EUROPÄISCHE KOMMISSION
Brüssel, den 13.9.2017
COM(2017) 495 final
2017/0228(COD)
Vorschlag für eine
VERORDNUNG DES EUROPÄISCHEN PARLAMENTS UND DES RATES
über einen Rahmen für den freien Verkehr nicht personenbezogener Daten in der Europäischen Union
{SWD(2017) 304 final}
{SWD(2017) 305 final}
BEGRÜNDUNG
1.KONTEXT DES VORSCHLAGS
•Gründe und Ziele des Vorschlags
Neue digitale Technik, wie sie als Cloud-Computing, Big-Data, künstliche Intelligenz (AI) und Internet der Dinge (IoT) bekannt ist, soll maximale Effizienzsteigerungen bewirken, Größeneinsparungen erbringen und die Entwicklung neuer Dienste ermöglichen. Sie bietet den Benutzern Vorteile, etwa in Bezug auf Agilität, Produktivität, Entwicklungstempo und Autonomie, so beispielsweise durch maschinelles Lernen 1 .
Nach den Angaben in der Mitteilung der Kommission von 2017 zum „Aufbau einer europäischen Datenwirtschaft“ 2 wurde der Wert des EU-Datenmarkts im Jahr 2016 auf fast 60 Mrd. EUR geschätzt und wies einen Zuwachs von 9,5 % gegenüber dem Jahr 2015 auf. Laut einer Studie könnte der EU-Datenmarkt im Jahr 2020 potenziell einen Wert von mehr als 106 Mrd. EUR erreichen 3 .
Um dieses Potenzial freizusetzen, werden mit dem vorliegenden Vorschlag folgende Fragen angegangen:
·die Verbesserung der grenzüberschreitenden Mobilität nicht personenbezogener Daten im Binnenmarkt, die heute in vielen Mitgliedstaaten noch durch Lokalisierungsbeschränkungen oder Rechtsunsicherheit auf den Märkten begrenzt ist;
·die Gewährleistung, dass die Befugnisse der zuständigen Behörden, zu ordnungspolitischen Kontrollzwecken (wie Überprüfungen und Audits) Zugang zu Daten zu verlangen und zu erhalten, unberührt bleiben;
·die Erleichterung des Anbieterwechsels und der Übertragung von Daten für die beruflichen Nutzer von Datenspeicherungs- oder sonstigen Datenverarbeitungsdiensten, ohne dadurch die Diensteanbieter übermäßig zu belasten oder die Marktbedingungen zu verfälschen.
In der Halbzeitüberprüfung der Umsetzung der Strategie für einen digitalen Binnenmarkt 4 wurde ein Rechtsetzungsvorschlag für einen EU-Kooperationsrahmen für einen freien Datenverkehr angekündigt.
Mit der Initiative wird das allgemeine politische Ziel verfolgt, durch Maßnahmen in den oben genannten Bereichen einen stärker vom Wettbewerb geprägten und integrierten Binnenmarkt für Datenspeicherungs- und sonstige Datenverarbeitungsdienste und tätigkeiten aufzubauen. In diesem Vorschlag wird der Begriff der Datenspeicherung und sonstigen Datenverarbeitung in einem breiten Sinne verwendet und schließt die Verwendung aller Arten von Systemen der Informationstechnik ein, unabhängig davon, ob diese sich in den Räumlichkeiten des Nutzers befinden oder an Anbieter von Datenspeicherungs- oder sonstigen Datenverarbeitungsdiensten 5 ausgelagert werden.
•Kohärenz mit den bestehenden Vorschriften in diesem Bereich
Der Vorschlag dient der Verwirklichung der Ziele, die in der Strategie für einen digitalen Binnenmarkt 6 und ihrer jüngsten Halbzeitüberprüfung sowie in den politischen Leitlinien der gegenwärtigen Europäischen Kommission „Ein neuer Start für Europa: Meine Agenda für Jobs, Wachstum, Fairness und demokratischen Wandel“ 7 dargelegt worden sind.
Im Mittelpunkt dieses Vorschlags, der mit bestehenden Rechtsinstrumenten vereinbar ist, steht die Erbringung von Hostingdiensten (Datenbereithaltung und speicherung) und sonstigen Datenverarbeitungsdiensten. Die Initiative bezweckt die Schaffung eines wirksam funktionierenden EU-Binnenmarkts für solche Dienstleistungen. Sie steht somit im Einklang mit der Richtlinie über den elektronischen Geschäftsverkehr 8 , die auf einen umfassenden und wirksamen EU-Binnenmarkt für die übergeordnete Kategorie der Dienste der Informationsgesellschaft abzielt, und mit der Dienstleistungsrichtlinie 9 , mit der in zahlreichen Wirtschaftszweigen der EU-Binnenmarkt für Dienstleistungen weiter vertieft werden soll.
Eine Reihe einschlägiger Sektoren ist ausdrücklich aus dem Anwendungsbereich dieser Rechtsvorschriften (d. h. der Richtlinie über den elektronischen Geschäftsverkehr und der Dienstleistungsrichtlinie) ausgeschlossen, sodass für die Gesamtheit der Datenspeicherungs- und sonstigen Datenverarbeitungsdienste lediglich die allgemeinen Bestimmungen der EU-Verträge gelten. Die bestehenden Beschränkungen für diese Dienste können jedoch nicht allein durch eine direkte Anwendung der Artikel 49 und 56 des Vertrags über die Arbeitsweise der Europäischen Union (AEUV) wirksam beseitigt werden, weil zum einen die Handhabung von Fall zu Fall im Rahmen von Vertragsverletzungsverfahren sowohl für die nationalen Behörden als auch für die Unionsorgane äußerst kompliziert wäre und zum anderen zahlreiche Hindernisse nur durch besondere Vorschriften beseitigt werden können, die nicht nur öffentliche, sondern auch private Hindernisse betreffen, und die Einführung einer Verwaltungszusammenarbeit erfordern. Darüber hinaus dürfte die sich daraus ergebende Erhöhung der Rechtssicherheit gerade für die Nutzer neuer Technik besonders wichtig sein 10 .
Da sich dieser Vorschlag auf elektronische Daten bezieht, die keine personenbezogenen Daten sind, lässt er den Rechtsrahmen der Union für den Datenschutz unberührt, insbesondere die Verordnung (EU) 2016/679 (DS-GVO) 11 , die Richtlinie (EU) 2016/680 (Polizeirichtlinie) 12 und die Richtlinie 2002/58/EG (e-Datenschutz-Richtlinie) 13 , die einen hohen Schutz personenbezogener Daten und den freien Verkehr personenbezogener Daten in der Union gewährleisten. Im Zusammenspiel mit diesem Rechtsrahmen dient der Vorschlag der Schaffung eines umfassenden und einheitlichen EU-Rahmens, der einen freien Datenverkehr im Binnenmarkt ermöglicht.
Der Vorschlag wird die Mitteilung von Maßnahmenentwürfen zur Datenlokalisierung gemäß der Richtlinie (EU) 2015/1535 14 (Transparenzrichtlinie) erforderlich machen, damit beurteilt werden kann, ob solche Lokalisierungsbeschränkungen gerechtfertigt sind.
Hinsichtlich der Zusammenarbeit und gegenseitigen Amtshilfe zwischen zuständigen Behörden sieht der Vorschlag vor, dass alle derartigen Mechanismen zur Anwendung kommen sollten. Soweit keine Kooperationsmechanismen bestehen, werden mit dem Vorschlag Maßnahmen eingeführt, welche die zuständigen Behörden in die Lage versetzen sollen, auf in anderen Mitgliedstaaten gespeicherte oder anderweitig verarbeitete Daten zuzugreifen und diese auszutauschen.
•Kohärenz mit der Politik der Union in anderen Bereichen
Mit Blick auf den digitalen Binnenmarkt sollen mit dieser Initiative Hindernisse abgebaut werden, die einer vom Wettbewerb geprägten datengesteuerten Wirtschaft in Europa im Wege stehen. In Übereinstimmung mit ihrer Mitteilung über die Halbzeitüberprüfung der Strategie für einen digitalen Binnenmarkt untersucht die Kommission derzeit in einem getrennten Verfahren die Frage der Zugänglichkeit und Weiterverwendung öffentlicher und öffentlich finanzierter Daten, die Frage der in privater Hand befindlichen Daten, die von öffentlichem Interesse sind, sowie die Frage der Haftung für Schäden, die von datenintensiven Produkten verursacht werden 15 .
Eine weitere Grundlage für das politische Eingreifen bildet das Maßnahmenpaket für die Digitalisierung der europäischen Industrie, zu dem auch die europäische Cloud-Initiative 16 gehört, mit der eine hochleistungsfähige Cloud-Lösung zur Speicherung, gemeinsamen Nutzung und Wiederverwendung wissenschaftlicher Daten aufgebaut werden soll. Darüber hinaus beruht die Initiative auf der Überarbeitung des Europäischen Interoperabilitätsrahmens 17 , der auf die Verbesserung der digitalen Zusammenarbeit zwischen öffentlichen Verwaltungen in Europa gerichtet ist und dem der freie Datenverkehr unmittelbar zugutekommen wird. Ferner wird ein Beitrag zu einem von der EU angestrebten offenen Internet 18 geleistet.
