Weiterverwendungen, gemeinsame Nutzungen und Datenaltruismus – Mit diesen Stichworten möchte die EU-Kommission nach dem aktuellen Entwurf des Data Governance Act (DGA) als Teil ihrer europäischen Digitalstrategie europaweit die Nutzung von Daten antreiben und deren Verfügbarkeit fördern.
Während mit dem Digital Markets Act (DMA) vor allem wettbewerbs- und kartellrechtliche Ebenheiten geschaffen und große Datenmonopole aufgebrochen werden sollen, möchte die EU mit dem aktuellen Stand des Data Governance Act einen Binnenmarkt für Daten schaffen und bisherige Hürden der Datennutzung überwinden. Damit reiht sich der Data Governance Act nahtlos in die Digitalstrategie der EU ein.
Gegenstand und zentraler Regulierungsinhalt des Data Governance Act
Der Data Governance Act findet auf drei Bereiche Anwendung:
- Die Weiterverwendung von Daten öffentlicher Stellen innerhalb der EU für kommerzielle und nicht-kommerzielle Zwecke,
- die gemeinsame Datennutzung verschiedener Unternehmen durch Vermittlungsdienste und Datengenossenschaften und,
- die Förderung von Datenaltruismus durch eingetragene datenaltruistische Organisationen.
1. Nutzung von Daten öffentlicher Stellen
Der erste Regelungsgegenstand des DGA soll Bedingungen für die Weiterverwendung von Daten schaffen, die sich in der Inhaberschaft öffentlicher Stellen befinden und rechtlich geschützt sind, z.B. als geistiges Eigentum.
Unter öffentliche Stellen fasst der DGA alle staatlichen Einrichtungen, Verbände und Einrichtungen des öffentlichen Rechts, die ihre Tätigkeit im allgemeinen Interesse und unkommerziell ausüben, mit Ausnahme von Rundfunkanstalten sowie Kultur- und Bildungseinrichtungen.
Wann liegt eine Weiterverwendung vor und welche Bedingungen bestehen?
Eine Weiterverwendung liegt vor, wenn die Daten zu einem anderen Zweck als dem ursprünglichen Erhebungszweck genutzt werden sollen.
Neben den bereits bestehenden Regelungen der DSGVO stellt Artikel 5 DGA jedoch zusätzliche Anforderungen an die öffentlichen Stellen, um die Weiterverarbeitung rechtmäßig zu gestalten. Besonders grundlegend sind folgende Regelungen:
- die Pflicht, Zugangsbedingungen zu veröffentlichen (Art. 5 Abs. 1) und diese transparent, einsichtig, verhältnismäßig und fair zu halten (Art. 5 Abs. 2),
- die Möglichkeit, Ergebnisse der Weiterverwendung zu prüfen (Art. 5 Abs. 5), oder
- eine allgemeine Unterstützungspflicht bei der Einholung von Einwilligungserklärungen im Sinne der DSGVO (Art. 5 Abs. 6).
Weiterverwendungen in Drittstaaten
Auch die Weiterverwendungen in Drittstaaten wird vom Entwurf thematisiert, wobei klare Parallelen zu den Regelungen zu Verarbeitungen in Drittstaaten nach der DSGVO erkennbar sind: Jede Weiterverwendung muss von der durchführenden Partei der öffentlichen Stelle mitgeteilt werden, damit Dateninhaber über die Übermittlung in einen Drittstaat informiert werden können.
2. Gemeinsame Datennutzung
Von größter Bedeutung für die geplante Datenwirtschaft dürfte vor allem das dritte Kapitel des Entwurfs sein: die gemeinsame Datennutzung.
Hierbei beabsichtigt die Kommission, durch eine gemeinschaftliche oder individuelle Nutzung bereits vorhandener Datensätze den Austausch von und Zugang zu Daten innerhalb der EU zu erleichtern. Unternehmen und Nutzer sollen die Möglichkeit erhalten, durch einen geregelten Datenaustausch Zugriff auf für sie relevante Daten zu erhalten und diese z.B. kommerziell zu nutzen.
Unterschiedliche Akteure
Der Entwurf teilt solche Unternehmen in zwei verschiedene Arten: Den Vermittlungsdiensten (sogenannte Datenmittler) und Datengenossenschaften. Beide verfolgen einen Erwerbszweck und müssen im Mitgliedstaat der Hauptniederlassung bei einer zuständigen Behörde angemeldet werden. Sie richten sich aber an unterschiedliche Nutzerkreise.
Datenmittler
Datenmittler stellen gegen Entgelt rechtliche, geschäftliche und technische Beziehungen zwischen Dateninhabern und potenziellen Datennutzern her. Sie unterstützen Interessierte damit bei der Suche nach einem geeigneten Dateninhaber, bei der Aufklärung der damit verbundenen Pflichten und Bedingungen und schließlich bei der Übertragung der Daten.
Lizenzierungen, Datenaufbereitung oder reine Datenübermittlung fallen nicht unter die Tätigkeit der Datenmittler, da keine direkte Beziehung mit dem Dateninhaber geschaffen wird. Entsprechend stellen z.B. Cloud-Dienste keine Datenmittler dar.
Datenmittler können ihre Beratungsdienste auch privaten Einzelpersonen anbieten und werden dann als eine besondere Kategorie von Datenmittlern angesehen.
Datengenossenschaften
Datengenossenschaften bieten ihre Dienstleistungen nicht einem offenen Nutzerkreis an, sondern richten sich ausschließlich an Einzelpersonen, Selbstständige sowie kleine und mittlere Unternehmen (KMU).
