Data Governance Act (DGA): neues Gesetz zur Datenkontrolle
Unter dem Stichwort „Ein Europa für das digitale Zeitalter“ will die Europäische Union die Führungsrolle in einer datengestützten Welt übernehmen. Die EU-Kommission hat mit dem Data Governance Act den ersten Gesetzesvorschlag ihrer EU-Datenstrategie vorgestellt, der 2021 durch einen weiteren Vorschlag zu hochwertigen Datensätzen, dem Data Act, ergänzt wird. Der Data Governance Act soll den Datenaustausch zwischen Unternehmen, Privatpersonen und dem öffentlichen Sektor vereinfachen. Ziel ist, die Verfügbarkeit von Daten zu fördern und Mechanismen für die Weiterverwendung und gemeinsame Nutzung von Daten festzulegen. Das Ziel der Verordnung liegt dreigeteilt:
- Die Schaffung von EU-weit harmonisierten Bedingungen für die Weiterverwendung geschützter Daten, die im Besitz öffentlicher Stellen sind (erweiterte PSI).
- Die Schaffung eines Anmelde- und Aufsichtsrahmens für die Erbringung von Diensten für die gemeinsame Datennutzung (Datenintermediäre).
- Die Schaffung eines Rahmens für die freiwillige Eintragung von Einrichtungen, die für altruistische Zwecke zur Verfügung gestellte Daten sammeln und verarbeiten (Datenaltruismus)
Die EU-Kommission möchte mit der Verordnung einen Mechanismus für die Weiterverwendung bestimmter Kategorien geschützter Daten des öffentlichen Sektors einführen, die der Achtung der Rechte anderer unterliegen. Folgende Kategorien von Daten sollen davon betroffen sein:
- Daten, die der geschäftlichen Geheimhaltung unterliegen
- Daten, die der statistischen Geheimhaltung unterliegen
- Daten, die dem Schutz geistigen Eigentums Dritter unterliegen
- Personenbezogene Daten
Öffentliche Stellen, die diese Art der Weiterverwendung erlauben, müssen technisch so ausgestattet sein, dass Datenschutz, Privatsphäre und Vertraulichkeit in vollem Umfang gewahrt bleiben (z. B. durch Löschen von Daten mit Geschäftsgeheimnissen oder der Anonymisierung und Pseudonymisierung). Außerdem sollen Daten des öffentlichen Sektors, die von Unternehmen weiterverwendet werden dürfen, vermehrt in sogenannten „sicheren Verarbeitungsumgebungen“, die von der betroffenen öffentlichen Stelle kontrolliert werden, verarbeitet werden. Der Data Governance Act sieht jedoch kein Recht auf Weiterverwendung solcher Daten vor.
Die EU-Kommission möchte mit der Verordnung Anmelderegelungen und Vorschriften für Datenintermediäre schaffen.
Folgende Anbieter sollen davon betroffen sein:
- Vermittlungsdienste zwischen Dateninhabern, die juristische Personen sind, und potenziellen Datennutzern (B2B),
- Vermittlungsdienste zwischen betroffenen Personen, die ihre personenbezogenen Daten zugänglich machen wollen, und potenziellen Datennutzern (C2B),
- Dienste von Datengenossenschaften, d. h. Dienstleistungen zur Unterstützung betroffener Personen oder auch KMU, die Mitglieder der Genossenschaft sind oder der Genossenschaft die Befugnis übertragen, vor ihrer Einwilligung die Bedingungen der Datenverarbeitung auszuhandeln.
Hierfür soll jeder Mitgliedstaat in seinem Hoheitsgebiet eine oder mehrere zuständige Behörden benennen.
Darüber hinaus gibt es eine Vielzahl von Bedingungen, welche die Datenintermediäre erfüllen müssen, u. a.:
- Der Datenintermediär darf die Daten für keine anderen Zwecke verwenden, als sie den Datennutzern zur Verfügung zu stellen.
- Die Metadaten, die bei der Erbringung des Dienstes für die gemeinsame Datennutzung erfasst werden, dürfen nur für die Entwicklung dieses Dienstes verwendet werden.
- Der Datenintermediär handelt im besten Interesse der betroffenen Personen und erleichtert ihnen die Ausübung ihrer Rechte. Insbesondere berät er betroffene Personen in Bezug auf mögliche Arten der Nutzung der Daten und übliche Geschäftsbedingungen für solche Nutzungen.