Daten mit Nutzen für das Gemeinwohl: Auch dieses Ziel verfolgt die EU-Kommission mit Ihrem Entwurf des Data Act. Kapitel V enthält dazu spezifische Regelungen, unter welchen Voraussetzungen staatliche Stellen Zugang zu Daten des Privatsektors verlangen können.
Einen allgemeinen Überblick über alle Kapitel des Data Act finden Sie hier:
Der Überblick: Ziel und Anwendungsbereich
Kapitel V des Data-Act Entwurfs beinhaltet Regelungen darüber, in welchen Situationen und zu welchen Zwecken öffentliche Stellen den Zugang zu Daten verlangen dürfen. Den öffentlichen Stellen soll damit ein Instrument an die Hand gegeben werden, um in Situationen eines „außergewöhnlichen Bedarfs“ Unternehmensdaten verwenden zu können und so öffentlichen Ausnahmezuständen zu begegnen (Erwägungsgrund 56). Die Neuregelungen treffen insbesondere Vorschriften über:
- Die Voraussetzungen und Einschränkungen des staatlichen Anspruchs auf Datenzugang,
- die formellen Anforderungen an die Datenanfrage,
- die Verpflichtung zur Herausgabe von Unternehmensdaten,
- verschiedene staatliche Umgangspflichten mit den so erlangten Daten sowie
- die Voraussetzungen einer Entschädigung und
- die Möglichkeit zur Weiterverwendung der Unternehmensdaten.
Die Regelungen sollen die konkurrierenden Interessen des Datenschutzes, der unternehmerischen Freiheiten und des öffentlichen Nutzens von Daten in Ausgleich bringen. Es gilt: Eine Pflicht zur Preisgabe von Daten soll dann bestehen, wenn die Gemeinwohlzwecke der Datennutzung die unternehmerischen Interessen überwiegen.
Dabei wird deutlich, dass der Data Act genau zwischen öffentlichen und kommerziellen Interessen der Datenpreisgabe differenziert: Je mehr die Daten zum Zwecke des Gemeinwohls genutzt werden können und je bedeutsamer der verfolgte Zweck ist, desto umfassender ist das Recht der öffentlichen Stellen auf Zugang. Die gegenüberstehenden Interessen der Unternehmen auf die freie Datennutzung und Datenschutz sollen nur dann überwiegen, wenn das öffentliche Interesse weniger stark ausgeprägt ist.
Die Adressaten
Kapitel V Data Act regelt allein den Datenaustausch zwischen staatlichen Einrichtungen und Unternehmen („B2G“).
Verpflichtet sind „Dateninhaber“. Gemeint sind damit Unternehmen die die rechtliche oder tatsächliche Möglichkeit haben, bestimmte Daten zugänglich zu machen (Art. 2 Nr. 6). Ausdrücklich ausgeschlossen hiervon sind Klein- und Kleinstunternehmen, also solche die weniger als 50 Personen beschäftigen und deren Jahresumsatz 10 Mio. Euro nicht übersteigt (Art. 14 Nr. 2).
Auskunftsberechtigt sind „öffentliche Stellen“ und EU-Institutionen. Öffentliche Stelle ist jede nationale, regionale oder lokale Behörde eines Mitgliedstaates sowie Einrichtungen des öffentlichen Rechts (Art. 2 Nr. 9).
Der Inhalt: Was ist zu tun?
Die öffentlichen Stellen der Mitgliedstaaten und EU-Institutionen haben im Falle eines nachgewiesenen „außergewöhnlichen Bedarfs“ das Recht, Unternehmen zur Bereitstellung von Daten zu verpflichten (Art. 14):
- Ein „außergewöhnlicher Bedarf“ besteht zunächst bei öffentlichen Notfällen bzw. einer öffentlichen Notlage (Art. 15): Wenn Daten erforderlich sind, um in einer solchen Lage zu reagieren, sie zu verhindern oder zu bewältigen, so erhalten öffentliche Stellen spezifische Datenzugangsrechte durch Kapitel V.
Öffentliche Notfälle meint Situationen, die eine Gefährdung der Lebensbedingungen oder der wirtschaftlichen Stabilität in einem oder mehreren Mitgliedsstaaten darstellen (Art. 2 Nr. 10). Es drängt sich auf, dass die Kommission hierbei insbesondere unter dem Eindruck der Bekämpfung der Covid-19 Pandemie stand. In diesem Sinne liest sich auch Erwägungsgrund 57 der gerade Notlagen im Bereich der öffentlichen Gesundheit, daneben aber auch Naturkatastrophen sowie menschengemachte Notfälle wie Cyberangriffe auf öffentliche Infrastruktur als Anwendungsbeispiele aufzählt.