Ziel der Genossenschaften ist es, die Positionen der Dateninhaber zu stärken, indem sie ihre Mitglieder und Interessierte über die Abgabe von Einwilligungserklärungen informieren, Geschäftsbedingungen zur Übermittlung mit Datenorganisationen aushandeln oder Konflikte lösen.
Bedingungen und Pflichten
Wie auch zur Weiterverwendung der Daten öffentlicher Stellen, stellt der Entwurf auch an die gemeinsame Datennutzung Anforderungen, die neben denen der DSGVO eingehalten werden müssen, u.a.:
- Zwingende Datenneutralität und Erweiterung des Zweckbindungsgrundsatzes (bereitgestellte Daten dürfen nicht für Eigenzwecke genutzt werden)
- Metadaten dürfen nur für die Entwicklung der Bereitstellungsdienste genutzt werden
- Faire und transparente Datenzugänge
- Garantie eines kontinuierlichen Echtzeitzugangs für Mitglieder und Akteure
3. Datenaltruismus – Preisgabe für das Allgemeinwohl
Datenaltruismus stellt die uneigennützige, freiwillige Bereitstellung von Daten dar. Dabei geben sowohl Privatpersonen als auch juristische Personen wie Unternehmen ihre Daten zur unentgeltlichen Nutzung an Organisationen frei, die diese für wissenschaftliche Forschungen oder der Verbesserung öffentlicher Dienstleistungen nutzen können. Es handelt sich also um eine Art „Datenspende“, die dem Allgemeininteresse zugutekommen soll. Die Kommission erhofft sich hiervon die Schaffung eines unionsweiten, freien Datenarchivs.
Anmeldungserfordernis
Wie auch Vermittlungsdienste müssen sich datenaltruistische Organisationen als solche unionsweit registrieren, indem sie sich bei der Behörde in dem Mitgliedstaat der Hauptniederlassung anmelden. Dazu muss das Unternehmen
- eine eigene Rechtspersönlichkeit vorweisen und im Allgemeininteresse handeln, z.B. als eingetragener Verein,
- nicht erwerbstätig handeln und die Einnahmequellen der Kommission vorweisen können und
- die altruistische Tätigkeit über eine rechtlich unabhängige Struktur ausüben, ohne, dass etwa eine Muttergesellschaft die Tätigkeiten lenkt.
Transparenzgebot und Aufzeichnungspflichten
Wie auch Datenmittler oder Genossenschaften müssen solche Organisationen die ihnen übertragenen Daten ausreichend schützen. Hieraus ergibt sich unter anderem:
- eine Aufzeichnungspflicht über die genauen Tätigkeiten,
- eine Verzeichnungspflicht über die Erhebung von Verwaltungskosten für die Bereitstellung von Daten,
- die Ausarbeitung eines Jährlichen Tätigkeitsberichts oder
- eine Aufklärungspflicht gegenüber allen Dateninhabern über den Zweck des Allgemeininteresses sowie möglichen Verarbeitungen in ein Drittland.
Die Pflichten gelten auch für nicht-personenbezogene Daten und gehen somit über den Anwendungsbereich der DSGVO hinaus.
Einführung eines europäischen Einwilligungsformulars
Für den Betrieb von Datenaltruismus-Diensten ist zwingend eine DSGVO-konforme Einwilligung einzuholen.
Hierfür plant die Kommission die Einführung eines modularen und anpassbaren Einwilligungsformulars für Datenaltruismus. Das Formular soll die Möglichkeit bieten, die Einwilligung nur für einen konkreten Zweck oder eine Reihe von Zwecken bzw. einem ganzen Forschungsbereich zu erteilen.
Zusammenfassung und Erstbewertung
Der jetzige Entwurf des Data Governance Act sieht mit den drei verschiedenen Regelungsgegenständen eine weitreichende und neue Nutzung von Daten vor. Eine gezielte Förderung der Weiterverbreitung und Nutzung von Daten könnte nicht nur Forschungen vorantreiben, sondern auch kleinere und mittelständische Unternehmen bei der Produktinnovation unterstützen und den Marktzugang erleichtern.
Gleichzeitig enthält der Entwurf auch noch vage und abstrakte Konzepte, wobei sich konkret die Frage stellt, welche Relevanz das Ganze in der Praxis tatsächlich haben wird.
So wird etwa nicht deutlich, mit welchen Anreizen das Prinzip des Datenaltruismus vorangetrieben werden soll. Der Gesetzgeber sieht im aktuellen Entwurf keine Privilegien für Dateninhaber oder altruistische Organisationen vor.
Ähnliches gilt auch für die gemeinsame Datennutzung. Dieser Begriff wird vom aktuellen Entwurf wenig ausgeführt. Auch hier bleibt offen, wie groß das tatsächliche Nutzungspotential ist.
In Frage gestellt werden kann auch, ob der Entwurf nicht mehr Sicherheitsmaßnahmen hätte aufweisen müssen. Schließlich sollen neue Akteure zu unterschiedlichen Zwecken aus unterschiedlichen Beweggründen einen erleichterten Zugriff auf (personenbezogene) Daten erhalten.
Ausblick
Da es sich um einen ersten Entwurf handelt, sind kleinere Änderungen und Anpassungen zu erwarten. Insgesamt ist der Entwurf jedoch bereits ausgereift und durchdacht. Demnach kann damit gerechnet werden, dass der Entwurf im Wesentlichen Anwendung finden wird. Für Unternehmen es ratsam, sich mit dem Entwurf auseinanderzusetzen.
Diese Artikel könnten Sie auch interessieren:
Digital Markets Act – Die neuen Regeln der Datenwirtschaft – Aktueller Stand
ePrivacy-Verordnung: aktueller Stand und Ausblick (Update – Juni 2021)
Sie haben Fragen zum Data Governance Act oder Allgemein? Kontaktieren Sie uns über das Kontaktformular.