Data Governance Act erklärt

Das wirtschaftliche und gesellschaftliche Potenzial der Daten ist enorm: es kann neue Produkte und Dienstleistungen ermöglichen, die auf neuartigen Technologien basieren, die Produktion effizienter machen und Instrumente zur Bewältigung gesellschaftlicher Herausforderungen bereitstellen. Im Bereich Gesundheit können Daten beispielsweise dazu beitragen, eine bessere Gesundheitsversorgung zu gewährleisten, personalisierte Behandlungen zu verbessern und seltene oder chronische Krankheiten zu heilen. Es ist auch ein leistungsstarker Motor für Innovation und neue Arbeitsplätze und eine kritische Ressource für Start-ups und KMU.

Dieses Potenzial wird jedoch nicht realisiert. Der Datenaustausch in der EU ist aufgrund einer Reihe von Hindernissen nach wie vor begrenzt (u. a. geringes Vertrauen in den Datenaustausch, Probleme im Zusammenhang mit der Weiterverwendung von Daten des öffentlichen Sektors und Datenerhebung für das Gemeinwohl sowie technische Hindernisse).

Um dieses enorme Potenzial wirklich zu nutzen, sollte es einfacher sein, Daten vertrauenswürdig und sicher zu teilen.

Das Data Governance Act (DGA) ist ein sektorübergreifendes Instrument, das darauf abzielt, die Weiterverwendung von öffentlich/gespeicherten, geschützten Daten zu regulieren, die gemeinsame Nutzung von Daten durch die Regulierung neuartiger Datenvermittler zu fördern und die gemeinsame Nutzung von Daten für altruistische Zwecke zu fördern. Sowohl personenbezogene als auch nicht personenbezogene Daten befinden sich im Anwendungsbereich der DGA, und wenn es um personenbezogene Daten geht, gilt die Datenschutz-Grundverordnung (DSGVO). Zusätzlich zur DSGVO werden integrierte Sicherheitsvorkehrungen das Vertrauen in den Datenaustausch und die Weiterverwendung stärken, was eine Voraussetzung für die Bereitstellung von mehr Daten auf dem Markt ist.

Weiterverwendung bestimmter Kategorien von Daten im Besitz öffentlicher Stellen

Was sind die wichtigsten Ziele?

Die Richtlinie über offene Daten regelt die Weiterverwendung öffentlich/verfügbarer Informationen im Besitz des öffentlichen Sektors. Der öffentliche Sektor verfügt jedoch auch über große Mengen geschützter Daten (z. B. personenbezogene Daten und vertrauliche Geschäftsdaten), die nicht als offene Daten wiederverwendet werden können, aber nach spezifischen EU- oder nationalen Rechtsvorschriften wiederverwendet werden könnten. Aus diesen Daten kann eine Fülle von Wissen gewonnen werden, ohne dass deren geschützte Natur beeinträchtigt wird, und die DGA sieht Regeln und Garantien vor, um eine solche Weiterverwendung zu erleichtern, wann immer dies nach anderen Rechtsvorschriften möglich ist.  

Wie funktioniert das in der Praxis?