In einem solchen Fall könnten staatliche Stellen künftig also beispielsweise die Preisgabe der Daten von Telekommunikationsanbietern verlangen, um Menschansammlungen zu erkennen oder (im Falle einer Pandemie) Kontaktnachverfolgung zu betreiben. Das Vorliegen eines öffentlichen Notfalls soll dabei nach den jeweiligen Verfahren der Mitgliedstaaten oder von einschlägigen internationalen Organisationen festgestellt werden.
- Entsprechendes gilt, wenn das Fehlen verfügbarer Daten die öffentliche Stelle daran hindert, eine bestimmte Aufgabe im öffentlichen Interesse zu erfüllen, die ausdrücklich gesetzlich vorgesehen ist, und eine andere Datenbeschaffung nicht möglich war oder zu unverhältnismäßigem Aufwand führen würde (Art. 15). Ein Beispiel hierfür ist die rechtzeitige Erstellung von amtlichen Statistiken (Erwägungsgrund 58).
Ausgeschlossen ist ein Datenzugang zum Zwecke der Strafverfolgung oder für Steuer- und Zollzwecke (Art. 16, Erwägungsgründe 59, 60). Ebenfalls nicht erfasst werden freiwillig zwischen privaten und öffentlichen Stellen ausgetauschte Daten, oder solche, die aufgrund von Melde-, bzw. Kontrollpflichten mitgeteilt werden müssen.
Aufforderung
Vorauszugehen hat eine Aufforderung an den Dateninhaber. Die Datenzugang begehrende öffentliche Stelle muss in einfacher und verständlicher Sprache darlegen, welche Daten zu welchem Zweck und für welchen Zeitraum benötigt werden, auch die Rechtsgrundlage muss benannt werden (Art. 17). Jede Datenabfrage muss verhältnismäßig sein; dabei sind u.a. die mit der Datenbereitstellung verbundenen Kosten und der mit ihr verfolgte Zweck zu berücksichtigen.
Abgewogen werden müssen insbesondere die Interessen des Dateninhabers in Bezug auf Geschäftsgeheimnisse sowie die mit der Datenbereitstellung verbundenen Kosten und Aufwendungen berücksichtigt werden. Die staatlichen Stellen sollen insofern die Verhältnismäßigkeit hinsichtlich des „außergewöhnlichen Bedarfs“ einerseits und Sensibilität, Detailgenauigkeit, Umfang und Häufigkeit der Datenanfrage andererseits berücksichtigen (Erwägungsgrund 61). Es ist davon auszugehen, dass insofern die Datenpreisgabe zum Zwecke der Bekämpfung der Folgen einer Naturkatastrophe ein anderes Gewicht zukommt als der zum Zwecke der Erstellung einer amtlichen Statistik.
Grundsätzlich ist die Weiterverwendung der durch die öffentlichen Stellen erlangen Daten unzulässig. Um eine entsprechende Zweckentfremdung von (kommerziell) sensiblen Daten auszuschließen, ist vorgesehen, dass die Richtlinie über offene Daten und die Weiterverwendung von Informationen des öffentlichen Sektors (EU 2019/1024) keine Anwendung findet. Eine Ausnahme bildet jedoch die Weiterverwendung zum Zwecke der Forschung oder für die Erstellung von amtlichen Statistiken (Art. 21). Voraussetzung ist, dass die Forschung bzw. Statistik in Einklang mit dem Ausgangszweck steht. Bei einer zulässigen Weiterverwendung der erhaltenen Daten ist sicherzustellen, dass sowohl Rechtsvorschriften als auch die vertraglichen (Verschwiegenheits-) Verpflichtungen der Dateninhaber respektiert werden (Erwägungsgrund 66). Die Weiterverwendung ist dabei nur auf solche Forschungs- oder Analysezwecke beziehen, die die anfordernde öffentliche Stelle nicht selbst durchführen kann. Darüber hinaus richtet sich die Möglichkeit zur Weiterverwendung nur an „non-profit“-Organisationen oder sonstige staatlich anerkannte, gemeinnützige Institutionen (Erwägungsgrund 68).
Bereitstellung von Daten
Zu Recht angeforderte Daten sind vom verpflichteten Unternehmen ohne unangemessene Verzögerung bereitzustellen (Art. 18). Bei der Beurteilung, ob eine „unangemessenen Verzögerung“ vorliegt, wird zum einen der Umfang der angeforderten Daten sowie der Aufwand der Bereitstellung und zum anderen der mit dem Antrag verbundene Zweck abzuwägen sein.
Die verpflichteten Unternehmen haben das Recht, unter bestimmten Umständen die Datenauskunft zu verweigern oder eine Konkretisierung der Datenanfrage zu verlangen (Art. 18), wenn
- die angeforderten Daten nicht vorhanden sind,
- die angeforderten Daten bereits zuvor einer anderen öffentlichen Stelle übermittelt worden sind, oder
- die Datenanfrage nicht den Formerfordernissen aus Art. 17 genügt.
