Am 7. März 2022 wird das Europäische Parlament über den Data Governance Act (DGA) abstimmen. Hierbei handelt es sich um die erste einer Reihe von Maßnahmen, die im Rahmen der 2020 von der EU-Kommission veröffentlichten europäischen Datenstrategie umgesetzt werden soll. Der Text des DGA wurde im Dezember 2021 in Trilog-Beratungen zwischen Europäischem Rat, Parlament und Kommission bereits ausgehandelt, weshalb die Abstimmung lediglich als formaler Schritt gilt. Der folgende Beitrag soll einen kursorischen Überblick über die wesentlichen Regelungen des DGA vermitteln.
Der DGA zielt darauf ab, die Verfügbarkeit von Daten zu fördern und die Mechanismen für die gemeinsame Datennutzung in der EU zu stärken. Zu diesem Zweck enthält der DGA im Wesentlichen vier – weitgehend isoliert zu betrachtende – Regelungsgegenstände:
- Bedingungen für die Weiterverwendung von Daten bestimmter Datenkategorien, die im Besitz öffentlicher Stellen sind (Kapitel II)
- ein Anmelde- und Aufsichtsrahmen für die Erbringung von Diensten durch sogenannte Datenintermediäre (Kapitel III),
- ein Rahmen für die freiwillige Eintragung von Einrichtungen, die für altruistische Zwecke zur Verfügung gestellte Daten sammeln und verarbeiten (Kapitel IV) sowie
- ein Rahmen für die Einrichtung eines sogenannten Europäischen Dateninnovationsrates.
Klarstellend bestimmt bereits Art. 1 dabei, dass der DGA die Anwendung spezieller Vorschriften des Datenschutzrechts, des TTDSG, des Wettbewerbsrechts sowie des Rechts der öffentlichen Sicherheit, der Verteidigung oder nationalen Sicherheit unberührt lässt. Soweit also personenbezogene Daten im Rahmen des DGA weiterverwendet werden sollen, sind die Voraussetzungen der DSGVO also zusätzlich zu beachten.
Weiterverwendung bestimmter Kategorien geschützter Daten im Besitz öffentlicher Stellen
In Kapitel II werden die Voraussetzungen für die Weiterverwendung solcher Daten festgelegt, die sich im Besitz öffentlicher Stellen befinden und aus bestimmten Gründen geschützt sind. Hintergrund der Regelung ist die Vorstellung, dass Daten, die mithilfe öffentlicher Gelder generiert oder gesammelt wurden, auch der Gesellschaft zugutekommen sollen (ErwGr 5). Als schützenswerte Gründe zählt Art. 3 Abs. 1 abschließend die erwerbsbezogene oder statistische Geheimhaltung, den Schutz des geistigen Eigentums Dritter sowie den Schutz personenbezogener Daten auf.
Wichtig ist zu verstehen, dass der DGA keinen Anspruch auf die Weiterverwendung dieser Daten schafft (Art. 3 Abs. 3). Vielmehr werden grundlegende Voraussetzungen festgelegt, unter denen die Weiterverwendung erlaubt werden soll. Neben einem grundsätzlichen Verbot von Ausschließlichkeitsvereinbarungen in Art. 4 listet Art. 5 hierzu als Kern der Regelung eine Vielzahl von einzelnen Bedingungen für die Weiterverwendung auf. Während diese im ursprünglichen Kommissionsvorschlag noch überwiegend als „Kann-Bestimmungen“ den nationalen öffentlichen Stellen die genaue Ausgestaltung überlassen haben, finden sich in der ausverhandelten Version des DGA vorwiegend verbindlichere Vorgaben.
Grundsätzlich müssen diese Bedingungen „nichtdiskriminierend, transparent, verhältnismäßig und objektiv gerechtfertigt“ sein (Abs. 2). Die öffentlichen Stellen sollen dann gem. Abs. 3 etwa sicherstellen, dass nur aufbereitete – also anonymisierte oder pseudonymisierte – Daten weiterverwendet werden dürfen oder dass der Zugang in einer „sicheren Verarbeitungsumgebung“ erfolgt, deren technische Integrität durch die öffentliche Stelle überprüft wird. Ferner ist die Weiterverwendung von Daten nur unter Wahrung der Rechte des geistigen Eigentums zulässig, wobei öffentlichen Stellen das Datenbankherstellerrecht verwehrt bleibt.