• Technische Anforderungen für den öffentlichen Sektor: Die Mitgliedstaaten müssen technisch ausgestattet sein, um sicherzustellen, dass die Privatsphäre und die Vertraulichkeit der Daten in Fällen der Weiterverwendung uneingeschränkt gewahrt werden. Dies kann eine Reihe von Instrumenten umfassen, von technischen Lösungen wie Anonymisierung, Pseudonymisierung oder Zugriff auf Daten in sicheren Verarbeitungsumgebungen (z. B. Datenräume), die vom öffentlichen Sektor überwacht werden, bis hin zu vertraglichen Mitteln wie Vertraulichkeitsvereinbarungen zwischen der öffentlichen Stelle und dem Weiterverwender.
• Unterstützung durch die öffentliche Stelle: Wenn eine öffentliche Stelle keinen Zugang zu bestimmten Daten zur Weiterverwendung gewähren kann, sollte sie den potenziellen Weiterverwender dabei unterstützen, die Einwilligung der Person zur Weiterverwendung ihrer personenbezogenen Daten oder die Erlaubnis des Dateninhabers einzuholen, deren Rechte oder Interessen durch die Weiterverwendung beeinträchtigt werden können. Darüber hinaus können vertrauliche Informationen (z. B. Geschäftsgeheimnisse) nur mit einer solchen Zustimmung oder Erlaubnis zur Weiterverwendung offengelegt werden.
• Um noch mehr öffentlich zugängliche Daten zur Weiterverwendung zur Verfügung zu stellen, beschränkt die DGA die Abhängigkeit von exklusiven Datenwiederverwendungsvereinbarungen (wodurch eine öffentliche Stelle einem Unternehmen ein solches ausschließliches Recht gewährt) auf bestimmte Fälle von öffentlichem Interesse.
• Angemessene Gebühren: öffentliche Stellen können Gebühren für die Genehmigung der Weiterverwendung erheben, solange diese Gebühren die erforderlichen Kosten nicht überschreiten. Darüber hinaus sollten öffentliche Stellen Anreize für die Weiterverwendung für wissenschaftliche Forschung und andere nichtkommerzielle Zwecke sowie für KMU und Start-ups schaffen, indem Gebühren gesenkt oder sogar ausgeschlossen werden.
• Eine öffentliche Stelle hat bis zu zwei Monate Zeit, um über einen Antrag auf Weiterverwendung zu entscheiden.
• Die Mitgliedstaaten können wählen, welche zuständigen Stellen die öffentlichen Stellen, die Zugang zur Weiterverwendung gewähren, unterstützen, indem sie ihnen beispielsweise eine sichere Verarbeitungsumgebung zur Verfügung stellen und sie darüber beraten, wie Daten am besten strukturiert und gespeichert werden können, um sie leicht zugänglich zu machen.
• Um potenziellen Wiedernutzern dabei zu helfen, relevante Informationen darüber zu finden, welche Daten im Besitz der Behörden sind, müssen die Mitgliedstaaten eine zentrale Informationsstelle einrichten. Die Kommission hat das Europäische Register für geschützte Daten im Besitz des öffentlichen Sektors (ERPD)eingerichtet,ein durchsuchbares Register der von den nationalen zentralen Informationsstellen zusammengestellten Informationen, um die Weiterverwendung von Daten im Binnenmarkt und darüber hinaus weiter zu erleichtern.

Beispiele

• Die finnische Sozial- und Gesundheitsdatenbehörde Findata bearbeitet Anfragen und gewährt Zugang zu Daten zur Weiterverwendung. Beispiele für die Datenquellen von Findata sind der Sozialversicherungsträger, das Rentenregister und das Bevölkerungsregister.
• Das französische Unternehmen DAMAE Medical verbessert seine LC-OCT-Technologie (Line-field Confocal Optical Coherence Tomography), die den Zugang zur zellulären Auflösung der inneren Mikrostrukturen der Haut bis zur Dermis ermöglicht, sofort und nicht invasiv mit neuen Trainingsdaten, die über den French Health Data Hub zur Verfügung gestellt werden. Ziel des Projekts ist es, die Fähigkeit dieser Technologie zu verbessern, potenzielle Anzeichen von Hautkrebs besser zu identifizieren und den chirurgischen Interventionsbereich besser abzugrenzen.

Datenvermittlungsdienste

Was sind die wichtigsten Ziele?

Viele Unternehmen befürchten derzeit, dass die Weitergabe ihrer Daten einen Verlust von Wettbewerbsvorteilen bedeuten würde und ein Missbrauchsrisiko darstellen würde. Die DGA legt eine Reihe von Regeln für Anbieter von Datenvermittlungsdiensten (sogenannte Datenintermediäre wie Datenmarktplätze) fest, um sicherzustellen, dass sie als vertrauenswürdige Organisatoren für den Datenaustausch oder die Bündelung innerhalb der gemeinsamen europäischen Datenräume fungieren. Um das Vertrauen in den Datenaustausch zu erhöhen, schlägt dieser neue Ansatz ein Modell vor, das auf der Neutralität und Transparenz von Datenintermediären beruht und gleichzeitig Einzelpersonen und Unternehmen die Kontrolle über ihre Daten erhält.

Wie funktioniert das in der Praxis?

Das Framework bietet ein alternatives Modell zu den Datenhandling-Praktiken der Big Tech-Plattformen, die ein hohes Maß an Marktmacht haben, da sie große Datenmengen kontrollieren.

