Unterrichtung durch die Europäische Kommission
Stellungnahme der Europäischen Kommission zu dem Beschluss des Bundesrates zum Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates über einen Rahmen für den freien Verkehr nicht personenbezogener Daten in der Europäischen Union

C(2018) 5356 final

Europäische Kommission
Brüssel, den 3.8.2018 C(2018) 5356 final

Herrn Michael MÜLLER
Präsident des Bundesrates
Leipziger Straße 3-4
10117 Berlin Deutschland

Sehr geehrter Herr Bundesratspräsident,
die Kommission dankt dem Bundesrat für seine Stellungnahme zum Vorschlag .für eine Verordnung des Europäischen Parlaments und des Rates über einen Rahmen für den freien Verkehr nicht personenbezogener Daten in der Europäischen Union {COM (201 7) 495 final}.

Dieser Vorschlag stellt eine der sechzehn politischen Maßnahmen dar, die im Rahmen der Strategie der Kommission für einen digitalen Binnenmarkt angekündigt wurden; bei dieser Strategie handelt es sich um ein umfassenderes Maßnahmenpaket, das auf eine Freisetzung des Potenzials des EU-Binnenmarkts für digitale Waren und Dienstleistungen ausgerichtet ist. Die Belebung der europäischen Datenwirtschaft ist ein wichtiges Element dieser Strategie; hierfür ist die Verbesserung des freien Datenverkehrs in der Europäischen Union eine wichtige Voraussetzung. Zusammen mit der Datenschutz-Grundverordnung wird die vorgeschlagene Verordnung den freien Verkehr personenbezogener und nicht personenbezogener Daten in der gesamten Union ermöglichen.

Der Vorschlag über den freien Verkehr nicht personenbezogener Daten, soll zu mehr Wirtschaftswachstum und Arbeitsplätzen für die Bürgerinnen und Bürger der Europäischen Union führen, indem er für Rechtssicherheit darüber sorgt, dass die Freiheiten des EU-Binnenmarkts auch für die Speicherung und Verarbeitung von Daten gelten. Insbesondere soll der Vorschlag dazu beitragen, dass es einfacher wird, an mehreren Standorten in der Union eine Geschäftstätigkeit auszuüben, indem er eine doppelte Infrastruktur für Unternehmen, die in mehr als einem Mitgliedstaat tätig sind, überflüssig macht. Dies ermöglicht Größenvorteile durch eine Zentralisierung der IT-Infrastrukturen und erleichtert kleinen und mittleren Unternehmen sowie Start-ups die Expansion und die Erschließung neuer Märkte im Ausland.

Die Kommission möchte darauf hinweisen, dass die förmliche Annahme des Vorschlags zwar noch nicht ei folgt ist, eine vorläufige politische Einigung jedoch am 19. Juni 2018 nach zügigen Verhandlungen erzielt wurde.

Im Rahmen dieser Verhandlungen hat die Kommission den Standpunkt und die Bemerkungen des Bundesrates berücksichtigt. Sie begrüßt die Möglichkeit, einige Aspekte ihres Vorschlags und der politischen Einigung klarzustellen, und hofft, auf diese Weise die Bedenken des Bundesrates ausräumen zu können.

In erster Linie legt der Bundesrat seinen Standpunkt dar, dass der Anwendungsbereich der Verordnung nicht auf gemischte Datensätze ausgeweitet werden sollte, bei denen nicht personenbezogene Daten und personenbezogene Daten untrennbar miteinander verbunden sind, da dies angesichts der praktischen Schwierigkeiten bei der Trennung von nicht personenbezogenen Daten und personenbezogenen Daten zu einem Ausschluss der meisten Datenlokalisierungsauflagen führen würde. Darüber hinaus äußert der Bundesrat Bedenken hinsichtlich einer Ausweitung des Anwendungsbereichs der Verordnung und deren möglicher Auswirkungen auf die behördliche Verarbeitung sensibler Daten, insbesondere in Bezug auf die freie und sichere Gestaltung der informationstechnologischen Architektur der Justizverwaltungen. Aus diesem Grund betont der Bundesrat die Notwendigkeit, den Vorbehalt für Belange der öffentlichen Sicherheit im Rahmen der bevorstehenden Verhandlungen zu erhalten, um insbesondere die Möglichkeiten der Justizverwaltungen zu wahren, ihre IT-Infrastruktur uneingeschränkt zu gestalten. Schließlich hebt der Bundesrat die Notwendigkeit hervor, dass datenverarbeitende Stellen, insbesondere im Bereich der Justizverwaltung, bei der Auftragsvergabe und der Ausübung von Verwaltungspraktiken an den Datenlokalisierungsauflagen festhalten, damit die sichere Verarbeitung personenbezogener Daten gewährleistet werden kann. Die beabsichtigte Ausweitung der Definition des Begriffs "Datenlokalisierungsauflagen" läuft daher nach Auffassung des Bundesrates den informationstechnologischen Sicherheitsbelangen der Justizverwaltung und einer unabhängigen Justiz zuwider.

