Verordnung mit den Anlaufstellen der anderen Mitgliedstaaten und mit der Kommission in Verbindung stehen.

1.1.6.

 In Bezug auf das dritte Ziel — „Erleichterung des Anbieterwechsels und der Übertragung von Daten für die beruflichen Nutzer von Datenspeicherungs- oder sonstigen Datenverarbeitungsdiensten“ — missbilligt der EWSA, dass sich die Kommission lediglich dazu verpflichtet, „auf Unionsebene die Entwicklung von Verhaltensregeln für die Selbstregulierung“ zu fördern und zu erleichtern. Für diesen Bereich sollten vielmehr ausschließlich Legislativmaßnahmen erwogen werden. Es wird noch nicht einmal die Erarbeitung von „Leitlinien“ für die Entwicklung der genannten Verhaltensregeln vorgeschlagen.

1.1.7.

 Aus all diesen Gründen kann der EWSA den Vorschlag in seiner derzeitigen Fassung nicht befürworten. Nur wenn und soweit der Vorschlag entsprechend den hier formulierten Empfehlungen geändert und eindeutig als größter gemeinsamer Nenner für die Mitgliedstaaten und für die Interessenträger und lediglich als ein erster Schritt bei der künftigen Entwicklung ehrgeizigerer Verfahren zur effektiven Verwirklichung eines echten freien Verkehrs nicht personenbezogener Daten im digitalen Binnenmarkt der EU aufgefasst wird, ist der EWSA bereit, den Vorschlag zu unterstützen.

1.1.8.

 Eine weitere Voraussetzung dafür ist, dass dabei die internationalen Aspekte der globalen Wirtschaft gebührend berücksichtigt werden, zu der diese Initiative zwangsläufig gehört.

1.2.    Empfehlungen

1.2.1.

 Vor diesem Hintergrund empfiehlt der EWSA der Kommission, ihren Vorschlag zu überarbeiten und an die vom EWSA bevorzugte Option 3 deutlich anzunähern — und damit von der gewählten Unteroption 2a abzurücken.

Außerdem ersucht er die Kommission nachdrücklich, insbesondere die in folgenden Ziffern enthaltenen Empfehlungen in ihren Vorschlag aufzunehmen: 3.4.1 (Frist für das Inkrafttreten), 3.4.2 (Fehlen eines verpflichtenden Verfahrens im Falle eines Verstoßes), 3.6 (Fehlen von Leitlinien für Verhaltensregeln), 3.7 (keine Bedenken gegen die Einstufung von Metadaten) und 3.8 (fehlende Berücksichtigung der globalen und transeuropäischen Natur der digitalen Wirtschaft). Vor allem aber sollte für Verstöße der Mitgliedstaaten ein spezifisches Verfahren vorgesehen werden.

1.2.2.

 Der EWSA ersucht die Kommission zudem darum, die verschiedenen Verbesserungsvorschläge zu übernehmen, die er insbesondere in Bezug auf mehrere Artikel des hier behandelten Verordnungsvorschlags unterbreitet hat.

1.2.3.

 Außerdem empfiehlt er der Kommission nachdrücklich, die im Standpunkt des Ratsvorsitzes vom Dezember angeregten Änderungen in ihrem Vorschlag zu berücksichtigen, da diese wesentliche Verbesserungen vorsehen und die Umsetzbarkeit des Vorschlags ermöglichen.

2.   Kurze Zusammenfassung und allgemeiner Hintergrund

2.1.    Zusammenfassung des Vorschlags und seiner Begründung

2.1.1.

 Die Kommission begründet die Notwendigkeit und Verhältnismäßigkeit des Verordnungsvorschlags (1) wie folgt:

Verbesserung der grenzüberschreitenden Mobilität nicht personenbezogener Daten im Binnenmarkt, die heute in vielen Mitgliedstaaten noch durch Lokalisierungsbeschränkungen oder Rechtsunsicherheit auf den Märkten begrenzt ist;

Gewährleistung, dass die Befugnisse der zuständigen Behörden, zu ordnungspolitischen Kontrollzwecken Zugang zu Daten zu verlangen und zu erhalten, unberührt bleiben;

Erleichterung des Anbieterwechsels und der Übertragung von Daten für die beruflichen Nutzer von Datenspeicherungs- oder sonstigen Datenverarbeitungsdiensten.

2.1.2.

