Neue europäische Verordnung über den Rahmen für den freien Verkehr nicht-personenbezogener Daten: ein bedeutender Schritt im Kampf gegen Vendor-Lock-in

Am 09. November 2018 wurde die Verordnung zum freien Verkehr nicht-personenbezogener Daten in der EU endgültig verabschiedet. Der freie Datenfluss gilt inzwischen als fünfte EU-Freiheit neben der Freiheit für Personen, Waren, Dienstleistungen und Kapital. Die Verordnung „Free Flow of Non Personal Data (FFoD)“ ergänzt die neue DSGVO. Für Anbieter von IT-Infrastruktur in der Cloud wird diese Verordnung mithilfe eines von OVH geleiteten, europäischen Verhaltenskodex umgesetzt. Alban Schmutz, OVH Vizepräsident für strategische Entwicklung und öffentliche Angelegenheiten, erklärt.

Was halten Sie von der neuen Verordnung?

Alban Schmutz – Diese neue europäische Verordnung ergänzt die DSGVO. Sie mag zwar aufgrund des B2B-Aspekts weniger interessant für Nachrichten sein, stellt jedoch einen wesentlichen Schritt für die Schaffung eines gemeinsamen, europäischen Raums für freien Datenverkehr dar. Sie beseitigt einerseits einen Großteil der geografischen Einschränkungen für Speicherung und Verarbeitung nicht-personenbezogener Daten in Europa (was vor allem öffentliche Organisationen betrifft). Andererseits vereinfacht sie für Kunden auch den Wechsel von Cloud-Anbietern (für Infrastruktur und Software).

Es ist also vor allem eine großartige Neuigkeit für europäische Anbieter und deren Kunden. Außerdem schafft die Verordnung nicht nur einen tatsächlich freien Raum zwischen EU-Mitgliedstaaten. Sie unterstützt auch die Entwicklung des Europäischen Datenmarkts und ermöglicht laut Deloitte ein Wachstum auf 4 % des BIP bis 2020 (d. h. circa 8 Milliarden Euro pro Jahr).

Welche direkten Auswirkungen hat das für OVH und seine Kunden?

A.S. – Artikel 6 der FFoD ist für uns besonders interessant und hat direkte, positive Auswirkungen für unsere Kunden. Er behandelt detailliert die Übertragbarkeit nicht-personenbezogener Daten in Europa von einem Cloud-Anbieter zu einem anderen, ohne jedwede Einschränkung. Somit stellt er einen bedeutenden Schritt im Kampf gegen die „Vendor-Lock-in“-Praktiken mancher Cloud-Anbieter dar, die den Wechsel zu anderen Anbietern blockieren oder zumindest stark erschweren. CIOs können ihre Anbieter so leichter miteinander in Wettbewerb bringen und die Kontrolle in Verhandlungen zurückerlangen. Für uns ist das eine grundlegende Maßnahme, die mit den Werten übereinstimmt, die wir seit der Gründung von OVH verteidigen: freie Wahl und Förderung offener Standards. Die Übertragbarkeit nicht-personenbezogener Daten ist in der Tat eine Möglichkeit, um Reversibilität zu gewährleisten. Idealerweise würden wir sogar noch weiter gehen und insbesondere die technische Automatisierung miteinbeziehen, allerdings ist das nicht Teil dieser Verordnung.

Wie kann man sicherstellen, dass die Verordnung auch richtig umgesetzt wird?

A.S. – Die neue Regelung zum freien Verkehr nicht-personenbezogener Daten verpflichtet Akteure auf dem europäischen Markt dazu, Verhaltenskodizes einzuhalten, um die korrekte Umsetzung der neuen Verordnung zu garantieren. Durch CISPE, einen Verband von Cloud-Infrastruktur-Anbietern in Europa, hat OVH Anfang 2018 die Führung übernommen und gemeinsam mit EuroCIO, dem europäischen Verband der CIOs, einen solchen Kodex für IaaS (Infrastructure as a Service) verfasst. Diese Arbeit ist seit April 2018 Teil des von der Europäischen Kommission festgelegten Prozesses namens SWIPO (SWItching and POrting, der zwei Arbeitsgruppen beinhaltet (IaaS und SaaS). Die Endversion dieses IaaS-Verhaltenskodex wird in wenigen Wochen veröffentlicht.

Wann tritt die neue Verordnung endgültig in Kraft?

A.S. – Das Europäische Parlament hat am 04. Oktober 2018 für das Gesetzt gestimmt. Am 09. November wurde eine gemeinsame Endversion zwischen dem Europäischen Parlament und dem Rat (den Mitgliedstaaten der Europäischen Union) verabschiedet, die inzwischen im Amtsblatt der Europäischen Union veröffentlicht wurde. Wir werden die Endversion des Verhaltenskodex am 04. Dezember 2018 auf der von der Europäischen Kommission organisierten ICT 2018 Conference in Wien offiziell vorstellen. Ergänzende Dokumente mit Verwendungsbeispielen werden im Februar 2019 verfügbar sein, sodass der Kodex im Laufe des Jahres 2019 von den unterzeichnenden Anbietern umgesetzt wird.

Was ist der nächste Schritt?

A.S. – Zunächst ist es wichtig, über unseren Beitrag für Cloud-Infrastruktur (IaaS) hinaus dafür zu sorgen, dass die ganze Cloud, also auch SaaS, abgedeckt ist. Sicherzustellen, dass der gesamte Cloud-Markt offen bleibt und bestimmte Regeln zur Datenreversibilität beachtet, ist nicht nur für unsere Kunden unerlässlich, sondern auch für Innovation und Gesundheit des europäischen Technologie-Ökosystems. Dies wird schließlich einen weltweiten Schneeballeffekt auslösen, ähnlich wie bei der Datenschutz-Grundverordnung, als viele nicht-europäische Staaten ihre nationale Rechtsgebung den Vorgaben der DSGVO angepasst haben. CIOs auf der ganzen Welt brauchen Gesetze wie die FFoD und werden nicht einsehen, warum ein solcher Verhaltenskodex nur von ihren europäischen Anbietern befolgt wird, und nicht von anderen. So könnte die Europäische Union zum zweiten Mal seit der DSGVO durch von ihr eingesetzte Verordnungen ihren extraterritorialen Einfluss unter Beweis stellen.