Schlagwort: eu-verordnung

Hochwertige Datensätze und Datenschutz

28. Februar 2023

Seit Inkrafttreten der RL (EU) 2019/1024 vom 20.6.2019 über offene Daten und die Weiterverwendung von Informationen des öffentlichen Sektors (PSI-RL) wurden die sog. hochwertigen Datensätze neu eingeführt. Am 20.1.2023 wurde im Amtsblatt der EU die Durchführungsverordnung VO (EU) 2023/138 der Kommission zur Festlegung bestimmter hochwertiger Datensätze und der Modalitäten ihrer Veröffentlichung und Weiterverwendung veröffentlicht. In dem Beitrag geht es um einen Überblick über die Inhalte der neuen VO (EU) 2023/138 und dem Zusammenhang mit dem Datenschutzrecht.

Was sind hochwertige Datensätze?

Die Legaldefinition von hochwertigen Datensätzen in Art. 2 Nr. 10 PSI-RL bezieht sich auf Dokumente, die wichtige Vorteile für die Gesellschaft, Umwelt und Wirtschaft bieten. Außerdem sind die thematischen Kategorien hochwertiger Datensätze sind in Anhang I der PSI-RL aufgeführt und können durch die EU-Kommission erweitert werden. Art. 14 Abs. 1 UAbs. 1 PSI-RL verpflichtet die EU-Kommission zur Festlegung einer Liste von hochwertigen Datensätzen im Besitz öffentlicher Stellen oder öffentlicher Unternehmen. Diese Festlegung muss auf einer Bewertung des Potenzials der Datensätze basieren, hinsichtlich sozioökonomischer oder ökologischer Vorteile, Nutzen für eine große Zahl von Nutzern, Einnahmen und Kombinierbarkeit mit anderen Datensätzen.

Grund der Unterscheidung zu „nicht-hochwertigen“ Datensätzen

Die Einstufung von Dokumenten als hochwertige Datensätze ist relevant für die Anforderungen der PSI-RL bezüglich Format und kostenfreier Zurverfügungstellung durch öffentliche Stellen. Hochwertige Datensätze müssen in maschinenlesbarem Format über geeignete APIs und als Massen-Download zur Verfügung gestellt werden, ohne dass Kompensationszahlungen erhoben werden dürfen, außer in Ausnahmefällen. Im Gegensatz dazu können für nicht-hochwertige Datensätze Erstattungen für Grenzkosten verlangt werden, die durch Reproduktion, Bereitstellung und Verbreitung von Dokumenten sowie durch die Anonymisierung personenbezogener Daten und Maßnahmen zum Schutz vertraulicher Geschäftsinformationen verursacht werden.

Inhalt der neuen Verordnung

Die EU-Kommission hat mit der VO (EU) 2023/138 für jede der sechs Kategorien in Anhang I PSI-RL eine Liste hochwertiger Datensätze erstellt und Modalitäten für deren Veröffentlichung und Weiterverwendung festgelegt. Ziel ist es, öffentliche Daten mit hohem sozioökonomischem Potenzial leicht zugänglich und kostenlos zur Verfügung zu stellen. Die VO (EU) 2023/138 besteht aus 14 Erwägungsgründen und sechs Artikeln, in denen der Gegenstand der Durchführungsverordnung, Begriffsbestimmungen, Veröffentlichungs- und Weiterverwendungsmodalitäten sowie die Verpflichtung der Mitgliedstaaten zur Übermittlung von Berichten über die Durchführung der Durchführungsverordnung festgelegt sind.
Weiterhin soll die VO (EU) 2023/138 sicherstellen, dass öffentliche Daten mit hohem Potenzial für die Gesellschaft leicht zugänglich und kostenlos zur Verfügung stehen. Die Modalitäten für Veröffentlichung und Weiterverwendung werden für jede Kategorie festgelegt, wobei Ausnahmen und Einschränkungen in einigen Kategorien vorgesehen sind. Die Mitgliedstaaten sind verpflichtet, Berichte über die Durchführung der Durchführungsverordnung zu erstellen und einzureichen. Der Anhang der Durchführungsverordnung enthält detaillierte Informationen zu den erfassten Datensätzen und den kategoriespezifischen Regelungen für ihre Veröffentlichung und Weiterverwendung.