 Die Kommission ist der Auffassung, dass dieser Vorschlag dem Subsidiaritätsprinzip insofern entspricht, als er durch die Sicherstellung des freien Datenverkehrs in der EU darauf abzielt, „das reibungslose Funktionieren des Binnenmarkts für die genannten Dienstleistungen, der nicht auf das Gebiet eines Mitgliedstaats beschränkt ist, sowie den freien Verkehr nicht personenbezogener Daten in der Union zu gewährleisten, […] [der] von den Mitgliedstaaten nicht auf nationaler Ebene verwirklicht werden [kann], da die grenzüberschreitende Datenmobilität das Kernproblem darstellt“.

2.1.3.

 Die Kommission hält den Vorschlag auch insofern für verhältnismäßig, als dieser „ein ausgewogenes Verhältnis zwischen EU-Rechtsvorschriften und den Interessen der Mitgliedstaaten in Bezug auf die öffentliche Sicherheit sowie zwischen EU-Rechtsvorschriften und der Selbstregulierung des Marktes“ herstellen soll.

2.2.    Politischer und rechtlicher Hintergrund

2.2.1.

 Aus rechtlicher Sicht erwägt die Kommission drei Optionen, die sie in der Begründung kurz darlegt, wobei sie einen kurzen Überblick über die während der Erarbeitung des Rechtstextes durchgeführten Ex-ante-Folgenabschätzungen und Konsultationen der Interessenträger gibt (2). Die Optionen lassen sich wie folgt zusammenfassen:

Option 1 — „bestand aus Leitlinien und/oder Selbstregulierung zur Behebung der verschiedenen festgestellten Probleme und sah ein verstärktes Vorgehen gegen verschiedene Kategorien der von Mitgliedstaaten auferlegten ungerechtfertigten oder unverhältnismäßigen Datenlokalisierungsbeschränkungen vor“.

Option 2 — „beinhaltete die Festlegung von Rechtsgrundsätzen in Bezug auf die verschiedenen festgestellten Probleme und sah die Benennung zentraler Anlaufstellen durch die Mitgliedstaaten sowie die Einsetzung einer Sachverständigengruppe vor, die gemeinsame Ansätze und Verfahrensweisen erörtern und Anleitung für die Umsetzung im Rahmen dieser Option eingeführten Grundsätze geben sollte“.

Option 3 — „bestand aus einer ausführlichen Rechtsetzungsinitiative, mit der u. a. vorbestimmt (harmonisiert) werden sollte, was unter (un)gerechtfertigten und (un)verhältnismäßigen Datenlokalisierungsbeschränkungen zu verstehen ist, und ferner ein neues Recht auf Übertragung von Daten geschaffen werden sollte“.

2.2.2.

 Angesichts der Divergenzen mit dem Ausschuss für Regulierungskontrolle, der zwei negative Stellungnahmen zu den Vorschlägen der Kommission verabschiedet hat, und obwohl die meisten Interessenträger die Option der Rechtsetzungsinitiative (Option 3) für das am besten geeignete Instrument halten, wurde dann aus rein strategisch-politischen Gründen folgende Unteroption entwickelt:

Unteroption 2a — „Betrachtet wurde auch eine Unteroption 2a, um die Bewertung einer Kombination aus Rechtsvorschriften zur Schaffung eines Rahmens für den freien Datenverkehr, den zentralen Anlaufstellen und einer Sachverständigengruppe sowie Selbstregulierungsmaßnahmen in Bezug auf die Übertragung von Daten zu ermöglichen.“

Die Kommission ist der Auffassung, dass diese Option „eine wirksame Beseitigung bestehender ungerechtfertigter Lokalisierungsbeschränkungen sicherstellen und etwaige künftige Beschränkungen wirksam unterbinden“ und darüber hinaus „die grenz- und sektorübergreifende Nutzung von Datenspeicherungs- oder sonstigen Datenverarbeitungsdiensten und die Entwicklung des Datenmarktes fördern“ würde und somit „dabei helfen [würde] die Gesellschaft und die Wirtschaft umzugestalten, und den Bürgern, Unternehmen und öffentlichen Verwaltungen Europas neue Chancen eröffnen“ würde.

2.2.3.

 Vor diesem Hintergrund legte sie einen Vorschlag für eine Verordnung vor, „durch die sichergestellt werden kann, dass einheitliche Regeln für den freien Verkehr nicht personenbezogener Daten in der gesamten Union gleichzeitig Anwendung finden“, was „besonders wichtig [ist], um bestehende Beschränkungen zu beseitigen und neue vonseiten der Mitgliedstaaten zu verhindern“.

