Skip to main content
Gestaltung der digitalen Zukunft Europas

Data Governance Act erklärt

Das Data Governance Act bietet einen Rahmen, um das Vertrauen in den freiwilligen Datenaustausch zum Nutzen von Unternehmen und Bürgern zu stärken.

© image by peshkov - Getty Images/iStock

Das wirtschaftliche und gesellschaftliche Potenzial von Daten ist enorm: es kann neue Produkte und Dienstleistungen ermöglichen, die auf neuartigen Technologien basieren, die Produktion effizienter gestalten und Instrumente zur Bewältigung gesellschaftlicher Herausforderungen bereitstellen. Im Gesundheitsbereich können beispielsweise Daten dazu beitragen, eine bessere Gesundheitsversorgung zu gewährleisten, personalisierte Behandlungen zu verbessern und seltene oder chronische Krankheiten zu heilen. Es ist auch ein starker Motor für Innovation und neue Arbeitsplätze und eine wichtige Ressource für Start-ups und KMU.

Dieses Potenzial wird jedoch nicht ausgeschöpft. Der Datenaustausch in der EU ist aufgrund einer Reihe von Hindernissen (u. a. geringes Vertrauen in den Datenaustausch, Fragen im Zusammenhang mit der Weiterverwendung von Daten des öffentlichen Sektors und der Datenerhebung zum Gemeinwohl sowie technische Hindernisse) nach wie vor begrenzt.

Um dieses enorme Potenzial wirklich nutzen zu können, müssen mehr Daten zur Verfügung gestellt, mit Vertrauen geteilt und technisch einfach wiederverwendet werden.

Das Data Governance Act (DGA) ist ein sektorübergreifendes Instrument, das darauf abzielt, mehr Daten zur Verfügung zu stellen, indem die Weiterverwendung von öffentlich gespeicherten, geschützten Daten geregelt wird, indem der Datenaustausch durch die Regulierung neuer Datenintermediäre gefördert und der Austausch von Daten für altruistische Zwecke gefördert wird. Sowohl personenbezogene als auch nicht personenbezogene Daten fallen in den Anwendungsbereich der DGA, und überall dort, wo personenbezogene Daten betroffen sind, gilt die Datenschutz-Grundverordnung (DSGVO). Zusätzlich zur DSGVO werden integrierte Sicherheitsvorkehrungen das Vertrauen in den Datenaustausch und die Weiterverwendung stärken, eine Voraussetzung, um mehr Daten auf dem Markt verfügbar zu machen.

Weiterverwendung bestimmter Kategorien von Daten, die sich im Besitz öffentlicher Stellen befinden

Was sind die wichtigsten Ziele?

Die Richtlinie über offene Daten regelt die Weiterverwendung öffentlich zugänglicher Informationen im Besitz des öffentlichen Sektors. Der öffentliche Sektor verfügt jedoch auch über große Mengen geschützter Daten (z. B. personenbezogene Daten und vertrauliche Geschäftsdaten), die nicht als offene Daten weiterverwendet werden können, die jedoch nach spezifischen EU- oder nationalen Rechtsvorschriften weiterverwendet werden könnten. Eine Fülle von Wissen kann aus solchen Daten extrahiert werden, ohne ihre geschützte Natur zu beeinträchtigen, und die DGA sieht Regeln und Garantien vor, um eine solche Weiterverwendung zu erleichtern, wann immer dies nach anderen Rechtsvorschriften möglich ist.  

Wie funktioniert es in der Praxis?

  • Technische Anforderungen für den öffentlichen Sektor: Die Mitgliedstaaten müssen technisch ausgestattet sein, um sicherzustellen, dass die Privatsphäre und Vertraulichkeit der Daten in Fällen der Weiterverwendung uneingeschränkt geachtet wird. Dies kann eine Reihe von Instrumenten umfassen, von technischen Lösungen wie Anonymisierung, Pseudonymisierung oder Zugriff auf Daten in sicheren Verarbeitungsumgebungen (z. B. Datenräume), die vom öffentlichen Sektor überwacht werden, bis hin zu vertraglichen Mitteln wie Vertraulichkeitsvereinbarungen zwischen der öffentlichen Stelle und dem Weiterverwender.
  • Unterstützung durch die öffentliche Stelle: Wenn eine öffentliche Stelle keinen Zugang zu bestimmten Daten zur Weiterverwendung gewähren kann, sollte sie dem potenziellen Weiterverwender dabei helfen, die Zustimmung der Person zur Weiterverwendung ihrer personenbezogenen Daten einzuholen) oder die Erlaubnis des Dateninhabers, deren Rechte oder Interessen durch die Weiterverwendung beeinträchtigt werden könnten. Darüber hinaus können vertrauliche Informationen (z. B. Geschäftsgeheimnisse) nur mit einer solchen Zustimmung oder Genehmigungzur Weiterverwendung offengelegt werden.
  • Um noch mehr öffentlich zugängliche Daten zur Weiterverwendung zur Verfügung zu stellen, beschränkt die DGA den Rückgriff auf ausschließliche Datenwiederverwendungsvereinbarungen (wobei eine öffentliche Stelle einem Unternehmen ein solches ausschließliches Recht einräumt) auf bestimmte Fälle von öffentlichem Interesse.
  • Angemessene Gebühren: öffentliche Stellen können Gebühren für die Weiterverwendung erheben, solange diese Gebühren die erforderlichen Kosten nicht übersteigen. Darüber hinaus sollten öffentliche Stellen Anreize für die Weiterverwendung für wissenschaftliche Forschung und andere nichtkommerzielle Zwecke sowie für KMU und Start-up-Unternehmen schaffen, indem sie Entgelte reduzieren oder gar ausschließen.
  • Eine öffentliche Stelle hat bis zu zwei Monate Zeit, um über einen Antrag auf Weiterverwendung zu entscheiden.
  • Die Mitgliedstaaten können wählen, welche zuständigen Stellen die öffentlichen Stellen, die Zugang zur Weiterverwendung gewähren, unterstützen werden, indem sie dieser beispielsweise eine sichere Verarbeitungsumgebung bieten und sie darüber beraten, wie die Daten am besten strukturiert und gespeichert werden können, um sie leicht zugänglich zu machen.
  • Um potenziellen Weiterverwendern dabei zu helfen, relevante Informationen darüber zu finden, welche Daten sich im Besitz der Behörden befinden, müssen die Mitgliedstaaten eine einzige Informationsstelle einrichten. Die Kommission wird einen einheitlichen europäischen Zugangspunkt (mit einem durchsuchbaren Register der von den nationalen zentralen Informationsstellen zusammengestellten Informationen) einrichten, um die Weiterverwendung von Daten im Binnenmarkt und darüber hinaus weiter zu erleichtern.

