Der Data Governance Act
Anforderungen und Möglichkeiten für einen fairen Datenaustausch – eine Einschätzung zum derzeitigen Stand.
Am 17. Oktober 2024 hat der Bundestag erstmals den Gesetzentwurf der Bundesregierung „zur Durchführung der EU-Verordnung über europäische Daten-Governance“ beraten, um dann den Gesetzentwurf zur weiteren Beratung in die Ausschüsse, federführend in den Ausschuss für Digitales, zu überweisen. Das ist insofern misslich, als der Data Governance Act (DGA) bereits am 30. Mai 2022 verabschiedet wurde, am 23. Juni 2022 in Kraft trat und seit dem 24. September 2023 unmittelbar gilt und das deutsche Durchführungsgesetz dazu seit über einem Jahr überfällig ist. Infolgedessen leitete die EU-Kommission am 23. Mai 2024 ein Vertragsverletzungsverfahren gegen Deutschland und 17 weitere Mitgliedsstaaten ein und gab diesen zwei Monate Zeit, die Anforderungen umzusetzen.
Eingebunden in die EU-Datenstrategie
Der Data Governance Act (DGA) (EU 2022/868) ist Teil der EU-Datenstrategie 2020, die zum Ziel hat, einen Binnenmarkt für Daten in der EU zu schaffen und den Austausch von Daten gesetzeskonform zu ermöglichen und zu erleichtern. Denn der Datenaustausch gestaltet sich aus Sicht der EU-Kommission derzeit als einseitiger Wettbewerb, der von „Datenkontrolleuren“ bestimmt wird (EG 1 + 2 DGA).
Die zugrundeliegende Vision sieht einen zukünftigen Datenzugang für alle vor, einen Abbau der „digitalen Zugangskluft“, mehr Teilhabe für Frauen und KMUs, die Förderung des IT-Wissens durch Institutionen und eine Optimierung der Technikgestaltung sowohl in Bezug auf den Datenaustausch (Cybersicherheit) als auch auf die Qualität der Datensätze selbst („FAIR-Datengrundsätze”).
Mit dem Data Governance Act soll auf europäischer Ebene der Datenaustausch gemeinwohlorientiert und sektorenübergreifend gefördert werden. Geschützte Datensätze, die von öffentlichen Stellen im Rahmen ihrer Tätigkeit erhoben werden, sollen rechtssicher und ortsunabhängig verfügbar gemacht werden können. Der DGA mit seinen 38 Artikeln und 63 Erwägungsgründen fungiert dabei sowohl als Rechts- als auch als Strukturinstrument. Daten sollen vertrauenswürdig und sicher geteilt, die Weiterverwendung für eigene Zwecke ermöglicht und unter Rahmenvorgaben der Datenraum auf Drittländer erweitert werden. Institutionen sollen als Sicherheits- und Rechtseinhaltungsgaranten fungieren.
Dieses Konstrukt ist sowohl rechtlich als auch institutionell anspruchsvoll. Hierfür werden eine „zentrale Informationsstelle“ (Art. 7 und 8 DGA) und eine „zuständige Behörde“ (Art. 13; Art. 23; Art. 26 DGA) in den jeweiligen Mitgliedsstaaten eingerichtet. Im Umsetzungsentwurf zum DGA werden die Bundesnetzagentur (BNetzA) und das Statistische Bundesamt als zuständige Behörden benannt.
Datenmarktplätze werden von Datenvermittlungsdiensten reguliert. Daten und Datensätze werden von datenaltruistischen Organisationen freiwillig zur Verfügung gestellt (Art. 17 DGA). Behörden überwachen die Bedingungen und den Ablauf, beraten und sanktionieren (Art. 23 und 34 DGA). Die von datenaltruistischen Organisationen zur Verfügung gestellten Daten sollen vertrauenswürdig und sicher geteilt und vor allem weiterverwendet werden können. Besonders in ausgesuchten Forschungsgebieten soll die einwilligungsbasierte, gemeinsame Nutzung von Daten die Gewinnung neuer Erkenntnisse und die Entwicklung neuer Verfahren vorantreiben.
