Das EU-Parlament und der Europäische Rat haben am 30. November 2021 eine Einigung über ein neues Datengesetz erzielt. Der sogenannte Daten-Governance-Rechtsakt (kurz: DGA) wurde am 6. April 2022 durch das EU-Parlament mit großer Stimmenmehrheit verabschiedet. Auch der Europäische Rat hat den DGA zwischenzeitlich gebilligt, der Rechtsakt mit der amtlichen Bezeichnung „Verordnung des Europäischen Parlaments und des Rates über europäische Daten-Governance und zur Änderung der Verordnung (EU) 2018/1724“ ist somit angenommen. Die Verordnung wurde am 30. Mai 2022 veröffentlicht und ist ab dem 24. September 2023 anzuwenden.
Der DGA ist Teil der Datenstrategie der EU. Ziel des DGAs ist es vor allem, den Datenaustausch über verschiedene Branchen und Ländergrenzen hinweg zu fördern. Hierdurch wird sich auf europäischer Ebene insbesondere eine bessere Entwicklung von Künstlicher Intelligenz versprochen. Die Verordnung legt dafür vor allem Bedingungen für die Weiterverwendung von Daten, die im Besitz öffentlicher Stellen sind, innerhalb der Union fest. Zudem sollen durch den DGA sogenannte Datenspenden durch Bürger erleichtert werden. Durch den neu geschaffenen gesetzlichen Rahmen sollen Daten einfacher ausgetauscht und gebündelt werden können. Der DGA soll hierbei insbesondere Regeln für den Handel mit Daten definieren, einen Mechanismus für die Weiterverwendung von Daten des öffentlichen Sektors bieten und Anforderungen an die Ausgestaltung einer gemeinsamen Datennutzung stellen.
Mit dem DGA sollen somit insgesamt rechtssicher gemeinsame Datenräume vor allem in den Bereichen Gesundheit, Energie, Verkehr, Klimaschutz und Landwirtschaft geschaffen werden. Ziel ist es hierbei, dass die Verfahren zur Erlangung von Daten möglichst bürokratiearm ausgestaltet sind und zudem hohe Kosten für Unternehmen vermieden werden.
Allgemeines
Mit dem DGA soll in der Gesamtheit ein Mechanismus geschaffen werden, durch den eine sichere Weiterverwendung von Daten des öffentlichen Sektors, die den Rechten anderer Personen unterliegen, ermöglicht wird. Bei Daten handelt es sich um sogenannte nicht rivalisierende Güter, das heißt, sie können in der Regel von mehreren Nutzern zur gleichen Zeit und für zahlreiche Zwecke gleichzeitig verwendet werden. Die verstärkte Nutzbarmachung von Daten ist nach Vorstellung des EU-Parlaments sowie des Europäischen Rates ein wichtiges Instrument zur Stärkung der Innovationskraft europäischer Volkswirtschaften sowie zur Förderung von zentralen Gemeinwohlbelangen insbesondere in der Wissenschaft und Forschung. So können Mediziner oder Arzneimittelhersteller durch den Zugriff auf eine erhebliche Menge beispielsweise an Gesundheitsdaten leichter und schneller Statistiken erheben und systematisch Datenbestände aufbauen. Hierdurch wird sich versprochen, dass die Untersuchung und Diagnose von Krankheiten sowie die Entwicklung von an die konkreten Bedürfnisse eines Patienten angepassten Arzneimitteln verbessert wird. Im Gesundheitswesen können große Datenmengen zudem hilfreich sein, um eine besonders personalisierte Behandlung erkrankter Personen zu ermöglichen sowie um die Forschung von sehr seltenen oder chronischen Krankheiten voranzutreiben.
Auch in anderen Bereichen als in der Gesundheitsbranche kann die Möglichkeit der Nutzung und Auswertung großer Datenmengen innovationsfördernd wirken. Beispielsweise gilt mit Blick auf den Verkehrsbereich, dass Mobilitätsdaten der Optimierung des Nahverkehrs dienen können. Auch und insbesondere die Weiterentwicklung von Künstlicher Intelligenz benötigt im Rahmen des Trainings von Computersystemen umfangreiche Daten, beispielsweise zur Analyse und Berechnung von Abläufen.
Wesentliche Neuregelungen des DGAs
Aufbau des Rechtsakts
Der DGA zielt darauf ab, einen einheitlichen rechtlichen Rahmen für den Zugang zu und Umgang mit Daten über die Ländergrenzen hinweg zu schaffen. Ein wesentlicher Aspekt des DGAs ist hierbei, dass Einzelpersonen sowie Unternehmer nach der Verordnung ihre Daten einfacher sowie rechtssicher „spenden“ können sollen, indem sie ihre Daten beispielsweise der medizinischen Forschung über Vermittlungsdienstleister oder datenaltruistische Organisationen zur Verfügung stellen. Eine Pflicht zur Datenweitergabe wird durch den DGA hingegen nicht statuiert.