2.2.4.

 Der vorliegende Vorschlag resultiert aus aktuellen Entwicklungen im Bereich der Digitaltechnologie, die es ermöglichen, große Datenmengen immer effizienter zu speichern und zu nutzen, was Skaleneffekte erzeugt und den Nutzern Vorteile in puncto Zugangsgeschwindigkeit, bessere Konnektivität und größere Unabhängigkeit verschafft.

2.2.4.1.

 Insbesondere in ihrer Mitteilung Aufbau einer europäischen Datenwirtschaft (3) kritisierte die Kommission, dass die Hindernisse für den freien Datenverkehr mit dem Entwicklungsrückstand des europäischen Marktes zusammenhängen. Deshalb hielt es die Kommission für notwendig, einen Vorschlag für einen Rechtsrahmen zu unterbreiten, mit dem der Begriff „Grenzkontrollen“ beseitigt wurde.

Es ist darauf hinzuweisen, dass fast die Hälfte der Mitgliedstaaten ein informelles Dokument über die Initiative zum freien Datenverkehr (Non-paper on the Free Flow of Data initiative (4)) angenommen hat; allerdings haben weder Deutschland noch Frankreich noch die südlichen Länder der EU dieses Dokument unterstützt.

2.2.4.2.

 Das Thema wurde in der Mitteilung der Kommission über die Halbzeitüberprüfung der Strategie für einen digitalen Binnenmarkt — Ein vernetzter digitaler Binnenmarkt für alle (5) — wieder aufgegriffen. Darin kündigt die Kommission für 2017 zwei Legislativinitiativen an: eine Initiative zum freien grenzüberschreitenden Verkehr nicht personenbezogener Daten — die Gegenstand dieser Stellungnahme ist — und eine andere von der Kommission derzeit vorbereitete Initiative zur Zugänglichkeit und Weiterverwendung von Daten, die öffentlich sind oder mit öffentlichen Geldern gesammelt wurden.

2.2.4.3.

 Und schließlich: In der Stellungnahme „Digitaler Binnenmarkt: Halbzeitüberprüfung“ (6) erklärt der EWSA, dass „die europäische Datenwirtschaft einer der Sektoren [ist], in denen der Abstand der EU zur globalen Spitze der digitalen Innovation am sichtbarsten ist“ und dass er „den Vorschlag zur Schaffung eines normativen Rahmens [befürwortet], vorausgesetzt, dass dieser für den Kontext des Cloud Computing und des Internets der Dinge korrekt angepasst wird und eine angemessene Finanzierung seitens der EU erfährt“, was Option 3 entsprechen würde.

2.2.4.4.

 Dieser Vorschlag der Kommission ist bislang der wichtigste rechtliche Aspekt der künftigen europäischen Politik für die Entwicklung der Datenwirtschaft und im Hinblick auf deren Auswirkungen auf das Wirtschaftswachstum, die wissenschaftliche Forschung, die Förderung neuer Technologien (insbesondere im Bereich der künstlichen Intelligenz), das Cloud-Computing, die Big-Data und das Internet der Dinge (IoT), die Industrie sowie die Dienstleistungen im Allgemeinen und die öffentlichen Dienstleistungen im Besonderen (7).

3.   Allgemeine Bemerkungen

3.1.

 Der EWSA nimmt die Zielsetzung dieser Initiative zur Kenntnis, die er bereits in mehreren früheren Stellungnahmen befürwortet hat, da es sich dabei um eine Grundvoraussetzung für die Ziele der digitalen Agenda und die Verwirklichung des digitalen Binnenmarkts handelt.

3.2.

 Der EWSA zeigt sich jedoch enttäuscht angesichts des stark eingeschränkten Anwendungsbereichs der Initiative, der Halbherzigkeit ihrer Zielsetzungen, der Ungenauigkeit und Unbestimmtheit der angekündigten Mechanismen und vor allem des Mangels an politischem Ehrgeiz und Willen sowie politischer Entschlossenheit.

Im Folgenden soll dies eingehender untersucht werden.

3.3.

 Mit dem Begriff „freier Verkehr“ personenbezogener Daten beabsichtigt die Kommission, den in den Mitgliedstaaten bestehenden Maßnahmen und Verfahren entgegenzuwirken, die Hindernisse bezüglich der Datenlokalisierung für die Speicherung oder sonstige Verarbeitung derartiger Daten schaffen, auferlegen oder zulassen, da die Kommission — zu Recht — die Auffassung vertritt, dass diese nicht verboten oder eingeschränkt werden dürfen — außer aus Gründen der öffentlichen Sicherheit (8). Dies erfolgt durch die Festlegung von Vorschriften über:

a)

Datenlokalisierungsauflagen;

b)

Verfügbarkeit von Daten für zuständige Behörden;

c)

und Übertragbarkeit von Daten für berufliche Nutzer.

