Navigation und Service

Springe direkt zu:

Staat­li­cher Da­ten­zu­gang im in­ter­na­tio­na­len Um­feld

Kapitel VII des Data Act enthält Regeln zum Schutz von in der Europäischen Union gespeicherten Daten vor unrechtmäßigen Zugriffen durch staatliche Stellen aus Drittländern. Daten, die nicht in der Europäischen Union gespeichert sind, sind hiervon nicht betroffen. Kunden können auch weiterhin frei einen Anbieter von Datenverarbeitungsdiensten wählen und selbst entscheiden, wo ihre Daten gespeichert werden sollen.

Anbieter von Datenverarbeitungsdiensten können Anfragen von Verwaltungsbehörden oder Gerichten aus Drittländern erhalten, in der Europäischen Union gespeicherte nicht-personenbezogene Daten an eine staatliche Stelle des Drittlandes zu übermitteln oder Zugang zu diesen Daten zu gewähren. Solche Anfragen können in Form von behördlichen Entscheidungen oder Gerichtsurteilen gestellt werden. Der Data Act verbietet nicht per se den grenzüberschreitenden Datentransfer von in der Europäischen Union gespeicherten nicht-personenbezogenen Daten. Die rechtlich zulässige internationale Zusammenarbeit zur Rechtsdurchsetzung soll nicht beeinträchtigt werden. Zugang zu in der Europäischen Union gespeicherten nicht-personenbezogenen Daten darf aber dann nicht gewährt werden, wenn dadurch gegen Europäisches Recht verstoßen würde oder dadurch grundlegende Rechte des Einzelnen, die nationale Sicherheit oder die Verteidigungsinteressen der Union oder ihrer Mitgliedstaaten beeinträchtigt werden könnten.

Vor der Gewährung von Zugang zu in der Europäischen Union gespeicherten Daten muss der Anbieter eines Datenverarbeitungsdienstes daher prüfen, ob der Zugang zu Daten durch Verwaltungsbehörden oder Gerichte aus einem Drittland oder der Transfer der Daten in das Drittland rechtlich zulässig ist. Die Bedingungen dafür sind in Artikel 32 Data Act geregelt.

Die Bundesnetzagentur soll vorbehaltlich der Entscheidung des Gesetzgebers als zentrale Anlaufstelle für alle Fragen im Zusammenhang mit dem Data Act fungieren. Anbieter von Datenverarbeitungsdiensten sollen sich zukünftig, auch im Fall von Datenzugangsverlangen einer Behörde aus einem Drittland, an die Bundesnetzagentur wenden können. Die Bundesnetzagentur soll die Anbieter von Datenverarbeitungsdiensten beim Einholen der erforderlichen Stellungnahmen von den zuständigen nationalen staatlichen Stellen in Bezug auf die Vorgaben nach Artikel 32 Absatz 3 Unterabsatz 1 Data Act unterstützen.

Welche Daten sind betroffen?

Der Data Act regelt den Zugang zu Daten, die von Datenverarbeitungsdiensten in der Europäischen Union gespeichert sind. Die Regelungen beziehen sich nur auf den Zugang zu nicht-personenbezogene Daten. Bei personenbezogenen Daten gelten die Vorgaben der DSGVO.

Sind auch der Zugang und Transfer von Daten zu privaten Personen oder Unternehmen betroffen?

Nein. Die Regelungen des Data Act zum unrechtmäßigen Zugang durch Drittländer zu in der Europäischen Union gespeicherten Daten von Datenverarbeitungsdiensten beschränken nicht den Datenaustausch zwischen Unternehmen. Die Regelungen gelten nur für den Datenzugang von staatlichen Stellen aus Drittländern, etwa auf der Grundlage von behördlichen Entscheidungen oder Gerichtsentscheidungen.

Wann darf Drittländern Zugang zu in der Europäischen Union gespeicherten Daten gewährt werden?

Die Gewährung von Zugang zu in der Europäischen Union gespeicherten nicht-personenbezogenen Daten von Anbietern von Datenverarbeitungsdiensten ist in jedem Fall dann zulässig, wenn ein einschlägiges Rechtshilfeabkommen mit dem Drittland existiert, das dies erlaubt.

Existiert kein Rechtshilfeabkommen mit dem Drittland, dürfen Anbieter von Datenverarbeitungsdiensten nicht-personenbezogene Daten nur dann an die staatliche Stelle des Drittlandes herausgeben, wenn die Herausgabe nicht gegen nationales Recht des betreffenden Mitgliedstaates oder Unionsrecht verstößt und das Rechtssystem des Drittlandes bestimmte rechtsstaatliche Standards zum Schutz der Rechte des Datenverarbeitungsdienstes beziehungsweise seiner Kunden einhält. Die Herausgabe von Daten kann insbesondere gegen das Recht zum Schutz von geistigem Eigentum oder Betriebs- und Geschäftsgeheimnissen oder im Fall der Möglichkeit einer Re-Identifikation von personenbezogenen Daten auch gegen Datenschutzrecht verstoßen.

Wann muss der Kunde des Datenverarbeitungsdienstes über die Anfrage eines Gerichts bzw. einer Behörde aus einem Drittland informiert werden?

Der Anbieter des Datenverarbeitungsdienstes hat den Kunden, um dessen Daten es geht, grundsätzlich mit ausreichendem zeitlichem Vorlauf vor der Herausgabe der Daten über ein Datenzugangsverlangen einer Behörde eines Drittstaates zu informieren. Etwas anderes gilt nur in den Fällen, in denen das Verlangen der Strafverfolgung dient und die Strafverfolgungsmaßnahmen ansonsten gefährdet wären.

Kontakt

E-Mail: DataAct@BNetzA.de

Service

Glossar zum Data Act

Links

Data Act Gesetzestext

FAQs der EU Kommission

EU Kommission: Data Act erklärt

Mastodon