Anfang April hat das Europäische Parlament über den Data Governance Act (DGA) abgestimmt. Hierbei handelt es sich um die erste Maßnahme aus der 2020 von der EU-Kommission veröffentlichten europäischen Datenstrategie. Letztere zielt auf die Schaffung eines EU-Binnenmarkts für Daten ab, in dem – unter Beachtung europäischer Werte – Unternehmen, öffentliche Stellen und Privatpersonen Daten branchenübergreifend teilen und nutzen können. Der DGA soll in diesem Zusammenhang das Vertrauen in bestimmte datenmittelnde Akteure erhöhen und dadurch die Verfügbarkeit von Daten in der EU fördern.
Dies betrifft sowohl personen- als auch nicht personenbezogene Daten. Die datenschutzrechtlichen Regelungen bleiben jedoch unberührt: Soweit also personenbezogene Daten im Rahmen des DGA verarbeitet werden, ist die DSGVO zusätzlich in vollem Umfang zu beachten.
Im Wesentlichen bestimmt der DGA grundlegende Rahmenbedingungen für die folgenden – sehr unterschiedlichen – Regelungsgebiete:
Weiterverwendung geschützter Daten im Besitz öffentlicher Stellen
Das erste Regelungsgebiet betrifft die Weiterverwendung solcher Daten, die sich im Besitz öffentlicher Stellen befinden und aus bestimmten Gründen geschützt sind. Hierdurch sollen Daten, die mit Hilfe öffentlicher Gelder gesammelt wurden, auch der Gesellschaft zugutekommen. Als schützenswerte Gründe zählt der DGA die erwerbsbezogene oder statistische Geheimhaltung, den Schutz des geistigen Eigentums Dritter sowie den Schutz personenbezogener Daten auf.
Einen materiellen Anspruch auf Weiterverwendung dieser Daten schafft der DGA dabei nicht, sondern setzt diesen (nach mitgliedsstaatlichem Recht) voraus. Der DGA bestimmt sodann eine Vielzahl einzelner Bedingungen für die Weiterverwendung: So sollen die öffentlichen Stellen etwa sicherstellen, dass der Schutzcharakter der jeweiligen Daten erhalten bleibt, indem personenbezogene Daten anonymisiert und andere geschützte Inhalte aggregiert werden. Der Zugang soll über eine „sichere Verarbeitungsumgebung“ – remote oder vor Ort – erfolgen und von der Abgabe einer Geheimhaltungsverpflichtung abhängig gemacht werden können. Ausschließlichkeitsvereinbarungen sind grundsätzlich unzulässig.
Die Übermittlung von Daten in Nicht-EU-Drittländer ist dem aus der DSGVO bekannten Mechanismus nachempfunden: Sie muss zunächst angezeigt werden und darf nur erfolgen, wenn die Kommission die Vorschriften des Drittlands zum Schutz des geistigen Eigentums und von Geschäftsgeheimnissen als gleichwertig erachtet hat oder der Weiterverwender sich zur Erfüllung bestimmter Bedingungen verpflichtet, wofür auch Standardvertragsklauseln erlassen werden können.
Das Verfahren soll dabei einfach und schnell sein: Die zuständigen mitgliedsstaatlichen Behörden sollen einen „Single-Information-Point“ aufbauen, und eine Datenanfrage soll regelmäßig innerhalb von nur zwei Monaten beantwortet werden. Für Start-ups sowie kleine und mittlere Unternehmen soll dabei ein vereinfachter Informationskanal eingerichtet werden.
Anforderungen an Dienste von Datenintermediären
Ferner bestimmt der DGA einen Anmelde- und Aufsichtsrahmen für die Dienste sogenannter Datenintermediäre. Hierbei handelt es sich um Dienste, die darauf abzielen, durch technische, rechtliche oder sonstige Mittel Geschäftsbeziehungen zwischen einer unbestimmten Zahl von betroffenen Personen und Dateninhabern einerseits und Datennutzern andererseits zum Zwecke der gemeinsamen Nutzung von Daten herzustellen.
Es wird erwartet, dass solche Datenintermediäre eine Schlüsselrolle in der Datenwirtschaft spielen werden, indem sie den Austausch erheblicher Mengen von Daten erleichtern. Zur Schaffung von Vertrauen in die Datenintermediäre soll deren Neutralität sichergestellt sein, weshalb eine anderweitige Verwendung der zu teilenden Daten durch die Datenintermediäre nicht gestattet ist.
