Damit Daten sicher und vertrauenswürdig geteilt werden können, braucht es klare Regeln und Sicherheitsvorkehrungen. Dafür wurde der europäische Data Governance Act als ein sektorübergreifendes Instrument geschaffen. Ziel ist es, einen reibungslosen Datenaustausch zu ermöglichen und gleichzeitig das mangelnde Vertrauen der Betroffenen zu überwinden.
In Kürze
- Der Data Governance Act (DGA) ist eine EU-Verordnung, gilt also direkt in allen Mitgliedsstaaten.
- Ziel des DGA ist die Schaffung eines europäischen Binnenmarkts für (personenbezogene und nicht-personenbezogene) Daten.
- Die praktische Umsetzung bleibt den Mitgliedsstaaten überlassen, wodurch die Zielerreichung torpediert werden könnte.
Anwendungsbereich des Data Governance Act
Der Data Governance Act (DGA) stellt eine rechtsgebietsübergreifende, ergänzende Unionsverordnung dar und soll damit nicht in bereits bestehenden spezialrechtliche Regelungen eingreifen. Das bedeutet insbesondere, dass die Datenschutz-Grundverordnung (DSGVO) für personenbezogene Daten maßgeblich ist und im Zweifel sogar Vorrang hat. Ebenso bleiben daneben sektorspezifische und nationale Regelungen (z. B. das Wettbewerbsrecht) unberührt.
Kernziele des Data Governance Act
Der DGA will Vertrauen schaffen und den freiwilligen Datenaustausch in der Europäischen Union fördern, um Innovation und die Entstehung eines europäischen Binnenmarkts für Daten voranzutreiben. Er regelt insbesondere die Weiterverwendung geschützter Daten im Besitz öffentlicher Stellen, reguliert Datenvermittlungsdienste, sogenannte (Daten)-Intermediäre, und fördert datenaltruistische Organisationen.
Weiterverwendung geschützter öffentlicher Daten
Kapitel II des DGA schafft einen einheitlichen Rahmen für die Weiterverwendung im Besitz öffentlicher Stellen befindlicher geschützter Daten (bspw. personenbezogene Daten oder Geschäftsgeheimnisse). Hintergrund der Regelung ist, dass Daten, die mithilfe öffentlicher Gelder erhoben wurden, auch der Gesellschaft zugutekommen sollen.
Erlaubt eine öffentliche Stelle die Weiterverwendung, muss sie die Zugangsbedingungen und das Verfahren öffentlich machen sowie für Transparenz, Nichtdiskriminierung, Verhältnismäßigkeit und Wettbewerbsneutralität sorgen (Art. 5 DGA). Dabei sind personenbezogene Daten zu anonymisieren und vertrauliche bzw. urheberrechtlich geschützte Inhalte durch geeignete Offenlegungskontrollen aufzubereiten.
Der DGA untersagt grundsätzlich ausschließliche Nutzungsrechte und eröffnet die Möglichkeit, Gebühren unter transparenten, nicht-diskriminierenden Bedingungen zu erheben. Für personenbezogene Daten gelten zusätzlich die Vorgaben aus der DSGVO (Rechtsgrundlagen, mögliche gemeinsame Verantwortlichkeit zwischen öffentlicher Stelle und Weiterverwender, Pflicht zur Datenschutzfolgenabschätzung).
Dabei werden keine nationalen Zugangs- oder Geheimhaltungsvorschriften aufgehoben. Vielmehr bleibt es primär Aufgabe der Mitgliedstaaten und der jeweiligen öffentlichen Stellen festzulegen, ob und in welchem Umfang bzw. unter welchen Voraussetzungen Daten freigegeben werden.
Datenvermittlungsdienste
Durch den DGA wird in Kapitel III ein Regelwerk für Anbieter geschaffen, die als neutrale Vermittler für den Datenaustausch fungieren. Damit soll eine Infrastruktur zum Austausch von Daten zwischen Marktteilnehmern zur Verfügung gestellt werden. Dafür definiert der DGA (Daten)-Intermediäre als Akteure, die eine unbestimmte Anzahl von betroffenen Personen oder Dateninhabern mit potenziellen Datennutzern verbinden sollen.
- Unter „Dateninhaber“ versteht der DGA eine juristische oder natürliche Person (einschließlich öffentlicher Stellen), die berechtigt ist, Dritten Zugang zu bestimmten Daten zu gewähren.
- Datennutzer sind die Empfänger, denen über den Vermittlungsdienst rechtmäßig Zugang verschafft wird.
