Europäische Kommission veröffentlicht Leitlinien zum freien Verkehr nicht personenbezogener Daten

Veröffentlicht am von
  1.   Welcher Zweck wird mit diesen Leitlinien verfolgt?

Mit diesen Leitlinien kommt die Kommission ihrer Verpflichtung aus der Verordnung über den freien Verkehr nicht personenbezogener Daten nach, Leitlinien zur Wechselwirkung zwischen dieser Verordnung und der Datenschutz-Grundverordnung zu veröffentlichen, insbesondere in Bezug auf Datensätze, die sowohl aus personenbezogenen als auch aus nicht personenbezogenen Daten bestehen. Sie sollen den Nutzern – insbesondere kleinen und mittleren Unternehmen – helfen, die Wechselwirkung zwischen den beiden Verordnungen zu verstehen.

Europäische Kommission veröffentlicht Leitlinien zum freien Verkehr nicht personenbezogener Daten
Europäische Kommission veröffentlicht Leitlinien zum freien Verkehr nicht personenbezogener Daten – pixabay.com ©Akela999 (Creative Commons CC0)

Im Einklang mit den bestehenden Dokumenten zur Datenschutz-Grundverordnung, die vom Europäischen Datenschutzausschuss erstellt wurden, soll mit diesen Leitlinien klargestellt werden, welche Vorschriften für die Verarbeitung personenbezogener und nicht personenbezogener Daten gelten. Sie bieten einen nützlichen Überblick über die zentralen Konzepte des freien Verkehrs personenbezogener und nicht personenbezogener Daten innerhalb der EU und erläutern die Beziehung zwischen den beiden Verordnungen in praktischer Hinsicht und mit konkreten Beispielen.

  1.   Wem kommen die Leitlinien zugute?

Die Leitlinien richten sich besonders an Privatunternehmen, insbesondere kleine und mittlere Unternehmen, Organisationen und andere Einrichtungen, die Daten im Rahmen ihrer Geschäftstätigkeit verarbeiten. Dies umfasst die Generierung, Erfassung, Speicherung, Übermittlung oder sonstige Verarbeitung personenbezogener und nicht personenbezogener Daten. Selbst Unternehmen, die nur nicht personenbezogene Daten verarbeiten, könnten die Leitlinien als nützlich erachten, da sich das Dokument auf Fälle bezieht, in denen die Daten Datenlokalisierungsauflagen oder unter bestimmten Bedingungen Datenschutzvorschriften unterliegen könnten.

Die Leitlinien machen ferner überzeugend deutlich, dass die Rechte der Bürgerinnen und Bürger auf Schutz ihrer persönlichen Daten stets gewahrt bleiben, auch wenn sie mit anderen Datentypen vermischt werden, oder dass ihre Daten vorschriftsmäßig anonymisiert werden.

Mehr zum Thema
  • EU-Initiative gegen Cookie-Müdigkeit: Reynders' Plan zur Regulierung von Cookie-Bannern
  • eco Umfrage zu 5 Jahre DSGVO: Große Mehrheit der Deutschen schützt online ihre persönlichen Daten
  • Irische Datenschutzbehörde DPC: Meta soll 1,2 Milliarden Euro wegen Verstößen gegen EU-Datenschutzregeln zahlen
  • Datenschutz vs. Eigentumsrecht im E-Commerce: EuGH-Fall wirft Fragen auf

    • Darüber hinaus sind die Leitlinien auch aufschlussreich für Behörden, die regelmäßig Daten verarbeiten und direkt an der Erarbeitung von einschlägigen Rechts- und Verwaltungsvorschriften beteiligt sind.

    1.   Welche Themen werden in den Leitlinien behandelt?

    Neben einer kurzen Darstellung des Geltungsbereichs der Verordnung über den freien Verkehr nicht personenbezogener Daten und der Datenschutz-Grundverordnung zeigen die Leitlinien die Wechselwirkung zwischen diesen beiden EU-Regelwerken auf. Sie erläutern das Zusammenspiel zwischen den beiden Verordnungen im Hinblick auf den freien Datenverkehr. Darüber hinaus werden die Konzepte nicht personenbezogener Daten und personenbezogener Daten dargelegt. Ferner wird klargestellt, welche Vorschriften bei der Verarbeitung von gemischten Datensätzen zu beachten sind, d. h. Datensätze, die sowohl personenbezogene als auch aus nicht personenbezogene Daten enthalten. Im Dokument werden auch der Begriff der Datenübertragbarkeit sowie die diesbezüglichen Unterschiede in der Datenschutz-Grundverordnung und der Verordnung über den freien Verkehr nicht personenbezogener Daten erläutert. Es bietet Unternehmen einen Überblick über die Verhaltensregeln für Datenübertragung und den Wechsel von Datenverarbeitungsdiensten und beschreibt die Rolle der Arbeit im Bereich der Selbstregulierung wie Verhaltensregeln und Zertifizierungsmechanismen zum Nachweis der Einhaltung von Datenschutzregeln. Um ein genaueres Bild davon zu vermitteln, wie die beiden Verordnungen zum freien Verkehr aller Daten innerhalb der EU beitragen, werden in den Leitlinien die Konzepte der Datenlokalisierungsauflagen im Rahmen der Verordnung über den freien Verkehr nicht personenbezogener Daten sowie der Grundsatz des freien Datenverkehrs nach der Datenschutz-Grundverordnung erläutert.

