Navigation und Service

Springe direkt zu:

Staat­li­cher Da­ten­zu­gang im in­ter­na­tio­na­len Um­feld

Kapitel VII des Data Act enthält Regeln zum Schutz von in der Europäischen Union gespeicherten Daten vor unrechtmäßigen Zugriffen durch staatliche Stellen aus Drittländern. Daten, die nicht in der Europäischen Union gespeichert sind, sind hiervon nicht betroffen. Kunden können auch weiterhin frei einen Anbieter von Datenverarbeitungsdiensten wählen und selbst entscheiden, wo ihre Daten gespeichert werden sollen.

Anbieter von Datenverarbeitungsdiensten können Anfragen von Verwaltungsbehörden oder Gerichten aus Drittländern erhalten, in der Europäischen Union gespeicherte nicht-personenbezogene Daten an eine staatliche Stelle des Drittlandes zu übermitteln oder Zugang zu diesen Daten zu gewähren. Solche Anfragen können in Form von behördlichen Entscheidungen oder Gerichtsurteilen gestellt werden. Der Data Act verbietet nicht per se den grenzüberschreitenden Datentransfer von in der Europäischen Union gespeicherten nicht-personenbezogenen Daten. Die rechtlich zulässige internationale Zusammenarbeit zur Rechtsdurchsetzung soll nicht beeinträchtigt werden. Zugang zu in der Europäischen Union gespeicherten nicht-personenbezogenen Daten darf aber dann nicht gewährt werden, wenn dadurch gegen Europäisches Recht verstoßen würde oder dadurch grundlegende Rechte des Einzelnen, die nationale Sicherheit oder die Verteidigungsinteressen der Union oder ihrer Mitgliedstaaten beeinträchtigt werden könnten.

Vor der Gewährung von Zugang zu in der Europäischen Union gespeicherten Daten muss der Anbieter eines Datenverarbeitungsdienstes daher prüfen, ob der Zugang zu Daten durch Verwaltungsbehörden oder Gerichte aus einem Drittland oder der Transfer der Daten in das Drittland rechtlich zulässig ist. Die Bedingungen dafür sind in Artikel 32 Data Act geregelt.

Die Bundesnetzagentur ist die zentrale Anlaufstelle für alle Fragen im Zusammenhang mit dem Data Act. Anbieter von Datenverarbeitungsdiensten können sich  auch im Fall von Datenzugangsverlangen einer Behörde aus einem Drittland an die Bundesnetzagentur wenden. Die Bundesnetzagentur unterstützt die Anbieter von Datenverarbeitungsdiensten beim Einholen der erforderlichen Stellungnahmen der zuständigen nationalen staatlichen Stellen in Bezug auf die Vorgaben nach Artikel 32 Absatz 3 Unterabsatz 1 Data Act .

Welche Daten sind betroffen?

Der Data Act regelt den Zugang zu Daten, die von Datenverarbeitungsdiensten in der Europäischen Union gespeichert sind. Die Regelungen beziehen sich nur auf den Zugang zu nicht-personenbezogenen Daten. Bei personenbezogenen Daten gelten die Vorgaben der DSGVO.

Sind auch der Zugang und Transfer von Daten zu privaten Personen oder Unternehmen betroffen?

Nein. Die Regelungen des Data Act zum unrechtmäßigen Zugang durch Drittländer zu in der Europäischen Union gespeicherten Daten von Datenverarbeitungsdiensten beschränken nicht den Datenaustausch zwischen Unternehmen. Die Regelungen gelten nur für den Datenzugang von staatlichen Stellen aus Drittländern, etwa auf der Grundlage von behördlichen Entscheidungen oder Gerichtsentscheidungen.

Wann darf Drittländern Zugang zu in der Europäischen Union gespeicherten Daten gewährt werden?

Die Gewährung von Zugang zu in der Europäischen Union gespeicherten nicht-personenbezogenen Daten von Anbietern von Datenverarbeitungsdiensten ist in jedem Fall dann zulässig, wenn ein einschlägiges Rechtshilfeabkommen mit dem Drittland existiert, das dies erlaubt.

Existiert kein Rechtshilfeabkommen mit dem Drittland, dürfen Anbieter von Datenverarbeitungsdiensten nicht-personenbezogene Daten nur dann an die staatliche Stelle des Drittlandes herausgeben, wenn die Herausgabe nicht gegen nationales Recht des betreffenden Mitgliedstaates oder Unionsrecht verstößt und das Rechtssystem des Drittlandes bestimmte rechtsstaatliche Standards zum Schutz der Rechte des Datenverarbeitungsdienstes beziehungsweise seiner Kunden einhält. Die Herausgabe von Daten kann insbesondere gegen das Recht zum Schutz von geistigem Eigentum oder Betriebs- und Geschäftsgeheimnissen oder im Fall der Möglichkeit einer Re-Identifikation von personenbezogenen Daten auch gegen Datenschutzrecht verstoßen.

