Data Governance Act erklärt

Das wirtschaftliche und gesellschaftliche Potenzial der Daten ist enorm: es kann neue Produkte und Dienstleistungen ermöglichen, die auf neuartigen Technologien basieren, die Produktion effizienter machen und Instrumente zur Bewältigung gesellschaftlicher Herausforderungen bereitstellen. Im Bereich Gesundheit können Daten beispielsweise dazu beitragen, eine bessere Gesundheitsversorgung zu gewährleisten, personalisierte Behandlungen zu verbessern und seltene oder chronische Krankheiten zu heilen. Es ist auch ein leistungsstarker Motor für Innovation und neue Arbeitsplätze und eine kritische Ressource für Start-ups und KMU.

Dieses Potenzial wird jedoch nicht realisiert. Der Datenaustausch in der EU ist aufgrund einer Reihe von Hindernissen nach wie vor begrenzt (u. a. geringes Vertrauen in den Datenaustausch, Probleme im Zusammenhang mit der Weiterverwendung von Daten des öffentlichen Sektors und Datenerhebung für das Gemeinwohl sowie technische Hindernisse).

Um dieses enorme Potenzial wirklich zu nutzen, sollte es einfacher sein, Daten vertrauenswürdig und sicher zu teilen.

Das Data Governance Act (DGA) ist ein sektorübergreifendes Instrument, das darauf abzielt, die Weiterverwendung von öffentlich/gespeicherten, geschützten Daten zu regeln, die gemeinsame Nutzung von Daten durch die Regulierung neuartiger Datenintermediäre zu fördern und die gemeinsame Nutzung von Daten für altruistische Zwecke zu fördern. Sowohl personenbezogene als auch nicht personenbezogene Daten befinden sich im Anwendungsbereich der DGA, und wenn es um personenbezogene Daten geht, gilt die Datenschutz-Grundverordnung (DSGVO). Zusätzlich zur DSGVO werden integrierte Sicherheitsvorkehrungen das Vertrauen in die gemeinsame Nutzung und Wiederverwendung von Daten erhöhen, eine Voraussetzung, um mehr Daten auf dem Markt verfügbar zu machen.

Weiterverwendung bestimmter Kategorien von Daten im Besitz öffentlicher Stellen

Was sind die wichtigsten Ziele?

Die Richtlinie über offene Daten regelt die Weiterverwendung öffentlich/verfügbarer Informationen im Besitz des öffentlichen Sektors. Der öffentliche Sektor verfügt jedoch auch über große Mengen geschützter Daten (z. B. personenbezogene Daten und vertrauliche Geschäftsdaten), die nicht als offene Daten wiederverwendet werden können, aber nach spezifischen EU- oder nationalen Rechtsvorschriften wiederverwendet werden könnten. Aus diesen Daten kann eine Fülle von Wissen gewonnen werden, ohne dass deren geschützte Natur beeinträchtigt wird, und die DGA sieht Regeln und Garantien vor, um eine solche Wiederverwendung zu erleichtern, wann immer dies nach anderen Rechtsvorschriften möglich ist.  

Wie funktioniert das in der Praxis?