In der Praxis fungieren Datenintermediäre als neutrale Dritte, die Einzelpersonen und Unternehmen mit Datennutzern verbinden. Obwohl sie für die Erleichterung des Datenaustauschs zwischen den Parteien Gebühren erheben können, kann they die Daten, die sie vermitteln, nicht direkt für finanzielle Gewinne verwenden (z. B. indem sie sie an ein anderes Unternehmen verkaufen oder sie verwenden, um ihr eigenes Produkt auf der Grundlage dieser Daten zu entwickeln). Datenvermittler müssen strenge Anforderungen erfüllen, um diese Neutralität zu gewährleisten und Interessenkonflikte zu vermeiden. In der Praxis bedeutet dies, dass es eine strukturelle Trennung zwischen dem Datenvermittlungsdienst und allen anderen erbrachten Dienstleistungen geben muss (d. h. sie müssen rechtlich getrennt sein). Darüber hinaus sollten die kommerziellen Bedingungen (einschließlich der Preisgestaltung) für die Erbringung von Vermittlungsdiensten nicht davon abhängen, ob ein potenzieller Dateninhaber oder Datennutzer andere Dienste in Anspruch nimmt. Alle erfassten Daten und Metadaten können nur zur Verbesserung des Datenvermittlungsdienstes verwendet werden.

Sowohl eigenständige Organisationen, die nur Datenvermittlungsdienste erbringen, als auch Unternehmen, die zusätzlich zu anderen Diensten Datenvermittlungsdienste anbieten, könnten als vertrauenswürdige Vermittler fungieren. Im letzteren Fall muss die Datenvermittlungstätigkeit sowohl rechtlich als auch wirtschaftlich streng von anderen Datendiensten getrennt werden.

Im Rahmen der DGA sind Datenvermittler verpflichtet, der zuständigen Behörde ihre Absicht mitzuteilen, solche Dienstleistungen zu erbringen. Die zuständige Behörde stellt sicher, dass das Notifizierungsverfahren nicht diskriminierend ist und den Wettbewerb nicht verfälscht, und bestätigt, dass der Anbieter von Datenvermittlungsdiensten die Mitteilung mit allen erforderlichen Informationen übermittelt hat.

Nach Erhalt einer solchen Bestätigung kann der Datenintermediär in seiner schriftlichen und mündlichen Kommunikation das Label „in der Union anerkannter Anbieter von Datenvermittlungsdiensten“ sowie das gemeinsame Logo legal betreiben und verwenden. Diese Behörden werden auch die Einhaltung der Anforderungen an die Datenvermittlung überwachen, und die Kommission wird ein zentrales Register anerkannter Datenvermittler führen.

Beispiele

Die Deutsche Telekom bietet mit ihrem Data Intelligence Hub einen Datenmarkt, auf dem Unternehmen Informationen von hoher Qualität, z. B. Produktionsdaten, sicher verwalten, bereitstellen und monetarisieren können, um Prozesse oder ganze Wertschöpfungsketten zu optimieren. Die Telekom übernimmt die Rolle eines neutralen Treuhänders und garantiert Datenhoheit durch dezentrales Datenmanagement. Derzeit sind mehr als 1.000 Nutzer aus über 100 verschiedenen Unternehmen auf der Plattform aktiv.

Dawex ist ein französisches Unternehmen, das sich selbst als „globaler Datenmarkt“ bezeichnet.  Dawex kauft oder verkauft keine Daten, sondern bringt Unternehmen zusammen, die an der Monetarisierung und Weiterverwendung von Daten interessiert sind, und fördert die Transparenz zwischen Datenlieferanten und Nutzern, indem sie sicherstellen, dass sie die Transaktion direkt auf ihrer Plattform kommunizieren und durchführen. Dawex hat eine Reihe von Tools entwickelt, die sowohl Datenlieferanten als auch Benutzern dabei helfen, die Daten zu verstehen, zu bewerten und darüber zu kommunizieren. Visualisierungstools (z. B. Heatmaps, Baumkarten) liefern Datennutzern unterschiedliche Informationen über einen kompletten Datensatz, der vor Abschluss einer Transaktion sicher geteilt werden kann. Sampling-Tools generieren automatisch repräsentative Datenproben basierend auf Algorithmen, um Verzerrungen zu vermeiden. Datennutzer und Datenlieferanten kommunizieren mit einem in der Plattform eingebetteten Messaging-Tool. Darüber hinaus unterstützt Dawex die Aushandlung der Vertragsvereinbarung nach automatisch generierten Modellkonditionen.

API-AGRO ist ein landwirtschaftlicher Datenaustausch-Hub, der die Dawex-Technologie nutzt. Diese Technologie fördert ein landwirtschaftliches Ökosystem, an dem zahlreiche Akteure beteiligt sind, und ein neutraler Vermittler (die Api-Agro-Plattform), in dem es eine klare Trennung zwischen der Vermittlungsrolle und anderen Aktivitäten im Zusammenhang mit der Nutzung der Daten gibt. API-Agro monetarisiert die Daten nicht, sondern fungiert als neutraler Dritter, der Dateninhaber und Datennutzer verbindet.