Wann muss der Kunde des Datenverarbeitungsdienstes über die Anfrage eines Gerichts bzw. einer Behörde aus einem Drittland informiert werden?

Der Anbieter des Datenverarbeitungsdienstes hat den Kunden, um dessen Daten es geht, grundsätzlich mit ausreichendem zeitlichem Vorlauf vor der Herausgabe der Daten über ein Datenzugangsverlangen einer Behörde eines Drittstaates zu informieren. Etwas anderes gilt nur in den Fällen, in denen das Verlangen der Strafverfolgung dient und die Strafverfolgungsmaßnahmen ansonsten gefährdet wären.

Wann muss der Anbieter eines Datenverarbeitungsdienstes eine Stellungnahme zu der Zulässigkeit des Datenzugangs bzw. Datentransfers bei der zuständigen staatlichen Stelle einholen?

Der Anbieter eines Datenverarbeitungsdienstes muss eine Stellungnahme einholen, wenn er der Auffassung ist, dass die Entscheidung bzw. das Urteil eines Gerichts eines Drittlands die nationale Sicherheit oder die Verteidigungsinteressen der Union oder ihrer Mitgliedstaaten beeinträchtigen könnte. Eine Stellungnahme kann eingeholt werden, wenn der Anbieter eines Datenverarbeitungsdienstes insbesondere der Auffassung ist, dass die Entscheidung möglicherweise Geschäftsgeheimnisse und andere sensible Geschäftsdaten sowie Inhalte, die durch Rechte des geistigen Eigentums geschützt sind, betrifft oder die Datenübermittlung eine Re-Identifikation ermöglich könnte.

Ist die Stellungnahme zu der Zulässigkeit des Datenzugangs bzw. Datentransfers der zuständigen staatlichen Stelle für den Anbieter des Datenverarbeitungsdienstes verbindlich?

Hier ist zwischen den beiden Alternativen des Artikel 32 Absatz 3 Unterabsatz 2 Data Act zu differenzieren. Eine aufgrund Artikel 32 Absatz 3 Unterabsatz 2 Alternative 1 eingeholte Stellungnahme bzgl. der Erfüllung der Bedingungen aus Unterabsatz 1 (rechtsstaatliche Grundsätze) ist nicht verbindlich, da bereits die Einholung der Stellungnahme nicht zwingend ist.

Demgegenüber ist eine Stellungnahme zur Betroffenheit der nationalen Sicherheit und Verteidigungsinteressen nach Artikel 32 Absatz 3 Unterabsatz 2 Alternative 2 verbindlich zu beachten.

Was ist, wenn die zuständige Behörde innerhalb eines Monats keine Stellungnahme zu der Zulässigkeit des Datenzugangs bzw. Datentransfers abgibt?

Hat der Anbieter eines Datenverarbeitungsdienstes binnen eines Monats keine Antwort erhalten oder gelangt die zuständige Stelle oder Behörde in ihrer Stellungnahme zu dem Schluss, dass die in Artikel 32 Absatz 3 Unterabsatz 1 Data Act festgelegten Bedingungen für die Datenübermittlung nicht erfüllt sind, kann der Anbieter eines Datenverarbeitungsdienstes die Aufforderung zur Übermittlung aus diesen Gründen ablehnen (Artikel 32 Absatz 3 Unterabsatz 2 Satz 4 Data Act).

Kontakt

E-Mail: DataAct@BNetzA.de

Bitte beachten Sie, dass die Bearbeitung von Beschwerden und Anträgen für eine Zulassung als Streitbeilegungsstelle sowie die Entgegennahme von Mitteilungen (z. B. zur „Geschäftsgeheimnis- oder zur Sicherheits-Handbremse“) und Übermittlungen von Datenverlangen ausschließlich über die bereitgestellten Formulare erfolgt. Diesbezügliche Anfragen per E-Mail können nicht entgegengenommen werden.

Service

Glossar zum Data Act

Factsheets zum Download

Links

Data Act Gesetzestext

FAQs der EU Kommission

Data Act legal helpdesk der EU Kommission

EU Kommission: Data Act erklärt

Informationen des Bundesministeriums für Digitales und Staatsmodernisierung

DA-DG

Mastodon