Freier Datenfluss: Verhaltene Begeisterung für europäische Free-Dataflow-Verordnung
Ein neuer Vorschlag der Europäischen Kommission für eine Verordnung zum freien Datenfluss von nicht-personenbezogenen Daten stößt in europäischen Unternehmen auf verhaltene Zustimmung. Vor allem Selbstregulierung in Sachen Datenportabilität macht Sorgen.
Die EU-Kommission will mit der Verordnung für einen freien Datenfluss nicht-personengebundener Daten der europaweiten Entwicklung von Cloud Computing, Big Data, Künstlicher Intelligenz und dem Internet der Dinge einen Schub verpassen. EU-Kommissar Andrus Ansip erwartet, dass sie den Eintritt von kleinen und mittleren Unternehmen in neue Märkte erleichtern wird. Dabei geht es ihm vor allem um die Vernetzung von Fahrzeugen sowie digitale Gesundheitsdienste, soweit diese mit nicht-personenbezogenen Daten arbeiten sollten.
50 Einschränkungen für Datenlokalisierung fallen
Mit der Verordnung sollen die europaweit rund gesetzlichen Einschränkungen, die eine Datenlokalisierung verlangen, weitgehend beseitigt werden. Eine Ausnahme gibt es nur für Belange der nationalen Sicherheit. Gleichzeitig sollen die Befugnisse der nationalen Aufsichtsbehörden erhalten bleiben.
Artikel 4 der Verordnung verbietet es, den Ort für die Speicherung und Verarbeitung von Daten auf einen bestimmten Ort oder einen bestimmten Mitgliedstaat zu beschränken. Entsprechend könnten Behörden in Ausschreibungen nicht mehr den Ort des Rechenzentrums vorgeben – mit der Folge, dass sie für Vor-Ort-Kontrollen gegebenenfalls weite Anreisen nach Spitzbergen oder Malta in Kauf nehmen müssten. Artikel 4, Absatz 1 ist so vage formuliert, dass auch Unternehmen unter die Regeln fallen könnten. Mit dieser Unklarheit wird sich jetzt das Europäische Parlament befassen müssen.
Ob wie geplant auch kleine und mittlere Anbieter von der Verordnung profitieren werden, ist nicht absehbar. Ein Jurist eines größeren deutschen Anbieters sagte heise online: "Die Verordnung eliminiert den bisher bestehenden nationalen Wettbewerbsvorteil für kleine und mittlere Unternehmen mit Sitz in Deutschland." Die Verordnung werde den Weg zu einem offenen Wettbewerb bahnen, von dem aber eher die großen Unternehmen profitieren könnten, da kleine und mittlere Unternehmen kaum eine Verkaufsabteilung im Ausland betreiben werden.
Für Rechenzentren, die etwa vom Bund in Eigenregie betrieben werden, wird sich jedoch wenig ändern. Anders ist das bei großen IT-Dienstleistern wie Dataport, die für die öffentliche Verwaltung arbeiten und Ausschreibungen gewinnen müssen. Dataport-Sprecherin Britta Heinrich sagte heise online: "Wir gehen davon aus, dass sich öffentliche Verwaltungen im Zuge von Digitalisierungsprojekten und dem zu erwartenden zunehmenden Einsatz von Big-Data-Analysen immer mehr mit dem Hosting, der Analyse und Verarbeitung von nicht-personenbezogenen Daten auseinandersetzen wird." Beispiele dafür finden sich bereits jetzt in der Verkehrssteuerung, dem Bildungswesen oder bezogen auf die Digitalisierung von Kulturgütern.
Unternehmen sollen selbst Regeln für Datenportabilität finden
In Sachen Datenportabilität setzt die Verordnung auf Selbstregulierung. Dataport-Sprecherin Heinrich begrüßt den Vorstoß der Kommission: "Wird neu ausgeschrieben werden, muss sichergestellt sein, dass ein Transfer der Daten von einem Anbieter zu einem anderen problemlos möglich ist. Eine der wesentlichen Zielsetzungen der Initiative, den Lock-In bei Providern aufgrund technischer oder vertraglicher Hürden zu vermeiden, geht daher in die richtige Richtung." Alban Schmutz vom Berufsverband von Cloud-Infrastruktur-Unternehmen CISPE hingegen mahnt: "Wir müssen sicherstellen, dass der freie Datenfluss nicht-personenbezogener Daten europäischen KMUs hilft und keine zusätzliche Belastung für sie darstellt."
Die European Banking Foundation erwartet von der Kommission, dass sie gemeinsam mit der europäischen Artikel-29-Gruppe der Datenschutzaufsichtsbehörden eine "klare EU-Richtschnur" entwickelt, damit Unternehmen wissen, wie sie die Portabilität umsetzen sollen. Denn auch die europäische Datenschutz-Grundverordnung verlangt, dass Kunden ihre Daten von einem Dienst auf den anderen Dienst übertragen können sollen.
Die Bankenlobby warnt davor, dass große US-Plattformen, die Bezahlfunktionen anbieten, dank ihrer Marktmacht und ihren viel größeren Datensätzen die Portabilität so gestalten könnten, dass europäische Unternehmen wie etwa Banken kaum davon profitieren werden. Auch Dataport zeigt sich skeptisch. Heinrich: "Ob es auf Strecke ausreicht, sich auf Verhaltenskodizes zu verlassen, um sicherzustellen, dass Daten von einem Anbieter zum nächsten wechseln können, muss die Praxis zeigen."
Mangelndes Vertrauen lässt sich schwer regulieren
Das Centrum für Europäische Politik CEP erinnert daran, dass "viele vermeintliche Barrieren für den grenzüberschreitenden Datenfluss nicht gesetzlicher Natur sind". Eine wesentliche Barriere sei das "mangelnde Vertrauens in die Datensicherheit und den Schutz von Daten und Geschäftsgeheimnissen im Ausland", was sich nur schwer durch gesetzgeberische Maßnahmen abbauen lasse.
Einige EU-Vertreter sehen überdies einen Konflikt mit dem deutschen Netzwerkdurchsetzungsgesetz, das Social-Media-Plattformen dazu verpflichtet, hetzerische Beiträge zu entfernen. Es enthält nämlich Vorgaben, wonach Daten in Deutschland gespeichert werden müssen, was aber nach der Verordnung verboten wäre. Da jedoch auch inzwischen andere EU-Länder ähnliche Gesetze planen, könnte die Lösung in einem europaweiten Netzwerkdurchsetzungsgesetz liegen, glaubt Torsten Kraul von der Rechtsanwaltskanzlei Noerr. (anw)