• Technische Anforderungen für den öffentlichen Sektor: Die Mitgliedstaaten müssen technisch ausgestattet sein, um sicherzustellen, dass die Privatsphäre und die Vertraulichkeit der Daten in Fällen der Weiterverwendung uneingeschränkt gewahrt werden. Dies kann eine Reihe von Instrumenten umfassen, von technischen Lösungen wie Anonymisierung, Pseudonymisierung oder Zugriff auf Daten in sicheren Verarbeitungsumgebungen (z. B. Datenräume), die vom öffentlichen Sektor überwacht werden, bis hin zu vertraglichen Mitteln wie Vertraulichkeitsvereinbarungen zwischen der öffentlichen Stelle und dem Weiterverwender.
• Unterstützung durch die öffentliche Stelle: Wenn eine öffentliche Stelle keinen Zugang zu bestimmten Daten zur Weiterverwendung gewähren kann, sollte sie den potenziellen Weiterverwender dabei unterstützen, die Einwilligung der Person zur Weiterverwendung ihrer personenbezogenen Daten oder die Erlaubnis des Dateninhabers einzuholen, deren Rechte oder Interessen durch die Weiterverwendung beeinträchtigt werden können. Darüber hinaus können vertrauliche Informationen (z. B. Geschäftsgeheimnisse) nur mit einer solchen Zustimmung oder Erlaubnis zur Weiterverwendung offengelegt werden.
• Um noch mehr öffentlich zugängliche Daten für die Weiterverwendung zur Verfügung zu stellen, beschränkt die DGA die Abhängigkeit von exklusiven Datenwiederverwendungsvereinbarungen (wodurch eine öffentliche Stelle einem Unternehmen ein solches ausschließliches Recht gewährt) auf bestimmte Fälle von öffentlichem Interesse.
• Angemessene Gebühren: öffentliche Stellen können Gebühren für die Genehmigung der Weiterverwendung erheben, solange diese Gebühren die erforderlichen Kosten nicht überschreiten. Darüber hinaus sollten öffentliche Stellen Anreize für die Wiederverwendung für wissenschaftliche Forschung und andere nichtkommerzielle Zwecke sowie für KMU und Start-ups schaffen, indem Gebühren gesenkt oder sogar ausgeschlossen werden.
• Eine öffentliche Stelle hat bis zu zwei Monate Zeit, um über einen Antrag auf Wiederverwendung zu entscheiden.
• Die Mitgliedstaaten können wählen, welche zuständigen Stellen die öffentlichen Stellen, die Zugang zur Weiterverwendung gewähren, unterstützen, indem sie ihnen beispielsweise eine sichere Verarbeitungsumgebung zur Verfügung stellen und sie darüber beraten, wie Daten am besten strukturiert und gespeichert werden können, um sie leicht zugänglich zu machen.
• Um potenziellen Wiederverwendern dabei zu helfen, relevante Informationen darüber zu finden, welche Daten im Besitz der Behörden sind, müssen die Mitgliedstaaten eine zentrale Informationsstelle einrichten. Die Kommission hat das europäische Register für geschützte Daten im Besitz des öffentlichen Sektors (ERPD) eingerichtet, ein durchsuchbares Register der von den nationalen zentralen Informationsstellen zusammengestellten Informationen, um die Weiterverwendung von Daten im Binnenmarkt und darüber hinaus weiter zu erleichtern.

Datenvermittlungsdienste

Was sind die wichtigsten Ziele?

Viele Unternehmen befürchten derzeit, dass die Weitergabe ihrer Daten einen Verlust von Wettbewerbsvorteilen bedeuten würde und ein Missbrauchsrisiko darstellen würde. Die DGA legt eine Reihe von Regeln für Anbieter von Datenvermittlungsdiensten (sogenannte Datenintermediäre wie Datenmarktplätze) fest, um sicherzustellen, dass sie als vertrauenswürdige Organisatoren für den Datenaustausch oder die Bündelung innerhalb der Gemeinsamen europäischen Datenräume fungieren. Um das Vertrauen in den Datenaustausch zu erhöhen, schlägt dieser neue Ansatz ein Modell vor, das auf der Neutralität und Transparenz von Datenintermediären beruht und gleichzeitig Einzelpersonen und Unternehmen die Kontrolle über ihre Daten erhält.

Wie funktioniert das in der Praxis?

Das Framework bietet ein alternatives Modell zu den Datenhandling-Praktiken der Big Tech-Plattformen, die ein hohes Maß an Marktmacht haben, da sie große Datenmengen kontrollieren.

In der Praxis fungieren Datenintermediäre als neutrale Dritte, die Einzelpersonen und Unternehmen mit Datennutzern verbinden. Obwohl sie für die Erleichterung des Datenaustauschs zwischen den Parteien Gebühren erheben können, können sie die Daten, die sie vermitteln, nicht direkt für finanzielle Gewinne verwenden (z. B. indem sie sie an ein anderes Unternehmen verkaufen oder sie verwenden, um ihr eigenes Produkt auf der Grundlage dieser Daten zu entwickeln). Datenvermittler müssen strenge Anforderungen erfüllen, um diese Neutralität zu gewährleisten und Interessenkonflikte zu vermeiden. In der Praxis bedeutet dies, dass es eine strukturelle Trennung zwischen dem Datenvermittlungsdienst und allen anderen erbrachten Dienstleistungen geben muss (d. h. sie müssen rechtlich getrennt sein). Darüber hinaus sollten die kommerziellen Bedingungen (einschließlich der Preisgestaltung) für die Erbringung von Vermittlungsdiensten nicht davon abhängen, ob ein potenzieller Dateninhaber oder Datennutzer andere Dienste in Anspruch nimmt. Alle erfassten Daten und Metadaten können nur zur Verbesserung des Datenvermittlungsdienstes verwendet werden.