Ergänzt werden die Vorgaben des DGA durch ein spezifisches „Regelwerk“ (Art. 22 DGA), das die EU-Kommission als Ergänzung in Zusammenarbeit mit Interessenträgern als delegierte Rechtsakte noch erlassen wird. Die EU Kommission hat sich verpflichtet, ein „europäisches Einwilligungsformular für Datenaltruismus“ sowohl für nicht personenbezogene als auch für personenbezogene Daten auszuarbeiten (Art. 25 DGA). Dieses steht noch aus und wird durchaus mit Spannung erwartet, denn die damit einhergehende Vereinbarkeit der einschlägigen Rechtsvorschriften von DS-GVO und DGA sind besonders im Bereich der Weiterverwendung von personenbezogenen Daten bei Zweckänderung derzeit noch ungelöst.
Denn der DGA schafft keine (neue) Rechtsgrundlage für den Austausch personenbezogener Daten. Sämtliche EU-Rechtsakte sind neben dem DGA anwendbar oder gehen ihm vor, wie beispielsweise die DS-GVO.
Adressaten
Der Data Governance Act richtet sich primär an 3 Adressaten:
- Öffentliche Stellen
- Datenvermittlungsdienste
- Datenaltruistische Organisationen
1. Öffentliche Stellen
Der DGA regelt materielle und formelle Handlungspflichten und einen behördlichen Aufsichtsrahmen sowie Bedingungen für die Weiterverwendung von Daten, die sich im Besitz öffentlicher Stellen befinden. Er begründet keine Pflicht zur Weiterverwendung von Daten. Die Vorschriften des 2. Kapitels des DGA finden nur Anwendung, wenn sich eine öffentliche Stelle entscheidet, die in ihrem Besitz befindlichen Daten zum Zwecke der Weiterverwendung bereitzustellen, gegebenenfalls wird sie durch den nationalen Gesetzgeber hierzu verpflichtet. Außerhalb des Anwendungsbereichs befinden sich die Daten öffentlicher Unternehmen, öffentlichrechtlicher Rundfunkanstalten, Kultur- und Bildungseinrichtungen sowie Daten, die aus Gründen der öffentlichen Sicherheit geschützt sind oder Daten außerhalb der öffentlichen Aufgabenzuweisung (Art. 3 Abs. 2 DGA). Die Datensätze müssen über die nationale zentrale Informationsstelle zum Register für geschützte Daten im Besitz des öffentlichen Sektors der EU gemeldet werden.
Für die Bereitstellung können Gebühren erhoben werden, die vom nationalen Gesetzgeber „transparent, nichtdiskriminierend, verhältnismäßig und objektiv gerechtfertigt sowie den Wettbewerb nicht einschränkend“ festgelegt werden müssen (Art. 6 DGA). Der Referentenentwurf des BMWK liegt seit Mai 2024 vor. Derzeit befasst sich der Ausschuss für Digitales federführend mit dem entsprechenden Gesetzentwurf.
2. Datenvermittlungsdienste
Will ein Unternehmen als Datenvermittlungsdienst qualifiziert werden oder eine Datenvermittlungstätigkeit aufnehmen, werden ihm durch den DGA einige Pflichten auferlegt (Art. 10 bis 12 DGA). Bestehende Datenvermittlungsdienste haben eine Schonfrist bis zum 24. September 2025, um die Vorschriften des DGA umzusetzen. Es besteht eine Anmeldungs- und Genehmigungspflicht bei der jeweiligen national zuständigen Stelle und, nach Anerkennung durch den jeweiligen Mitgliedsstaat, eine Meldepflicht zum EU-Register. 9 Sie unterliegen einer Beaufsichtigung durch die zuständige Behörde und müssen bei Verstößen gegen Informationspflichten, IT-Sicherheit oder Kommunikationsvorgaben mit Sanktionen rechnen (Verhängung von Geldstrafen inklusive Zwangsgeldern, die Einleitung von Gerichtsverfahren zur Verhängung von Bußgeldern bis hin zur Einstellung des Dienstes). Durch die Gewährleistung eines neutralen, fairen und sicheren Datenzugangs, die Bündelung und den Austausch personenbezogener und nicht personenbezogener Daten sowie umfassende Aufklärungs-, Beratungs- und Meldepflichten sollen Daten vertrauenswürdig und sicher geteilt sowie für eigene Zwecke weiterverwendet werden können.
Der Entwurf für die besondere Gebührenverordnung zur Erbringung von Datenvermittlungsdiensten liegt bereits vor.
Ob diese institutionellen Maßnahmen wirken, wird sich zeigen. Bisher haben lediglich vier EU-Mitgliedsstaaten Datenvermittlungsdienste zum EU-Register angemeldet.