Sowohl Dienste für personenbezogene als auch für nicht-personenbezogene Daten fallen unter die Regeln.
Das Ziel von Datenvermittlungsdiensten ist es, die Neutralität und Interoperabilität zu fördern sowie Lock-in-Effekte auf dem Datenmarkt zu vermeiden. Interoperabilität ist deshalb von Bedeutung, damit unterschiedliche Systeme oder Dienste, einfach und störungsfrei miteinander arbeiten können. Ist Interoperabilität gegeben, können Daten ohne großen Aufwand zwischen verschieden Anbietern ausgetauscht, gelesen und weiterverarbeitet werden. Lock-in-Effekte können entstehen, wenn Daten oder Formate so an den Hersteller gebunden sind, dass ein Wechsel zu einem anderen Anbieter mit großem Aufwand oder Datenverlust verbunden wäre. Durch diese Vorgaben soll ein fairer Wettbewerb gefördert und übermäßige Abhängigkeit von einzelnen Anbietern reduziert werden.
Nach Art. 11 DGA besteht für jeden Anbieter von Datenvermittlungsdiensten, der beabsichtigt, die in Art. 10 DGA genannten Datenvermittlungsdienste zu erbringen, eine Anmeldepflicht. Für die Anmeldung zuständige Behörde ist in Deutschland die Bundesnetzagentur.
Die Registrierung als Intermediär führt zu einem öffentlich einsehbaren Eintrag und unterwirft die Dienste einer behördlichen Aufsicht. Die materiellen Pflichten sind in Art. 12 DGA geregelt. Daten dürfen ausschließlich zum Zweck der Weitergabe an Datennutzern genutzt werden. Eine eigenständige kommerzielle Verwertung ist untersagt. Reine Cloud-Provider und die Bereitstellung technischer Werkzeuge oder Dienste, die den Datenaustausch nur als Nebenwirkung ermöglichen, gelten nicht als Intermediäre.
Datenaltruismus
Der DGA führt unionsweit ein System für Datenaltruismus ein. Darunter wird die freiwillige, unentgeltliche Bereitstellung personenbezogener Daten auf Grundlage von DSGVO-konformen Einwilligungen bzw. nicht-personenbezogener Daten auf Grundlage einer Erlaubnis der Dateninhaber für Zwecke von allgemeinem Interesse (z. B. Gesundheit, Forschung oder Umwelt) verstanden.
Anerkannte datenaltruistische Organisationen müssen ein von der Europäischen Kommission noch zu bestimmendes Regelwerk einhalten und werden in ein öffentliches Register eingetragen. Um das Vertrauen der Datenspender zu erhöhen, bestehen Transparenzpflichten über die erhobenen Daten, die Verwendungszwecke, Zugriffsberechtigungen sowie eine strenge Zweckbindung.
Für eine einfache Einwilligungserteilung und Widerruf wird das von der Kommission standardisierte Einwilligungsformular (Art. 25 DGA) zur Verfügung gestellt werden.
Die anerkannten datenaltruistischen Organisationen sind einer unabhängigen Aufsicht unterstellt und dürfen ein EU-Logo tragen, das auf Veröffentlichungen sichtbar angebracht sowie per QR-Code mit dem Register verlinkt ist.
Bei Verstößen kann die zuständige Behörde Stellungnahmen verlangen, Abhilfe fordern, Maßnahmen anordnen und bei andauernder Nichteinhaltung die Löschung aus dem Register verfügen.
Nebeneinander von DSGVO und DGA
Der DGA übernimmt zentrale Begriffsbestimmungen der DSGVO und regelt sowohl personenbezogene als auch nicht-personenbezogene Daten, wodurch Überschneidungen und Auslegungsfragen entstehen können. Da der DGA gem. Art. 1 Abs. 3 keine eigenständige Rechtsgrundlage für die Verarbeitung personenbezogener Daten schafft, kann ein Spannungsverhältnis entstehen. Der Transfer von personenbezogenen Daten ist nur dann rechtskonform, wenn die Anforderungen aus der DSGVO erfüllt sind.
Das bedeutet in der Praxis, dass Betroffene über einen Datenvermittlungsdienst personenbezogene Daten an ein Unternehmen übermitteln können, wobei der Vermittler nur die bereitstellende Stelle darstellt.