3.4.

 In Bezug auf die Umsetzung des ersten der vorgenannten Punkte — Datenlokalisierungsauflagen — hält es die Kommission in einem ersten Schritt für ausreichend, die Mitgliedstaaten dazu aufzufordern, ihr „alle Entwürfe von Vorschriften mit[zuteilen], die neue Datenlokalisierungsauflagen enthalten oder bestehende Datenlokalisierungsauflagen ändern“.

3.4.1.

 Erst 12 Monate nach Inkrafttreten der Verordnung — also wohl nicht vor Ende 2018 — werden die Mitgliedstaaten dazu verpflichtet, dafür zu sorgen, „dass alle Datenlokalisierungsauflagen […] aufgehoben werden“, die nicht im Einklang mit der Bestimmung über die Nichtuntersagung oder Einschränkung des freien Verkehrs der betreffenden Daten stehen, außer wenn Gründe der öffentlichen Sicherheit vorliegen. In diesem Fall muss der Mitgliedstaat die Kommission unterrichten und begründen, warum die Maßnahme seiner Auffassung nach im Einklang mit der betreffenden Bestimmung steht und somit in Kraft bleiben sollte.

3.4.2.

 Bei Verstößen der Mitgliedstaaten ist kein spezifisches Verfahren vorgesehen

3.5.

 In Bezug auf den zweiten Punkt — Verfügbarkeit von Daten für zuständige Behörden — lässt diese Verordnung die Befugnisse der zuständigen Behörden, zur Erfüllung ihrer amtlichen Pflichten gemäß dem Unionsrecht oder nationalem Recht Zugang zu Daten zu verlangen und zu erhalten, unberührt.

Es wird jedoch eine wichtige Bestimmung hinzugefügt: „Der Zugang zuständiger Behörden zu Daten darf nicht mit der Begründung verweigert werden, dass die Daten in einem anderen Mitgliedstaat gespeichert oder anderweitig verarbeitet werden.“

3.5.1.

 Um die Umsetzung dieses Rechts zu gewährleisten, beschränkt sich die Kommission darauf, ein Verfahren zur Zusammenarbeit zwischen den zuständigen Behörden in den einzelnen Mitgliedstaaten vorzuschlagen, um so ein Netz zentraler Anlaufstellen zu schaffen, die bezüglich der Anwendung dieser Verordnung mit den Anlaufstellen der anderen Mitgliedstaaten und mit der Kommission in Verbindung stehen, ohne jedoch die Wirksamkeit dieser Anlaufstellen und die Tragbarkeit der einschlägigen Kosten zu beurteilen.

3.5.2.

 Allerdings fällt die Anwendung der Zwangsmaßnahmen durch die ersuchte Behörde, welche notwendig sind, um den Zugang zu Räumlichkeiten einer natürlichen oder juristischen Person oder zu Datenspeicherungs- oder sonstigen Datenverarbeitungsanlagen und -mittel zu erlangen, letztendlich immer in das Verfahrensrecht des jeweiligen Mitgliedstaats.

3.5.3.

 Das bedeutet, dass im sehr wahrscheinlichen Fall der Nichteinhaltung der einzige Rechtsbehelf der Gang vor die ordentlichen Gerichte der Mitgliedstaaten ist, mit den bekanntlich langwierigen Verfahren des Rechtssystems, exorbitanten Kosten und einem ungewissen Ausgang.

3.6.

 Schließlich beschränkt sich die Kommission in Bezug auf den dritten genannten Punkt — Übertragung von Daten für berufliche Nutzer — darauf, „auf Unionsebene die Entwicklung von Verhaltensregeln für die Selbstregulierung [zu fördern und zu erleichtern], um Leitlinien für bewährte Verfahren zur Erleichterung des Anbieterwechsels aufzustellen und damit die Anbieter beruflichen Nutzern vor Abschluss eines Vertrags über die Datenspeicherung und -verarbeitung hinreichend ausführliche, eindeutige und transparente Informationen“ hinsichtlich einer Reihe wirklich struktureller und wesentlicher Fragen geben (9).

3.6.1.