3. Datenaltruistische Organisationen
Die Pflichten datenaltruistischer Organisationen sind nicht weniger umfangreich als die von Datenvermittlungsdiensten. Nur Organisationen, die alle Anforderungen nach Art. 18 DGA erfüllen, können einen Antrag auf Anerkennung als altruistische Datenorganisation stellen und werden nach Anerkennung der zuständigen nationalen Stelle in das nationale und das EU-Register eingetragen. Sie müssen gemeinnützig sein, umfangreiche Aufzeichnungs- und Transparenzpflichten erfüllen und Rechtschutzgarantien für beide Seiten erbringen. Darüber hinaus müssen sie das Regelwerk einhalten, in dem Informationsanforderungen, technische Anforderungen und Sicherheitsanforderungen, Kommunikationsfahrpläne und Empfehlungen zu Interoperabilitätsnormen festgelegt sind. Das Regelwerk wird von der Kommission in enger Zusammenarbeit mit datenaltruistischen Organisationen und anderen einschlägigen Interessenträgern ausgearbeitet und ist bisher noch nicht verfügbar. Lediglich Spanien hat bisher eine Organisation angemeldet.
Von der altruistischen Bereitstellung von Datensätzen, die bisher nicht zugänglich waren, können öffentliche und auch nichtöffentliche Marktteilnehmende profitieren. Viele Anforderungen und Möglichkeiten ergeben sich für nichtöffentliche Marktteilnehmende, davon tangiert wird auch der Aufgabenbereich des Datenschutzbeauftragten nach der DS-GVO.
Unterstützung durch Datenschutzbeauftragte
Datenschutzbeauftragte werden innerhalb des DGA keine direkten Aufgaben zugewiesen. War es das dann? Nein! Der DGA bietet viele Themenfelder, in denen die Expertise des/ der Datenschutzbeauftragten eingebracht werden kann. Bereits in Art. 1 Abs. 3 Satz 4 DGA wird klargestellt: „Die vorliegende Verordnung schafft keine Rechtsgrundlage für die Verarbeitung personenbezogener Daten, noch berührt es die in den Verordnungen (EU) 2016/679 oder (EU) 2018/1725 oder den Richtlinien 2002/58/EG oder (EU) 2016/680 festgelegten Rechte und Pflichten.“ Für die Verarbeitung personenbezogener Daten müssen daher die beteiligten Einrichtungen und Stellen auf die genannten Verordnungen und die Umsetzungen der Richtlinien zurückgreifen. Art. 6 Abs. 1 lit. c DS-GVO in Verbindung mit einer Vorgabe aus dem DGA scheidet daher aus. Art.6 Abs. 1 lit. f DS-GVO scheidet auch aus, sofern es sich dabei um die Aufgabe einer Behörde handelt. Als Rechtsgrundlage kommt daher vorwiegend die Einwilligung der betroffenen Personen in Betracht, sofern ein Personenbezug der betroffenen Daten festgestellt wird. Bereits hier kann eine datenschutzrechtliche Beratung helfen, die Vorgaben des EuGH zur Bestimmung eines Personenbezugs zu berücksichtigen. So können anhand der bisherigen Rechtsprechung des EuGH zu “Breyer“ C-582/14 vom 19.10.2016, „Scania“ EuGH C-319/22 vom 09.11.2023, „IAB Europe“, EuGH 604/22 vom 07.03.2024 sowie „SRB“ EuG 557/20, jetzt in der nächsten Instanz beim EuGH C-413/23, Datenschutzbeauftragte die Leitplanken des EuGH aufzeigen.
Anonymisierung als Verarbeitung?
Allein die Frage, ob der Vorgang einer Anonymisierung eine Verarbeitung nach Art. 4 Nr. 2 DS-GVO darstellt, wird noch diskutiert. Seitens von Wirtschaftsverbänden wie der Bitkom wird dies nicht als Verarbeitungsvorgang interpretiert, der einer Rechtmäßigkeitsgrundlage nach der DS-GVO bedarf.