    1.   Was sind nicht personenbezogene Daten?

    Nicht personenbezogene Daten unterscheiden sich von personenbezogenen Daten gemäß der Datenschutz-Grundverordnung. Nicht personenbezogene Daten lassen sich je nach Herkunft klassifizieren als

    • Daten, die sich ursprünglich nicht auf eine identifizierte oder identifizierbare natürliche Person bezogen, z. B. Daten über Wetterbedingungen, die von Sensoren generiert werden, die auf Windturbinen installiert sind, oder Daten über den Wartungsbedarf industrieller Maschinen oder
    • Daten, die ursprünglich personenbezogene Daten waren, später jedoch anonymisiert wurden.

    Der Leitfaden bezieht sich nicht nur auf weitere Beispiele für nicht personenbezogene Daten, sondern erläutert auch das Konzept der anonymisierten und pseudonymisierten personenbezogenen Daten, um ein besseres Verständnis zu vermitteln. Ferner beschreibt er die Grenzen zwischen personenbezogenen und nicht personenbezogenen Daten.

    1.   Was sind gemischte Datensätze?

    In den meisten Alltagssituationen dürfte ein Datensatz sowohl aus personenbezogenen als auch aus nicht personenbezogenen Daten bestehen. In diesem Zusammenhang spricht man häufig von einem „gemischten Datensatz“. Gemischte Datensätze machen den größten Teil der in der Datenwirtschaft verwendeten Datensätze aus und werden in der Regel dank technologischer Entwicklungen, z. B. Internet der Dinge (digitale Vernetzung von Objekten), künstlicher Intelligenz und Technologien für die Analyse großer Datenmengen erfasst.

    Zu den Beispielen für gemischte Datensätze gehören Steuerregistereinträge von Unternehmen, in denen Name und Telefonnummer des Geschäftsführers des Unternehmens angegeben sind. Dazu können auch die Kenntnisse eines Unternehmens über IT-Probleme und -Lösungen auf der Grundlage von konkreten IT-Störungsmeldungen oder anonymisierte statistische Daten von Forschungseinrichtungen und die ursprünglich erhobenen Rohdaten, z. B. die Antworten der einzelnen Teilnehmer auf die Fragen im Rahmen statistischer Erhebungen gehören.

    1.   Müssen personenbezogene und nicht personenbezogene Daten getrennt verarbeitet werden?

    Nein, weder die Verordnung über den freien Verkehr nicht personenbezogener Daten noch die Datenschutz-Grundverordnung enthalten die Vorschrift, gemischte Datensätze aufzuspalten oder personenbezogene und nicht personenbezogene Daten getrennt zu verarbeiten. In den meisten Fällen wäre dies schwierig und unpraktisch, wenn nicht gar unmöglich. In den Leitlinien werden daher die geltenden Vorschriften im Einklang mit der Verordnung über den freien Verkehr nicht personenbezogener Daten (Artikel 2 Absatz 2) erläutert. Im Fall gemischter Datensätze

    • gilt die Verordnung über den freien Verkehr nicht personenbezogener Daten für die nicht personenbezogenen Daten im Datensatz;
    • gilt die den freien Verkehr betreffende Bestimmung der Datenschutz-Grundverordnung für die personenbezogenen Daten des Datensatzes.

    Sind die nicht personenbezogenen Daten und die personenbezogenen Daten „untrennbar miteinander verbunden“, gelten die Datenschutzrechte und -pflichten aus der Datenschutz-Grundverordnung in vollem Umfang für den gesamten gemischten Datensatz, und zwar auch dann, wenn die personenbezogenen Daten nur einen kleinen Teil des Datensatzes ausmachen.

    In den Leitlinien wird auch das Konzept „untrennbar miteinander verbunden“ erläutert. Ferner werden praktische Beispiele für die Anwendung der genannten Vorschriften gegeben.

    1.   Stehen die beiden Verordnungen im Widerspruch zueinander?

    Die Datenschutz-Grundverordnung und die Verordnung über den freien Verkehr nicht personenbezogener Daten enthalten keine sich widersprechenden Verpflichtungen. Während die Vorschriften der Datenschutz-Grundverordnung ein hohes Maß an Datenschutz gewährleisten und den freien Verkehr personenbezogener Daten ermöglichen, wird mit der Verordnung über den freien Verkehr nicht personenbezogener Daten der freie Verkehr nicht personenbezogener Daten sichergestellt. Beide Verordnungen ermöglichen den freien Verkehr aller Daten innerhalb der EU.

    Darüber hinaus enthält die Verordnung über den freien Verkehr nicht personenbezogener Daten keine Verpflichtungen für Unternehmen, die praktischen Modalitäten für die Verarbeitung nicht personenbezogener Daten ist vielmehr Sache der Unternehmen. Die Verordnung über den freien Verkehr nicht personenbezogener Daten schränkt die Vertragsfreiheit von Unternehmen, den Ort der Verarbeitung ihrer Daten zu wählen, nicht ein.

    1.   Warum umfassen die Leitlinien auch Selbstregulierungsarbeiten?

    Mit der Verordnung über den freien Verkehr nicht personenbezogener Daten soll der freie Verkehr nicht personenbezogener Daten innerhalb der EU ermöglicht werden. Verschiedene Interessengruppen arbeiten an der Entwicklung von Verhaltensregeln für die Übertragung von Daten und den Wechsel von Datenverarbeitungsdiensten bei Geschäftsbeziehungen zwischen Unternehmen sowie an Verhaltensregeln zum Datenschutz nach der Datenschutz-Grundverordnung. Ferner wird an der Cybersicherheitszertifizierung von Cloud-Diensten gearbeitet. Daher ermöglicht Selbstregulierung den Marktteilnehmern, innovativer zu werden und in ihren Bereichen Vertrauen aufzubauen. Ferner birgt sie das Potenzial, besser auf Marktveränderungen zu reagieren.

    Frank
    Letzte Artikel von Frank (Alle anzeigen)