Bleibt der Datenschutz auf der Strecke?

Hochwertige Datensätze können personenbezogene Daten enthalten, die durch das Datenschutzrecht geschützt sind. Der EU-Gesetzgeber hat bei der VO (EU) 2023/ keine Ausnahme vom Datenschutzrecht gemacht. Um die Vertraulichkeit von personenbezogenen Daten in hochwertigen Datensätzen zu gewährleisten, empfiehlt der Text den Einsatz von verschiedenen Techniken, wie Generalisierung, Aggregierung, Anonymisierung, differenzieller Privatsphäre oder Randomisierung. Diese Methoden können dazu beitragen, dass personenbezogene Daten nicht mehr identifizierbar sind und damit der Datenschutz gewahrt bleibt. Solche Maßnahmen können jedoch auch Kosten verursachen. Deswegen können diese bei der Festlegung von angemessenen Entgelten und Gebühren auch berücksichtigt werden.
Weitere Überlegungen zum Datenschutz sind in den Lizenzen und Datenschutz-Folgenabschätzungen gemäß Art. 35 DS-GVO enthalten. In Lizenzen können Bedingungen festgelegt werden, die den Schutz personenbezogener Daten bei der Weiterverwendung durch den Lizenznehmer sicherstellen. Unter bestimmten Umständen müssen auch Datenschutz-Folgenabschätzungen durchgeführt werden, um mögliche Risiken für die Privatsphäre der betroffenen Personen zu identifizieren.
Die Mitgliedstaaten müssen über solche Bewertungen der EU-Kommission Bericht erstatten, um sicherzustellen, dass der Datenschutz bei der Verwendung von hochwertigen Datensätzen gewahrt bleibt.

Fazit

Die EU-Kommission hat mit der Verabschiedung der VO (EU) 2023/138 einen weiteren Schritt zur Förderung der gemeinsamen Datennutzung und eines innovationsfreundlichen europäischen Binnenmarkts gemacht. Dabei müssen die Mitgliedstaaten müssen nun unter anderem APIs für die hochwertigen Datensätze bereitstellen, Datenschutz-Folgenabschätzungen durchführen und entscheiden, ob Ausnahmen von der unentgeltlichen Zurverfügungstellung der Datensätze für bestimmte Stellen erforderlich sind. Es bleibt abzuwarten, wie die Mitgliedstaaten mit den Mindestanforderungen für die Datensätze und Modalitäten für die Weiterverwendung umgehen werden. Die Verordnung trat am 9. Februar 2023 in Kraft und gilt unmittelbar in allen Mitgliedstaaten.

Kategorien: EU-Datenschutzgrundverordnung
Schlagwörter: , , ,

EU-Kommission sorgt mit neuer Verordnung gegen Kindesmissbrauch für Kritik bei Datenschützern

13. Mai 2022

Die EU-Kommission hat am vergangenen Mittwoch einen Entwurf für eine neue Verordnung veröffentlicht. Die Verordnung soll die Verbreitung von Kindesmissbrauchsdarstellungen im Netz bekämpfen. Der Entwurf trifft jedoch vor allem bei Datenschützern auf große Kritik.

Um was für eine Verordnung handelt es sich?

Die Verordnung soll den steigenden Zahlen an Kindesmissbrauchsdarstellungen und “Grooming”- Attacken (bei dem Kinder im Internet zu Missbrauchszwecken kontaktiert werden) im Internet entgegen wirken. Vor allem im Zuge der COVID-19-Pandemie haben diese deutlich zugenommen. Zwar gibt es einige Dienstanbieter, wie z.B. Google, die auf ihren Plattformen gezielt nach solchen Inhalten suchen und diese bei den Behörden melden. Dies erfolgt aber auf freiwilliger Basis und zu größten Teilen von US-Anbietern. Die EU-Kommission sieht dies als nicht ausreichend an und will EU-weit einen gesetzlichen Rahmen und somit Pflichten zum Aufspüren und Melden von solchen Inhalten schaffen. Warum neue Regelungen notwendig sind, hat sie zudem in einem Q&A begründet.