2.RECHTSGRUNDLAGE, SUBSIDIARITÄT UND VERHÄLTNISMÄSSIGKEIT
•Rechtsgrundlage
Dieser Vorschlag fällt nach Artikel 4 Absatz 2 Buchstabe a AEUV in eine geteilte Zuständigkeit. Er zielt darauf ab, durch die Gewährleistung eines freien Datenverkehrs in der Union einen stärker vom Wettbewerb bestimmten und integrierten Binnenmarkt für Datenspeicherungs- und sonstige Datenverarbeitungsdienste aufzubauen. Der Vorschlag enthält Vorschriften über Datenlokalisierungsauflagen, die Datenverfügbarkeit für zuständige Behörden und die Übertragung von Daten für berufliche Nutzer. Der Vorschlag stützt sich auf Artikel 114 AEUV, der die allgemeine Rechtsgrundlage für die Annahme solcher Vorschriften bildet.
•Subsidiarität
Der Vorschlag steht im Einklang mit dem in Artikel 5 des Vertrags über die Europäische Union (EUV) niedergelegten Subsidiaritätsprinzip. Das Ziel dieses Vorschlags, nämlich das reibungslose Funktionieren des Binnenmarkts für die genannten Dienstleistungen, der nicht auf das Gebiet eines Mitgliedstaats beschränkt ist, sowie den freien Verkehr nicht personenbezogener Daten in der Union zu gewährleisten, kann von den Mitgliedstaaten nicht auf nationaler Ebene verwirklicht werden, da die grenzüberschreitende Datenmobilität das Kernproblem darstellt.
Die Mitgliedstaaten können zwar Anzahl und Umfang ihrer Datenlokalisierungsauflagen verringern, wovon sie aber in unterschiedlichem Maße und zu unterschiedlichen Bedingungen oder auch gar keinen Gebrauch machen dürften.
Unterschiedliche Konzepte hätten allerdings eine Vervielfachung der regulatorischen Anforderungen im EU-Binnenmarkt und erhebliche Zusatzkosten für die Unternehmen, insbesondere kleine und mittlere Unternehmen (KMU), zur Folge.
•Verhältnismäßigkeit
Der Vorschlag steht mit dem in Artikel 5 EUV verankerten Grundsatz der Verhältnismäßigkeit im Einklang, da er einen wirksamen Rahmen bildet, der nicht über das zur Lösung der festgestellten Probleme erforderliche Maß hinausgeht und in Anbetracht der verfolgten Ziele verhältnismäßig ist.
Um durch Datenlokalisierungsauflagen bedingte Hindernisse für den freien Verkehr nicht personenbezogener Daten innerhalb der Union auszuräumen und das Vertrauen in den grenzüberschreitenden Datenverkehr sowie in Datenspeicherungs- und sonstige Datenverarbeitungsdienste zu stärken, liegen dem Vorschlag in hohem Maße bestehende Instrumente und Rahmen zugrunde: die Transparenzrichtlinie für die Mitteilung von Maßnahmenentwürfen bezüglich Datenlokalisierungsauflagen sowie verschiedene Rahmen zur Gewährleistung der Datenverfügbarkeit für ordnungspolitische Kontrollzwecke der Mitgliedstaaten. Nur wenn keine anderen Kooperationsmechanismen bestehen und alle übrigen Zugangsmittel ausgeschöpft sind, kommt der in dem Vorschlag vorgesehene Kooperationsmechanismus zur Anwendung, um Probleme der Verfügbarkeit von Daten für die zuständigen nationalen Behörden zu lösen.
Das vorgeschlagene Konzept für den grenzüberschreitenden Datenverkehr zwischen den Mitgliedstaaten sowie zwischen Diensteanbietern und internen IT-Systemen dient dazu, ein ausgewogenes Verhältnis zwischen EU-Rechtsvorschriften und den Interessen der Mitgliedstaaten in Bezug auf die öffentliche Sicherheit sowie zwischen EU-Rechtsvorschriften und der Selbstregulierung des Marktes herzustellen.
Die Initiative fördert insbesondere die Selbstregulierung durch Verhaltensregeln bezüglich der den Nutzern von Datenspeicherungs- und sonstigen Datenverarbeitungsdiensten bereitzustellenden Informationen, um beruflichen Nutzern den Wechsel ihres Anbieters und die Übertragung von Daten zu erleichtern. Auch die Modalitäten des Anbieterwechsels und der Übertragung von Daten sollten durch Selbstregulierung und die Bestimmung bewährter Verfahren geklärt werden.
In dem Vorschlag wird darauf hingewiesen, dass die nach nationalem Recht und Unionsrecht geltenden Sicherheitsanforderungen auch dann Anwendung finden sollten, wenn natürliche oder juristische Personen ihre Datenspeicherungs- oder sonstigen Datenverarbeitungsdienste – gegebenenfalls auch in einen anderen Mitgliedstaat – auslagern. Ferner geht der Vorschlag auf die Durchführungsbefugnisse ein, die der Kommission nach der Richtlinie über Netz- und Informationssicherheit übertragen wurden, um Sicherheitsanforderungen, die auch zum Funktionieren dieser Verordnung beitragen, zu regeln. Schließlich wurde der Vorschlag so gestaltet, dass auch wenn die Behörden der Mitgliedstaaten aufgrund der Mitteilungs- und Überprüfungspflichten sowie der Anforderungen an die Transparenz und Verwaltungszusammenarbeit tätig werden müssten, ihre Maßnahmen auf die wichtigsten Erfordernisse der Zusammenarbeit beschränkt blieben und unnötiger Verwaltungsaufwand somit vermieden würde.
Ziel des Vorschlags ist es, durch klare Rahmenbedingungen – ergänzt durch die Zusammenarbeit zwischen und mit den Mitgliedstaaten – sowie durch Selbstregulierung mehr Rechtssicherheit und Vertrauen herzustellen und gleichzeitig dank der Flexibilität des auf den zentralen Anlaufstellen in den Mitgliedstaaten beruhenden Kooperationsrahmens auch auf lange Sicht die Zweckmäßigkeit und Wirksamkeit der Vorschriften zu gewährleisten.
Die Kommission plant die Einrichtung einer Expertengruppe, die sie in den unter diese Verordnung fallenden Fragen beraten soll.
•Wahl des Instruments
Die Kommission schlägt eine Verordnung vor, durch die sichergestellt werden kann, dass einheitliche Regeln für den freien Verkehr nicht personenbezogener Daten in der gesamten Union gleichzeitig Anwendung finden. Dies ist besonders wichtig, um bestehende Beschränkungen zu beseitigen und neue vonseiten der Mitgliedstaaten zu verhindern, Rechtssicherheit für die betroffenen Diensteanbieter und Nutzer zu garantieren und so das Vertrauen in den grenzüberschreitenden Datenverkehr sowie in Datenspeicherungs- und sonstige Datenverarbeitungsdienste zu stärken.
3.ERGEBNISSE DER EX-POST-BEWERTUNG, DER KONSULTATION DER INTERESSENTRÄGER UND DER FOLGENABSCHÄTZUNG
•Konsultation der Interessenträger
In einer ersten Bestandsaufnahme wurde 2015 eine öffentliche Konsultation über die gesetzlichen Rahmenbedingungen für Plattformen, Online-Vermittler, Daten und Cloud-Computing sowie die partizipative Wirtschaft durchgeführt. Zwei Drittel der Befragten – mit recht gleichmäßiger Verteilung auf alle Beteiligten, einschließlich KMU – gaben an, dass Datenlokalisierungsbeschränkungen ihre Geschäftsstrategie beeinflusst hätten 19 . Weitere Informationen wurden im Rahmen von Sitzungen und Veranstaltungen, gezielten Workshops mit wichtigen Akteuren (z. B. der Cloud Select Industry Group) sowie studienbezogenen Workshops gesammelt.
