Der Data Governance Act (DGA) ist im Juni 2022 in Kraft getreten und wird ab dem 24.09.2023 unmittelbare Geltung in jedem Mitgliedsstaat der EU entfalten. Obwohl es sich um eine EU-Verordnung handelt, muss der nationale Gesetzgeber hier einiges umsetzen und mit Leben füllen: Von Behördenzuständigkeiten über Register bis hin zu zentralen Informationsstellen. Die Mitgliedstaaten müssen, um das Potential des DGA zu heben, jetzt die in dem DGA vorgesehenen Mechanismen und Strukturen zu schaffen, damit seine Regelungen die beabsichtigte Wirkung erzielen können.
Aber was ist jetzt konkret zu tun?
Weiterverwendung von Daten öffentlicher Stellen: Zuständige Stellen und Zentrale Informationsstelle
Zur Erinnerung: Die Weiterverwendung von Daten im Besitz von öffentlichen Stellen ist erklärtes Ziel des DGA, auch wenn er keinen unmittelbaren Anspruch auf einen entsprechenden Zugang vermittelt. Wenn Daten zur Weiterverwendung bereitgestellt werden, darf es keine Ausschließlichkeitsvereinbarungen geben (Art. 4 DGA) und die Bedingungen für die Weiterverwendung müssen erleichtert werden (Art. 5 DGA).
Zu tun ist für die Mitgliedstaaten in diesem Kontext zweierlei, beides in institutioneller Hinsicht:
- Die Mitgliedstaaten müssen dafür jetzt eine oder mehrere zuständige Stellen benennen, die die öffentlichen Stellen bei einer Weiterverwendung begleiten und unterstützen (Art. 7 DSGVO). Über die Anforderungen an diese zuständige Stelle verhält sich der DGA nur vage: Sie müssen die zur Erfüllung ihrer Aufgaben erforderlichen Ressourcen verfügen, um das einschlägige Unionsrecht und nationale Recht für den Zugang zur Weiterverwendung einzuhalten.
- Zu unterscheiden ist die zuständige Stelle von der ebenfalls neu zu schaffenden Zentralen Informationsstelle nach Art. 8 DGA. Die zentrale Informationsstelle soll gewährleisten, dass die für die Weitverwendung einschlägigen Informationen bereitgehalten werden, z.B. darüber, welche Verwaltungsdaten überhaupt zur Verfügung stehen. Es bleibt den Mitgliedstaaten überlassen, ob sie für die zentrale Informationsstelle eine neue Stelle einrichten oder bereits vorhandene Organisationen nutzen. Außerdem können die Mitgliedstaaten die zentrale Informationsstelle auch so organisieren, dass die Anträge auf Weiterverwendung direkt bei ihr gestellt werden können, um anschließend an die entsprechende öffentliche Stelle weitergeleitet zu werden.
Zur Orientierung für eine solche zentrale Informationsstelle im Sinne des DGA könnte das Deutsche Datenportal GovData herangezogen werden, das bereits jetzt sowohl einen Überblick über, als auch einen Zugang zu Verwaltungsdaten aus Bund, Ländern und Kommunen bereitstellt.
Datenvermittlungsdienste: Zuständige Behörde
Auch in Sachen „Datenvermittlungsdienste“ werden die Mitgliedstaaten institutionell in die Pflicht genommen: Die Mitgliedstaaten müssen eine für die Datenvermittlungsdienste zuständige Behörde benennen (Art. 13 DGA). Diese zuständige Behörde ist für die Anmeldung der Datenvermittlungsdienste und über deren Aufsicht verantwortlich.
Auch hier steht es den Mitgliedstaaten frei, eine oder mehrere neue Behörden für diese Zwecke einzurichten oder die Aufgaben bereits vorhandenen Behörden zuzuweisen. Allerdings darf die Aufgaben der zuständigen Behörde nicht von den Datenschutzbehörden, den nationalen Wettbewerbsbehörden, oder den für Cybersicherheit zuständigen Behörden wahrgenommen werden (Art. 13 Abs. 3 DGA). Anders als für die datenaltruistischen Organisationen (dazu sogleich) ist für die Datenvermittlungsdienste kein nationales Register, sondern nur ein von der Kommission geführtes Unionsregister vorgesehen, in dem die angemeldeten Datenvermittlungsdienste geführt werden.
Datenaltruismus: Register, Behörden und Strukturen
Die dritte Säule des DGA zielt auf einer Verbesserung der Rahmenbedingungen für datenaltruistische Organisationen vor. Um diese Bedingungen auch in der Praxis anzuwenden, müssen die Mitgliedstaaten national ein Register einrichten und zuständige Behörden benennen, ferner sollen sie eine nationale Strategie entwickeln:
- Die Mitgliedstaaten werden dazu verpflichtet, ein nationales Register für die Anerkennung von datenaltruistischen Organisationen einzurichten (Art. 17 Abs. 1 DGA). Aus Transparenzgründen soll jede anerkannte datenaltruistische Organisation in diesem Register aufgeführt werden.
- Zuständig für die Pflege dieses nationalen Registers sollen die für die datenaltruistischen Organisationen zuständigen Behörden sein, die von den Mitgliedstaaten dafür zu benennen sind. Diesen zuständigen Behörden obliegt das Verfahren für die Anerkennung der datenaltruistischen Organisationen durch Eintragung in das Register, sowie die Aufsicht über die anerkannten datenaltruistischen Organisationen. Die Aufgaben der für datenaltruistische Organisationen und der für Datenvermittlungsdienste zuständigen Behörde können auch von derselben Behörde wahrgenommen werden (Art. 26 Abs. 1 DGA).
- Neben den datenaltruistischen Organisationen sieht der DGA auch zusätzliche nationale Strategien zur Förderung des Datenaltruismus vor (Art. 16 DGA). Entwickelt ein Mitgliedstaat solche nationalen Strategien, hat er dies der Kommission mitzuteilen.
Wie geht es weiter?
Bislang hat der deutsche Gesetzgeber noch nicht erkennen lassen, wie er die im DGA festgelegten Verpflichtungen erfüllen wird. Presseberichten zufolge steht die Umsetzung des DGA bereits auf der Tagesordnung der Bundesregierung. Bislang sind aber weder, was die Struktur der zuständigen Behörden angeht, noch in Bezug auf die Gestaltung des nationalen Registers oder der zuständigen Stellen konkrete Vorhaben publiziert. Das Ende letzten Jahres gegründete Dateninstitut soll nicht als zuständige Stelle unter dem DGA agieren, wohl aber unterstützend die benannten Institutionen und Projekte begleiten (siehe hier S. 14). Für bestimmte Verstöße gegen die Vorschriften des DGA müssen außerdem noch Sanktionsvorschriften erlassen werden (Art. 34 DGA).
Allzu viel Zeit sollte sich der deutsche Gesetzgeber bei der Umsetzung des DGA nicht mehr lassen: Kommt ein Mitgliedstaat seinen Verpflichtungen nicht rechtzeitig bis zum 24.09.2023 nach, kann die Kommission ein Vertragsverletzungsverfahren nach Art. 258 AEUV einleiten. Viel wichtiger ist aber, dass der DGA Potential mitbringt für eine verbesserte Datennutzung zugunsten der Allgemeinheit – das kann aber nur dann genutzt werden, wenn die Mitgliedstaaten auch die im DGA vorgesehenen nationalen Stellen und Strukturen schaffen.
Einen Gesamtüberblick über die Neuregelungen des Data Governance Act finden Sie hier und hier (€).