 Es ist deshalb ein sehr fragwürdiger Ansatz, die Regelung grundlegender Aspekte, die nur im Zuge von Legislativmaßnahmen angegangen werden sollten, einfach Selbstregulierungsmechanismen zu überlassen.

Der EWSA hat zwar immer die Koregulierung als ein im Rechtsrahmen der EU besonders wichtiges Mittel befürwortet, stimmt jedoch nicht der Auffassung zu, dass Standards und Grundsätze, die für die Kohärenz und Harmonisierung des EU-Rechts wesentlich sind, ohne jegliche Vorgaben oder Leitlinien einfach der Selbstregulierung überlassen werden sollten.

Gravierender sind die Haftungsbeschränkung und die Einführung von Mindestvertragslaufzeiten für die betroffenen Personen, deren Inhalte im Falle der Nichteinhaltung gelöscht werden können.

3.6.2.

 Noch kritikwürdiger ist die Tatsache, dass die Kommission in keiner Weise einen Koregulierungsmechanismus im Einklang mit dem Modell und den Parametern vorgeschlagen hat, die der EWSA bereits definiert hat (10).

In diesem Sinne ist der EWSA der Ansicht, dass in der Verordnung zumindest eine Reihe grundlegender Bestimmungen, die Vertragsbeziehungen zwischen Dienstleistungserbringern und Nutzern inhärent sind, festgelegt werden sollten, wie auch eine schwarze Liste verbotener Klauseln als Ergebnis der Beschränkung des Rechts auf Übertragung, gemäß den Parametern, die er in seiner Stellungnahme zur Selbst- und Koregulierung vorgeschlagen hat.

3.6.3.

 Es ist zudem inakzeptabel, dass die Kommission noch nicht einmal die Erarbeitung von „Leitlinien“ für die Entwicklung der im Verordnungsentwurf erwähnten Verhaltensregeln vorgeschlagen hat, so wie dies mit Unterstützung des EWSA in anderen Bereichen geschehen ist.

Tatsächlich hat sich das Verhalten bestimmter Unternehmen in Bezug auf die Datenübertragung negativ auf die Rechte der Nutzer ausgewirkt, namentlich durch Beschränkungen des Dateneigentums oder des geistigen Eigentums der Inhalte von Cloud-Diensten, die Zustimmung zur Erhebung und Verarbeitung von Daten — Einführung von Vorschriften über die Zustimmungsvermutung — sowie versteckte Zahlungen oder das Recht auf Aussetzung der Dienstleistungserbringung aufgrund einer einseitigen Entscheidung des Unternehmens.

3.6.4.

 Schließlich verspricht die Kommission ohne jede Alternative legislativer Natur, „die Entwicklung und wirksame Anwendung solcher Verhaltensregeln und die tatsächliche Bereitstellung von Informationen seitens der Anbieter spätestens zwei Jahre nach dem Beginn der Anwendung dieser Verordnung“ zu überprüfen. Und was dann?

3.7.

 Da der Vorschlag auf die drei vorgenannten Situationen beschränkt bleibt, wird überdies nicht den zunehmenden Bedenken gegen Metadaten Rechnung getragen, die als nicht personenbezogene Daten angesehen werden und die mit wenigen Ausnahmen in den Genuss des gleichen Schutzes wie personenbezogene Daten kommen sollten, insbesondere was die ARCO-Rechte für die betroffene Person betrifft.

3.7.1.

 Tatsächlich nehmen Unternehmen, die sich mit der Auswertung von Metadaten beschäftigen, datenbasierte prospektive und proaktive Analysen vor und ermitteln Trends und Bedingungen für künftige Unternehmensentscheidungen.

3.7.2.

 Darüber hinaus ist nicht klar, ob die künftigen Verordnung nur für Daten in elektronischer Form gilt, da in Artikel 3 Absatz 2 die Speicherung als jede Form der elektronischen Speicherung definiert wird; in Artikel 2 selbst heißt es: „Diese Verordnung gilt für die Speicherung oder sonstige Verarbeitung elektronischer Daten[…]“. Ein einschlägiges Beispiel wäre ein anonymer Fragebogen, der in Anwesenheit der betroffenen Personen ausgefüllt und physisch gespeichert wird: Dies könnte bedeuten, dass dieser Sachverhalt nicht unter die vorliegende Verordnung fällt.

3.7.3.