Eine zweite Bestandsaufnahme von Ende 2016 bis zur zweiten Jahreshälfte 2017 umfasste u. a. eine öffentliche Konsultation, die am 10. Januar 2017 im Zusammenhang mit der Mitteilung über den Aufbau einer europäischen Datenwirtschaft eingeleitet wurde. In dieser Konsultation vertraten 61,9 % der Interessenträger die Ansicht, dass Datenlokalisierungsbeschränkungen beseitigt werden sollten. Eine Mehrheit von 55,3 % hält gesetzgeberische Maßnahmen für das am besten geeignete Instrument zur Bekämpfung ungerechtfertigter Datenlokalisierungsbeschränkungen, wobei einige der Befragten sich ausdrücklich für eine Verordnung aussprachen 20 . Zu den stärksten Befürwortern gesetzgeberischer Maßnahmen gehören die Anbieter von IT-Dienstleistungen, und zwar Unternehmen aller Größen mit Niederlassung sowohl innerhalb wie auch außerhalb der EU. Außerdem wiesen die Interessenträger auf die negativen Auswirkungen von Datenlokalisierungsbeschränkungen hin. Diese betreffen neben höheren Kosten für die Unternehmen die Erbringung von Dienstleistungen für private oder öffentliche Einrichtungen (69,6 % der teilnehmenden Interessenträger stuften diese Auswirkung als „groß“ ein) oder die Möglichkeit des Eintritts in neue Märkte (73,9 % der Befragten stuften diese Auswirkung als „groß“ ein). Die Antworten der Interessenträger aller Bereiche wiesen bei diesen Fragen stets eine ähnliche Prozentverteilung auf. Die öffentliche Online-Konsultation ergab zudem, dass Probleme beim Anbieterwechsel überaus häufig sind: 56,8 % der Befragten gaben an, dass sie Schwierigkeiten hatten, den Anbieter zu wechseln.
Die Sitzungen im Rahmen des strukturierten Dialogs mit den Mitgliedstaaten förderten ein gemeinsames Verständnis der Herausforderungen. In einem an Präsident Tusk gerichteten Schreiben forderten 16 Mitgliedstaaten ausdrücklich einen Legislativvorschlag.
Der Vorschlag trägt einer Reihe der von den Mitgliedstaaten und der Industrie geäußerten Bedenken Rechnung, insbesondere der Notwendigkeit, einen übergreifenden und für Rechtssicherheit sorgenden Grundsatz des freien Datenverkehrs zu verwirklichen, Fortschritte in Bezug auf die Datenverfügbarkeit für ordnungspolitische Zwecke zu erzielen sowie beruflichen Nutzern den Wechsel des Anbieters von Datenspeicherungs- oder sonstigen Datenverarbeitungsdiensten und die Übertragung von Daten zu erleichtern, indem Anreize für mehr vertragliche Transparenz hinsichtlich der geltenden Verfahren und Bedingungen geschaffen werden, ohne den Diensteanbietern in diesem Stadium jedoch bestimmte Normen oder Verpflichtungen aufzuerlegen.
•Einholung und Nutzung von Expertenwissen
Als Grundlage dienten rechtliche und wirtschaftliche Studien zu verschiedenen Aspekten der Datenmobilität, einschließlich Datenlokalisierungsauflagen 21 , Anbieterwechsel und Übertragung von Daten 22 und Datensicherheit 23 . Weitere Studien wurden zu den Folgen des Cloud-Computings 24 und der Cloud-Nutzung 25 sowie zum europäischen Datenmarkt 26 in Auftrag gegeben. Außerdem wurden Studien durchgeführt, um Möglichkeiten der Ko- oder Selbstregulierung im Cloud-Computing-Sektor 27 zu prüfen. Ferner stützte sich die Kommission auf zusätzliche externe Quellen, darunter Marktberichte und Statistiken (z. B. von Eurostat).
•Folgenabschätzung
Für den Vorschlag wurde eine Folgenabschätzung durchgeführt, in der folgende Optionen betrachtet wurden: ein Ausgangsszenarium (keine Maßnahmen) und drei Politikoptionen. Die Option 1 bestand aus Leitlinien und/oder Selbstregulierung zur Behebung der verschiedenen festgestellten Probleme und sah ein verstärktes Vorgehen gegen verschiedene Kategorien der von Mitgliedstaaten auferlegten ungerechtfertigten oder unverhältnismäßigen Datenlokalisierungsbeschränkungen vor. Die Option 2 beinhaltete die Festlegung von Rechtsgrundsätzen in Bezug auf die verschiedenen festgestellten Probleme und sah die Benennung zentraler Anlaufstellen durch die Mitgliedstaaten sowie die Einsetzung einer Sachverständigengruppe vor, die gemeinsame Ansätze und Verfahrensweisen erörtern und Anleitung für die Umsetzung im Rahmen dieser Option eingeführten Grundsätze geben sollte. Betrachtet wurde auch eine Unteroption 2a, um die Bewertung einer Kombination aus Rechtsvorschriften zur Schaffung eines Rahmens für den freien Datenverkehr, den zentralen Anlaufstellen und einer Sachverständigengruppe sowie Selbstregulierungsmaßnahmen in Bezug auf die Übertragung von Daten zu ermöglichen. Die Option 3 bestand aus einer ausführlichen Rechtsetzungsinitiative, mit der u. a. vorbestimmt (harmonisiert) werden sollte, was unter (un)gerechtfertigten und (un)verhältnismäßigen Datenlokalisierungsbeschränkungen zu verstehen ist, und ferner ein neues Recht auf Übertragung von Daten geschaffen werden sollte.
Am 28. September 2016 gab der Ausschuss für Regulierungskontrolle seine erste Stellungnahme zur Folgenabschätzung ab und bat um Neuvorlage. Anschließend wurde sie überarbeitet und dem Ausschuss für Regulierungskontrolle am 11. August 2017 erneut vorgelegt. In seiner zweiten Stellungnahme nahm der Ausschuss für Regulierungskontrolle die Ausweitung des Anwendungsbereichs infolge der Mitteilung der Kommission über den Aufbau einer europäischen Datenwirtschaft, COM(2017) 9, sowie die zusätzlichen Ausführungen über die Meinungsäußerungen der Interessenträger und die Mängel des gegenwärtigen Rahmens zur Kenntnis. Dennoch gab der Ausschuss am 25. August 2017 eine zweite negative Stellungnahme ab, in der er insbesondere fehlende Nachweise zur Untermauerung eines neuen Rechts auf Übertragung in Bezug auf Cloud-Dienste bemängelte. Im Einklang mit seinen Verfahrensweisen betrachtete der Ausschuss seine Stellungnahme als endgültig.
Die Kommission hielt es für geboten, einen Vorschlag vorzulegen und zugleich die Analyse in der zugehörigen Folgenabschätzung weiter zu verbessern, um so den Anmerkungen des Ausschusses für Regulierungskontrolle in seiner zweiten Stellungnahme gebührend Rechnung zu tragen. Der Anwendungsbereich des Vorschlags ist auf den freien Verkehr nicht personenbezogener Daten in der Europäischen Union begrenzt. Entsprechend der Einschätzung des Ausschusses, dass die Belege eher eine weniger strenge Regelung für die Übertragung von Daten nahelegen, wurde die ursprünglich in der Folgenabschätzung vorgeschlagene Option, die Anbieter zur Erleichterung des Wechsels oder der Übertragung der Daten der Nutzer zu verpflichten, fallen gelassen. Stattdessen schlägt die Kommission eine weniger belastende Option vor, nämlich Selbstregulierungsmaßnahmen, die von der Kommission begleitet werden. Der Vorschlag ist verhältnismäßig und weniger streng, weil er kein neues Recht auf Übertragung von Daten zwischen Anbietern von Datenspeicherungs- oder sonstigen Datenverarbeitungsdiensten schafft, sondern auf Selbstregulierung setzt, um Transparenz bezüglich der technischen und betrieblichen Bedingungen für die Übertragung zu schaffen.
Darüber hinaus wurde in dem Vorschlag die Stellungnahme des Ausschusses in Bezug darauf berücksichtigt, dass es zu keinen Überschneidungen oder Doppelarbeit mit der Überprüfung des Mandats der Agentur der Europäischen Union für Netz- und Informationssicherheit (ENISA) und der Schaffung eines europäischen IKT-Cybersicherheitsrahmen kommen darf.
Die Folgenabschätzung ergab, dass die bevorzugte Option, nämlich die Option 2a, eine wirksame Beseitigung bestehender ungerechtfertigter Lokalisierungsbeschränkungen sicherstellen und etwaige künftige Beschränkungen wirksam unterbinden würde, was mithilfe eines klaren Grundsatzes in Verbindung mit Überprüfungs-, Mitteilungs- und Transparenzverpflichtungen erreicht würde. Gleichzeitig würde die Rechtssicherheit verbessert und das Vertrauen in den Markt gestärkt. Die Belastungen für die Behörden der Mitgliedstaaten wären moderat und betrügen jährlich ungefähr 33 000 EUR für Personalkosten zur Besetzung der zentralen Anlaufstellen und zwischen 385 EUR und 1925 EUR für die Vorbereitung der Mitteilungen.