In Art. 2 Nr. 7 der Richtlinie (EU) 2019/1094 des Europäischen Parlaments und des Rates vom 20. Juni 2019 über offene Daten und die Weiterverwendung von Informationen des öffentlichen Sektors wird der Vorgang der Anonymisierung definiert:
„Im Sinne dieser Richtlinie bezeichnet der Ausdruck „Anonymisierung“ den Prozess, in dessen Verlauf Dokumente in anonyme Dokumente umgewandelt werden, die sich nicht auf eine identifizierte oder identifizierbare natürliche Person beziehen, oder personenbezogene Daten so anonym gemacht werden, dass die betroffene Person nicht oder nicht mehr identifiziert werden kann“. Durch diese „Aktivitäten“ liegt es nahe, dass damit auch eine Tätigkeit umfasst wird, welche die nicht abschließende Beispielliste in der Definition des Begriffs der „Verarbeitung“ in Art. 4 Nr. 2 DS-GVO aufführt.
Einwilligung für Datenweitergabe
Wird ein Personenbezug bejaht, kann bei Personen, die altruistisch ihre Daten bereitstellen wollen, eine entsprechende Einwilligung eingeholt werden. Die Einwilligung muss dann die Anforderungen der DS-GVO, also insbesondere Art. 7 DS-GVO und die Darstellungen aus Erwägungsgrund 42 und 43 erfüllen.
So muss nicht nur auf die Widerrufsmöglichkeit (Art. 7 Abs. 3 DS-GVO) hingewiesen werden, sondern es müssen die Anforderungen an die Freiwilligkeit beachtet werden (Art. 7 Abs. 4 DS-GVO).
Erwägungsgrund 43 der DS-GVO führt dazu aus, dass bei einem klaren Ungleichgewicht der beteiligten Parteien eine gültige Einwilligung in Zweifel gezogen werden könne, insbesondere wenn es sich bei dem Verantwortlichen um eine Behörde handelt. Deshalb könne es in Anbetracht aller Umstände in dem speziellen Fall unwahrscheinlich sein, dass die Einwilligung freiwillig gegeben wurde.
Auch die grundsätzlichen Anforderungen aus Erwägungsgrund 42 der DS-GVO an die inhaltliche Gestaltung der Einwilligung wie „Kenntnis der Sachlage“ und die Darlegung, wer der Verantwortliche ist und für welche Zwecke die personenbezogenen Daten verarbeitet werden sollen, können bei der Bereitstellung von Daten eine Herausforderung darstellen. Helfen kann hier das europäische Einwilligungsformular für Datenaltruismus, das die EU-Kommission nach Art. 25 DGA schaffen kann.
Das Formular soll das Einholen von Einwilligungen und Erlaubnissen in allen Mitgliedstaaten in einem einheitlichen Format ermöglichen. Damit sollen Einzelpersonen und Unternehmen Rechtssicherheit für eine Einwilligung oder Erlaubnis zur Bereitstellung von Daten erhalten, die sie für Ziele von allgemeinem Interesse erzeugen, beispielsweise für die wissenschaftliche Forschung. Dadurch soll sichergestellt werden, dass Dateneigner_innen ihre Einwilligung oder Erlaubnis einfach erteilen und widerrufen können (auch mithilfe eines digitalen Instruments) und dass die Nutzenden der Daten Rechtssicherheit bei der Verwendung der Daten haben. Tatsächlich hat die EU-Kommission bereits eine Initiative gestartet, um dazu Hinweise einzuholen. 14 Da dieses Formular eben nicht nur bei nicht-personenbezogenen Daten, sondern auch bei personenbezogenen Daten eingesetzt werden soll, können Datenschutzbeauftragte hier auch unmittelbar Nutzen ziehen.
Im Rahmen einer weiteren Initiative der EU-Kommission wird ein Regelwerk mit zusätzlichen Informationen über die Verpflichtungen erstellt, die im Daten-Governance- Rechtsakt für Organisationen festgelegt sind, die als „in der Union anerkannte datenaltruistische Organisationen“ registriert sind. Diese Organisationen haben zum Ziel, die gemeinsame Nutzung von Daten im allgemeinen Interesse zu unterstützen. Dies umfasst unter anderem informationsbezogene, technische und die Sicherheit betreffende Anforderungen sowie Kommunikationsfahrpläne und Empfehlungen für Interoperabilitätsnormen.
Sind diese rechtlichen Fragen der Verwendung personenbezogener Daten geklärt, gibt es weitere Fragestellungen, bei denen Datenschutzbeauftragte unterstützen können. Nach einer Ansicht in der Kommentarliteratur und in der Orientierungshilfe des LfD Bayern wird beim Vorgang der Übermittlung eine gemeinsame Verantwortlichkeit begründet. Einerseits wird dazu argumentiert, dass Weiterverwender gegenüber der öffentlichen Stelle auf eine ausgewählte Art des Datenzugangs hinwirken können. Mit Blick auf die Zweckbestimmung genüge für die gemeinsame Verantwortlichkeit mit Verweis auf die Rechtsprechung des EuGH (C-40/17), dass die Beteiligten gemeinsame Interessen durch die Datenverarbeitung verfolgen.