Was genau sieht die Verordnung vor?

Die Verordnung sieht vor, dass Internetdienstanbieter zunächst analysieren, wie groß das Risiko ist, dass ihr Dienst für solche Missbrauchs-Zwecke genutzt wird. Dann soll der Anbieter dementsprechend notwendige Maßnahmen ergreifen. Sollte dies den zuständigen Behörden nicht ausreichen, können diese die Anbieter dazu verpflichten, ihre Dienste mit Hilfe von Softwares zu durchsuchen. Dabei soll entsprechendes Missbrauchs-Bildmaterial entdeckt und gemeldet werden.

Auch das “Grooming” soll dadurch aufgespürt werden. Dazu sollen die Internetdienstanbieter auch Textnachrichten scannen dürfen. Durch welche Technik genau dies geschehen soll, ist noch unklar.

Sollten sich die Anbieter nicht daran halten, sieht der Verordnungs-Entwurf empfindliche Geldstrafen von bis zu 6 Prozent ihres weltweiten Jahresumsatzes vor. Für die Meldungen zuständig soll eine neu einzurichtende EU-Zentralstelle sein, die bei der EU-Polizeibehörde in Den Haag angesiedelt werden soll.

Was genau wird an der Verordnung kritisiert?

Kritiker richten sich selbstverständlich nicht gegen die Zielsetzung der Verordnung, verstärkt gegen Kindesmissbrauchsdarstellungen im Internet vorzugehen. Die Verordnung wird jedoch als unverhältnismäßig kritisiert und bereits jetzt als “Chatkontrolle” betitelt. Kritiker befürchten, dass es durch diese Verordnung zur anlasslosen Massenüberwachung kommt und die Sicherheit der Nutzer nicht mehr gewährleistet werden kann. Privatsphäre und vertrauliche Kommunikation würden unmöglich gemacht. Von der Verordnung betroffen wären auch Dienste wie WhatsApp und Signal, die ihren Nutzern eine verschlüsselte Kommunikation anbieten.

Problematisch sei vor allem, dass durch das grundsätzliche Ermöglichen von Durchsuchungen der Dienste leicht Missbrauch stattfinden könne. Sollten solche Systeme gehackt oder anderweitig missbraucht werden, könne theoretisch jeglicher Inhalt gefunden werden. Auch Inhalte wie z.B. die Kommunikation von Journalisten, Whistleblowern, Ärztinnen und anwaltliche Kommunikation wären davon betroffen.

Weiterhin wird kritisiert, dass die Verbreitung von Kindesmissbrauchsdarstellungen häufig auf einschlägigen Foren stattfinde und die Verordnung dementsprechend nicht zielführend sei.

Wie geht es weiter?

Die EU-Kommission wies die Kritik zurück und verwies darauf, dass die Internetdienstanbieter in der Verordnung angehalten werden, Methoden anzuwenden, die einen möglichst geringen Eingriff in die Privatsphäre der Nutzer darstellen. Als nächstes müssen das EU-Parlament und der Ministerrat über den Verordnungs-Entwurf beraten und die Verordnung dann gemeinsam erlassen. Hierbei kann es durchaus noch zu inhaltlichen Änderungen kommen, ob die Verordnung in ihrer jetzigen Form verabschiedet wird, dürfte also abzuwarten sein. Wenn sie verabschiedet wird, gilt sie als EU-Verordnung in jedem Mitgliedsstaat unmittelbar.

Kategorien: Allgemein · DSGVO · EU-Datenschutzgrundverordnung · Online-Datenschutz
Schlagwörter: , , , , , ,