Der Vorschlag wird sich positiv auf den Wettbewerb auswirken, denn er wird die Innovation im Bereich der Datenspeicherungs- oder sonstigen Datenverarbeitungsdienste anregen, diesen Diensten mehr Nutzer zuführen und gerade auch neuen und kleinen Diensteanbietern ganz beträchtlich den Eintritt in neue Märkte erleichtern. Überdies wird der Vorschlag die grenz- und sektorübergreifende Nutzung von Datenspeicherungs- oder sonstigen Datenverarbeitungsdiensten und die Entwicklung des Datenmarktes fördern. Deshalb wird der Vorschlag dabei helfen, die Gesellschaft und die Wirtschaft umzugestalten, und den Bürgern, Unternehmen und öffentlichen Verwaltungen Europas neue Chancen eröffnen.
•Effizienz der Rechtsetzung und Vereinfachung
Der Vorschlag gilt für Bürger, nationale Verwaltungen und alle Unternehmen, auch Kleinstunternehmen und KMU. Die Vorschriften zur Beseitigung von Hindernissen, die der Datenmobilität im Wege stehen, kommen allen Unternehmen zugute. Der Vorschlag nützt insbesondere den KMU, denn ein freier Verkehr nicht personenbezogener Daten bewirkt eine direkte Senkung ihrer Kosten und begünstigt eine wettbewerbsfähigere Marktstellung. KMU von den Vorschriften auszunehmen, würde die Wirksamkeit der Verordnung beeinträchtigen, weil KMU unter den Anbietern von Datenspeicherungs- oder sonstigen Datenverarbeitungsdiensten stark vertreten und ein wichtiger Innovationsmotor auf den betreffenden Märkten sind. Da zudem die von den Vorschriften verursachten Kosten wahrscheinlich nicht erheblich sein werden, sollten Kleinstunternehmen und KMU nicht aus ihrem Anwendungsbereich ausgeschlossen werden.
•Grundrechte
Die vorgeschlagene Verordnung steht im Einklang mit den Grundrechten und Grundsätzen, die mit der Charta der Grundrechte der Europäischen Union anerkannt wurden. Die vorgeschlagene Verordnung dürfte sich positiv auf die unternehmerische Freiheit (Artikel 16) auswirken, denn sie trägt zur Beseitigung und Verhinderung ungerechtfertigter oder unverhältnismäßiger Hindernisse bei, welche die Nutzung und die Bereitstellung von Datendiensten (wie Cloud-Diensten) und die Konfiguration interner IT-Systeme erschweren.
4.AUSWIRKUNGEN AUF DEN HAUSHALT
Für die Behörden der Mitgliedstaaten entstehen moderate Verwaltungslasten, verursacht durch die Zuweisung von Personal für die Zusammenarbeit zwischen den Mitgliedstaaten über die zentralen Anlaufstellen und für die Einhaltung der Mitteilungs-, Überprüfungs- und Transparenzbestimmungen.
5.WEITERE ANGABEN
•Durchführungspläne sowie Monitoring-, Bewertungs- und Berichterstattungsmodalitäten
Fünf Jahre nach dem Beginn der Anwendung der Verordnung wird eine umfassende Bewertung vorgenommen, um die Wirksamkeit und Verhältnismäßigkeit der Vorschriften zu beurteilen. Diese Bewertung wird im Einklang mit den Leitlinien für eine bessere Rechtsetzung erfolgen.
Es wird insbesondere zu prüfen sein, ob die Verordnung dazu beigetragen hat, die Zahl und Reichweite von Datenlokalisierungsbeschränkungen zu verringern und die Rechtssicherheit und Transparenz in Bezug auf verbleibende (gerechtfertigte und verhältnismäßige) Auflagen zu erhöhen. Bei der Bewertung wird auch zu beurteilen sein, ob die Initiative dazu beigetragen hat, das Vertrauen in einen freien Verkehr nicht personenbezogener Daten zu erhöhen, ob die Mitgliedstaaten für ordnungspolitische Kontrollzwecke einen hinreichenden Zugang zu im Ausland gespeicherten Daten haben und ob die Verordnung zu mehr Transparenz bezüglich der Bedingungen für die Übertragung von Daten geführt hat.
Es ist vorgesehen, dass die zentralen Anlaufstellen der Mitgliedstaaten in der Phase der nachträglichen Bewertung der Verordnung als wertvolle Informationsquelle dienen sollen.
Die Fortschritte auf den betreffenden Gebieten sollen anhand spezifischer Indikatoren (wie in der Folgenabschätzung vorgeschlagen) erfasst werden. Außerdem ist geplant, Daten von Eurostat und aus dem Index für die digitale Wirtschaft und Gesellschaft (DESI) heranzuziehen. In Betracht käme zu diesem Zweck auch die Herausgabe einer Sonderausgabe von Eurobarometer.
•Ausführliche Erläuterung einzelner Bestimmungen des Vorschlags
Die Artikel 1 bis 3 enthalten das Ziel des Vorschlags, den Anwendungsbereich der Verordnung und die für die Zwecke der Verordnung geltenden Begriffsbestimmungen.
Artikel 4 legt den Grundsatz des freien Verkehrs nicht personenbezogener Daten in der Union fest. Dieser Grundsatz verbietet jegliche Datenlokalisierungsauflagen, es sei denn, diese sind aus Gründen der öffentlichen Sicherheit gerechtfertigt. Festgelegt werden ferner die Überprüfung bestehender Auflagen, die Mitteilung verbleibender oder neuer Auflagen an die Kommission sowie Transparenzmaßnahmen.
Artikel 5 soll die Verfügbarkeit von Daten für ordnungspolitische Kontrollzwecke der zuständigen Behörden gewährleisten. Diesbezüglich darf der Zugang zuständiger Behörden zu Daten nicht mit der Begründung verweigert werden, dass die Daten in einem anderen Mitgliedstaat gespeichert oder anderweitig verarbeitet werden. Hat eine zuständige Behörde alle anwendbaren Mittel, um Zugang zu den Daten zu erlangen, ausgeschöpft, so kann diese zuständige Behörde eine Behörde in einem anderen Mitgliedstaat um Amtshilfe ersuchen, wenn kein besonderer Kooperationsmechanismus besteht.
Artikel 6 sieht vor, dass die Kommission Diensteanbieter und berufliche Nutzer zur Entwicklung und Umsetzung von Verhaltensregeln anhält; darin soll angegeben werden, welche ausführlichen Informationen über die Bedingungen für die Übertragung von Daten (einschließlich technischer und betrieblicher Anforderungen) die Anbieter ihren beruflichen Nutzern in hinreichend ausführlicher, eindeutiger und transparenter Weise vor Abschluss eines Vertrags bereitstellen sollen. Die Kommission wird die Entwicklung und wirksame Anwendung solcher Verhaltensregeln spätestens zwei Jahre nach dem Beginn der Anwendung dieser Verordnung überprüfen.
Artikel 7 schreibt vor, dass jeder Mitgliedstaat eine zentrale Anlaufstelle benennt, die bezüglich der Anwendung dieser Verordnung mit den Anlaufstellen der anderen Mitgliedstaaten und mit der Kommission in Verbindung steht. Ferner enthält Artikel 7 Verfahrensvorschriften für die Amtshilfe zwischen zuständigen Behörden nach Artikel 5.
Laut Artikel 8 soll die Kommission vom Ausschuss für freien Datenverkehr im Sinne der Verordnung (EU) Nr. 182/2011 unterstützt werden.
Artikel 9 schreibt eine Überprüfung innerhalb von fünf Jahren nach dem Beginn der Anwendung der Verordnung vor.
Artikel 10 sieht vor, dass die Verordnung sechs Monate nach dem Tag ihrer Veröffentlichung anwendbar wird.
2017/0228 (COD)
Vorschlag für eine
VERORDNUNG DES EUROPÄISCHEN PARLAMENTS UND DES RATES
über einen Rahmen für den freien Verkehr nicht personenbezogener Daten in der Europäischen Union
DAS EUROPÄISCHE PARLAMENT UND DER RAT DER EUROPÄISCHEN UNION —
gestützt auf den Vertrag über die Arbeitsweise der Europäischen Union, insbesondere auf Artikel 114,
auf Vorschlag der Europäischen Kommission,
nach Zuleitung des Entwurfs des Gesetzgebungsakts an die nationalen Parlamente,
nach Stellungnahme des Europäischen Wirtschafts- und Sozialausschusses 28 ,
nach Stellungnahme des Ausschusses der Regionen 29 ,
gemäß dem ordentlichen Gesetzgebungsverfahren,
in Erwägung nachstehender Gründe:
(1)Die Digitalisierung der Wirtschaft beschleunigt sich. Die Informations- und Kommunikationstechnik (IKT) ist nicht länger ein besonderer Wirtschaftszweig, sondern bildet die tragende Grundlage aller modernen, innovativen Wirtschaftssysteme und Gesellschaften. Elektronische Daten nehmen in diesen Systemen eine zentrale Stellung ein und können eine große Wertschöpfung ermöglichen, wenn sie analysiert oder mit Dienstleistungen und Produkten kombiniert werden.
