Der „Data-Governance-Act“
Daten gelten gemeinhin als Schlüsselressource für jeden nur erdenklichen Fortschritt, von medizinischer Innovation über die Modernisierung der Verwaltung bis zum „Green Deal“. Nur konsequent stellt die europäische Datenstrategie (Mitteilung der Kommission, COM(2020) 66 final) Daten in den Mittelpunkt der Entwicklung des europäischen Binnenmarktes.
Eine wichtige Säule der europäischen Datenstrategie bildet dabei der Data Governance Act („DGA“). Er zielt darauf ab, die Verfügbarkeit von Daten zur wirtschaftlichen Nutzung, gemeinsamen Verwendung und nicht zuletzt für Forschungszwecke zu erhöhen, um dem europäischen Markt so einen Wettbewerbsvorteil bei datengestützten Innovationen zu verschaffen.
Am 30.11.2021 haben sich die Parteien des Trilogs auf eine finale Fassung eines DGA geeinigt. Rechtspolitisch sieht man sich einem souveränen Binnenmarkt für Daten ein weiteres Stück näher. Der DGA behandelt im Schwerpunkt folgende drei zentrale Themenfelder: (i) Bereitstellung von Daten der öffentlichen Hand, (ii) das Konzept der Datenvermittlungsdienste und (iii) den sog. „Datenaltruismus“. Am 06.04.2022 hat das Parlament den verhandelten Entwurf debattiert und mit großer Mehrheit angenommen. Er muss nun noch vom Rat angenommen werden.
Insgesamt fällt auf, dass der DGA – ganz im Sinne seines Titels – die im folgenden skizzierten Themenfelder stark regulativ begleitet, aber wenig eigene Anreize setzt, etwa als Datenvermittlungsdienst oder als datenaltruistische Organisation tätig zu werden. Der Gesetzgeber vertraut hier (wohl) auf die Kraft des Marktes. Für in der Datenwirtschaft tätige Akteure wird es dennoch unabdingbar sein, sich beispielweise mit dem Konzept Datenvermittlungsdienstes näher auseinanderzusetzen oder als Forschungseinrichtung das Konzept des Datenaltruismus im Blick zu behalten.
Wesentliche Inhalte – Data Sharing, Datenaltruismus und das Heben von „Datenschätzen“ der öffentlichen Hand
a. Bereitstellung von Daten der öffentlichen Hand
Um die Wettbewerbsfähigkeit der europäischen Datenwirtschaft zu fördern und gleichzeitig die Rechte Dritter zu schützen, regelt der DGA Rahmenbedingen für die (sicherere) Weitergabe geschützter Daten öffentlicher Stellen. Allerdings soll ausdrücklich kein europarechtlicher Rechtsanspruch auf Zugang zu den entsprechenden Daten geschaffen werden (Art. 1 Abs. 2 DGA). Dies obliegt weiter den Mitgliedstaaten.
Als geschützte Daten gelten dabei Daten, die sich im Besitz öffentlicher Stellen befinden und aus Gründen (i) geschäftlicher oder statistischer Geheimhaltung, (ii) des Schutzes geistigen Eigentums Dritter oder (iii) des Schutzes personenbezogener Daten (sofern sie nicht bereits dem Anwendungsbereich der Richtlinie (EU) 2019/1024 („Open-Data-Richtlinie“) unterfallen) geschützt sind (Art. 3 Abs. 1 DGA). Inhaltlich ergänzt der Data Governance Act damit die Richtline 2019/1024 („Open-Data-Richtlinie“).
Für die Bereitstellung dieser Daten öffentlicher Stellen formuliert der DGA einige grundsätzliche Regeln. Dem liegt die Vorstellung zugrunde, dass auch geschützte Daten, die mithilfe öffentlicher Gelder generiert oder gesammelt wurden, der Gesellschaft zugutekommen sollen und dass dies bisher vor allem an fehlenden einheitlichen Rahmenbedingungen hakte (Erwgr. 6 DGA). Dem folgend gibt der DGA nunmehr solche einheitlichen Rahmenbedingungen vor:
- Aufrechterhaltung des Schutzes geschützter, insbesondere personenbezogener oder geschäftsgeheimnisrelevanter Daten durch geeignete Sicherungsmechanismen, wie etwa Anonymisierung oder Aggregation sowie sichere Bereitstellungsverfahren (vgl. Art. 5 Abs. 3 DGA).
- Keine ausschließliche (und damit wettbewerbshindernde) Bereitstellung an ausgewählte Akteure (wobei aber umfangreiche Ausnahmen im öffentlichen Interesse bestehen (vgl. Art. 4 DGA)).
- Insbesondere Transparenz und Nichtdiskriminierung als übergeordnete Anforderung an die Bedingungen für die Weiterverwendung der Daten (vgl. insbesondere Art. 5 DGA).