 Überdies wird im Rahmen des Internets der Dinge mit der Verbreitung elektronischer Geräte — insbesondere Haushaltsgeräte, die nicht personenbezogene Daten sammeln und abgleichen — eine Reihe unterschiedlicher Fragen in Bezug auf Sicherheit und Privatsphäre aufgeworfen. Aus diesem Grunde hätte sich die Europäische Kommission unbedingt stärker mit nicht personenbezogenen Daten auseinandersetzen und die Grundrechte der Bürger sicherstellen müssen.

3.7.4.

 Unter Berücksichtigung der Grauzone zwischen personenbezogenen und nicht personenbezogenen Daten — bestimmte Daten können leicht auf Personen bezogen werden — könnte schließlich die Beibehaltung völlig unterschiedlicher Regelungen für diese Art von Daten dazu führen, dass die entsprechenden Stellen versuchen, die erhaltenen Daten als nicht personenbezogen einzustufen, um sich so der Anwendung der Verordnung (EU) 2016/679 vom 27. April 2016 zu entziehen.

3.8.

 Darüber hinaus trägt der Vorschlag der globalen, transeuropäischen Natur der digitalen Wirtschaft nicht gebührend Rechnung, da darin die Aufmerksamkeit allein auf die Regulierung des Binnenmarkts gerichtet und die Tatsache außer Acht gelassen wird, dass dieser Markt innerhalb eines globalen Markts existiert und es damit keine Garantie gibt, dass in anderen Ländern und Kontinenten dieselben Regeln, die jetzt mit dem Vorschlag umgesetzt werden sollen, befolgt werden, und keine Möglichkeit, diese Regeln in internationalen Verhandlungen durchzusetzen.

3.9.

 Aus allen angeführten Gründen spricht sich der EWSA nicht für die Unteroption 2a aus, die die Kommission ohne stimmige und schlüssige Argumente vorschlägt, sondern für die Option 3, die von der Kommission verworfen wird.

3.10.

 Wenn und soweit im Verordnungsvorschlag seine Änderungsvorschläge sowie die von ihm befürworteten Vorschläge, die aus dem Standpunkt des Ratsvorsitzes vom 19. Dezember 2017 resultieren, Berücksichtigung finden, ist der EWSA bereit, den entsprechend geänderten Vorschlag zu unterstützen. Voraussetzung ist jedoch, dass dieser Vorschlag eindeutig als größter gemeinsamer Nenner für die Mitgliedstaaten und für die Interessenträger und nur als ein erster Schritt bei der künftigen Entwicklung ehrgeizigerer Verfahren zur effektiven Verwirklichung eines echten freien Verkehrs nicht personenbezogener Daten im digitalen Binnenmarkt der EU aufgefasst wird.

4.   Besondere Bemerkungen

4.1.    Artikel 2 — Anwendungsbereich

4.1.1.

 Der EWSA hinterfragt Absatz (a), konkret, was unter „einer Dienstleistung für Nutzer“ zu verstehen ist, insbesondere, ob es sich dabei um unentgeltliches oder entgeltliches Rechtsgeschäft handelt.

In der Tat gibt es heute verschiedene unentgeltlich erbrachte Dienstleistungen, u. a. Google Analytics. Allerdings konnten die betreffenden Unternehmen aufgrund der Tatsache, dass sie von den Nutzern kein Geld für diese Dienstleistungen verlangen, missbräuchliche Klauseln in ihre Verträge über die Dienstleistungserbringung einführen und damit keine Haftung für den Verlust oder die Zerstörung von Daten übernehmen und sich sogar das Recht vorbehalten, Daten ohne Einwilligung der betroffenen Person zu löschen.

4.1.2.

 Darüber hinaus ist der EWSA der Ansicht, dass die vorliegende Verordnung ähnlich wie im Falle der Verordnung (EU) 2016/679 auch auf ein Land außerhalb der Europäischen Union angewandt werden sollte, in dem nach internationalem Privatrecht die Rechtsvorschriften eines Mitgliedstaats gelten.

4.2.    Artikel 3 — Begriffsbestimmungen

4.2.1.   Begriff „nicht personenbezogene Daten“

4.2.1.1.

 Im Vorschlag gibt es keine aristotelische Definition des Begriffs „nicht personenbezogene Daten“. Es kann lediglich gesagt werden, dass es dabei um Daten geht, die nicht personenbezogen sind; d. h. es handelt sich um eine Negativdefinition, wie sich aus dem siebten Erwägungsgrund und Artikel 1 des Vorschlags zu ergeben scheint.

4.2.1.2.