(2)Daten-Wertschöpfungsketten bestehen aus unterschiedlichen Datenaktivitäten: Datenerzeugung und sammlung, Datenaggregation und organisation, Datenspeicherung und verarbeitung, Datenanalyse, vermarktung und verbreitung, Datennutzung und weiternutzung. Das wirksame und effiziente Funktionieren der Datenspeicherung und sonstigen Datenverarbeitung ist das tragende Glied jeder Daten-Wertschöpfungskette. Diesem wirksamen und effizienten Funktionieren und der Entwicklung der Datenwirtschaft in der Union stehen aber zwei Arten von Hindernissen entgegen, nämlich in Bezug auf die Datenmobilität und in Bezug auf den Binnenmarkt.
(3)Die Niederlassungsfreiheit und die Dienstleistungsfreiheit, die vom Vertrag über die Arbeitsweise der Europäischen Union gewährleistet werden, gelten auch für Datenspeicherungs- oder sonstige Datenverarbeitungsdienste. Die Erbringung solcher Dienste wird jedoch durch bestimmte nationale Anforderungen, wonach die Daten in einem bestimmten Gebiet zu speichern sind, behindert und bisweilen sogar verhindert.
(4)Solche Hindernisse, die eine freie Bereitstellung von Datenspeicherungs- oder sonstigen Datenverarbeitungsdiensten wie auch das Niederlassungsrecht der Anbieter solcher Datenspeicherungs- oder sonstigen Datenverarbeitungsdienste beeinträchtigen, gehen auf Anforderungen im nationalen Recht der Mitgliedstaaten zurück, wonach sich die Daten zwecks Speicherung oder sonstiger Verarbeitung in einem bestimmten geografischen Gebiet oder Hoheitsgebiet befinden müssen. Daneben gibt es andere Vorschriften und Verwaltungspraktiken, die eine gleichartige Wirkung haben, weil sie ganz bestimmte Anforderungen enthalten, die es erschweren, die Daten außerhalb eines bestimmten geografischen Gebiets oder Hoheitsgebiets innerhalb der Union zu speichern oder anderweitig zu verarbeiten, beispielsweise eine vorgeschriebene Nutzung von technischen Anlagen, die in einem bestimmten Mitgliedstaat zertifiziert oder genehmigt worden sind. Die Wahlmöglichkeiten der Marktteilnehmer und des öffentlichen Sektors bezüglich des Standorts der Datenspeicherung oder sonstigen Datenverarbeitung werden durch rechtliche Unsicherheiten bezüglich der Reichweite rechtmäßiger oder unrechtmäßiger Datenlokalisierungsauflagen weiter eingeschränkt.
(5)Gleichzeitig wird die Mobilität der Daten in der Union auch durch private Beschränkungen behindert, nämlich durch rechtliche, vertragliche und technische Probleme, die es den Nutzern von Datenspeicherungs- oder sonstigen Datenverarbeitungsdiensten erschweren oder unmöglich machen, ihre Daten von einem Diensteanbieter zu einem anderen oder zurück in ihre eigenen IT-Systeme zu übertragen, wenn beispielsweise ihr Vertrag mit einem Diensteanbieter endet.
(6)Aus Gründen der Rechtssicherheit und der Notwendigkeit gleicher Wettbewerbsbedingungen innerhalb der Union ist ein einheitliches Regelwerk für alle Marktteilnehmer ein zentrales Element für das Funktionieren des Binnenmarktes. Um Handelshemmnisse und Wettbewerbsverzerrungen aufgrund divergierender nationaler Rechtsvorschriften zu beseitigen und das Entstehen neuer möglicher Handelshemmnisse und beträchtlicher Wettbewerbsverzerrungen zu vermeiden, ist es deshalb notwendig, einheitliche und in allen Mitgliedstaaten geltende Vorschriften zu erlassen.
(7)Zur Schaffung eines Rahmens für den freien Verkehr nicht personenbezogener Daten in der Union sowie zur Schaffung der Grundlage für die Entwicklung der Datenwirtschaft und die Verbesserung der Wettbewerbsfähigkeit der europäischen Industrie ist es notwendig, einen klaren, umfassenden und vorhersehbaren Rechtsrahmen für die Speicherung und sonstige Verarbeitung nicht personenbezogener Daten im Binnenmarkt festzulegen. Mit einem grundsatzorientierten Herangehen an die Zusammenarbeit zwischen den Mitgliedstaaten wie auch an die Selbstregulierung sollte dafür gesorgt werden, dass dieser Rahmen hinreichend flexibel ist, um mit den sich weiterentwickelnden Bedürfnissen der Nutzer, Anbieter und nationalen Behörden in der Union Schritt zu halten. Um Überschneidungen mit bestehenden Mechanismen und somit höhere Belastungen sowohl für Mitgliedstaaten als auch Unternehmen zu vermeiden, sollten daher keine ausführlichen technischen Vorschriften erlassen werden.
(8)Diese Verordnung sollte auf juristische und natürliche Personen Anwendung finden, die Datenspeicherungs- oder sonstige Datenverarbeitungsdienste für Nutzer erbringen, die in der Union wohnhaft oder niedergelassen sind, auch auf Anbieter, die Dienste in der Union bereitstellen, ohne eine Niederlassung in der Union zu haben.
(9)Die vorliegende Verordnung sollte den Rechtsrahmen für den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, insbesondere die Verordnung (EU) 2016/679 30 , die Richtlinie (EU) 2016/680 31 und die Richtlinie 2002/58/EG 32 , unberührt lassen.
(10)Nach der Verordnung (EU) 2016/679 dürfen die Mitgliedstaaten den freien Verkehr personenbezogener Daten in der Union aus Gründen des Schutzes natürlicher Personen bei der Verarbeitung personenbezogener Daten weder einschränken noch verbieten. Die vorliegende Verordnung legt denselben Grundsatz des freien Verkehrs innerhalb der Union nun auch für nicht personenbezogene Daten fest, außer wenn eine Einschränkung oder ein Verbot aus Sicherheitsgründen gerechtfertigt ist.
(11)Diese Verordnung sollte für die Datenspeicherung oder sonstige Datenverarbeitung im breitesten Sinne gelten und die Verwendung aller Arten von Systemen der Informationstechnik erfassen, unabhängig davon, ob diese sich in den Räumlichkeiten des Nutzers befinden oder an Anbieter von Datenspeicherungs- oder sonstigen Datenverarbeitungsdiensten ausgelagert werden. Sie sollte die Datenverarbeitung in unterschiedlichen Intensitätsstufen erfassen, von der Datenspeicherung (Infrastructure-as-a-Service – IaaS) bis zur Verarbeitung von Daten auf Plattformen (Platform-as-a-Service – PaaS) oder in Anwendungen (Software-as-a-Service – SaaS). Diese verschiedenen Dienste sollten in den Anwendungsbereich dieser Verordnung fallen, es sei denn, die Datenspeicherung oder sonstige Datenverarbeitung stellt lediglich eine Nebenleistung für eine andere Art von Dienst dar, z. B. für die Bereitstellung eines Online-Marktplatzes, der zwischen Diensteanbietern und Verbrauchern oder gewerblichen Nutzern vermittelt.
(12)Datenlokalisierungsauflagen sind ein klares Hindernis, das der Dienstleistungsfreiheit in Bezug auf Datenspeicherungs- oder sonstige Datenverarbeitungsdienste in der Union sowie auch dem Binnenmarkt entgegensteht. Sie sollten daher an sich verboten werden, soweit sie nicht aus Gründen der öffentlichen Sicherheit – wie im Unionsrecht und insbesondere in Artikel 52 des Vertrags über die Arbeitsweise der Europäischen Union vorgesehen – gerechtfertigt sind und dem in Artikel 5 des Vertrags über die Europäische Union verankerten Grundsatz der Verhältnismäßigkeit entsprechen. Um dem Grundsatz des freien grenzüberschreitenden Verkehrs nicht personenbezogener Daten Geltung zu verschaffen, eine rasche Beseitigung bestehender Datenlokalisierungsauflagen zu bewirken und auch aus betrieblichen Gründen die Speicherung und sonstige Verarbeitung von Daten an mehreren Standorten in der EU zu ermöglichen, und da diese Verordnung Maßnahmen vorsieht, die die Verfügbarkeit von Daten für ordnungspolitische Kontrollzwecke gewährleisten, sollte den Mitgliedstaaten keine Möglichkeit eingeräumt werden, sich auf andere Gründe als die der öffentlichen Sicherheit zu berufen.
(13)Um die wirksame Anwendung des Grundsatzes des freien grenzüberschreitenden Verkehrs nicht personenbezogener Daten sicherzustellen und das Entstehen neuer Hindernisse für ein reibungsloses Funktionieren des Binnenmarktes zu verhindern, sollten die Mitgliedstaaten der Kommission alle Entwürfe von Vorschriften mitteilen, die neue Datenlokalisierungsauflagen enthalten oder bestehende Datenlokalisierungsauflagen ändern. Diese Mitteilungen sollten nach dem in der Richtlinie (EU) 2015/1535 33 festgelegten Verfahren übermittelt und geprüft werden.