Datenaltruismus

Was sind die wichtigsten Ziele?

Bei Datenaltruismus geht es um Einzelpersonen und Unternehmen, die ihre Zustimmung oder Erlaubnis geben, Daten zur Verfügung zu stellen, die sie – freiwillig und ohne Belohnung – für die Verwendung im öffentlichen Interesse generieren. Solche Daten haben ein enormes Potenzial, die Forschung voranzutreiben und bessere Produkte und Dienstleistungen zu entwickeln, auch in den Bereichen Gesundheit, Umwelt und Mobilität.

Die Forschung zeigt, dass zwar grundsätzlich die Bereitschaft besteht, sich mit Datenaltruismus zu beschäftigen, in der Praxis aber durch den Mangel an Tools für die gemeinsame Nutzung von Daten behindert wird. Ziel des Data Governance Act ist es daher, vertrauenswürdige Tools zu schaffen, die es ermöglichen, Daten auf einfache Weise zum Wohle der Gesellschaft zu teilen. Sie wird die richtigen Bedingungen schaffen, um Einzelpersonen und Unternehmen zu versichern, dass sie bei der Weitergabe ihrer Daten von vertrauenswürdigen Organisationen auf der Grundlage von EU-Werten und -Grundsätzen behandelt werden. Dies wird es ermöglichen, Datenpools von ausreichender Größe zu erstellen, um Datenanalysen und maschinelles Lernen, auch grenzüberschreitend, zu ermöglichen.

Wie funktioniert das in der Praxis?

Einrichtungen, die relevante Daten auf der Grundlage von Datenaltruismus zur Verfügung stellen, können sich als „in der Union anerkannte Datenaltruismusorganisationen“ registrieren. Diese Einrichtungen müssen einen gemeinnützigen Charakter haben und Transparenzanforderungen erfüllen sowie spezifische Garantien zum Schutz der Rechte und Interessen von Bürgern und Unternehmen bieten, die ihre Daten teilen. Darüber hinaus müssen sie das Regelwerk (letztens 18 Monate nach Inkrafttreten) einhalten, in dem Informationsanforderungen, technische und sicherheitstechnische Anforderungen, Kommunikationsfahrpläne und Empfehlungen zu Interoperabilitätsstandards festgelegt werden. Das Regelwerk wird von der Kommission in enger Zusammenarbeit mit Organisationen des Datenaltruismus und anderen einschlägigen Interessenträgern ausgearbeitet.

Die Einrichtungen werden in der Lage sein, das für diesen Zweck entworfene gemeinsame Logo zu verwenden und können sich dafür entscheiden, in das öffentliche Register der Datenaltruismus-Organisationen aufgenommen zu werden. Zu Informationszwecken wird die Kommission ein Register anerkannter Datenaltruismus-Organisationen auf EU-Ebene einrichten.  

Ein gemeinsames europäisches Zustimmungsformular für Datenaltruismus ermöglicht die Erfassung von Daten in allen Mitgliedstaaten in einem einheitlichen Format, das sicherstellt, dass diejenigen, die ihre Daten teilen, ihre Einwilligung leicht erteilen und widerrufen können. Es wird auch den Forschern und Unternehmen, die Daten auf der Grundlage von Altruismus verwenden möchten, Rechtssicherheit geben. Dies wird eine modulare Form sein, die auf die Bedürfnisse bestimmter Sektoren und Zwecke zugeschnitten werden kann.

Beispiele

MyData Global zielt darauf ab, „Personen zu stärken, indem sie ihr Recht auf Selbstbestimmung in Bezug auf ihre personenbezogenen Daten verbessern.“ Während das Gesamtziel über den Datenaltruismus hinausgeht, bietet die Organisation eine vertrauenswürdige Schnittstelle für Mitglieder, die der Verwendung ihrer personenbezogenen Daten für bestimmte Zwecke zustimmen können.

Die Smart Citizen -Plattform ermöglicht es den Bürgern, Daten über Lärmpegel und Verschmutzung in ihrem Haus auszutauschen, die über Sensoren gesammelt werden. Dies liefert wichtige Informationen für die Kartierung von Lärm und Luftqualität und für Forscher und Regierungen, um gezielte Lösungen für diese Probleme zu entwickeln.