Beim LfD Bayern heißt es dazu: „Eine Zweckidentität ist gerade nicht erforderlich; vielmehr genügt die Verfolgung des gemeinsamen übergeordneten Interesses „Weiterverwendung der Daten“. In der Konsequenz müssen die öffentliche Stelle und der Weiterverwender gemäß Art. 26 Abs. 1 Satz 2, Abs. 2 Satz 1 DS-GVO in einer Vereinbarung in transparenter Form festlegen, wer von ihnen welche Verpflichtungen der DS-GVO erfüllt.“
Folgt man dieser Ansicht, sind dann auch die entsprechenden Vereinbarungen abzuschließen und die Vorgaben des Art. 26 DS-GVO zur gemeinsamen Verarbeitung durch die Beteiligten zu beachten.
Drittstaatentransfer
Der DGA enthält in Art. 31 Abs. 1 Vorgaben zum Drittstaatentransfer. Danach haben die öffentliche Stelle, die natürliche oder juristische Person, der das Recht auf Weiterverwendung von Daten nach Kapitel II gewährt wurde, Anbieter von Datenvermittlungsdiensten oder anerkannte datenaltruistische Organisationen alle angemessenen technischen, rechtlichen und organisatorischen Maßnahmen einschließlich vertraglicher Vereinbarungen zu ergreifen, um die internationale Übertragung in der Union gespeicherter nicht personenbezogener Daten oder den Zugang von Regierungsorganisationen zu diesen Daten zu verhindern. Dies gilt, wenn eine solche Übertragung oder ein solcher Zugang im Widerspruch zum Unionsrecht oder dem nationalen Recht des betreffenden Mitgliedstaats steht. Ausnahmen dazu gibt es etwa bei Rechtshilfeabkommen (vgl. Abs. 2) oder im Rahmen von Gerichtsverfahren (vgl. Abs. 3).
Und falls es überlesen wurde: Dies betrifft nicht-personenbezogene Daten. Für personenbezogene Daten bleiben die Vorgaben aus Kapitel 5 der DS-GVO die maßgeblichen Anforderungen bei einem Transfer außerhalb der EU und des EWR. Auch wenn all diese Anforderungen und Vorgaben hier nur skizziert werden können, ist doch zu erkennen, dass Datenschutzbeauftragte bei den jeweils Beteiligten hier unmittelbar und kompetent unterstützen können. Damit wird auch der zweiten Zielrichtung der DS-GVO, dem freien Datenverkehr, Rechnung getragen.
Ausblick
Der DGA wird aus unterschiedlicher Perspektive als voraussetzungsreich und unkoordiniert kritisiert. Neue Zugangsansprüche gegenüber staatlichen Institutionen werden im DGA nicht begründet und alle Pflichten aus anderen Regelwerken bleiben neben dem DGA bestehen oder gehen diesem vor, was die Rechtanwendung erheblich verkompliziert. Daneben sind weder die EU-Kommission noch die Mitgliedsstaaten den angekündigten Umsetzungsmaßnahmen nachgekommen, ja hinken sogar teilweise meilenweit hinterher.
Weder das Einwilligungsformular für Datenaltruismus gemäß Art. 25 DGA, das sowohl die Einwilligung für nicht personenbezogene als auch für personenbezogene Daten regeln soll, noch das Regelwerk für datenaltruistischen Organisationen, welche die EU-Kommission in Kooperation mit diesen erarbeiten wollte, sind auch nur im Entwurfsstadium verfügbar. Dennoch favorisieren sowohl Industrieverbände als auch der Europäische Rat das Teilen von Daten als „fördernswerte Kultur“.
Die gesetzliche Umsetzung lässt angesichts der derzeitigen politischen Situation in Deutschland weiterhin auf sich warten: Zwar fand am 13. November die öffentliche Anhörung des Digitalausschusses zum Thema „Daten-Governance-Gesetz (DGG)“ statt. Mit einer weiteren Befassung ist angesichts des Scheiterns der Ampelkoalition aber wohl erst ab Frühjahr 2025 zu rechnen.
