Unternehmen können künftig Daten rechtssicherer austauschen und gemeinsam analysieren, für mehr Innovationen. Dies verspricht der „Data Governance Act“, eine EU-Verordnung, deren Erlass nun in greifbarer Nähe ist.
Die neue EU-Verordnung soll das Datengeschäft durch Regeln für die gemeinsame Datennutzung durch mehrere Unternehmen, die Weiterverwendung öffentlicher Daten und den Datenaltruismus fördern. Das Ziel der EU mit dieser Verordnung könnte denn auch ambitionierter kaum sein: Der Data Governance Act soll die Hemmnisse für eine gut funktionierende Datenwirtschaft abbauen und einen EU-weiten Rechtsrahmen für den Zugang zu Daten und für deren Verwendung zu schaffen. Dieses Ziel ist von ganz erheblicher Bedeutung, zum einen für die Entwicklung der Wirtschaft, aber auch für uns alle: Die von Daten vorangetriebene Innovation bringen enorme Vorteile in allen Lebensbereichen (EG 2 DGA). Mithilfe des DGA soll ein Rechtsrahmen für einen Binnenmarkt von Daten geschaffen werden.
Als EU-Verordnung wird der DGA, sobald erlassen, unmittelbar in der ganzen EU zum Gesetz. Er muss nicht erst von den Mitgliedstaaten umgesetzt werden, sondern verpflichtet und berechtigt sofort alle Normadressaten.
Wie soll dies erreicht werden?
Der DGA beschreitet einen sehr eigenen Weg, um einen „EU-Datenbinnenmarkt“ zu schaffen und Unternehmen die Datennutzung zu erleichtern. Der DGA erlaubt nicht etwa bestimmte Arten der Datenverarbeitung. Er regelt auch nicht, unter welchen Bedingungen Unternehmen Big Data Analysen durchführen dürfen.
Der DGA versucht, die Infrastruktur bereitzustellen, damit sich auf dem Markt unter geschützten, regulierten Bedingungen eine umfangreichere Datenverwendung entwickelt.
Was bedeutet hierbei „Infrastruktur“? Dies bedeutet, dass der DGA neue Marktrollen schafft für Anbieter, die Dienste zur gemeinsamen Datennutzung und der altruistischen Datenverarbeitung bereitstellen. Wenn diese Anbieter bestimmte Voraussetzungen einhalten, die im DGA näher bestimmt sind, dann werden sie zertifiziert. Unternehmen und Einzelpersonen, die diese Anbieter dann nutzen, können sich darauf verlassen, dass bestimmte Standards eingehalten werden. Der DGA verfolgt damit den Weg einer „sanften Regulierung“ der Rahmenbedingungen, innerhalb derer dann eine freie Entwicklung erfolgen kann.
Daneben wird gesichert, dass Daten im Besitz öffentlicher Stellen möglichst breit und diskriminierungsfrei auch dann zur Verfügung stehen, wenn diese Daten besonders geschützt sind (durch das Datenschutzrecht etwa oder das Recht am geistigen Eigentum). Hier gilt die Devise: Entweder alle oder keiner.
Gegenstand des DGA sind „Daten“. Das sind nach dem DGA digitale Darstellungen „von Handlungen, Tatsachen oder Informationen sowie jede Zusammenstellung solcher Handlungen, Tatsachen oder Informationen auch in Form von Ton-, Bild- oder audiovisuellem Material“.
Welche Instrumente nutzt der DGA?
Der DGA enthält drei wesentliche Pfeiler, um die Verfügbarkeit und gemeinsame Nutzung von Daten zu fördern:
- Dienste für die gemeinsame Datennutzung
Um die gemeinsame Nutzung von Daten zu fördern und rechtssicherer zu gestalten, etabliert der DGA den „Datenmittler“. Dies sind geprüft und zertifizierte Stellen, die als Vermittlungsdient tätig werden. Datenmittler bieten eine Plattform, auf der Daten bereitgestellt und Daten genutzt werden können. Sie bieten den Austausch und die Vernetzung für Datenanalysen an.
Gekennzeichnet sind diese „Vermittlungsdienste“ durch eine Reihe von Bedingungen, die von dem DGA zwingend vorgegeben sind. Von besonderer Relevanz sind die folgenden:
- Datenmittler dürfen die Daten ausschließlich dafür nutzen, um sie ihren Kunden zur Verfügung zu stellen. Jeder andere Zweck ist verboten.
- Metadaten, die bei der Erbringung der Dienstleistungen entstehen, dürfen nur zur Entwicklung dieses Dienstes genutzt werden.
- Die Vermittlungsdienste müssen zu fairen, transparenten und diskriminierungsfreien Bedingungen bereitgestellt werden.
- Die Interoperabilität muss gewahrt und die Daten müssen geschützt werden.
Die gemeinsame Nutzung von Daten durch Unternehmen wird damit selbst nicht geregelt. Vielmehr soll der Weg bereitet werden für Anbieter, die eine Plattform hierfür anbieten. Durch die Vorgaben des DGA und der vorgesehenen Zertifizierung wird abgesichert, dass sich Unternehmen auf diese Anbieter auch verlassen können.