Je nach Dringlichkeit des „öffentlichen Notfalls“ muss die Ablehnung unter Angabe der Gründe nach 5 oder 15 Werktagen erfolgen. Kommt der angefragte Dateninhaber dem Antrag auf Datenzugang nicht (rechtzeitig) nach, so ist als Sanktion in erster Linie die Verhängung eines Bußgeldes vorgesehen.
Sofern die Daten personenbezogenen Inhalts sind, soll der Dateninhaber „angemessenen Aufwand“ betreiben, um die Daten soweit wie möglich zu pseudonymisieren.
Umgang mit erlangten Daten
Um die mit der Datenpreisgabe einhergehenden Beeinträchtigungen gering zu halten, sind verschiedene Umfangspflichten für die öffentlichen Stellen vorgesehen (Art. 19). So dürfen die Daten beispielsweise nicht anders als für den angeforderten Zweck verwendet werden und es sollen technische und organisatorische Maßnahmen getroffen werden, um bei personenbezogenen Daten die Betroffenenrechte zu gewährleisten. Sobald die Daten nicht mehr benötigt werden sind sie zudem zu löschen und die Dateninhaber sind über die Löschung zu informieren. Sofern Geschäftsgeheimnisse von der Datenpreisgabe betroffen sind, sieht die Gewährleistung von Vertraulichkeit seitens der öffentlichen Stellen vor (Erwägungsgrund 66).
Für bestimmte Fälle ist zudem eine Entschädigung für die Datenpreisgabe vorgesehen (Art. 20):
- Erfolgt die Anfrage, um unmittelbar auf einen öffentlichen Notfall reagieren zu können, sind die Daten kostenlos bereitzustellen.
- Erfolgt die Anfrage zur Prävention bzw. Bewältigung von Notfällen oder um öffentliche Aufgaben wahrnehmen zu können, ist den Dateninhabern eine an dem technischen und organisatorischen Aufwand gemessene Entschädigung zu zahlen.
Ausblick: Bedeutung für die Praxis
In welchem Ausmaß Unternehmen zukünftig mit einem „Datenzugriff“ öffentlicher Stellen zu rechnen haben, bleibt abzuwarten. Die Kommission hat sich jedenfalls für einen eingeschränkten Datenzugang entschieden, der auf Anfragen in besonderen Ausnahmefällen begrenzt ist.
Kritiker sehen hierin die vertane Chance, einen grundlegenden Datenzugang für die Allgemeinheit zu schaffen, und eine grundlegende gesellschaftliche Teilhabe am Datenpotential zu regeln. Gemessen an den vollmundigen Bekundungen der Kommission, Datennutzung grundlegend zum Gemeinwohl möglich machen zu wollen, wirkt diese Kritik durchaus berechtigt.
Die eingezogenen Begrenzungen haben indes ihre Berechtigung, der Datenzugang wird begrenzt auf Fälle, in denen eine echte Notwendigkeit besteht. Dies ist zum Erhalt der Innovationsfreudigkeit und dem Schutz unternehmerischen Handelns folgerichtig: Daten werden zunehmend zum zentralen Element geschäftlichen Erfolgs. Dann aber kann auch der Zugang zu diesen Daten nur dort verpflichtend vorgesehen werden, wo deutlich überwiegende Interessen der Allgemeinheit dies erfordern – ähnlich, wie auch der Zugriff öffentlicher Stellen auf reale Unternehmensmittel nur im Ausnahmefall zulässig sind.
Kritisch zu bewerten ist vor diesem Hintergrund der zu unbestimmte Anwendungsfall des „öffentlichen Bedarfs“, um wichtige öffentliche Aufgaben erfüllen zu können. Die Erwägungsgründe nennen außer den erwähnten „amtlichen Statistiken“ keinen weiteren konkreteren Anwendungsfall. Wichtig sind insofern die im Data Act vorgesehenen Einschränkungen, wonach der Datenzugriff auch in solchen Fällen nur erfolgen darf, wenn es um die Erfüllung einer durch Gesetz auferlegten öffentlichen Pflicht geht und die Daten zudem auch nicht durch andere Maßnahmen erlangt werden können. Letztere Einschränkung dürfte sehr weit zu verstehen sein – Erwägungsgrund 58 nennt diesbezüglich immerhin auch die Möglichkeit, die Pflicht zur Herausgabe der entsprechenden Daten durch Rechtsvorschrift begründen zu können. Datenzugriffe zum „öffentlichen Bedarf“ dürfen mithin, wenn keine weitere Eingrenzung im Verordnungsgebungsverfahren erfolgt, nur nach strikter Verhältnismäßigkeitsprüfung erfolgen.