Die Verordnung (EU) 2018/1807 regelt den freien Verkehr nicht-personenbezogener Daten in der Europäischen Union. Sie soll ungerechtfertigte nationale Datenlokalisierungspflichten abbauen, den grenzüberschreitenden Einsatz von IT- und Cloud-Diensten erleichtern und den Wechsel zwischen Dienstanbietern fördern. Als EU-Verordnung gilt sie grundsätzlich unmittelbar in Österreich und den anderen Mitgliedstaaten.
Was regelt Verordnung (EU) 2018/1807?
Die Verordnung (EU) 2018/1807 schafft einen unionsweiten Rahmen für den freien Verkehr nicht-personenbezogener Daten. Gemeint sind Daten, die keinen Bezug zu einer identifizierten oder identifizierbaren natürlichen Person haben. Dazu zählen etwa industrielle Maschinendaten, bestimmte Logistik-, Produktions- oder Sensordaten sowie viele betriebliche Datensätze, soweit sie nicht personenbezogen sind.
Der zentrale Gedanke ist, dass solche Daten innerhalb der EU grundsätzlich frei gespeichert und verarbeitet werden dürfen. Mitgliedstaaten sollen Unternehmen und öffentlichen Stellen daher nicht ohne sachliche Rechtfertigung vorschreiben, dass Daten zwingend in einem bestimmten Staat oder auf einem bestimmten Staatsgebiet gespeichert werden müssen. Solche Datenlokalisierungsvorgaben sind nach der Verordnung nur in engen Ausnahmefällen zulässig, insbesondere wenn sie aus Gründen der öffentlichen Sicherheit gerechtfertigt und verhältnismäßig sind.
Die Verordnung enthält außerdem Regeln, damit zuständige Behörden auch dann auf Daten zugreifen können, wenn diese in einem anderen Mitgliedstaat gespeichert oder verarbeitet werden. Damit soll verhindert werden, dass grenzüberschreitende Cloud- oder Rechenzentrumsstrukturen behördliche Befugnisse leerlaufen lassen.
Ein weiterer Baustein ist die sogenannte Portabilität nicht-personenbezogener Daten. Die Verordnung verpflichtet nicht unmittelbar zu einem umfassenden technischen Standard für jede Datenübertragung, sie fördert aber die Entwicklung von Verhaltensregeln auf Unionsebene. Diese sollen es Nutzern erleichtern, Daten und IT-Dienste von einem Anbieter zu einem anderen zu übertragen und damit Abhängigkeiten von einzelnen Cloud-Anbietern zu verringern.
Wichtig ist auch die Behandlung sogenannter gemischter Datensätze. Enthält ein Datensatz sowohl personenbezogene als auch nicht-personenbezogene Elemente, ist sorgfältig zu unterscheiden: Für die personenbezogenen Teile gilt die Datenschutz-Grundverordnung, für die nicht-personenbezogenen Teile die Verordnung (EU) 2018/1807. Sind beide Elemente untrennbar verbunden, ist in der Praxis regelmäßig auch das Datenschutzrecht mitzudenken.
Warum ist der Rechtsakt wichtig?
Die Verordnung ist ein wichtiger Bestandteil des digitalen Binnenmarkts. Daten sind für Wirtschaft, Verwaltung, Forschung und Innovation ein zentraler Produktionsfaktor. Wenn Mitgliedstaaten unterschiedliche oder zu strenge Standortvorgaben für Daten aufstellen, kann das die Nutzung moderner IT-Infrastrukturen erheblich verteuern und behindern. Unternehmen müssten dann etwa eigene nationale Speicherlösungen aufbauen, obwohl eine grenzüberschreitende Cloud-Lösung wirtschaftlicher und technisch sinnvoller wäre.
Die Verordnung stärkt daher die Niederlassungs- und Dienstleistungsfreiheit im digitalen Bereich. Sie schafft mehr Rechtssicherheit für Unternehmen, die Daten unionsweit speichern und verarbeiten wollen. Zugleich soll sie den Wettbewerb zwischen Rechenzentrums- und Cloud-Anbietern fördern, weil Kunden leichter grenzüberschreitend Leistungen beziehen und Anbieter wechseln können.