Sowohl eigenständige Organisationen, die nur Datenvermittlungsdienste erbringen, als auch Unternehmen, die zusätzlich zu anderen Diensten Datenvermittlungsdienste anbieten, könnten als vertrauenswürdige Vermittler fungieren. Im letzteren Fall muss die Datenvermittlungstätigkeit sowohl rechtlich als auch wirtschaftlich streng von anderen Datendiensten getrennt werden.

Im Rahmen der DGA sind Datenvermittler verpflichtet, der zuständigen Behörde ihre Absicht mitzuteilen, solche Dienstleistungen zu erbringen. Die zuständige Behörde stellt sicher, dass das Notifizierungsverfahren nicht diskriminierend ist und den Wettbewerb nicht verfälscht, und bestätigt, dass der Anbieter von Datenvermittlungsdiensten die Mitteilung mit allen erforderlichen Informationen übermittelt hat.

Nach Erhalt einer solchen Bestätigung kann der Datenintermediär in seiner schriftlichen und mündlichen Kommunikation das Label „in der Union anerkannter Anbieter von Datenvermittlungsdiensten“ sowie das gemeinsame Logo legal betreiben und verwenden. Diese Behörden werden auch die Einhaltung der Anforderungen für die Datenvermittlung überwachen, und die Kommission führt ein zentrales Register anerkannter Datenvermittler.

Datenaltruismus

Was sind die wichtigsten Ziele?

Datenaltruismus bezieht sich auf Einzelpersonen und Unternehmen, die ihre Zustimmung oder Erlaubnis geben, Daten zur Verfügung zu stellen, die sie – freiwillig und ohne Belohnung – für Ziele von allgemeinem Interesse generieren. Solche Daten haben ein enormes Potenzial, die Forschung voranzutreiben und bessere Produkte und Dienstleistungen zu entwickeln, auch in den Bereichen Gesundheit, Umwelt und Mobilität.

Die Forschung zeigt, dass zwar grundsätzlich die Bereitschaft besteht, sich mit Datenaltruismus zu beschäftigen, in der Praxis aber durch den Mangel an Tools für die gemeinsame Nutzung von Daten behindert wird. Ziel des Data Governance Act ist es daher, vertrauenswürdige Tools zu schaffen, die es ermöglichen, Daten auf einfache Weise zum Wohle der Gesellschaft zu teilen. Sie wird die richtigen Bedingungen schaffen, um Einzelpersonen und Unternehmen zu versichern, dass sie bei der Weitergabe ihrer Daten von vertrauenswürdigen Organisationen auf der Grundlage von EU-Werten und -Grundsätzen behandelt werden. Dies wird es ermöglichen, Datenpools von ausreichender Größe zu erstellen, um Datenanalysen und maschinelles Lernen, auch grenzüberschreitend, zu ermöglichen.

Wie funktioniert das in der Praxis?

Einrichtungen, die relevante Daten auf der Grundlage von Datenaltruismus zur Verfügung stellen, können sich als „in der Union anerkannte Datenaltruismusorganisationen“ registrieren. Diese Einrichtungen müssen einen gemeinnützigen Charakter haben und Transparenzanforderungen erfüllen sowie spezifische Garantien zum Schutz der Rechte und Interessen von Bürgern und Unternehmen bieten, die ihre Daten teilen. Darüber hinaus müssen sie das Regelwerk (letztens 18 Monate nach Inkrafttreten) einhalten, in dem Informationsanforderungen, technische und sicherheitstechnische Anforderungen, Kommunikationsfahrpläne und Empfehlungen zu Interoperabilitätsstandards festgelegt werden. Das Regelwerk wird von der Kommission in enger Zusammenarbeit mit Organisationen des Datenaltruismus und anderen einschlägigen Interessenträgern ausgearbeitet.

Die Einrichtungen werden in der Lage sein, das für diesen Zweck entworfene gemeinsame Logo zu verwenden und können sich dafür entscheiden, in das öffentliche Register der Datenaltruismus-Organisationen aufgenommen zu werden. Die Kommission hat ein Register anerkannter Datenaltruismus-Organisationen auf EU-Ebene zu Informationszwecken eingerichtet.  

