„Daten sind der Rohstoff des 21. Jahrhunderts“ (Angela Merkel). Ihnen kommt bei der Entwicklung von neuen Geschäftsmodellen und Innovationen eine Schlüsselrolle zu. Sei es im Bereich der personalisierten Medizin, der digitalen Verwaltung oder im Zusammenhang mit der Mobilitätswende als Teil des „Green Deal“. Als wichtige Säule der europäischen Datenstrategie trat der Data Governance Act („DGA“) am 23.06.2022 in Kraft und gilt nach einer Nachfrist von 15 Monaten seit dem 24.09.2023 europaweit unmittelbar.
Ziel des Data Governance Acts ist die Schaffung eines europäischen Rechtsrahmens für die gemeinsame Nutzung von Daten. Konkret sollen Mechanismen etabliert werden, mit deren Hilfe die Weiterverwendung bestimmter Kategorien geschützter Daten des öffentlichen Sektors vereinfacht, das Vertrauen in Datenvermittlungsdienste erhöht und der Datenaltruismus in der gesamten EU gefördert wird.
Wesentliche Regelungen
Im Wesentlichen umfasst der Data Governance Act vier Regelungsbereiche.
1. Breitere Weiterverwendung geschützter Daten des öffentlichen Sektors
Zunächst werden die Voraussetzungen für die Weiterverwendung bestimmter Kategorien geschützter Daten im Besitz öffentlicher Stellen geregelt. Hintergrund der Regelungen ist die Überlegung, dass mit öffentlichen Geldern generierte Daten der Gesellschaft zugutekommen sollen (vgl. Erwägungsgrund Nr. 6 DGA). Der DGA geht allerdings nicht so weit, dass Ansprüche auf die Weiterverwendung geschaffen werden. Vielmehr werden nur grundlegende Anforderungen an das „Wie“ der Ausgestaltung normiert. Die Entscheidung über das „Ob“ liegt weiterhin bei den Mitgliedstaaten bzw. deren innerstaatlichen Stellen.
Konkret setzt eine Weiterverwendung von Daten im öffentlichen Besitz voraus, dass diese nichtdiskriminierend, transparent, verhältnismäßig und objektiv gerechtfertigt ist. Außerdem müssen öffentliche Stellen geeignete Maßnahmen ergreifen, um den Schutz der Daten aufrechtzuerhalten. Das kann beispielsweise im Wege einer Anonymisierung sichergestellt werden, dergestalt, dass die Daten so abgeändert oder in aggregierter Form zusammengefasst werden, dass sie keine Rückschlüsse auf die ursprünglichen Informationen mehr zulassen.
Interessant ist auch die öffentlichen Stellen auferlegte Verpflichtung, sich „nach besten Kräften“ um die Einholung von entsprechenden Einwilligungen betroffener Personen zu bemühen, wenn eine Weiterverwendung der Daten prinzipiell nicht gestattet werden kann und keine Rechtsgrundlage für eine Datenverarbeitung gemäß Datenschutzgrundverordnung („DSGVO“) vorliegt. Apropos DSGVO: Analog zu dem unter der DSGVO geltenden Prinzip, wonach (personenbezogene) Daten nur dann ins außereuropäische Ausland übermittelt werden dürfen, wenn dort ein gleichwertiges Schutzniveau gewährleistet wird, ist ein Datentransfer von Daten öffentlicher Stellen in Drittländer nur dann zulässig, wenn die Kommission die Vorschriften zum Schutz des geistigen Eigentums sowie von Geschäftsgeheimnissen als gleichwertig erachtet.
2. Datenvermittlungsdienste
Ein weiterer zentraler Regelungsbereich des DGA betrifft die Datenvermittlungsdienste. Dabei handelt es sich um Dienste, mit denen „durch technische, rechtliche oder sonstige Mittel Geschäftsbeziehungen zwischen einer unbestimmten Anzahl von betroffenen Personen oder Dateninhabern einerseits und Datennutzern andererseits hergestellt werden sollen, um die gemeinsame Datennutzung (...) zu ermöglichen.“
Datenvermittlungsdienste nehmen eine Schlüsselrolle in der Datenökonomie ein. Denn ihnen kommt die Aufgabe zu, Datensätze zu bündeln und den Austausch von Daten zwischen den verschiedenen Wirtschaftsakteuren zu erleichtern. Insbesondere für KMU dürften die Vorschriften über Datenvermittlungsdienste relevant sein. Denn sie sollen als neutrale Stellen einen schnellen und diskriminierungsfreien Zugang zu Daten ermöglichen und damit die Wettbewerbsfähigkeit kleinerer Unternehmen im Verhältnis zu den großen Tech-Giganten aus dem Silicon Valley stärken.
Wer Datenvermittlungsdienste erbringen will, muss ein formelles Anmeldeverfahren durchlaufen und verschiedene materielle Anforderungen erfüllen. Dazu gehört insbesondere die Wahrung der Zweckbestimmung der Daten, Verfahrens- und Preisausgestaltung, Format und Umwandlung der Daten, Maßnahmen zur Betrugsprävention und Insolvenzabsicherung, technische, rechtliche und organisatorische Maßnahmen zur Verhinderung rechtswidriger Datenübertragungen usw. Die EU führt ein Register aller anerkannten Anbieter von Datenvermittlungsdiensten.
3. Datenaltruismus
Dritter Eckpfeiler des DGA bildet der sog. Datenaltruismus. Dahinter verbirgt sich die Idee, dass betroffene Personen ihre Daten für im Allgemeininteresse liegende Zwecke (z.B. Gesundheitsversorgung, Forschung, Innovation und Umweltschutz usw.) bereitstellen können sollen. Juristische Personen, die bestrebt sind, die vorgenannten Zwecke zu fördern, können ein Anerkennungsverfahren durchlaufen und sich als „in der Union anerkannte datenaltruistische Organisationen“ in ein öffentliches nationales Register eintragen lassen. Voraussetzung ist, dass die juristische Person keine Erwerbzwecke verfolgt und rechtlich unabhängig ist.
4. Dateninnovationsrat
Schließlich sieht der DGA die Einrichtung einer Expertengruppe aus Vertretern der mitgliedstaatlichen Behörden und des europäischen Datenschutzausschusses vor (sog. „Europäischer Dateninnovationsrat“). Dieser soll die Kommission bei der Umsetzung und Entwicklung einer einheitlichen Praxis mit Blick auf die beschriebenen Themen des DGA unterstützen.
Fazit und Ausblick
Der DGA gibt den regulatorischen Rahmen vor, innerhalb dessen eine Weiterverwendung von Daten in Betracht kommt. Er schafft jedoch nur wenig Anreize, sich als Datenvermittlungsdienst oder in Form der datenaltruistischen Organisation zu engagieren. Offenbar vertraut der europäische Gesetzgeber auf den Innovationsgeist europäischer Gründer und Unternehmer, eigenständig Lösungen zu entwickeln. Ob es so gelingt, ein Gegengewicht insbesondere zur Datenmacht großer Tech-Konzerne zu schaffen, bleibt abzuwarten.