Die gesamteuropäische Datenstrategie der EU nimmt weiter an Fahrt auf. Aufbauend auf den fundamentalen europäischen Werten soll so eine fortschrittliche Datenlandschaft in einem wettbewerbsfähigen Zusammenspiel der beteiligten Akteure entstehen. Als letzter im Bunde der Entscheidungsträger hat der Rat der EU am 16. Mai 2022 nun den sog Data-Governance-Rechtsakt (Data Governance Act, “DGA”) angenommen. Der DGA soll ein erster Meilenstein auf dem Weg zur Realisierung der genannten Zielsetzungen sein. Daneben hat die EU-Kommission einen Entwurfsvorschlag zum sog Datengesetz (Data Act) veröffentlicht, den wir bereits in Legal Update #29 näher beleuchtet haben.

Am 20. Tag nach seiner Veröffentlichung im Amtsblatt der EU, die noch aussteht, tritt der DGA in Kraft; 15 Monate danach ist er als EU-Verordnung in sämtlichen Mitgliedstaaten unmittelbar anwendbar. Der Frage, was uns diesbezüglich erwartet und welche Perspektiven der DGA bietet, gehen wir nun in Legal Update #32 auf den Grund.

1. Rechtliche Einordnung und Gegenstand des DGA

Der DGA intendiert die Verfügbarkeit von Daten im EU-Raum zu verbessern und vertrauensvolle Strukturen innerhalb der EU zu schaffen, welche die Nutzung von Daten zu Forschungszwecken sowie für die Entwicklung innovativer Produkte und Dienstleistungen ermöglichen.

Im Wesentlichen behandelt der DGA folgende Punkte:

  • Festlegung von Bedingungen für die Weiterverwendung bestimmter Daten, welche im Besitz öffentlicher Stellen innerhalb der EU stehen;
  • Schaffung eines regulatorischen Rahmens für sog Datenvermittlungsdienste;
  • Schaffung eines regulatorischen Rahmens für sog datenaltruistische Organisationen.

Ausdrücklich normiert wird, dass der DGA grundsätzlich nicht in spezifischere Vorschriften des Unionsrechts eingreift und an anderen Stellen vorgesehene zusätzliche Voraussetzungen für bestimmte Fälle ungehindert Anwendung finden. Insb wird klargestellt, dass die EU-Datenschutz-Grundverordnung (“DSGVO“) im Hinblick auf die Verarbeitung personenbezogener Daten Vorrang vor dem DGA genießt, soweit sich Widersprüche ergeben. Auch die Anwendung des Wettbewerbsrechts wird vom DGA nicht berührt.

Für die Beratung und Unterstützung der EU-Kommission bei der Entwicklung einer einheitlichen Praxis hinsichtlich der Zielsetzungen des DGA ist die Einrichtung eines Europäischen Dateninnovationsrats vorgesehen, welcher sich als Expertengruppe aus Vertretern verschiedenster Einrichtungen zusammensetzt.

Im Rahmen aller nachfolgend dargestellten Mechanismen zur Bereitstellung von Daten müssen von den jeweiligen Anbietern angemessene technische, rechtliche und organisatorische Maßnahmen gesetzt werden, um unzulässige internationale Übertragungen nicht personenbezogener Daten im Einklang mit Kapitel VII des DGA zu unterbinden. Auf personenbezogene Daten findet demgegenüber ohnehin Kapital V der DSGVO Anwendung, das ausführliche Vorgaben betreffend Drittlandtransfers enthält.

1.1 Allgemeines

In Art 2 definiert der DGA diverse Begrifflichkeiten, welche für das Verständnis des Rechtsaktes von entscheidender Bedeutung sind. Zunächst wird der Begriff Daten weit verstanden und erfasst grundsätzlich jede digitale Darstellung von Informationen. Dateninhaber verfügen über Daten und dürfen – im Einklang mit anderweitigen Rechtsvorschriften – Zugang zu ihnen gewähren oder diese weitergeben. Datennutzer wiederum haben rechtmäßig Zugang zu Daten und sind berechtigt, diese für kommerzielle oder nichtkommerzielle Zwecke zu nutzen.

1.2 Weiterverwendung der Daten öffentlicher Stellen (Kapitel II DGA)

Der DGA sieht vor, dass öffentliche Stellen bestimmte Kategorien von Daten zur Weiterverwendung freigeben. Da allerdings schon in Art 1 Abs 2 klargestellt wird, dass es keine dahingehende Verpflichtung gibt, stellt sich die Frage, wie umfassend die Verfügbarkeit solcher Datensätze in der Praxis im Endeffekt sein wird.

Öffentliche Stellen sind der Staat, Gebietskörperschaften, Einrichtungen des öffentlichen Rechts oder Verbände, welche sich aus den vorgenannten Rechtsträgern zusammensetzen.