 Bei näherer Betrachtung zeigt sich jedoch, dass von diesem Begriff nur personenbezogene Daten ausgeschlossen sind, die Gegenstand eines spezifischen rechtlichen Schutzes sind, d. h. des Schutzes, der derzeit in der EU durch die Verordnung (EU) 2016/679 vom 27. April 2016, die Richtlinie (EU) 2016/680 vom 27. April 2016 und die Richtlinie 2002/58/EG vom 12. Juli 2002 (11) sowie durch die einzelstaatlichen Vorschriften, die diese Rechtsakte umsetzen, gewährt wird.

4.2.1.3.

 Daher scheint dieser Vorschlag nicht nur die Daten in Bezug auf juristische Personen abzudecken (die nicht — wie vom EWSA mehrfach empfohlen und wie in vielen nationalen Rechtsordnungen vorgesehen — denselben Schutz genießen wie natürliche Personen), sondern auch die „anonymen“ personenbezogenen Daten, für die sich ein Verweis nur in Erwägungsgrund 26 der Datenschutz-Grundverordnung findet.

4.2.1.4.

 Angesichts der Unbestimmtheit der Formulierung unterstreicht der EWSA, dass der Begriff „nicht personenbezogene Daten“ in der vorliegenden Verordnung ausdrücklich definiert werden muss. Dabei sollte es sich nicht wie in der Verordnung (EU) 2016/679 um eine behelfsmäßige oder allgemeine Definition handeln, da viele Gerichte die Begriffe „personenbezogene Daten“ und „nicht personenbezogene Daten“ bereits unterschiedlich ausgelegt haben. Ziel ist es, die Kohärenz, Konsistenz und Rechtsklarheit der Rechtsakte der EU zu gewährleisten.

4.3.    Artikel 4 — Freier Datenverkehr in der Union

4.3.1.

 Im Interesse der Rechtssicherheit ist der EWSA der Ansicht, dass Fristen festgelegt werden müssen, innerhalb derer die Mitgliedstaaten Maßnahmen, die die Beibehaltung oder Schaffung von Regelungen implizieren, welche aus Gründen der öffentlichen Sicherheit der vorliegenden Verordnung zuwiderlaufen, melden müssen.

4.3.2.

 Es ist außerdem wichtig, dass die Europäische Kommission die übrigen Mitgliedstaaten davon in Kenntnis setzt, damit diese prüfen können, ob diese Maßnahmen einen unmittelbaren oder mittelbaren Einfluss auf den Verkehr nicht personenbezogener Daten in eben diesen Ländern haben werden.

4.4.    Artikel 9 — Überprüfung

4.4.1.

 Die Kommission hat sich dazu verpflichtet, diese Verordnung zu überprüfen und bereits fünf Jahre nach ihrem Inkrafttreten dem Europäischen Parlament, dem Rat und dem EWSA einen Bericht mit den wichtigsten Schlussfolgerungen vorzulegen.

4.4.2.

 Da davon auszugehen ist, dass die Verordnung bestenfalls vor Ende 2018 in Kraft tritt, hält es der EWSA angesichts der offenkundigen Fragilität des Mechanismus und der sich rasch ändernden Materie für angemessener, die Überprüfung innerhalb von drei Jahren vorzunehmen.

4.5.    Standpunkt des Ratsvorsitzes

4.5.1.

 Während der Erarbeitung dieses Stellungnahmeentwurfs legte der Vorsitz des Europäischen Rates am 19. Dezember eine geänderte Fassung des Kommissionsvorschlags vor (12). Diese enthält substanzielle Änderungen am Text der Kommission, die in die Richtung der Empfehlungen des EWSA gehen.

4.5.2.

 Diese betreffen insbesondere:

a)

Artikel 2 — Anwendungsbereich und Erwägungsgründe 7a und 8a — Klarstellung dessen, was nicht in den Anwendungsbereich der Verordnung fällt;

b)

Artikel 3 — Begriffsbestimmungen: neuer Absatz 2a zur Klärung der Bedeutung des Begriffs „Verarbeitung“;

c)

Artikel 3 Absatz 5 — ausdrückliche Aufnahme der Verwaltungsvorschriften in die Definition der Datenlokalisierungsauflage und die sich daraus ergebende Änderung von Artikel 4 Absatz 1;

d)

Artikel 5 Absatz 2a — Festlegung eines verbindlichen Verfahrens mit einer Pflicht zur Bereitstellung von Daten, und Artikel 5 Absatz 3a — eine Bestimmung, der zufolge die Mitgliedstaaten Strafen gegen Nutzer verhängen können, die der Pflicht zur Bereitstellung von Daten nicht nachkommen, so wie in dieser Stellungnahme empfohlen wird;

e)