(14)Darüber hinaus sollten die Mitgliedstaaten im Hinblick auf die Beseitigung möglicher bereits bestehender Hindernisse während eines Übergangszeitraums von 12 Monaten eine Überprüfung bestehender nationaler Datenlokalisierungsauflagen durchführen und der Kommission alle Datenlokalisierungsauflagen, die sie für mit dieser Verordnung vereinbar halten, samt einer Begründung mitteilen. Anhand dieser Mitteilungen sollte die Kommission in der Lage sein, die Rechtmäßigkeit etwaiger verbleibender Datenlokalisierungsauflagen zu beurteilen.
(15)Um dafür zu sorgen, dass Datenlokalisierungsauflagen in den Mitgliedstaaten für natürliche und juristische Personen, z. B. für Anbieter und Nutzer von Datenspeicherungs- oder sonstigen Datenverarbeitungsdiensten, transparent sind, sollten die Mitgliedstaaten alle Informationen über solche Auflagen im Internet bei einer zentralen Online-Informationsstelle veröffentlichen und regelmäßig auf den neuesten Stand bringen. Im Hinblick auf eine angemessene Information juristischer und natürlicher Personen über die in der Union bestehenden Datenlokalisierungsauflagen sollten die Mitgliedstaaten der Kommission die Adressen dieser Online-Stellen mitteilen. Die Kommission sollte diese Angaben auf ihrer eigenen Website veröffentlichen.
(16)Datenlokalisierungsauflagen gehen häufig auf ein mangelndes Vertrauen in eine grenzüberschreitende Datenspeicherung oder sonstige Datenverarbeitung zurück, weil angenommen wird, dass solche Daten für die Zwecke der zuständigen Behörden der Mitgliedstaaten (Überprüfungen und Audits zu Regulierungs- und Aufsichtszwecken) nicht zur Verfügung stünden. Deshalb sollte in dieser Verordnung eindeutig klargestellt werden, dass die Befugnisse der zuständigen Behörden, gemäß dem Unionsrecht oder nationalem Recht Zugang zu Daten zu verlangen und zu erhalten, unberührt bleiben und dass der Zugang der zuständigen Behörden zu den Daten nicht mit der Begründung verweigert werden darf, dass die Daten in einem anderen Mitgliedstaat gespeichert oder anderweitig verarbeitet werden.
(17)Natürliche oder juristische Personen, die verpflichtet sind, zuständigen Behörden Daten zur Verfügung zu stellen, können solchen Verpflichtungen dadurch nachkommen, dass sie den zuständigen Behörden einen wirksamen und rechtzeitigen elektronischen Zugang zu den Daten gewähren und garantieren, und zwar unabhängig von dem Mitgliedstaat, in dessen Gebiet die Daten gespeichert oder anderweitig verarbeitet werden. Ein solcher Zugang kann durch konkrete Bestimmungen in Verträgen zwischen der natürlichen oder juristischen Person, die zur Zugangsgewährung verpflichtet ist, und dem Anbieter des Datenspeicherungs- oder sonstigen Datenverarbeitungsdienstes gewährleistet werden.
(18)Kommt eine natürliche oder juristische Person, die zur Datenübermittlung verpflichtet ist, ihren Verpflichtungen nicht nach, so kann die zuständige Behörde, nachdem sie alle ihr zur Verfügung stehenden Mittel, um Zugang zu den Daten zu erlangen, ausgeschöpft hat, die zuständigen Behörden in anderen Mitgliedstaaten um Amtshilfe ersuchen. In solchen Fällen sollten die zuständigen Behörden die besonderen Instrumente der Zusammenarbeit nutzen, die je nach Sachlage im Unionsrecht oder in internationalen Abkommen etwa für den Bereich der polizeilichen Zusammenarbeit, der justiziellen Zusammenarbeit in Zivil- und Strafsachen oder der Zusammenarbeit in Verwaltungsangelegenheiten vorgesehen sind, z. B. im Rahmenbeschluss 2006/960/JI 34 , der Richtlinie 2014/41/EU des Europäischen Parlaments und des Rates 35 , dem Übereinkommen des Europarats über Computerkriminalität 36 , der Verordnung (EG) Nr. 1206/2001 des Rates 37 , der Richtlinie 2006/112/EG des Rates 38 und der Verordnung (EU) Nr. 904/2010 des Rates 39 . In Ermangelung solcher besonderen Kooperationsmechanismen sollten die zuständigen Behörden untereinander zusammenarbeiten, um den Zugang zu den gewünschten Daten über benannte zentrale Anlaufstellen zu gewähren, sofern dies der öffentlichen Ordnung des ersuchten Mitgliedstaats nicht zuwiderlaufen würde.
(19)Beinhaltet ein Amtshilfeersuchen die Erlangung des Zugangs zu Räumlichkeiten einer natürlichen oder juristischen Person oder zu Datenspeicherungs- oder sonstigen Datenverarbeitungsanlagen und mitteln durch die ersuchte Behörde, so muss ein solcher Zugang im Einklang mit dem Verfahrensrecht der Union oder des Mitgliedstaats stehen und etwa dem Erfordernis einer vorherigen richterlichen Genehmigung genügen.
(20)Die Möglichkeit der unbehinderten Übertragung von Daten ist eine wichtige Voraussetzung für die Auswahlmöglichkeiten der Nutzer und einen wirksamen Wettbewerb auf den Märkten der Datenspeicherungs- oder sonstigen Datenverarbeitungsdienste. Die tatsächlichen oder vermeintlichen Schwierigkeiten bei der grenzüberschreitenden Übertragung von Daten untergraben auch das Vertrauen beruflicher Nutzer in grenzüberschreitende Angebote und somit ihr Vertrauen in den Binnenmarkt. Während natürliche Personen und Verbraucher sich auf geltendes Unionsrecht berufen können, wird es Nutzern im Rahmen ihrer gewerblichen oder beruflichen Tätigkeiten nicht erleichtert, die Möglichkeit des Wechsels zwischen Diensteanbietern in Anspruch zu nehmen.
(21)Damit sie alle Vorteile des wettbewerbsorientierten Umfelds für sich nutzen können, sollten berufliche Nutzer in die Lage versetzt werden, sich sachkundig zu entscheiden und die einzelnen Bestandteile verschiedener Datenspeicherungs- oder sonstigen Datenverarbeitungsdienste, die im Binnenmarkt angeboten werden, leicht zu vergleichen, auch bezüglich der Vertragsbedingungen für die Übertragung von Daten bei Beendigung eines Vertrags. Um mit dem Innovationspotenzial des Marktes Schritt zu halten und die Erfahrungen und die Sachkenntnis der Anbieter und beruflichen Nutzer von Datenspeicherungs- und sonstigen Datenverarbeitungsdiensten zu berücksichtigen, sollten die Einzelheiten und betrieblichen Anforderungen für die Übertragung von Daten von den Marktteilnehmern mittels Selbstregulierung festgelegt werden; die Kommission sollte die Selbstregulierung mit Verhaltensregeln der Union, die auch Mustervertragsbedingungen enthalten können, fördern und erleichtern. Falls jedoch solche Verhaltensregeln nicht innerhalb einer angemessenen Frist aufgestellt und wirksam umgesetzt werden, sollte die Kommission die Situation erneut prüfen.
(22)Im Interesse einer reibungslosen Zusammenarbeit zwischen den Mitgliedstaaten sollte jeder Mitgliedstaat eine zentrale Anlaufstelle benennen, die bezüglich der Anwendung dieser Verordnung mit den Anlaufstellen der anderen Mitgliedstaaten und mit der Kommission in Verbindung steht. Will eine zuständige Behörde eines Mitgliedstaats einen anderen Mitgliedstaat um Amtshilfe ersuchen, um gemäß dieser Verordnung Zugang zu Daten zu erlangen, so sollte sie an die zentrale Anlaufstelle des betreffenden Mitgliedstaats einen ordnungsgemäß begründeten Antrag mit einer schriftlichen Rechtfertigung und den Rechtsgrundlagen für das Zugangsbegehren richten. Die zentrale Anlaufstelle des Mitgliedstaats, um dessen Amtshilfe ersucht wird, sollte die Amtshilfeleistung zwischen den Behörden erleichtern, indem sie die jeweils zuständige Behörde in dem ersuchten Staat ermittelt und ihr den Antrag zuleitet. Im Interesse einer wirksamen Zusammenarbeit sollte die Behörde, der ein Antrag zugeleitet wird, unverzüglich die beantrage Amtshilfe leisten oder mitteilen, warum sie Schwierigkeiten hat, dem Antrag nachzukommen bzw. ihre Gründe nennen, warum sie den Antrag ablehnt.