Datenvermittler
Ein zentraler Regelungsbereich des DGAs sind Vorschriften für die Anbieter von Datenvermittlungsdiensten, die sogenannten Datenvermittler. Hierbei handelt es sich um öffentliche oder private Dienstleister, die Daten bündeln und weitergeben. Dies soll der Erleichterung des Datenaustauschs dienen. Zur Wahrung der Vertraulichkeit begründet der DGA Anmelde-, Aufsichts- sowie Neutralitätspflichten. So dürfen die Datenvermittler die gebündelten Daten nicht selbst auswerten und für die Entwicklung eigener Produkte verwenden. Auch ist es ihnen untersagt, sonst Nutzen aus den Daten zu ziehen, zum Beispiel indem sie diese weiterverkaufen. Was jedoch gestattet ist, ist eine Gebührenerhebung für die von ihnen durchgeführte Transaktion der Daten. Somit stellen die Datenvermittlungsdienste im Sinne des DGAs ein neues, europäisches Geschäftsmodell dar.
Die Anbieter von Datenvermittlungsdiensten müssen sich als Datenvermittler zudem bei der hierfür zuständigen Behörde anmelden. Daraufhin werden sie in einem öffentlich einsehbaren Register eingetragen. Dies soll die Transparenz und das Vertrauen in die Datenvermittler erhöhen.
Datenaltruistische Organisationen
Mit dem DGA soll es für Unternehmen sowie Einzelpersonen zudem, wie oben bereits erwähnt, erleichtert werden, ihre Daten zum Wohl der Allgemeinheit, etwa für medizinische Forschungsprojekte, freiwillig bereitzustellen. Organisationen und Einrichtungen, die für Ziele von allgemeinem Interesse Daten sammeln wollen, können die Aufnahme in ein Register der anerkannten datenaltruistischen Organisationen beantragen. Ziel dieses Registers soll ebenfalls vor allem die Schaffung von Vertrauen in den Datenaltruismus sein, so dass Unternehmen sowie Einzelpersonen sich vermehrt für eine Spende von Daten entscheiden. Datenaltruistische Organisationen sowie Anbieter von Datenvermittlungsdiensten sollen zudem die Möglichkeit erhalten, auf freiwilliger Basis ein Logo zu verwenden, um erkennbar zu machen, dass sie die einschlägigen Vorschriften des DGAs einhalten.
Austausch von Daten mit Drittstaaten
Der DGA sieht auch die grundsätzliche Möglichkeit des Austauschs von Daten an Drittstaaten vor. Hierfür werden durch die Verordnung Schutzvorkehrungen getroffen, um die unrechtmäßige internationale Übertragung nicht personenbezogener Daten oder den unrechtmäßigen internationalen Zugang von Regierungsorganisationen dazu zu vermeiden. Insbesondere können hierzu nach den Regelungen des DGAs Angemessenheitsbeschlüsse erlassen werden, mit denen erklärt wird, dass bestimmte Drittländer angemessene Sicherheitsvorkehrungen für die Nutzung von aus der EU heraus übertragenen, nicht personenbezogenen Daten bieten. Ähnliche Angemessenheitsbeschlüsse sind als Sicherheitsvorkehrungen beispielsweise aus der DSGVO bekannt.
Fairer Wettbewerb
Um einen fairen Wettbewerb zwischen den datennutzenden Unternehmen zu erreichen, sieht die Verordnung zeitliche Höchstdauern für den Abschluss von Ausschließlichkeitsvereinbarungen betreffend die Weiterverwendung von Daten, die im Besitz des öffentlichen Sektors sind, vor. Die Höchstdauer für bei Inkrafttreten des DGAs bereits bestehende Verträge beträgt 30 Monate, die Höchstdauer für neue Verträge beläuft sich auf 12 Monate.
Europäischer Dateninnovationsrat
Der DGA sieht außerdem die Einführung eines Europäischen Dateninnovationsrates als eine neue Einrichtung auf europäischer Ebene vor. Der Dateninnovationsrat wird unter anderem die EU-Kommission als Expertenrat in Belangen wie den Cybersicherheitsanforderungen für den Datenaustausch und die Datenspeicherung beraten. Zudem soll auch eine Unterstützung der Kommission bei der Entwicklung von Leitlinien für die Datenverwendung, den Datenaltruismus, die Datenvermittlungsdienste etc. zu den Aufgabenbereichen des Dateninnovationsrates gehören.
Aufsichtsmaßnahmen und Sanktionen
Zur Absicherung der in der Verordnung kodifizierten Bestimmungen verlangt das DGA die Umsetzung und Durchführung von Aufsichtsmaßnahmen durch von den Mitgliedsstaaten jeweils zu ernennende Behörden. Zudem sollen die Mitgliedsstaaten gesetzliche, nationale Vorschriften über anzuwendende Sanktionen bei Verstößen gegen die Verordnung festlegen.
Auswirkungen des DGAs auf die Praxis
Der Daten-Governance-Rechtsakt enthält umfangreiche Regelungen zur Schaffung eines gesetzlichen Rahmens für das Teilen und die Weitergabe von Daten in der Europäischen Union sowie darüber hinaus. Aufgrund der umfassenden Neuregelungen wird sich aus dem DGA ein erheblicher Beratungsbedarf ergeben. Vor allem bei den Themen Datenvermittlung sowie Datenaltruismus sind verschiedene rechtliche Fragestellungen zu erwarten.
Kommen Sie gerne auf uns zu, wenn Sie rund um das Thema Daten-Governance-Rechtsakt Fragen haben. Gerne beraten wir Sie mit Blick auf die Regelungen der neuen Verordnung, wie beispielsweise zu den gesetzlichen Anforderungen, um als Anbieter eines Datenvermittlungsdienstes tätig werden zu können.