Die vom DGA für diesen Zweck benannten Daten sind Informationen, welche aus den folgenden Gründen geschützt sind: (i) geschäftliche Geheimhaltung (zB Betriebsgeheimnisse); (ii) statistische Geheimhaltung; (iii) Gegenstand von Rechten des geistigen Eigentums Dritter; (iv) Schutzgegenstand des personenbezogenen Datenschutzes (personenbezogene Daten). Die Bereitstellung der Daten muss grundsätzlich einem öffentlichen Auftrag entspringen, welcher gesetzlich, anderweitig verbindlich oder durch Verwaltungspraxis festgelegt ist. Ausschließlichkeitsvereinbarungen in Bezug auf solche Daten, welche insb deren Verfügbarkeit auf die Vertragsparteien beschränken, sind unter dem DGA nur in sehr eingeschränktem Umfang zulässig.

Es soll eine zentrale Informationsstelle geben, über welche zuständige öffentliche Stellen die Bedingungen für das Erlauben einer Datenweiterverwendung und das Verfahren für die Beantragung veröffentlichen. Die Bedingungen müssen nichtdiskriminierend, transparent, verhältnismäßig und objektiv gerechtfertigt ausgestaltet sein. Die öffentlichen Stellen sind dafür verantwortlich, dass die Daten geschützt bleiben; daher müssen sie ggf bspw die vorhergehende Anonymisierung personenbezogener Daten sicherstellen oder Daten, welche der Geheimhaltung unterliegen, so aufbereiten, dass eine Rechtsverletzung hintangehalten werden kann (auch vertragliche Geheimhaltungsverpflichtungen für Datennutzer sind denkbar). Genauso müssen Rechte des geistigen Eigentums gewahrt bleiben. Ggf sind für den Datenzugang sichere Verarbeitungsumgebungen zu schaffen/nutzen (mittels Fernzugriffs oder – zugunsten hoher Sicherheitsstandards – ggf auch innerhalb physischer Räumlichkeiten).

Möchte ein Weiterverwender die Daten in ein Drittland übertragen, sind bestimmte Voraussetzungen einzuhalten. Insb hat er die öffentliche Stelle von der Absicht und über den zugrundeliegenden Zweck zu informieren – ggf ist eine Erlaubnis für die Übertragung erforderlich. Außerdem müssen angemessene Schutzvorkehrungen getroffen und weitere Aspekte beachtet werden.

Für die Realisierung dieses Abschnitts des DGA sind von den Mitgliedstaaten zuständige Stellen einzurichten, welche die öffentlichen Stellen – unter anderem in technischer Hinsicht – unterstützen. Sie können auch ermächtigt werden, den Zugang für die Weiterverwendung von Daten zu gewähren. Daneben wird es die genannten zentralen Informationsstellen geben, welche allgemeine Informationen (insb durchsuchbare Datenbestandsliste, Beschreibung der verfügbaren Daten inkl Datenformat und Umfang, Bedingungen der Weiterverwendung) in leicht zugänglicher Form bereitstellen. Sie können auch Anfragen zur Weiterverwendung von Daten entgegennehmen und an die jeweilige öffentliche oder zuständige Stelle weiterleiten. Auch die Einrichtung eines auf Bedarf und Kapazitäten von KMU ausgerichteten gesonderten Informationskanals hinsichtlich der Beantragung von Weiterverwendungen kann von der zentralen Informationsstelle sichergestellt werden. Darüber hinaus ist auch ein europaweites zentrales Zugangsportal vorgesehen.

1.3 Anforderungen für die Erbringung von Datenvermittlungsdiensten (Kapitel III DGA)

Datenvermittlungsdienste stellen Daten von Dateninhabern oder – im Falle personenbezogener Daten im Sinne der DSGVO – betroffenen Personen an Datennutzer bereit und sorgen dabei für die Umsetzung der notwendigen technischen, rechtlichen und organisatorischen Infrastruktur. Einem Datenvermittlungsdienst nach dem DGA ist es allerdings bspw untersagt, Daten aufzubereiten, um deren Wert zu steigern, ohne eine Geschäftsbeziehung zwischen Dateninhaber- und Nutzer herzustellen oder schwerpunktmäßig urheberrechtlich geschützte Inhalte zu vermitteln.

Datenvermittlungsdienste ermöglichen also grundsätzlich den Austausch oder die gemeinsame Nutzung von Daten Dritter und stellen dafür die Verarbeitungsumgebung bereit. Auch Dienste von Datengenossenschaften, also Datenvermittlungsdiensten, die ihre Mitglieder (betroffene Personen oder Dateninhaber) bei der Ausübung ihrer Rechte in Bezug auf ihre Daten unterstützen, sind erfasst.