Die Corona-Datenspende-App wurde eingerichtet, um Daten (z. B. Herzfrequenz, Körpertemperatur, Blutdruck, Schlafmuster) von Fitnessarmbändern und Smartwatches zu sammeln. Durch die Überwachung dieser Daten konnten die Forscher in einem frühen Stadium mögliche Covid-19-Hotspots identifizieren.

Europäischer Innovationsrat für Daten

Was sind die wichtigsten Ziele?

Wie in der DGA vorgesehen, richtete die Kommission den European Data Innovation Board (EDIB) ein, um den Austausch bewährter Verfahren, insbesondere in Bezug auf die Vermittlung von Daten, Datenaltruismus und die Nutzung öffentlicher Daten, die nicht als offene Daten bereitgestellt werden können, sowie die Priorisierung sektorübergreifender Interoperabilitätsstandards zu erleichtern.

Wie funktioniert das in der Praxis?

Dem EDIB gehören Vertreter folgender Einrichtungen an:

• Zuständige Behörden der Mitgliedstaaten für die Datenvermittlung
• Zuständige Behörden der Mitgliedstaaten für Datenaltruismus
• der Europäische Datenschutzausschuss
• der Europäische Datenschutzbeauftragte
• Agentur der Europäischen Union für Cybersicherheit (ENISA)
• die Europäische Kommission
• der KMU-Beauftragte/Vertreter der EU, der vom Netz der KMU-Beauftragten ernannt wird
• andere Vertreter einschlägiger Stellen, die von der Kommission im Wege einer Aufforderung zur Einreichung von Sachverständigen ausgewählt wurden.

Die Liste der EDIB-Mitglieder finden Sie hier:  Register der Expertengruppen der Kommission und anderer ähnlicher Einrichtungen (europa.eu).

Edib wird die Befugnis haben, Leitlinien für gemeinsame europäische Datenräume vorzuschlagen, beispielsweise zum angemessenen Schutz von Datenübermittlungen außerhalb der Union.

Internationale Datenströme

Was sind die wichtigsten Ziele?

In der europäischen Datenstrategie vom Februar 2020 wurde die Bedeutung eines offenen, aber durchsetzungsfähigen Ansatzes für den internationalen Datenfluss anerkannt.

Internationale Datenübermittlungen können das erhebliche sozioökonomische Potenzial der enormen Datenmenge in der EU erschließen und dadurch die internationale Wettbewerbsfähigkeit der Union auf globaler Ebene steigern und gleichzeitig zum Wirtschaftswachstum beitragen, was insbesondere im Zeitalter der Erholung nach der COVID-19-Pandemie von entscheidender Bedeutung ist.

Die DGA spielt zwar eine Schlüsselrolle bei der Stärkung der offenen strategischen Autonomie der Europäischen Union, trägt aber auch dazu bei, Vertrauen in internationale Datenströme zu schaffen.

Wie funktioniert das in der Praxis?

Während die DSGVO alle erforderlichen Garantien im Zusammenhang mit personenbezogenen Daten eingeführt hat, gibt es aufgrund der DGA ähnliche Garantien für Zugriffsanfragen aus Drittländern im Zusammenhang mit nicht personenbezogenen Daten.

Diese Garantien betreffen alle Szenarien und Bestimmungen der DGA, insbesondere für Daten des öffentlichen Sektors, Datenvermittlungsdienste und Datenaltruismuskonstellationen. Der Weiterverwender in dem Drittland muss in Bezug auf die betreffenden Daten dasselbe Schutzniveau wie das im EU-Recht gewährleistete Schutzniveau gewährleisten und die jeweilige EU-Rechtshoheit akzeptieren.  

Falls dies für erforderlich erachtet wird, kann die Kommission zusätzliche Angemessenheitsbeschlüsse für die Übermittlung öffentlich geschützter Daten zur Weiterverwendung erlassen, wenn es um einen Antrag auf Zugang zu nicht personenbezogenen Daten aus einem Drittland geht. Diese Angemessenheitsentscheidungen werden den Angemessenheitsentscheidungen im Zusammenhang mit der Übermittlung personenbezogener Daten im Rahmen der DSGVO ähnlich sein.

Darüber hinaus ermächtigt die DGA die Kommission, Mustervertragsklauseln für öffentliche Stellen und Weiterverwender für Szenarien zur Verfügung zu stellen, in denen Daten des öffentlichen Sektors an Datenübermittlungen mit Drittländern beteiligt sind.