Auch aus Sicht der öffentlichen Verwaltung und der Aufsicht ist der Rechtsakt bedeutsam. Die Verordnung macht klar, dass die grenzüberschreitende Datenspeicherung nicht dazu führen darf, dass staatliche Kontroll- oder Prüfkompetenzen ins Leere gehen. Behörden sollen weiterhin Zugang zu Daten erhalten können, wenn dies nach dem jeweils anwendbaren Recht vorgesehen ist.
Bedeutung für Österreich
Für Österreich ist die Verordnung vor allem deshalb relevant, weil sie unmittelbar gilt und damit ohne klassisches nationales Umsetzungsgesetz wirksam wird. Anders als bei einer Richtlinie ist grundsätzlich keine inhaltliche Umsetzung in österreichisches Recht erforderlich. Dennoch kann es in der Praxis nötig sein, bestehende österreichische Vorschriften und Verwaltungspraxis an die unionsrechtlichen Vorgaben anzupassen oder unionsrechtskonform auszulegen.
Österreichische Unternehmen, die Cloud-Dienste, Rechenzentren oder andere datenverarbeitende Leistungen nutzen, profitieren davon, dass nicht-personenbezogene Daten grundsätzlich auch in anderen Mitgliedstaaten gespeichert und verarbeitet werden dürfen. Das kann Kosten senken, Skaleneffekte ermöglichen und den Zugang zu spezialisierten europäischen Anbietern verbessern.
Für österreichische Behörden und regulierte Bereiche ist die Verordnung ebenfalls von Bedeutung. Wo österreichisches Recht Zugriffs-, Kontroll- oder Nachweispflichten vorsieht, müssen diese auch dann praktisch durchsetzbar bleiben, wenn Daten nicht in Österreich liegen. Gleichzeitig dürfen nationale Anforderungen nicht pauschal als versteckte Lokalisierungspflicht ausgestaltet werden, wenn dafür keine unionsrechtlich tragfähige Rechtfertigung besteht.
Besonders wichtig ist in Österreich die Abgrenzung zum Datenschutzrecht. Viele Datensätze in Unternehmen enthalten zumindest teilweise personenbezogene Informationen, etwa Kunden-, Beschäftigten- oder Nutzungsdaten. In solchen Fällen ist die Verordnung nicht isoliert zu betrachten. Vielmehr ist zu prüfen, welche Teile des Datensatzes personenbezogen sind und welche Regeln aus der Datenschutz-Grundverordnung, dem österreichischen Datenschutzgesetz und gegebenenfalls sektorspezifischen Normen zusätzlich gelten.
In der österreichischen Praxis kann die Verordnung etwa für Industrie 4.0, Mobilität, Energiewirtschaft, Wissenschaft, FinTech, E-Commerce und den Einsatz internationaler Cloud-Strukturen relevant sein. Gerade für kleinere und mittlere Unternehmen ist sie interessant, weil diese oft auf externe IT-Anbieter angewiesen sind und von weniger Standortzwängen besonders profitieren.
Wer ist davon betroffen?
- Unternehmen in Österreich, die nicht-personenbezogene Daten speichern, auswerten oder in Cloud-Systemen verarbeiten lassen
- Cloud-Anbieter, Rechenzentrumsbetreiber und sonstige IT-Dienstleister, die Leistungen innerhalb der EU grenzüberschreitend anbieten
- Österreichische Behörden und Aufsichtsstellen, die trotz Datenspeicherung im EU-Ausland auf Daten zugreifen oder Prüfungen durchführen müssen
Praktische Bedeutung
In der Praxis stellt sich häufig die Frage, ob Daten überhaupt nicht-personenbezogen sind. Reine Maschinendaten oder anonymisierte technische Messwerte können darunterfallen. Sobald aber ein Personenbezug besteht oder mit vertretbarem Aufwand wiederhergestellt werden kann, greifen datenschutzrechtliche Regeln. Unternehmen in Österreich sollten daher vor Auslagerungen oder Cloud-Migrationen prüfen, ob personenbezogene, nicht-personenbezogene oder gemischte Datensätze betroffen sind.