- Mit Blick auf personenbezogene Daten wird eine Re-Identifizierung betroffener Personen im Rahmen der Weiternutzung ausdrücklich untersagt, wobei der „Weiterverwender“ das durch technisch-organisatorische Maßnahmen abzusichern hat. Im Falle eines „Data Breach“ bestehen Informationspflichten. Da auch die Interessen juristischer Personen betroffen sein können, besteht eine entsprechende Informationspflicht auch bei einer missbräuchlichen Nutzung nicht personenbezogener Daten (Art. 5 Abs. 5 DGA).
- Die Weitergabe von vertraulichen Daten oder Daten die Rechten an geistigem Eigentum unterliegen an „Weiterverwender“, die eine Übermittlung in Drittstaaten beabsichtigen, setzt eine vertragliche Zusicherung zum Schutz der Daten voraus (Art. 5 Abs. 10 DGA). Auch weitergehende Einschränkungen durch das Unionsrechts sind insoweit möglich (Art. 5 Abs. 13 DGA).
- Die Weiternutzung von Daten soll in jedem Mitgliedstaat durch eine „Zentrale Informationsstelle“ unterstützt werden, die Interessenten den Zugang zu den Daten in öffentlicher Hand erleichtert (vgl. Art. 8 DGA).
b. Datenvermittlungsdienste - Regeln für Dienste der gemeinsamen Datennutzung
Um den Prozess der Datenweitergabe für den Wettbewerb zu optimieren, legt der DGA Rahmenbedingungen für die daran aus Sicht des Verordnungsgebers wesentlich beteiligten Datenvermittlungsdienste fest (Erwgr. 27, 33). Datenvermittlungsdienste bieten Dienste an, die Dateninhaber mit potentiellen Datennutzern zusammenzubringen, um eine Geschäftsbeziehung zum Teilen von Daten herzustellen (vgl. Art. 2 Abs. 1 Nr. 11 DGA). Dem Verordnungsgeber schweben hier gemeinsam genutzte „Datenpools“ oder Marktplätzte für Daten vor (Erwgr. 28 DGA). Zu beachten ist dabei:
- Der Datenvermittlungsdienst ist insoweit neutraler Akteur, darf also die Daten u.a. nicht zu eigenen anderen Zwecken nutzen (Art. 12 DGA). Dies sieht der Gesetzgeber als maßgeblich für die Schaffung von Vertrauen und Anreizen zur freiwilligen Datenweitergabe an (Erwgr. 27, 33).
- Insbesondere in seiner Preisgestaltung muss der Datenvermittlungsdienst „fair“ sein, damit ein einfacher Zugang gewährleistet ist (Art. 12 Abs. 1 lit. f DGA). Insgesamt soll die Verordnung einen fairen, sicheren und hoch interoperablen Datenaustausch durch neutrale Intermediäre schaffen.
- Datenvermittlungsdienste unterliegen einer Anmeldepflicht (Art. 11 DGA). Ein Datenvermittlungsdienst muss nicht in der Union niedergelassen sein, sondern kann sich auch außerhalb der Union befinden; in diesem Fall muss er einen Vertreter in der Union benennen (Art. 11 Abs. 3 DGA).
c. „Datenaltruismus“
Das Konzept des Datenaltruismus soll es erleichtern, Daten für im allgemeinen Interesse liegende Ziele zur Verfügung zu stellen, etwa für die Forschung, die Bekämpfung des Klimawandels oder die Verbesserung öffentlicher Dienstleistungen (Art. 2 Abs. 1 Nr. 16 DGA). Dieses freiwillige Teilen von Daten erfolgt entweder auf Grundlage einer Einwilligung (im Sinne der DS-GVO) oder, in Bezug auf nicht-personenbezogene Daten, auf Grundlage einer Erlaubnis.
Eine Einrichtung kann sich als eine datenaltruistische Organisation (Art. 18 DGA) eintragen lassen und sich so solche Daten für die vorgenannten Zwecke zur Verfügung stellen lassen. Im Rahmen ihrer Tätigkeit treffen die datenaltruistische Organisation umfangreiche Transparenzanforderungen und Berichtspflichten (Art. 20 DGA). Bei der Verarbeitung personenbezogener Daten bestehen umfassende Informationspflichten gegenüber dem Betroffenen (Zweck, Ort der Verarbeitung etc.) (Art. 20 Abs. 1 DGA). Um den Datenaltruismus operativ zu erleichtern, soll die Kommission ein „Regelwerk“/„Rulebook“ mit Details zu u.a Betroffeneninformation und technischen Sicherheitsmaßnahmen als delegierten Rechtsakt erlassen (Art. 22 DGA). Um die Einwilligung im Rahmen des Datenaltruismus zu erleichtern, sieht Art. 25 Abs. 1 DGA vor, dass ein europäisches Einwilligungsformular geschaffen wird.
Fazit
Der Data Governance Act enthält umfassende Regelungen zur Standardisierung des Teilens von Daten im Binnenmarkt. Abzuwarten bleibt, ob die sehr umfangreichen Pflichten der einzelnen Akteure den gewünschten Effekt nicht teilweise konterkarieren. Insbesondere der Datenaltruismus bzw. das Betreiben einer datenaltruistischen Organisation wird ohne umfassende datenschutzrechtliche Begleitung wohl kaum möglich sein.