Die Kommission begrüßt die Stellungnahme des Bundesrates. Wenngleich die Kommission nicht alle Schlussfolgerungen aus der Stellungnahme des Bundesrates uneingeschränkt teilt, stellten dessen detaillierte Ausführungen einen wichtigen Beitrag zur Debatte dar. Eine detaillierte Stellungnahme der Kommission zu den spezifischen Bemerkungen und den Auskunftsersuchen des Bundesrates findet sich im Anhang.

Vor dem Hintergrund der wichtigen Rolle, die Deutschland beim Aufbau eines digitalen Binnenmarkts in Europa spielt, misst die Kommission der Stellungnahme des Bundesrates große Bedeutung bei.

Die Stellungnahme des Bundesrates war den Vertretern der Kommission vor dem Abschluss der Verhandlungen mit den gesetzgebenden Organen, dem Europäischen Parlament und dem Rat, übermittelt worden und ist somit in die Beratungen eingeflossen.

Die Kommission hofft, dass die vom Bundesrat angesprochenen Punkte mit diesen Ausführungen geklärt werden können, und sieht der Fortsetzung des politischen Dialogs erwartungsvoll entgegen.

Mit freundlichen Grüßen
Elzbieta Bienkowska
Mitglied der Kommission

Anhang

Die Kommission hat die in der Stellungnahme des Bundesrates aufgeworfenen Fragen sorgfältig geprüft und macht dazu die nachstehenden Anmerkungen.

In Bezug auf gemischte Datensätze bleibt die Datenschutz-Grundverordnung von der vorgeschlagenen Verordnung unberührt. Im Falle eines gemischten Datensatzes gelten die in der Datenschutz-Grundverordnung festgelegten Datenschutzpflichten demzufolge auch dann weiterhin stets für alle personenbezogenen Daten, wenn diese gemeinsam mit nicht personenbezogenen Daten gespeichert werden. Unabhängig vorn Ort der Datenverarbeitung müssen nach der Datenschutz-Grundverordnung zudem jederzeit der Schutz und die sichere Verarbeitung personenbezogener Daten gewährleistet sein -selbst bei einem freien Datenverkehr innerhalb der Union.

Gemäß der politischen Einigung veröffentlicht die Kommission vor Beginn der Anwendung der Verordnung Informationen zur gemeinsamen Anwendbarkeit der Datenschutz-Grundverordnung und der vorgeschlagenen Verordnung in Bezug auf Datensätze, die aus personenbezogenen und nicht personenbezogenen Daten bestehen.

In Bezug auf Daten des öffentlichen Sektors ist hervorzuheben, dass der Grundsatz des freien Datenverkehrs auch für diese ausdrücklich gelten sollte. Ansonsten würden die konkreten Hürden bei der kosteneffizienten Beschaffung von Datenspeicherungs- und Datenverarbeitungsdiensten durch öffentliche Stellen fortbestehen, sodass die Flexibilität in Bezug auf die Art der genutzten Datenverarbeitungsdiensten eingeschränkt würde. Dies würde die Bemühungen zur Modernisierung der öffentlichen Verwaltung und für grenzüberschreitende öffentliche Dienstleistungen über das Internet untergraben.

Der Rat der Europäischen Union hat in seinem Kompromisstext jedoch klargestellt, dass der Vorschlag der Kommission über den, freien Verkehr nicht personenbezogener Daten die öffentlichen Verwaltungen nicht dazu verpflichten sollte, ihre Datenspeicherung und -verarbeitung auszulagern. Durch den Ausschluss von Vorschriften über den Ort der Datenspeicherung und -verarbeitung soll der Vorschlag sowohl Unternehmen als auch öffentlichen Verwaltungen die Möglichkeit einräumen, bei der Datenspeicherung und -verarbeitung frei zu wählen.