Bei den von Datenvermittlungsdiensten vermittelten Daten kann es sich um personenbezogene oder nicht personenbezogene Daten handeln – eine Beschränkung auf bestimmte Kategorien (vgl dagegen Punkt 1.2) besteht hier nicht. Die Daten dürfen vom Datenvermittlungsdienst zu keinem anderen Zweck als der Bereitstellung an Datennutzer verwendet werden – die Tätigkeit muss völlig unabhängig von anderweitigen Leistungen erbracht und darf nicht mit weiteren Angeboten vermengt werden. Im Rahmen der Erbringung des Dienstes generierte Metadaten dürfen ausschließlich zur Verbesserung des Datenvermittlungsdienstes (insb auch zur Betrugsbekämpfung) verwendet werden, sind Dateninhabern auf Anfrage allerdings herauszugeben. Datenaufbereitungen (zB Anonymisierung) können mit Zustimmung bzw auf Anfrage des jeweiligen Dateninhabers bzw der jeweiligen betroffenen Person durchgeführt werden.

Wichtig ist, dass ein Datenvermittlungsdienst bspw durch Verwendung offener Standards die Interoperabilität mit anderen Diensten sicherstellt. Rechtswidrige Übertragungen sind durch den Dienst mittels technischer, rechtlicher und organisatorischer Maßnahmen zu unterbinden. Darüber hinaus hat eine gewisse Aufklärung zu erfolgen und es sind Werkzeuge für die Ausübung der Rechte der Dateninhaber bzw betroffenen Personen zur Verfügung zu stellen.

Datenvermittlungsdienste müssen angemeldet werden. Jeder Mitgliedstaat hat dazu eine oder mehrere zuständige Behörde(n) zu benennen. Die zuständigen Behörden überwachen und beaufsichtigen die Einhaltung der Anforderungen rund um die Datenvermittlungsdienste und haben gewisse Befugnisse in diesem Zusammenhang. Bei einer Ausrichtung auf mehrere Mitgliedstaaten ist das Recht am Ort der Hauptniederlassung anwendbar. Datenvermittlungsdienste, die außerhalb der EU angesiedelt sind, ihre Leistungen aber (auch) innerhalb der EU erbringen, haben einen sog gesetzlichen Vertreter zu bestellen (ähnlich wie ein Vertreter im Sinne von Art 27 DSGVO).

Nach abgeschlossenem Anmeldeverfahren ist ein Datenvermittlungsdienst berechtigt, als “in der Union anerkannter Anbieter von Datenvermittlungsdiensten” aufzutreten. Die EU-Kommission führt ein Register aller in der EU tätigen Datenvermittlungsdienste.

1.4 Erhebung und Verarbeitung von für altruistische Zwecke bereitgestellten Daten (Kapitel IV DGA)

Unter Datenaltruismus wird die freiwillige gemeinsame Nutzung von Daten für im allgemeinen Interesse gelegene Ziele verstanden. Dies prinzipiell auf Basis einer Einwilligung betroffener Personen oder einer Erlaubnis der jeweiligen Dateninhaber. Organisationen in diesem Bereich müssen gemeinnützig arbeiten und dürfen lediglich eine Entschädigung für ihnen tatsächlich entstandene Kosten fordern.

Die Mitgliedstaaten können organisatorische oder technische Regeln bzw nationale Strategien festlegen, um Datenaltruismus zu erleichtern. Dies betriff auch die Unterstützung betroffener Personen bei der Verfügbarmachung ihrer Daten in diesem Zusammenhang sowie die Festlegung von Informationen, welche ihnen dabei bereitgestellt werden müssen.

Für die Registrierung datenaltruistischer Organisationen ist wiederum eine für Überwachung und Einhaltung zuständige Behörde zu bezeichnen, welche ein nationales Register anerkannter Entitäten führt – die EU-Kommission führt gleichermaßen ein solches Unionsregister, das öffentlich zugänglich ist. Registrierte Einrichtungen tragen den Titel “in der Union anerkannte datenaltruistische Organisation”. Die Organisation muss dafür die Eintragungsvoraussetzungen erfüllen, etwa völlig unabhängig von jeder Organisation sein, welche Erwerbszwecke verfolgt. Ist die Organisation nicht in der EU niedergelassen, ist ebenfalls ein gesetzlicher Vertreter zu bestellen.

