Durch die Arbeiten an der DSGVO und vor allem auch der Umsetzung ihrer Vorgaben in der Praxis, wurde in den letzten Monaten recht wenig über ein anderes, für das Datenschutzrecht aber durchaus relevantes, Gesetzgebungsverfahren auf europäischer Ebene berichtet. Die im September 2017 von der Europäischen Kommission vorgeschlagene Verordnung über einen Rahmen für den freien Verkehr nicht personenbezogener Daten in der Europäischen Union (COM(2017) 495, pdf).
Der Gesetzesentwurf wurde im letzten halben Jahr im Rat der Europäischen Union und auch im Europäischen Parlament geprüft und bearbeitet. Am 6. Juni 2018 hat der federführende Ausschuss für Binnenmarkt und Verbraucherschutz im EU-Parlament seinen Bericht vorgelegt (pdf). Mit Datum vom 25. Juni 2018 hat die Ratspräsidentschaft einen Kompromisstext der Verordnung an die ständigen Vertreter im Rat übersendet (pdf). Dieser Text ist das Ergebnis der Trilogverhandlungen zwischen Kommission, Parlament und Rat, auf den sich die Parteien am 19. Juni 2018 geeinigt haben.
Ziel des Vorschlags ist es, durch Maßnahmen zur Verbesserung der grenzüberschreitenden Mobilität nicht personenbezogener Daten im Binnenmarkt und zur Erleichterung des Anbieterwechsels und der Übertragung von Daten für die beruflichen Nutzer von Datenspeicherungs- und sonstigen Datenverarbeitungsdiensten einen stärker vom Wettbewerb geprägten und integrierten Binnenmarkt für Datenspeicherungs- und sonstige Datenverarbeitungsdienste und -tätigkeiten aufzubauen. Es sollen Datenverarbeitung in unterschiedlichen Intensitätsstufen erfasst werden, von der Datenspeicherung (Infrastructure-as-a-Service – IaaS) bis zur Verarbeitung von Daten auf Plattformen (Platform-as-a-Service – PaaS) oder in Anwendungen (Software-as-a-Service – SaaS).
Die Verordnung soll sich, in Abgrenzung zur DSGVO und auch der noch geltenden ePrivacy Richtlinie, nur auf elektronischen Daten beziehen, die keine personenbezogenen Daten sind. Aus Sicht der Praxis kann der so umrissene Anwendungsbereich bereits kritisch hinterfragt werden, denn inwiefern Unternehmen heutzutage noch (umfangreich) mit nicht personenbezogenen Daten umgehen, ist fraglich. Gerade aufgrund der extensiven Auslegung des Begriffs, sei es durch die DSGVO selbst oder auch die Rechtsprechung des EuGH und die Ansichten der Datenschutzaufsichtsbehörden.
Gerade diese Abgrenzungsfrage stellt dann aber gleichzeitig auch aus datenschutzrechtlicher Sicht, also dem Blickwinkel der personenbezogenen Daten, einen relevanten Aspekt dar. Denn für die Praxis wird es von Relevanz sein, wie sich die Anwendungsbereiche der beiden Verordnungen, DSVGO auf der einen, Verordnung zum freien Verkehr nicht personenbezogener Daten auf der anderen Seite, abgrenzen und ob es trennscharfe Grenzlinien gibt. Die Frage der Abgrenzung der Anwendungsbereich soll daher nachfolgend kurz beleuchtet werden (ich beziehe mich hierbei auf die aktuelle Fassung der „free flow“ Verordnung aus dem Trilog).
Nach ErwG 9 werden die gesetzlichen Rahmenbedingungen zum Schutz personenbezogener Daten nach der DSGVO als auch hinsichtlich des Schutzes personenbezogener Daten im Rahmen der elektronischen Kommunikation (ePrivacy Richtlinie) von dieser Verordnung nicht berührt. Nach ErwG 10 sollen die DSGVO und diese Verordnung quasi als gemeinsames Regelwerk zum freien Verkehr von Daten (personenbezogene und solche ohne Personenbezug) nebeneinander wirken. Die Anwendungsbereiche unterscheiden sich mithin anhand der Datenarten.