Ausgenommen sind daher solche Dienste, die Daten in irgendeiner Weise verändern oder anreichern und erst danach zur Verfügung stellen (etwa Analytics-Dienste). Auch Dienste, die vorwiegend urheberrechtlich geschützte Werke anbieten sowie konzerninterne Datenvermittlungen sind ausgenommen. Dadurch, dass Datenintermediäre auf die Herstellung einer (Geschäfts-)Beziehung zwischen Dateninhabern und -nutzern abzielen sollen, sind auch etwa Cloudspeicher oder Filesharing-Dienste nicht erfasst.
Für Datenintermediäre sieht der DGA neben einem formellen Anmeldeverfahren auch materielle Anforderungen vor, die unter anderem die Wahrung der Zweckbestimmung der Daten, die Verfahrens- und Preisausgestaltung, das Format und die Umwandlung der Daten, Maßnahmen zur Betrugsprävention, zur Insolvenzabsicherung sowie Sicherheitsmaßnahmen für die Speicherung betreffen.
Einer Genehmigung bedürfen Datenintermediäre nicht. Gleichwohl kann die zuständige Behörde bei Verstößen die Einstellung des Dienstes anordnen oder „abschreckende Geldstrafen“ verhängen.
Datenaltruismus
Als weiteren großen Teilbereich regelt der DGA den sogenannten Datenaltruismus. Hierunter lässt sich das freiwillige Teilen von Daten auf Grundlage einer Einwilligung der betroffenen Personen zur unentgeltlichen Nutzung ihrer Daten für Zwecke von allgemeinem Interesse verstehen. Dies betrifft etwa die Gesundheitsfürsorge, die Bekämpfung des Klimawandels und die wissenschaftliche Forschung.
Juristische Personen, die bestrebt sind, jene Zwecke zu fördern, können sich als „in der Union anerkannte datenaltruistische Organisationen“ (einschließlich Logo) eintragen lassen. Voraussetzung ist, dass diese Organisationen ohne Erwerbszweck tätig sowie rechtlich unabhängig sind und zudem umfangreiche Transparenz- und Aufzeichnungspflichten, etwa in Bezug auf Datenverarbeitung, Zweckverfolgung und Einnahmequellen, erfüllen.
Die Anerkennung bietet neben einem faktischen Vertrauensvorschuss den Vorteil, dass die Vorschriften über die Dienste der Datenintermediäre nicht anzuwenden sind. Die zuständige Behörde führt ein Register und kann bei Verstößen die entsprechende Organisation aus dem Register streichen. Um die erforderliche Einwilligung der betroffenen Personen zu erleichtern, sieht der DGA die Schaffung eines einheitlichen europäischen Einwilligungsformulars vor.
Europäischer Dateninnovationsrat und internationaler Zugang
Ferner soll ein „Europäischer Dateninnovationsrat“ eingerichtet werden, der sich unter anderem aus Vertretern der mitgliedsstaatlichen Behörden und dem europäischen Datenschutzausschuss zusammensetzt und die Kommission bei der Entwicklung einer einheitlichen Praxis beraten soll.
In den Schlussbestimmungen enthält der DGA noch allgemeine Bestimmungen zum Schutz von nicht personenbezogenen Daten in Bezug auf Datenzugriffe aus Nicht-EU-Drittländern. So müssen alle Adressaten des DGA angemessene technische, rechtliche und organisatorische Maßnahmen ergreifen, um entsprechende Zugriffe zu verhindern, es sei denn, bestimmte rechtsstaatliche Grundsätze sind gewährleistet.
Fazit
Der DGA ist als Auftakt zur Regelung (jedenfalls bestimmter Teilbereiche) der europäischen Datenwirtschaft zu verstehen. Die zahlreichen Pflichten für datenteilende öffentliche Stellen, Datenintermediäre sowie datenaltruistische Organisationen sind sicherlich dazu geeignet, Vertrauen in diese Akteure zu schaffen. Ob hierdurch jedoch auch faktisch die Verfügbarkeit von Daten in der EU gefördert wird, erscheint fraglich, bedenkt man, dass die Erfüllung der zusätzlichen Pflichten nicht etwa mit (datenschutzrechtlichen) Erleichterungen verbunden ist. Als Anreiz zum Datenteilen stellen sich die Regelungen des DGA für dessen Adressaten also nicht unbedingt dar. Auch sind die Bestimmungen vielfach eher vage gehalten und bedürfen der näheren Konkretisierung – etwa durch den Europäischen Dateninnovationsrat. Es bleibt daher abzuwarten, inwieweit der DGA die europäische Datenwirtschaft tatsächlich fördern wird.