(23)Zur Gewährleistung einer wirksamen Durchführung des Amtshilfeverfahrens zwischen den zuständigen Behörden der Mitgliedstaaten kann die Kommission Durchführungsrechtsakte erlassen, in denen sie einheitliche Formulare, Antragssprachen, Fristen oder andere Einzelheiten des Verfahrens für Amtshilfeersuchen festlegt. Diese Befugnisse sollten im Einklang mit der Verordnung (EU) Nr. 182/2011 des Europäischen Parlaments und des Rates 40 ausgeübt werden.
(24)Durch die Stärkung des Vertrauens in eine grenzüberschreitende Datenspeicherung oder sonstige Datenverarbeitung sollte die Neigung von Marktteilnehmern und öffentlichen Stellen verringert werden, auf Datenlokalisierung als Ersatz für Datensicherheit zu bestehen. Außerdem sollten dadurch die Unternehmen mehr Rechtssicherheit in Bezug auf geltende Sicherheitsanforderungen erhalten, wenn sie ihre Datenspeicherungs- oder sonstigen Datenverarbeitungstätigkeiten – auch an Diensteanbieter in anderen Mitgliedstaaten – auslagern.
(25)Bestehende Sicherheitsanforderungen an die Datenspeicherung oder sonstige Datenverarbeitung, die auf der Grundlage des Unionsrechts oder nationalen Rechts in begründeter und verhältnismäßiger Weise sowie im Einklang mit dem Unionsrecht in dem Mitgliedstaat gelten, in dem die natürlichen oder juristischen Personen, deren Daten betroffen sind, ihren Wohnsitz oder ihre Niederlassung haben, sollten auch in einem anderen Mitgliedstaat auf die Speicherung oder sonstige Verarbeitung dieser Daten weiterhin Anwendung finden. Diese natürlichen oder juristischen Personen sollten derartige Anforderungen entweder selbst oder aber durch Vertragsklauseln in ihren Verträgen mit den Diensteanbietern erfüllen können.
(26)Auf nationaler Ebene festgelegte Sicherheitsanforderungen sollten notwendig und verhältnismäßig zu den Risiken für die Sicherheit der Datenspeicherung und sonstigen Datenverarbeitung auf dem Gebiet sein, für das die nationalen Vorschriften gelten, in denen diese Anforderungen festgelegt wurden.
(27)Die Richtlinie (EU) 2016/1148 41 enthält rechtliche Bestimmungen zur Anhebung des allgemeinen Cybersicherheitsniveaus in der Union. Datenspeicherungs- oder sonstige Datenverarbeitungsdienste gehören zu den von dieser Richtlinie erfassten digitalen Diensten. Nach Artikel 16 der Richtlinie sollen die Mitgliedstaaten sicherstellen, dass die Anbieter digitaler Dienste geeignete und verhältnismäßige technische und organisatorische Maßnahmen ermitteln und ergreifen, um die Risiken für die Sicherheit der von ihnen genutzten Netz- und Informationssysteme zu beherrschen. Diese Maßnahmen sollten ein dem Risiko angemessenes Schutzniveau gewährleisten und der Sicherheit der Systeme und Anlagen, der Bewältigung von Sicherheitsvorfällen, dem Betriebskontinuitätsmanagement, der Überwachung, Überprüfung und Erprobung sowie der Einhaltung der internationalen Normen Rechnung tragen. Diese Elemente sollten von der Kommission in gemäß dieser Richtlinie zu erlassenen Durchführungsrechtsakten weiter präzisiert werden.
(28)Die Kommission sollte diese Verordnung regelmäßig überprüfen, um insbesondere festzustellen, ob angesichts der Entwicklung der Technik und der Märkte Änderungsbedarf besteht.
(29)Diese Verordnung steht insbesondere mit den in der Charta der Grundrechte der Europäischen Union anerkannten Grundrechten und Grundsätzen im Einklang und sollte in Übereinstimmung mit diesen Grundrechten und Grundsätzen ausgelegt und angewandt werden; dazu zählen die Rechte auf Schutz personenbezogener Daten (Artikel 8), auf unternehmerische Freiheit (Artikel 16) und auf Freiheit der Meinungsäußerung und Informationsfreiheit (Artikel 11).
(30)Da das Ziel dieser Verordnung, nämlich den freien Verkehr nicht personenbezogener Daten in der Union zu gewährleisten, von den Mitgliedstaaten nicht ausreichend verwirklicht werden kann, sondern vielmehr wegen seines Umfangs und seiner Wirkungen auf Unionsebene besser zu verwirklichen ist, kann die Union im Einklang mit dem in Artikel 5 des Vertrags über die Europäische Union verankerten Subsidiaritätsprinzip tätig werden. Entsprechend dem in demselben Artikel genannten Grundsatz der Verhältnismäßigkeit geht diese Verordnung nicht über das für die Verwirklichung dieses Ziels erforderliche Maß hinaus —
HABEN FOLGENDE VERORDNUNG ERLASSEN:
Artikel 1
Gegenstand
Diese Verordnung soll den freien Verkehr nicht personenbezogener Daten in der Union gewährleisten und enthält hierzu Vorschriften über Datenlokalisierungsauflagen, die Verfügbarkeit von Daten für zuständige Behörden und die Übertragung von Daten beruflicher Nutzer.
Artikel 2
Anwendungsbereich
(1)Diese Verordnung gilt für die Speicherung oder sonstige Verarbeitung elektronischer Daten, die keine personenbezogenen Daten sind, in der Union, sofern diese
a)als eine Dienstleistung für Nutzer erfolgt, die in der Union wohnhaft oder niedergelassen sind, ungeachtet dessen, ob der Anbieter in der Union niedergelassen ist oder nicht, oder
b)von einer natürlichen oder juristischen Person, die in der Union wohnhaft oder niedergelassen ist, für den Eigenbedarf durchgeführt wird.
(2)Diese Verordnung gilt nicht für Tätigkeiten, die nicht in den Anwendungsbereich des Unionsrechts fallen.
Artikel 3
Begriffsbestimmungen
Im Sinne dieser Verordnung gelten folgende Begriffsbestimmungen:
1.„Daten“ bezeichnet andere als die in Artikel 4 Nummer 1 der Verordnung (EU) 2016/679 genannten Daten;
2.„Datenspeicherung“ bezeichnet jede Speicherung von Daten in elektronischem Format;
3.„Entwurf einer Vorschrift“ bezeichnet einen Wortlaut, der ausgearbeitet worden ist, um ihn als allgemeine Rechts- oder Verwaltungsvorschrift zu erlassen, und der sich im Stadium der Ausarbeitung befindet, in dem noch wesentliche Änderungen möglich sind;
4.„Anbieter“ bezeichnet eine natürliche oder juristische Person, die Datenspeicherungs- oder sonstige Datenverarbeitungsdienste erbringt;
5.„Datenlokalisierungsauflage“ bezeichnet eine Verpflichtung, ein Verbot, eine Bedingung, eine Beschränkung oder eine andere Anforderung, die in Rechts- und Verwaltungsvorschriften der Mitgliedstaaten enthalten ist und die verbindlich festlegt, dass sich der Ort der Datenspeicherung oder sonstigen Datenverarbeitung im Hoheitsgebiet eines bestimmten Mitgliedstaats befinden muss, oder die eine Speicherung oder sonstige Verarbeitung von Daten in einem anderen Mitgliedstaat behindert;
6.„zuständige Behörde“ bezeichnet eine Behörde eines Mitgliedstaats, die nach nationalem Recht oder nach Unionsrecht befugt ist, zur Erfüllung ihrer amtlichen Pflichten Zugang zu Daten zu erlangen, die von einer natürlichen oder juristischen Person gespeichert oder verarbeitet werden;
7.„Nutzer“ bezeichnet eine natürliche oder juristische Person, die einen Datenspeicherungs- oder sonstigen Datenverarbeitungsdienst benutzt oder beauftragt;
8.„beruflicher Nutzer“ bezeichnet eine natürliche oder juristische Person, einschließlich einer öffentlichen Einrichtung, die einen Datenspeicherungs- oder sonstigen Datenverarbeitungsdienst zu Zwecken im Zusammenhang mit ihrer gewerblichen, geschäftlichen, handwerklichen oder beruflichen Tätigkeit bzw. der Erfüllung ihrer Aufgaben benutzt oder beauftragt.
Artikel 4
Freier Datenverkehr in der Union
(1)Der Ort, an dem in der Union die Speicherung oder sonstige Verarbeitung von Daten erfolgt, darf nicht auf das Hoheitsgebiet eines bestimmten Mitgliedstaats beschränkt werden; ebenso darf die Speicherung oder sonstige Verarbeitung von Daten in einem anderen Mitgliedstaat weder verboten noch beschränkt werden, es sei denn, dies ist aus Gründen der öffentlichen Sicherheit gerechtfertigt.