Erwähnenswert ist auch, dass die Übermittlung von Daten in Nicht-EU-Drittländer zunächst angezeigt werden muss und nur dann erfolgen darf, wenn die Kommission die Vorschriften des Drittlandes zum Schutz des geistigen Eigentums und von Geschäftsgeheimnissen als gleichwertig erachtet oder der Weiterverwender sich zur Erfüllung der Bedingungen verpflichtet, wobei hierfür Standardvertragsklauseln erlassen werden können (Abs. 8a). Dieser bereits aus der DSGVO bekannte Mechanismus findet im Rahmen des DGA nun auch für nicht-personenbezogene, schützenswerte Daten Anwendung.
Nach Art. 8 sollen die zuständigen mitgliedstaatlichen Behörden einen „Single Information Point“ aufbauen und eine Datenanfrage soll regelmäßig innerhalb von zwei Monaten beantwortet werden. Auf Initiative des Europäischen Parlaments soll die Datennutzung durch Start-Ups sowie kleine und mittlere Unternehmen besonders gefördert werden (Abs. 2b, 2c).
Anforderungen an Dienste von Datenintermediären
Kapitel III bestimmt einen Anmelde- und Aufsichtsrahmen für die Dienste sogenannter Datenintermediäre. Als solche Dienste nennt Art. 9:
- Vermittlungsdienste zwischen Dateninhabern und potenziellen Datennutzern,
- Vermittlungsdienste zwischen betroffenen Personen und potenziellen Datennutzern, insbesondere zur Ausübung der DSGVO-Rechte sowie
- Dienste sogenannter Datengenossenschaften.
Hintergrund der Regelung ist die Annahme, dass Datenintermediäre eine Schlüsselrolle in der Datenwirtschaft spielen werden, indem sie den Austausch erheblicher Mengen einschlägiger Daten erleichtern und dadurch einen echten Wettbewerb um die Datenteilung entfachen. Zur Schaffung von Vertrauen und zur Stärkung der Kontrolle über diese Dienste seitens der Dateninhaber und Datennutzer wird die Neutralität der Datenintermediäre als maßgeblich erachtet, weshalb diese lediglich als Mittler tätig werden sollen, ohne die weitergegebenen Daten für andere Zwecke zu verwenden (ErwGr 26).
Datenvermittlung soll also grundsätzlich darauf abzielen, eine wirtschaftliche Verbindung zwischen einer unbestimmten Anzahl von Dateninhabern und -nutzern herzustellen, um Daten miteinander zu teilen. Ausgenommen hiervon sind solche Dienste, die Daten in irgendeiner Weise verändern oder anreichern und erst danach zur Verfügung stellen (etwa Cloud-Speicher oder Analytics-Dienste). Auch Dienste, die vorwiegend urheberrechtlich geschützte Werke anbieten sowie konzerninterne Datenvermittlungen sind ausgenommen. Wenngleich der Anwendungsbereich hierdurch konturiert wird, dürften sich angesichts der unscharfen Begrifflichkeiten zahlreiche Abgrenzungsschwierigkeiten in der Praxis ergeben.
Für Datenintermediäre sieht Art. 10 ein formelles Anmeldeverfahren und Art. 11 materielle Anforderungen vor, die u.a. die Wahrung der Zweckbestimmung der Daten, die Verfahrens- und Preisausgestaltung, das Format und die Umwandlung der Daten, Maßnahmen zur Betrugsprävention, zur Insolvenzabsicherung, technische, rechtliche und organisatorische Maßnahmen zur Verhinderung rechtswidriger Übertragungen sowie Sicherheitsmaßnahmen für die Speicherung betreffen.
Die Dienste der Datenintermediäre bedürfen damit keiner behördlichen Genehmigung. Gleichwohl kann – soweit ein Verstoß gegen Art. 10 oder 11 festgestellt wurde – die zuständige Behörde die Einstellung des Dienstes anordnen oder „abschreckende Geldstrafen“ verhängen. Um die Rechtsdurchsetzung zu gewährleisten, müssen die Anbieter in der EU niedergelassen sein oder einen gesetzlichen Vertreter in der EU benennen.
Datenaltruismus
Als weiteren großen Teilbereich regelt Kapitel IV den sogenannten Datenaltruismus. Datenaltruismus lässt sich verstehen als die freiwillige Datenbereitstellung durch Einzelpersonen oder Unternehmen zum Wohl der Allgemeinheit. Als solche Zwecke von allgemeinem Interesse nennt der DGA ausdrücklich etwa die Gesundheitsversorgung, die Bekämpfung des Klimawandels, die Verbesserung der Mobilität, die erleichterte Erstellung öffentlicher Statistiken sowie die wissenschaftliche Forschung.
