Freier Verkehr nicht personenbezogener Daten

Die Verordnung (EU) 2018/1807 über einen Rahmen für den freien Verkehr nicht-personenbezogener Daten in der Europäischen Union gilt seit dem 28. Mai 2019. Mit dieser Verordnung sollen Hemmnisse für den freien Verkehr nicht personenbezogener Daten zwischen den EU-Mitgliedstaaten in der Europäischen Union beseitigt werden. Die Verordnung zielt hauptsächlich auf die Beseitigung aller ungerechtfertigten Datenlokalisierungsauflagen in den nationalen Rechtsvorschriften oder Verwaltungsvorschriften, die verhindern würden, dass nicht-personenbezogene Daten innerhalb des Europäischen Datenbinnenmarkts übertragen werden können.

Ziele der Verordnung über einen Rahmen für den freien Verkehr nicht-personenbezogener Daten in der EU:

• Freier, grenzüberschreitender Verkehr nicht-personenbezogener Daten: jede Organisation sollte in der Lage sein, Daten überall in der EU zu speichern und zu verarbeiten.
• Verfügbarkeit von Daten für die regulatorische Kontrolle: Behörden behalten den Zugriff auf Daten, auch wenn diese in einem anderen EU-Land oder in der europäischen Cloud gespeichert oder verarbeitet werden.
• Einfacherer Wechsel zwischen Anbietern von Cloud-Diensten für professionelle Nutzer: Mittels Selbstregulierung sollen Anbieter ermutigt werden, Verhaltenskodizes ("codes of conduct") zu entwickeln, unter denen Nutzer Daten zwischen Anbietern von Cloud-Diensten und eigenen IT-Umgebungen transferieren können.
• Kohärenz und Synergien mit der Cybersicherheitsstrategie der EU: Klarstellung, dass alle bestehenden Sicherheitsanforderungen für datenverarbeitende Unternehmen weiterhin gültig sind, wenn diese Daten grenzüberschreitend in der EU oder in der europäischen Cloud speichern oder verarbeiten.

Datenlokalisierungsauflagen

Gemäß Verordnung (EU) 2018/1807 wird eine Datenlokalisierungsauflage definiert als (Art. 3 Abs. 5):

"eine Verpflichtung, ein Verbot, eine Bedingung, eine Beschränkung 
oder eine andere Anforderung, die in Rechts- oder Verwaltungsvorschriften eines Mitgliedstaats enthalten ist oder sich aus allgemeinen und einheitlichen Verwaltungspraktiken in einem Mitgliedstaat und Einrichtungen des öffentlichen Rechts, unbeschadet der Richtlinie 2014/24/EU auch im Bereich der Vergabe öffentlicher Aufträge, ergibt und die bestimmt, dass die Datenverarbeitung im Hoheitsgebiet eines bestimmten Mitgliedstaats stattfinden muss, oder die die Verarbeitung von Daten in einem anderen Mitgliedstaat behindert"

Dieser EU-Verordnung zufolge sind Datenlokalisierungsauflagen unzulässig, es sei denn, diese sind aus Gründen der öffentlichen Sicherheit unter Achtung des Grundsatzes der Verhältnismäßigkeit gerechtfertigt (Art. 4 Abs. 1).

Nationale einheitliche Online-Informationsstelle

Die Mitgliedstaaten sind verpflichtet, alle ungerechtfertigten Datenlokalisierungsauflagen, die durch allgemeine Rechts- und Verwaltungsvorschriften geregelt sind, aufzuheben. Sämtliche gerechtfertigten Datenlokalisierungsauflagen müssen über eine nationale einheitliche Online-Informationsstelle öffentlich verfügbar gemacht werden und der Europäischen Kommission bekanntgegeben werden.

Entsprechend einer Analyse der geltenden nationalen Gesetzgebung im Zuge des Inkrafttretens der Verordnung (EU) 2018/1807 wurden in Österreich keine Datenlokalisierungsauflagen für nicht-personenbezogene Daten im Anwendungsbereich dieser Verordnung ermittelt. Gemäß Art. 4 Abs. 4 der Verordnung werden alle bestehenden ungerechtfertigten Datenlokalisierungsauflagen auf dieser Webseite beziehungsweise der nationalen einheitlichen Online-Informationsstelle veröffentlicht.

Zur verbesserten Klarheit über den grenzüberschreitenden Umgang mit Daten wurden von der Europäischen Kommission informative Leitlinien zur Anwendung dieser Verordnung veröffentlicht.

Einheitliche Anlaufstelle und Verfahren für die Zusammenarbeit zwischen den Behörden

Das Bundeskanzleramt (BKA) der Republik Österreich fungiert als einheitliche Anlaufstelle bezüglich der Anwendung dieser Verordnung (Art. 7 Abs. 1). Wenn eine zuständige Behörde eines EU-Mitgliedstaats einen anderen EU-Mitgliedstaat um Amtshilfe ersucht, um Zugang zu Daten zu erlangen, so richtet diese einen ordnungsgemäß begründeten Antrag an die einheitliche Anlaufstelle. Der Antrag enthält eine schriftliche Darlegung der Gründe und der Rechtsgrundlagen für das Zugangsbegehren. Die einheitliche Anlaufstelle hat die jeweils zuständige Behörde ihres Mitgliedstaats zu ermitteln und leitet den Antrag an diese zuständige Behörde weiter.

Anträge auf Erlangung des Zugangs zu Daten im Wege der Amtshilfe können von zuständigen Behörden an die folgende E-Mail-Adresse übermittelt werden: ffd@bka.gv.at

Weiterführende Informationen

• Verordnung (EU) 2018/1807 über einen Rahmen für den freien Verkehr nicht-personenbezogener Daten in der Europäischen Union
• Leitlinien zur Verordnung über einen Rahmen für den freien Verkehr nicht-personenbezogener Daten in der Europäischen Union
• Freier Fluss nicht personenbezogener Daten (Europäische Kommission)
• Freier Verkehr nicht personenbezogener Daten in der Europäischen Union – Nationale Informations- und Anlaufstellen
• Verhaltenskodex für Anbieter von Cloud-Diensten auf der Website der SWIPO-Vereinigung
• Cybersicherheitsstrategie der EU