Darüber hinaus hebt der Bundesrat hervor, dass ein Festhalten der datenverarbeitenden Stellen an den Datenlokalisierungsauflagen insbesondere im Bereich der Justizverwaltung, bei der Auftragsvergabe und der Ausübung von Verwaltungspraktiken notwendig sei, um die sichere Verarbeitung personenbezogener Daten zu gewährleisten. In diesem Zusammenhang ist anzumerken, dass mit der Datenschutz-Grundverordnung harmonisierte Datenschutzvorschriften für die Union festgelegt werden und somit unionsweit eine sichere Verarbeitung personenbezogener Daten gewährleistet wird, wodurch Datenlokalisierungsauflagen, die durch eine solche sichere Datenverarbeitung begründet sind, hinfällig werden.

Artikel 1 Absatz 3 der Datenschutz-Grundverordnung besagt ausdrücklich, dass " [er freie Verkehr personenbezogener Daten in der Union ... aus Gründen des Schutzes natürlicher Personen bei der Verarbeitung personenbezogener Daten weder eingeschränkt noch verboten werden [darf]."

Ferner sei darauf hingewiesen, dass die Richtlinie 2014/24/EU1 (Richtlinie über die öffentliche Auftragsvergabe) ein allgemeines Diskriminierungsverbot vorsieht, wonach "[d]ie öffentlichen Auftraggeber ... alle Wirtschaftsteilnehmer in gleicher und nichtdiskriminierender Weise [behandeln] und ... transparent und verhältnismäßig [handeln]." Die vorgeschlagene Verordnung über einen Rahmen für den freien Verkehr nicht personenbezogener Daten ergänzt dieses Verbot in Bezug auf die Auftragsvergabe im Zusammenhang mit Datenverarbeitungsdiensten.

Die politische Einigung trägt diesen Überlegungen Rechnung und schließt die Internalisierung von Daten des öffentlichen Sektors daher aus dem Anwendungsbereich aus, während die öffentliche Beschaffung von Cloud-Diensten in den Anwendungsbereich fällt.

Was den Begriff "öffentliche Sicherheit" betrifft, so verweist die Kommission auf Erwägungsgrund 12 der vorgeschlagenen Verordnung über einen Rahmen für den freien Verkehr nicht personenbezogener Daten, in dem klargestellt wird, dass es sich hierbei um ein Konzept handelt, das im Unionsrecht und insbesondere in Artikel 52 des Vertrags über die Arbeitsweise der Europäischen Union definiert wird. In dem vom Rat der Europäischen Union ausgearbeiteten Kompromisstext wird präzisiert, dass die nationale Sicherheit nach Artikel 4 des Vertrags über die Europäische Union weiterhin in der alleinigen Verantwortung der einzelnen Mitgliedstaaten liegt. Der Gerichtshof der Europäischen Union hat festgestellt, dass die Inanspruchnahme der öffentlichen Sicherheit als Rechtfertigungsgrund für eine Ausnahme von einer Grundfreiheit nur möglich ist, "wenn eine tatsächliche und hinreichend schwere Gefährdung vorliegt, die ein Grundinteresse der Gesellschaft berührt "2. Der Gerichtshof hat ferner bestätigt, dass dieser Begriff "sowohl die innere als auch die äußere Sicherheit eines Mitgliedstaats umfasst "3. Der Begriff " öffentliche Sicherheit" ist für die Zwecke des Vorschlags über den freien Verkehr nicht personenbezogener Daten vor diesem Hintergrund zu betrachten. Was die Auffassung des Bundesrates anbelangt, der vorgeschlagene Vorbehalt beträfe auch Daten der Justizverwaltungen der einzelnen Mitgliedstaaten, so hebt die Kommission hervor, dass die Anwendbarkeit des Vorbehalts für Belange der "öffentlichen Sicherheit" gemäß Artikel 4 der vorgeschlagenen Verordnung unter Berücksichtigung der Umstände des jeweiligen Einzelfalls zu prüfen ist.

Der politischen Einigung zufolge bleibt der Vorbehalt der öffentlichen Sicherheit die einzige zulässige Ausnahme von dem grundlegenden Ausschluss der Datenlokalisierungsauflagen.