Datenaltruistische Organisationen müssen Transparenzanforderungen einhalten. Sie haben alle Datennutzer samt Kontaktdaten festzuhalten, welchen die Möglichkeit zur Verarbeitung eröffnet wurde. Weiters sind Zeitpunkt und Dauer von Verarbeitungsaktivitäten sowie der Zweck der jeweiligen Verarbeitung zu dokumentieren. Die datenaltruistische Organisation muss zusätzlich einen jährlichen Tätigkeitsbericht an die zuständige Behörde übermitteln. Dateninhaber bzw betroffene Personen müssen über die Ziele von allgemeinem Interesse sowie die Zwecke, für die Datennutzern eine Verarbeitung ihrer Daten gestattet wird, informiert werden. Ähnlich wie Datenvermittlungsdienste haben auch datenaltruistische Organisationen Werkzeuge für die Ausübung der Rechte der Dateninhaber bzw betroffenen Personen zur Verfügung zu stellen – und naturgemäß auch ein angemessenes Sicherheitsniveau der Daten in ihrer Obhut zu garantieren.

Die EU-Kommission erlässt delegierte ergänzende Rechtsakte für die Ausarbeitung eines Regelwerks, das nähere Voraussetzungen in diesem Zusammenhang für die Informationserteilung, technische Anforderungen, Kommunikationsfahrpläne und Empfehlungen zu einschlägigen Interoperabilitätsnormen enthält. Dieses Regelwerk soll in enger Zusammenarbeit mit den datenaltruistischen Organisationen sowie einschlägigen Interessenträgern erarbeitet werden. Zusätzlich soll von der EU-Kommission ein europäisches Einwilligungsformular für Datenaltruismus ausgearbeitet werden, welches eine einfache Einholung notwendiger Einwilligungen und Erlaubnisse ermöglicht.

1.5 Zuständige Behörden und Verfahrensvorschriften (Kapitel V DGA)

Die Unabhängigkeit von nach dem DGA zuständigen Behörden ist sicherzustellen. Aufgaben sind unparteiisch, transparent, kohärent und rechtzeitig wahrzunehmen. Im Weiteren trifft der DGA auch Vorgaben zur Befangenheit der Leitungsebene wie von Mitarbeitern solcher Behörden.

Natürliche und juristische Personen haben ein undifferenziertes Beschwerderecht bezüglich “aller in den Anwendungsbereich dieser Verordnung fallenden Angelegenheiten” gegen den Anbieter eines Datenvermittlungsdienstes oder den Betreiber einer datenaltruistischen Organisation bei der jeweils zuständigen Behörde. Betroffene (!) natürliche und juristische Personen haben überdies die Möglichkeit, gerichtlich gegen bestimmte rechtsverbindliche Entscheidungen der jeweils zuständigen Behörde vorzugehen. Im Hinblick auf öffentliche Stellen sind keine derartigen Rechtsbehelfe vorgesehen.

2.Vergleich mit dem Data-Act-Entwurf und Ausblick

Erklärte Ziele der gesamteuropäischen Datenstrategie sind es, einen “Binnenmarkt für Daten zu schaffen” und “der EU eine Führungsrolle in dieser datengestützten Gesellschaft einzuräumen“. Zwei Bestreben, welche die Union scheinbar fest vor Augen hat. Mit dem DGA steht ein großer Schritt zur Erreichung des ersten Etappenabschnitts nun unmittelbar bevor. Zeitgleich erarbeitete die Europäische Kommission dieses Jahr bereits einen Entwurf zu einem neuen Datengesetz (Data-Act-Entwurf), welcher den nächsten Eckpfeiler des ins Auge gefassten Datenregelwerks darstellen soll. Während der DGA die Verfügbarkeit von Daten in der EU erhöhen sowie vertrauenswürdige Strukturen auf dem Datenmarkt schaffen will, soll das (finale) Datengesetz das wirtschaftliche Potential von (insb maschinell generierten und nicht personenbezogenen) Daten für Wirtschaftstreibende nutzbar machen. Aus beiden Regularien lässt sich zudem das Bedürfnis herauslesen, Datenmonopolen gegenzusteuern und einen offenen und fairen Zugang zum Datenmarkt zu gewährleisten.

Ob sich die von der EU angestrebten Ziele von der Theorie in die Praxis übertragen lassen, bleibt zu hoffen. Aus rechtlicher Sicht schwierig könnte sich vor allem die saubere Abgrenzung zu bestehenden Rechtsvorschriften erweisen. Dass Daten sich in unserem Zeitalter zu einem kostbaren Gut aufgeschwungen haben, steht jedenfalls unfraglich fest. Daher scheint aus Sicht der EU das angestrebte Ziel, diesen bisher weitgehend ungeregelten Wirtschaftssektor einer angemessenen und transparenten Regulierung unter den Gesichtspunkten des europäischen Binnenmarktes zu unterwerfen, sämtliche Anstrengung auf jeden Fall wert zu sein.

Arthur Stadler | Tamino Chochola | Felix Bauer

Weitere Beiträge aus unserem Journal