Ein weiterer praktischer Punkt sind Vertragsverhältnisse mit IT-Anbietern. Auch wenn die Verordnung den Anbieterwechsel fördern will, hängt die tatsächliche Wechselmöglichkeit oft von Vertragsklauseln, Schnittstellen, Datenformaten und Migrationskosten ab. Für österreichische Unternehmen kann es daher sinnvoll sein, bereits beim Vertragsabschluss auf klare Regelungen zu Exportformaten, Löschung, Übergabefristen und Unterstützung beim Wechsel zu achten.
Für regulierte Unternehmen und öffentliche Auftraggeber ist zusätzlich relevant, dass Datenzugriff, Nachvollziehbarkeit und Prüfbarkeit gesichert bleiben müssen. Die Verordnung erlaubt gerade keinen Rückzug auf den Standpunkt, Daten seien wegen einer ausländischen Speicherlösung faktisch nicht erreichbar. In Ausschreibungen, Compliance-Konzepten und internen Kontrollsystemen sollte daher berücksichtigt werden, wie ein rechtmäßiger Zugriff durch zuständige Stellen sichergestellt wird.
Auch wirtschaftspolitisch ist die Verordnung praktisch bedeutsam: Sie unterstützt europaweite digitale Geschäftsmodelle und kann Österreich als Standort für datenbasierte Dienstleistungen stärken. Gleichzeitig erhöht sie den Druck auf Anbieter, interoperable und kundenfreundliche Lösungen anzubieten, weil nationale Abschottungshindernisse reduziert werden.
Abgrenzung zu anderen Regelungen
Die wichtigste Abgrenzung besteht zur Datenschutz-Grundverordnung, also zur DSGVO. Die DSGVO regelt den Schutz personenbezogener Daten. Die Verordnung (EU) 2018/1807 betrifft dagegen nicht-personenbezogene Daten. Beide Regelwerke können nebeneinander relevant sein. Bei gemischten Datensätzen ist eine genaue Prüfung erforderlich. Die Verordnung ersetzt das Datenschutzrecht nicht und lockert dessen Anforderungen auch nicht.
Daneben können sektorspezifische unionsrechtliche und österreichische Vorschriften Bedeutung haben, etwa im Finanzmarkt-, Telekommunikations-, Gesundheits- oder Sicherheitsbereich. Solche Spezialnormen können zusätzliche Anforderungen an Datenverarbeitung, Sicherheit, Aufbewahrung oder behördlichen Zugriff enthalten. Ob daraus im Einzelfall zulässige standortbezogene Vorgaben folgen, ist anhand des jeweiligen Rechtsrahmens und der unionsrechtlichen Grenzen zu beurteilen.
Von bloßen Datensicherheitsanforderungen ist die Verordnung ebenfalls zu unterscheiden. Sicherheitsvorgaben können weiterhin zulässig und notwendig sein, etwa zur Integrität, Verfügbarkeit oder Vertraulichkeit von Daten. Sie dürfen aber nicht ohne sachlichen Grund in versteckte Lokalisierungspflichten umschlagen.
Für Österreich ist zudem hervorzuheben, dass es sich um Unionsrecht mit unmittelbarer Geltung handelt. Anders als bei einer Richtlinie bedarf es grundsätzlich keiner vollständigen innerstaatlichen Umsetzung. Nationale Regelungen sind aber unionsrechtskonform anzuwenden, und bestehende Lokalisierungsvorgaben müssen mit dem Unionsrecht vereinbar sein.
Quellen
- Verordnung (EU) 2018/1807 des Europäischen Parlaments und des Rates vom 14. November 2018 über einen Rahmen für den freien Verkehr nicht-personenbezogener Daten in der Europäischen Union
- EUR-Lex: Verordnung (EU) 2018/1807
- EUR-Lex
- Österreichisches Datenschutzgesetz, soweit für die Abgrenzung zu personenbezogenen Daten relevant
- Relevante österreichische sektorale Vorschriften und Materialien, soweit im Einzelfall anwendbar