Ein gemeinsames europäisches Zustimmungsformular für Datenaltruismus ermöglicht die Erfassung von Daten in allen Mitgliedstaaten in einem einheitlichen Format, das sicherstellt, dass diejenigen, die ihre Daten teilen, ihre Einwilligung leicht erteilen und widerrufen können. Es wird auch den Forschern und Unternehmen, die Daten auf der Grundlage von Altruismus verwenden möchten, Rechtssicherheit geben. Dies wird eine modulare Form sein, die auf die Bedürfnisse bestimmter Sektoren und Zwecke zugeschnitten werden kann.

Europäischer Innovationsrat für Daten

Was sind die wichtigsten Ziele?

Wie in der DGA vorgesehen, richtete die Kommission den European Data Innovation Board (EDIB) ein, um den Austausch bewährter Verfahren, insbesondere in Bezug auf die Vermittlung von Daten, Datenaltruismus und die Nutzung öffentlicher Daten, die nicht als offene Daten bereitgestellt werden können, sowie die Priorisierung sektorübergreifender Interoperabilitätsstandards zu erleichtern.

Wie funktioniert das in der Praxis?

Dem EDIB gehören Vertreter folgender Einrichtungen an:

• Zuständige Behörden der Mitgliedstaaten für die Datenvermittlung
• Zuständige Behörden der Mitgliedstaaten für Datenaltruismus
• der Europäische Datenschutzausschuss
• der Europäische Datenschutzbeauftragte
• Agentur der Europäischen Union für Cybersicherheit (ENISA)
• die Europäische Kommission
• der KMU-Beauftragte/Vertreter der EU, der vom Netz der KMU-Beauftragten ernannt wird
• andere Vertreter einschlägiger Stellen, die von der Kommission im Wege einer Aufforderung zur Einreichung von Sachverständigen ausgewählt wurden.

Die Liste der EDIB-Mitglieder finden Sie hier:  Register der Expertengruppen der Kommission und anderer ähnlicher Einrichtungen (europa.eu).

Edib wird die Befugnis haben, Leitlinien für gemeinsame europäische Datenräume vorzuschlagen, beispielsweise zum angemessenen Schutz von Datenübermittlungen außerhalb der Union.

Internationale Datenströme

Was sind die wichtigsten Ziele?

In der europäischen Datenstrategie vom Februar 2020 wurde die Bedeutung eines offenen, aber durchsetzungsfähigen Ansatzes für den internationalen Datenfluss anerkannt.

Internationale Datenübermittlungen können das erhebliche sozioökonomische Potenzial der enormen Datenmenge in der EU erschließen und dadurch die internationale Wettbewerbsfähigkeit der Union auf globaler Ebene steigern und gleichzeitig zum Wirtschaftswachstum beitragen, was insbesondere im Zeitalter der Erholung nach der COVID-19-Pandemie von entscheidender Bedeutung ist.

Die DGA spielt zwar eine Schlüsselrolle bei der Stärkung der offenen strategischen Autonomie der Europäischen Union, trägt aber auch dazu bei, Vertrauen in internationale Datenströme zu schaffen.

Wie funktioniert das in der Praxis?

Während die DSGVO alle erforderlichen Garantien im Zusammenhang mit personenbezogenen Daten eingeführt hat, gibt es aufgrund der DGA ähnliche Garantien für Auskunftsersuchen von Regierungen von Drittländern im Zusammenhang mit nicht personenbezogenen Daten.

Diese Garantien betreffen alle Szenarien und Bestimmungen der DGA, insbesondere für Daten des öffentlichen Sektors, Datenvermittlungsdienste und Datenaltruismuskonstellationen. Der Weiterverwender in dem Drittland muss in Bezug auf die betreffenden Daten dasselbe Schutzniveau wie das im EU-Recht gewährleistete Schutzniveau gewährleisten und die jeweilige EU-Rechtshoheit akzeptieren.  

Falls dies für erforderlich erachtet wird, kann die Kommission zusätzliche Angemessenheitsbeschlüsse für die Übermittlung öffentlich geschützter Daten zur Weiterverwendung erlassen, wenn es um einen Antrag auf Zugang zu nicht personenbezogenen Daten aus einem Drittland geht. Diese Angemessenheitsentscheidungen werden den Angemessenheitsentscheidungen im Zusammenhang mit der Übermittlung personenbezogener Daten im Rahmen der DSGVO ähnlich sein.

Darüber hinaus ermächtigt die DGA die Kommission, Mustervertragsklauseln f��r öffentliche Stellen und Weiterverwender für Szenarien zur Verfügung zu stellen, in denen Daten des öffentlichen Sektors an Datenübermittlungen mit Drittländern beteiligt sind.