Gemäß Art. 16 ff. können sich juristische Personen, die bestrebt sind, die vorgenannten Ziele zu fördern, als „in der Union anerkannte datenaltruistische Organisationen“ eintragen lassen. Voraussetzung ist, dass diese Organisationen ohne Erwerbszweck tätig sowie rechtlich unabhängig sind und zudem umfangreiche Transparenz- und Aufzeichnungspflichten, etwa in Bezug auf Datenverarbeitung, Zweckverfolgung und Einnahmequellen erfüllen. ErwGr 36 nennt noch weitere Anforderungen, z.B. eine sichere Verarbeitungsumgebung und die Einrichtung von Ethikräten, die jedoch keinen Eingang in den verfügenden Teil des DGA gefunden haben und deren Durchsetzbarkeit daher fraglich erscheint.
Die Anerkennung bietet u.a. den Vorteil, dass die Vorschriften über die Dienste der Datenintermediäre (Kapitel III) nicht anzuwenden sind. Die zuständige Behörde führt nach Art. 15 ein Register der anerkannten datenaltruistischen Organisationen und kann bei Verstößen die entsprechende Organisation aus dem Register streichen (Art. 21).
Die Mitgliedsstaaten können Datenaltruismus fördern, indem sie einen Rahmen schaffen, in dem betroffene Personen Daten teilen können, die bei öffentlichen Dienstleistern gespreichert sind (Art. 14a); in Deutschland ist dies bei der elektronischen Patientenakte schon der Fall (§ 363 Abs. SGB V).
Um die Datensammlung und die hierfür vielfach erforderliche Einwilligung der betroffenen Personen zu erleichtern, sieht Art. 22 vor, dass die Kommission – in Beratung mit dem Europäischen Datenschutzausschuss – Durchführungsakte zur Festlegung eines europäisches Einwilligungsformulars erlassen soll. Klargestellt ist somit, dass es auch für die Datennutzung zu altruistischen Zwecken bei der nach der DSGVO erforderlichen Einwilliung verbleibt. Das Formular bietet dennoch den Vorteil, dass das Einholen von Einwilligungen in allen Mitgliedstaaten in einem einheitlichen Format ermöglicht wird, was der Rechtssicherheit dienen dürfte.
Europäischer Dateninnovationsrat und Internationaler Zugang
Als weitere nennenswerte Regelung sieht Kapitel VI die Einrichtung eines „Europäischen Dateninnovationsrates“ vor, der sich u.a. aus Experten und Vertretern der mitgliedstaatlichen Behörden und dem europäischen Datenschutzausschuss zusammensetzt. Dieser hat die in Art. 27 normierten Aufgaben normiert, die im Wesentlichen die Beratung und Unterstützung der Kommission bei der Entwicklung einer einheitlichen Praxis in Bezug auf die vorskizzierten Themen des DGA zum Gegenstand haben. Gerade angesichts der nur unbestimmten Regelungsdichte im DGA wird dem Innovationsrat voraussichtlich eine große Bedeutung bei der konkreten Ausgestaltung der Regelungen zukommen.
In den Schlussbestimmungen in Kapitel VIII enthält der DGA allgemeine Bestimmungen zum Schutz von nicht-personenbezogenen Daten in Bezug auf Drittlandtransfers. So müssen alle Adressaten des DGA angemessene technische, rechtliche und organisatorische Maßnahmen ergreifen, um entsprechende Transfers und Zugriffe zu verhinderrn, es sei denn, es besteht eine internationale Übereinkunft mit dem Drittland. Das Fehlen einer solchen Übereinkunft kann sodann die Einzelfallprüfung des Rechtsstaatsniveaus des Drittlandes erforderlich machen.
Fazit
Der DGA stellt einen ersten Ansatz dar, um die europäische Datenwirtschaft – jedenfalls in bestimmten Teilbereichen – zu reglementieren. Angesichts der vielfach eher vagen Ausführungen bleibt derzeit noch offen, inwieweit die Datenwirtschaft hierdurch tatsächlich vorangebracht wird. Gerade die systematische Einbindung und Abgrenzung des DGA zu anderen bestehenden sowie bevorstehenden Gesetzen der EU im Bereich der Digitalisierung – etwa in Bezug auf den erwarteten Data Act – wird vielfälige Fragen aufwerfen. Erfreulich ist aber, dass der DGA sich in vielen Fragen an der Struktur der DSGVO orientiert und insoweit zu einer gewissen Vereinheitlichung des Datenverkehrs beiträgt.