Ob der Vermittler als Auftragsverarbeiter oder als eigener Verantwortlicher anzusehen ist, hängt vom Einzelfall ab. Entscheidend ist, wer Zweck und Mittel der Datenverarbeitung bestimmt:
- Handelt der Vermittler ausschließlich auf Weisung des empfangenden Unternehmens, kommen Pflichten der Auftragsverarbeitung in Betracht.
- Verfolgt der Vermittler jedoch eigene Zwecke (z. B. Verkauf der Daten) spricht vieles dafür, ihn als Verantwortlichen zu qualifizieren.
Etwaige Unterstützungshandlungen des Vermittlers, wie Formatkonvertierungen, Pseudonymisierung oder Anonymisierung sind gem. Art. 12 lit. e) DGA erlaubt.
Allerdings braucht es eine gültige Rechtsgrundlage für die Datenverarbeitung. Das wird meist die bereits oben genannte erteilte Einwilligung der betroffenen Person sein. Dafür stellt die Europäische Kommission das oben genannte Einwilligungsformular bereit, das ebenso mit den Vorgaben zur Einwilligung und Widerruf nach Art. 7 DSGVO im Einklang stehen muss.
Beschwerderecht und Sanktionen zum DGA
Aufsichts- und Durchsetzungsaufgaben verbleiben bei den national zuständigen Behörden. Diese sind befugt, Verstöße mit Geldstrafen und Betriebsunterbrechungen zu sanktionieren. In Deutschland ist die Bundesnetzagentur (BNetzA) zuständig.
Gemäß Art. 27 DGA können natürliche und juristische Personen gegen das Verhalten von Datenvermittlungsdiensten und anerkannten datenaltruistischen Organisationen Beschwerde bei den jeweils zuständigen Behörden erheben. Ergänzend gewährleistet Art. 28 DGA das Recht auf wirksamen gerichtlichen Rechtsschutz gegen behördliche Entscheidungen nach Art. 14 (für Vermittlungsdienste), Art. 19 und 24 DGA (für datenaltruistische Organisationen) sowie gegen behördliches Unterlassen.
Nach Art. 34 DGA sind die Mitgliedstaaten verpflichtet, Sanktionen für Verstöße gegen die im DGA genannten Pflichten einzelner Anbieter vorzusehen. Art. 34 Abs. 1 Satz 2 DGA verlangt, dass Sanktionen wirksam, verhältnismäßig und abschreckend sein müssen. Um dieser Abschreckungswirkung bei besonders schwerwiegenden Verstößen gerecht zu werden, sind im Gesetzesentwurf der Bundesregierung zur Durchführung der EU-Verordnung Bußgelder von bis zu 500.000 Euro vorgesehen.
Europäischer Dateninnovationsrat (EDIB)
Der DGA sieht in Art. 29 die Einrichtung eines Europäischen Dateninnovationsrats (EDIB) vor, der Leitlinien für Datenvermittlung, Datenaltruismus und Interoperabilität vorschlagen soll und damit beratend sowie unterstützend für die Kommission tätig ist. Der EDBI besteht aus Vertretern nationaler Behörden, EU-Organen und anderen Stakeholdern.
Fazit
Der DGA kann ein wirkungsvoller Rechtsrahmen für einen europäischen Datenbinnenmarkt sein. Er legt Instrumente wie Transparenzvorgaben, Registrierungspflichten, Aufsicht und Sanktionen fest, die Vertrauen schaffen und das Teilen von Daten erleichtern sollen. Allerdings können praktische Hindernisse wie mangelnde Technik, fehlende Infrastruktur und aufwendige Verfahren diese Entwicklung ausbremsen.
Insgesamt bietet der DGA für Unternehmen Anreize, sich aktiv an der Datenwirtschaft zu beteiligen. Ob dies gelingt und damit flächendeckend zu einer größeren Datenteilung sowie Datennutzung führt, hängt jedoch von der konkreten Umsetzung in den jeweiligen Mitgliedstaaten ab.
Zwar handelt es sich beim DGA um eine Verordnung und nicht um eine Richtlinie, so dass er in den Mitgliedstaaten unmittelbar Anwendung findet. Dennoch bleibt die praktische Anwendung von der jeweiligen nationalen Ausgestaltung abhängig, etwa die Benennung zuständiger Behörden, das Bestimmen von Sanktionen und Regelungen zur Datenaufbereitung. Gerade dort, wo der Aufwand hoch ist und etwaige Pflichten zur Aufbereitung von Daten fehlen, ist zu erwarten, dass z. B. öffentliche Stellen sich nicht ohne eine verbindliche Verpflichtung zur Aufbereitung flächendeckend am Datenaustausch beteiligen.