(2)Die Mitgliedstaaten teilen der Kommission alle Entwürfe von Vorschriften mit, die neue Datenlokalisierungsauflagen enthalten oder bestehende Datenlokalisierungsauflagen ändern, und zwar gemäß den Verfahren, die in den zur Umsetzung der Richtlinie (EU) 2015/1535 erlassenen nationalen Vorschriften festgelegt sind.
(3)Die Mitgliedstaaten sorgen binnen 12 Monaten nach dem Beginn der Anwendung dieser Verordnung dafür, dass alle Datenlokalisierungsauflagen, die mit Absatz 1 nicht vereinbar sind, aufgehoben werden. Ist ein Mitgliedstaat der Ansicht, dass eine Datenlokalisierungsauflage mit Absatz 1 vereinbar ist und deshalb in Kraft bleiben kann, teilt er der Kommission diese Maßnahme zusammen mit einer Begründung der Aufrechterhaltung mit.
(4)Die Mitgliedstaaten machen die Einzelheiten über sämtliche in ihrem Hoheitsgebiet geltenden Datenlokalisierungsauflagen im Internet über eine zentrale Informationsstelle öffentlich bekannt und halten diese Informationen auf dem neuesten Stand.
(5)Die Mitgliedstaaten teilen der Kommission die Adresse ihrer in Absatz 4 genannten zentralen Informationsstelle mit. Die Kommission veröffentlicht die Verweise auf diese Informationsstellen auf ihrer Website.
Artikel 5
Verfügbarkeit von Daten für zuständige Behörden
(1)Diese Verordnung lässt die Befugnisse der zuständigen Behörden, zur Erfüllung ihrer amtlichen Pflichten gemäß dem Unionsrecht oder nationalem Recht Zugang zu Daten zu verlangen und zu erhalten, unberührt. Der Zugang zuständiger Behörden zu Daten darf nicht mit der Begründung verweigert werden, dass die Daten in einem anderen Mitgliedstaat gespeichert oder anderweitig verarbeitet werden.
(2)Hat eine zuständige Behörde alle anwendbaren Mittel, um Zugang zu den Daten zu erlangen, ausgeschöpft, so kann sie eine zuständige Behörde in einem anderen Mitgliedstaat nach dem in Artikel 7 festgelegten Verfahren um Amtshilfe ersuchen; die ersuchte zuständige Behörde leistet Amtshilfe nach dem in Artikel 7 festgelegten Verfahren, sofern dies der öffentlichen Ordnung des ersuchten Mitgliedstaats nicht zuwiderlaufen würde.
(3)Beinhaltet ein Amtshilfeersuchen die Erlangung des Zugangs zu Räumlichkeiten einer natürlichen oder juristischen Person oder zu Datenspeicherungs- oder sonstigen Datenverarbeitungsanlagen und mitteln durch die ersuchte Behörde, so muss ein solcher Zugang im Einklang mit dem Verfahrensrecht der Union oder des Mitgliedstaats stehen.
(4)Absatz 2 gilt nur, wenn für den Austausch von Daten zwischen zuständigen Behörden verschiedener Mitgliedstaaten kein besonderer Kooperationsmechanismus im Rahmen des Unionsrechts oder internationaler Abkommen besteht.
Artikel 6
Übertragung von Daten
(1)Die Kommission fördert und erleichtert auf Unionsebene die Entwicklung von Verhaltensregeln für die Selbstregulierung, um Leitlinien für bewährte Verfahren zur Erleichterung des Anbieterwechsels aufzustellen und damit die Anbieter beruflichen Nutzern vor Abschluss eines Vertrags über die Datenspeicherung und verarbeitung hinreichend ausführliche, eindeutige und transparente Informationen in Bezug auf folgende Fragen geben:
a)die Prozesse, technischen Anforderungen, Fristen und Entgelte, die für einen beruflichen Nutzer gelten, der zu einem anderen Anbieter wechseln oder Daten zurück in seine eigenen IT-Systeme übertragen möchte; dies umfasst auch die Prozesse und den Ort von Datensicherungen, die verfügbaren Datenformate und träger, die erforderliche IT-Konfiguration und die Mindestnetzbandbreite, die Vorlaufzeit vor Beginn des Übertragungsprozesses und die Zeitspanne, in der die Daten für eine Übertragung verfügbar bleiben, sowie die Garantien für den Zugang zu den Daten im Falle der Insolvenz des Anbieters;
b)die betrieblichen Anforderungen für den Anbieterwechsel oder die Übertragung von Daten in einem strukturierten, gängigen und maschinenlesbaren Format, die dem Nutzer für den Wechsel oder die Übertragung der Daten genügend Zeit lassen.
(2)Die Kommission hält die Anbieter dazu an, die in Absatz 1 genannten Verhaltensregeln innerhalb eines Jahres nach dem Beginn der Anwendung dieser Verordnung wirksam umzusetzen.
(3)Die Kommission überprüft die Entwicklung und wirksame Anwendung solcher Verhaltensregeln und die tatsächliche Bereitstellung von Informationen seitens der Anbieter spätestens zwei Jahre nach dem Beginn der Anwendung dieser Verordnung.
Artikel 7
Zentrale Anlaufstellen
(1)Jeder Mitgliedstaat benennt eine zentrale Anlaufstelle, die bezüglich der Anwendung dieser Verordnung mit den zentralen Anlaufstellen der anderen Mitgliedstaaten und mit der Kommission in Verbindung steht. Die Mitgliedstaaten teilen der Kommission die benannten zentralen Anlaufstellen und etwaige spätere Änderungen dieser Angaben mit.
(2)Die Mitgliedstaaten stellen sicher, dass die zentralen Anlaufstellen über die zur Anwendung dieser Verordnung notwendigen Mittel verfügen.
(3)Will eine zuständige Behörde eines Mitgliedstaats einen anderen Mitgliedstaat um Amtshilfe ersuchen, um gemäß Artikel 5 Absatz 2 Zugang zu Daten zu erlangen, so richtet sie an die zentrale Anlaufstelle des betreffenden Mitgliedstaats einen ordnungsgemäß begründeten Antrag mit einer schriftlichen Rechtfertigung und den Rechtsgrundlagen für das Zugangsbegehren.
(4)Die zentrale Anlaufstelle ermittelt die jeweils zuständige Behörde ihres Mitgliedstaats und leitet den gemäß Absatz 3 eingegangenen Antrag an diese zuständige Behörde weiter. Die auf diese Weise ersuchte Behörde muss unverzüglich
a)der ersuchenden zuständigen Behörde antworten und die zentrale Anlaufstelle von ihrer Antwort unterrichten sowie
b)der zentralen Anlaufstelle und der ersuchenden Behörde etwaige Schwierigkeiten mitteilen und im Falle der Ablehnung oder teilweisen Beantwortung die Gründe für die Ablehnung oder teilweise Beantwortung angeben.
(5)Alle Informationen, die im Zusammenhang mit einem Amtshilfeersuchen und geleisteter Amtshilfe gemäß Artikel 5 Absatz 2 ausgetauscht werden, dürfen nur im Zusammenhang mit den Zwecken des Ersuchens verwendet werden.
(6)Die Kommission kann Durchführungsrechtsakte erlassen, in denen sie einheitliche Formulare, Antragssprachen, Fristen oder andere Einzelheiten des Verfahrens für Amtshilfeersuchen festlegt. Solche Durchführungsrechtsakte werden nach dem in Artikel 8 genannten Verfahren erlassen.
Artikel 8
Ausschuss
(1)Die Kommission wird vom Ausschuss für freien Datenverkehr unterstützt. Dieser Ausschuss ist ein Ausschuss im Sinne der Verordnung (EU) Nr. 182/2011.
(2)Wird auf diesen Absatz Bezug genommen, so gilt Artikel 5 der Verordnung (EU) Nr. 182/2011.
Artikel 9
Überprüfung
(1)Die Kommission führt bis zum [fünf Jahre nach dem in Artikel 10 Absatz 2 genannten Datum] eine Überprüfung dieser Verordnung durch und legt dem Europäischen Parlament, dem Rat und dem Europäischen Wirtschafts- und Sozialausschuss einen Bericht über deren Hauptergebnisse vor.
(2)Die Mitgliedstaaten übermitteln der Kommission alle Angaben, die für die Ausarbeitung des in Absatz 1 genannten Berichts erforderlich sind.
Artikel 10
Schlussbestimmungen
(1)Diese Verordnung tritt am zwanzigsten Tag nach ihrer Veröffentlichung im Amtsblatt der Europäischen Union in Kraft.
(2)Diese Verordnung wird sechs Monate nach ihrer Veröffentlichung anwendbar.
Diese Verordnung ist in allen ihren Teilen verbindlich und gilt unmittelbar in jedem Mitgliedstaat.
Geschehen zu Brüssel am
Im Namen des Europäischen Parlaments Im Namen des Rates
Der Präsident Der Präsident