Daneben werden auch „Datengenossenschaften“ ins Leben gerufen, die Einzelne beim Schutz und der Verwendung ihrer Daten unterstützen. Auch für diese gelten entsprechende Vorgaben. Auch hier wird ein neues Geschäftsfeld ermöglicht, unter regulierten Bedingungen.
- Ein System für den Datenaltruismus
Auch der Datenaltruismus soll zuvörderst dadurch gestärkt werden, dass vertrauenswürdige und geprüfte Institutionen bestimmt werden, die sich auf die altruistische Datenverarbeitung verpflichtet haben. Der DGA bestimmt, welche Bedingungen erfüllt werden müssen. Dies sichert ab, dass die Daten wirklich nur altruistisch verarbeitet und verwendet werden.
„Datenaltruismus“ bezeichnet dabei übrigens die Einwilligung einer Person, dass ihre Daten unentgeltlich für Zwecke von allgemeinem Interesse wie die wissenschaftliche Forschung oder die Verbesserung öffentlicher Dienstleistungen genutzt werden.
- Weiterverwendung von Daten öffentlicher Stellen
Schließlich sieht der DGA bestimmte Bedingungen für die Weiterverwendung von Daten vor, die im Besitz öffentlicher Stellen und die geschützt sind, etwa als geistiges Eigentum oder nach dem Datenschutzrecht (für nicht geschützte Daten gelten schon andere Zugangsrechte, im Sinne der Transparenzvorschriften).
Wichtig ist dabei: Es geht ausschließlich um öffentliche Stellen wie Behörden. Nicht adressiert werden öffentliche Unternehmen.
Daten im Besitz öffentlicher Stellen (nicht: öffentlicher Unternehmen!) und die geschützt sind, etwa als geistiges Eigentum oder nach dem Datenschutzrecht.
Verboten sind grundsätzlich Vereinbarungen, durch die die öffentlichen Stellen einem Dritten ein ausschließliches Recht an der Weiterverarbeitung der Daten einräumen. Dies heißt: Wenn Daten im Besitz öffentlicher Stellen durch Dritte weiterverarbeitet werden dürfen, dann durch alle. Die öffentlichen Stellen können diskriminierungsfreie Voraussetzungen benennen und auch eine Gebühr verlangen.
Soll aus allgemeinen Interessen das Recht zur Weiterverarbeitung wenigen Einzelnen vorbehalten werden, dann muss die Auswahl der Berechtigten in einem transparenten Verfahren mit gleichen Chancen für alle Interessenten erfolgen und zeitlich begrenzt werden.
Bedingungen für die Weiterverwendung müssen bekannt gemacht werden. Sie müssen nichtdiskriminierend, verhältnismäßig und objektiv gerechtfertigt sein und dürfen den Wettbewerb nicht behindern.
Bei der Weiterverwendung muss der Nutzer die weiteren Rechte beachten, insbesondere Rechte am geistigen Eigentum und das Datenschutzrecht.
Dabei kann der Nutzer aber die Unterstützung der öffentlichen Stelle verlangen: Kommt keine andere Erlaubnisgrundlage in Betracht, muss die öffentliche Stelle bei der Einholung von Einwilligungen der betroffenen Personen helfen.
Im Ergebnis soll der Datenaustausch und damit die datenbasierte Entwicklung erleichtert werden, aber zeitgleich der Datenschutz, insb. nach der DSGVO, gewahrt werden.
Ab wann gelten die Regelungen?
Ob der DGA in dieser Form Gesetz wird, ist noch offen. Die Mitgliedstaaten haben vor wenigen Tagen „grünes Licht“ für den Entwurf des Data Governance Acts („DGA“, dt. „Europäische Datenstrategie“) gegeben. Nun stehen die Trilog-Verhandlungen zwischen Rat, Parlament und Kommission an. Es wird erwartet, dass noch im Laufe des Oktobers eine Einigung erzielt wird; EURACTIV spricht vom 20.10.2021.
Der Data Governance Act ist Teil der EU-Digitalstrategie. Im Rahmen dieser Strategie sind eine Reihe von Rechtsakten aus Brüssel auf den Weg gebracht worden, um die Digitalisierung in der EU zu unterstützen und proaktiv zu gestalten.
Hält der DGA, was er verspricht?
Ob der DGA halten kann, was er verspricht, ist zweifelhaft. Für Unternehmen ist gerade das Datenschutzrisiko ein Hemmnis für gemeinsame Datenauswertungen. Hier hilft der DGA, einen gangbaren Weg zu finden. Er nimmt die Risiken aber nicht. Die Datenschutzgrundverordnung bleibt vielmehr vollumfänglich anwendbar (vgl. Art. 1 DGA). Damit bleibt auch ein Großteil des datenschutzrechtlichen Bewertungsrisiko für die Unternehmen bestehen. Ob die Vorgaben des DGA ausreichen, um in relevantem Umfang Datenmittler auf den Markt zu bringen und Unternehmen zu ihrer Nutzung anzuhalten, bleibt abzuwarten. In jedem Fall aber ist der DGA ein wichtiger Schritt in die richtige Richtung. Wichtig bleibt seine Evaluation und Fortentwicklung, um zu einem echten EU-Datenbinnenmarkt zu kommen.