Artikel 6 — Festlegung von Leitlinien für die Erarbeitung von Verhaltensregeln;

f)

Artikel 7 — Festlegung der Rolle der zentralen Anlaufstellen und Beschleunigung des Kommunikationsprozesses zwischen den Behörden;

g)

Streichung von Artikel 8, womit der Ausschuss für freien Datenverkehr entfällt;

h)

mehrere Artikel: Verbesserung der Vereinbarkeit mit der Transparenzrichtlinie (13);

i)

Erwägungsgründe 10 und 10a: notwendige Klarstellung der Frage der gemischten Datensätze und der anonymen Daten, so wie in dieser Stellungnahme gefordert wird;

j)

Erwägungsgrund 12a: Begriff der öffentlichen Sicherheit gemäß Artikel 4, Klarstellung auf der Grundlage der Rechtsprechung des Gerichtshofs, so wie in dieser Stellungnahme empfohlen wird;

4.5.3.

 Der EWSA begrüßt nachdrücklich all diese Vorschläge des Ratsvorsitzes und fordert die Kommission, das Europäische Parlament und die Mitgliedstaaten eindringlich dazu auf, diese gebührend zu berücksichtigen.

Brüssel, den 15. Februar 2018

Der Präsident des Europäischen Wirtschafts- und Sozialausschusses

Georges DASSIS

(1)  COM(2017) 495 final, 13.9.2017.

(2)  Siehe Dok. SWD(2017) 304 final.

(3)  COM(2017) 9 final vom 10.1.2017 und die gleichzeitig veröffentlichte zugehörige Arbeitsunterlage SWD(2017) 2 final, zu denen der EWSA die Stellungnahme zum Thema „Aufbau einer europäischen Datenwirtschaft“ (ABl. C 345 vom 13.10.2017, S. 130) verabschiedet hat.

(4)  http://www.brukselaue.msz.gov.pl/resource/76f021fe-0e02-4746-8767-5f6a01475099:JCR.

(5)  COM(2017) 228 final vom 10.5.2017 und die begleitende Arbeitsunterlage SWD(2017) 155 final.

(6)  Stellungnahme zum Thema „Halbzeitbewertung des digitalen Binnenmarkts“ (noch nicht im ABl. veröffentlicht).

(7)  COM(2017) 495 final, Begründung, S. 4.

(8)  Nach Art. 4 Abs. 2 EUV fällt die öffentliche Sicherheit in die ausschließliche Zuständigkeit der Mitgliedstaaten, ihre Definition muss jedoch in der Rechtsprechung des Gerichtshofs und des Gerichtshofs für Menschenrechte gesucht werden. Stellvertretend sei das Urteil des Gerichtshofs vom 21.12.2016 in den verbundenen Rechtssachen C-203/15 und C-698/15, Tele2 Sverige AB gegen Post-och telestyrelsen und Secretary of State for the Home Department gegen Tom Watson, Peter Brice und Geoffrey Lewis angeführt, in: http://eur-lex.europa.eu/legal-content/DE/TXT/?qid=1513080243312&uri=CELEX:62015CJ0203 (Randnr. 11 und Randnr. 88/89).

(9)  Siehe Art. 6 Abs. 1 Buchstaben a und b.

(10)  Siehe den Informationsbericht INT/204 vom 25.1.2005 zum Thema „Aktueller Stand der Koregulierung und der Selbstregulierung im Binnenmarkt“ und die Initiativstellungnahme zum Thema „Selbst- und Koregulierung“, ABl. C 291 vom 4.9.2015, S. 29.

(11)  Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates vom 12. Juli 2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation) (ABl. L 201 vom 31.7.2002, S. 37), bereits überarbeitet durch den Vorschlag der Kommission für einen Europäischen Kodex für die elektronische Kommunikation (COM(2016) 590 final vom 12.10.2016) sowie den Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates über die Achtung des Privatlebens und den Schutz personenbezogener Daten in der elektronischen Kommunikation und zur Aufhebung der Richtlinie 2002/58/EG (Verordnung über Privatsphäre und elektronische Kommunikation) (COM(2017) 10 final — 2017/0003 (COD)).

(12)  Interinstitutionelles Dossier 2017/0228 (COD) 15724/1/17REV 1 vom 19. Dezember 2017.

(13)  ABl. L 294 vom 6.11.2013, S. 13.