Doch was sieht der EU Gesetzgeber überhaupt als Datenarten an, die von der free flow Verordnung umfasst sind. In ErwG 10a gibt er hierzu ein paar Hinweise in der Form von Beispielen. Danach sei eine große Quelle nicht personenbezogener Daten das Internet der Dinge, künstliche Intelligenz und Maschinenlernen, etwa wenn diese im Rahmen industrieller Fertigungsprozesse eingesetzt werden. Dort erwähnte Beispiele: anonymisierte Datensätze für Big Data Analysen, Daten für die Präzisierungslandwirtschaft, um etwa den Einsatz von Pestiziden oder Wasser zu optimieren oder Daten zur Instandhaltung von Industriemaschinen.
Und dann kommt bereits eine der wichtigen Aussagen des Gesetzgebers: Sofern es technologische Entwicklungen ermöglichen sollte, anonymisierte Datensätze in personenbezogene Daten umzuwandeln, sollten diese Daten (der Gesetzgeber bezieht sich hierbei auf die zuvor erwähnten anonymisierten Daten) als personenbezogene Daten angesehen werden und die DSGVO gilt. Diese Aussage ist insofern bedeutend, da bereits die Möglichkeit der Re-Identifizierung ausreicht, um anonymisierte Daten als personenbezogene Daten anzusehen. Einziger Faktor, von dem diese Re-Identifizierung abhängig gemacht wird, sind die technologischen Entwicklungen. Leider definiert der Gesetzgeber weder, was mit „technologischen Entwicklungen“ gemeint ist, noch, wann den konkret „anonymisierte Daten“ vorliegen. Die Klarstellung in ErwG 10a zeigt jedoch, dass bereits die Möglichkeit der Re-Identifizierung genügt, um den Anwendungsbereich der free flow Verordnung zu verlassen und die DSGVO für anwendbar zu erklären.
Diese Klarstellung ist meines Erachtens auch im Rahmen der Anwendung der DSGVO zu beachten. Auch dort wird ja (leider) nicht definiert, was genau „anonymisierte Daten“ sind. Der Gesetzgeber geht aber davon aus, dass diese nicht vorliegen, wenn allein aufgrund technologischer Entwicklungen die Möglichkeit (!) der Re-Identifizierung gegeben ist. Auch dies fügt sich in die oben erwähnte weite Auslegung des Begriffs der personenbezogenen Daten ein, schmälert aber zugleich den Anwendungsbereich der free flow Verordnung.
In Art. 1a der Verordnung wird dann die ebenso wichtige Frage der gemischten Datensätze angesprochen, also Datensätze, die sowohl personenbezogene als auch nicht personenbezogene Daten enthalten. Eigentlich würden wohl die Meinungen im Datenschutzrecht in einer solchen Situation ohne viel Diskussion vom Vorliegen personenbezogener Daten in Gänze ausgehen (Stichwort: Infektion nicht personengezogener Daten). Nicht so aber der EU Gesetzgeber. In Art. 1a gibt er vor, dass im Fall des Vorliegens gemischter Datensätze die free flow Verordnung auf jene Daten im Datensatz Anwendung findet, die nicht personenbezogen sind. Der Gesetzgeber splittet also die gesetzlichen Regularien innerhalb eines gemischten Datensatzes. Dies gilt jedoch nach Art. 1a nicht für den Fall, wenn die personenbezogenen und nicht personenbezogenen Daten untrennbar miteinander verbunden sind. In diesem Fall soll die Anwendung der DSGVO nicht beeinträchtigt werden. Dies soll wohl bedeuten, dass dann nur die DSGVO eingreift. Interessant an Art. 1a ist in jedem Fall die gesetzgeberisch vorgesehen Zersplitterung regulatorischer Bedingungen innerhalb eines Datensatzes, zumindest wenn die Daten nicht untrennbar verbunden sind. Unklar bleibt, wann von einer „untrennbaren“ Verbundenheit auszugehen ist. Dies dürfte, wenn der Text so beschlossen wird, in der Praxis für Unsicherheiten bei der Anwendung der Gesetze sorgen.