Beispiele

  • Die finnische Sozial- und Gesundheitsdatenbehörde Findata verarbeitet Anfragen und gewährt Zugang zu Daten zur Weiterverwendung. Beispiele für Findatas Datenquellen sind die Sozialversicherung, das Rentenregister und das Bevölkerungsregister.
  • Das französische Unternehmen DAMAE Medical verbessert seine LC-OCT-Technologie (Line-field Confocal Optical Coherence Tomography), die den Zugang zur zellulären Auflösung von inneren Mikrostrukturen der Haut bis zur Dermis ermöglicht, sofort und nicht-invasiv mit neuen Trainingsdaten, die über den französischen Health Data Hub zur Verfügung gestellt werden. Ziel des Projekts ist es, die Fähigkeit dieser Technologie zu verbessern, potenzielle Anzeichen von Hautkrebs besser zu identifizieren und den chirurgischen Interventionsbereich besser abzugrenzen.

Datenvermittlungsdienste

Was sind die wichtigsten Ziele?

Viele Unternehmen befürchten derzeit, dass die gemeinsame Nutzung ihrer Daten einen Verlust von Wettbewerbsvorteilen mit sich bringen würde und ein Missbrauchsrisiko darstellen würde. Die DGA legt eine Reihe von Regeln für Anbieter von Datenvermittlungsdiensten (sogenannte Datenintermediäre, wie z. B. Datenmarktplätze) fest, um sicherzustellen, dass sie als vertrauenswürdige Organisatoren des Datenaustauschs oder der Bündelung innerhalb der gemeinsamen europäischen Datenräume fungieren. Um das Vertrauen in den Datenaustausch zu stärken, schlägt dieser neue Ansatz ein Modell vor, das auf der Neutralität und Transparenz von Datenintermediären beruht und gleichzeitig Einzelpersonen und Unternehmen die Kontrolle über ihre Daten verschafft.

Wie funktioniert es in der Praxis?

Das Framework bietet ein alternatives Modell zu den Data-Handling-Praktiken der Big Tech-Plattformen, die über ein hohes Maß an Marktmacht verfügen, weil sie große Datenmengen kontrollieren.

In der Praxis werden Datenvermittler als neutrale Dritte fungieren, die Einzelpersonen und Unternehmen auf der einen Seite mit Datennutzern auf der anderen Seite verbinden. Sie können die Daten nicht monetarisieren (z. B. indem sie sie an ein anderes Unternehmen verkaufen oder sie für die Entwicklung ihres eigenen Produkts auf der Grundlage dieser Daten verwenden) und müssen strenge Anforderungen erfüllen, um diese Neutralität zu gewährleisten und Interessenkonflikte zu vermeiden. In der Praxis bedeutet dies, dass es eine strukturelle Trennung zwischen dem Datenvermittlungsdienst und allen anderen (d. h. rechtlich getrennten) Dienstleistungen geben muss. Darüber hinaus sollten die kommerziellen Bedingungen (einschließlich der Preisgestaltung) für die Erbringung von Vermittlungsdiensten nicht davon abhängen, ob ein potenzieller Dateninhaber oder Datennutzer andere Dienste in Anspruch nimmt. Erfasste Daten und Metadaten können nur zur Verbesserung des Datenvermittlungsdienstes verwendet werden.

Sowohl eigenständige Organisationen, die nur Datenvermittlungsdienste anbieten, als auch Unternehmen, die neben anderen Diensten Datenvermittlungsdienste anbieten, könnten als vertrauenswürdige Vermittler fungieren. Im letzteren Fall muss die Datenvermittlungstätigkeit rechtlich und wirtschaftlich streng von anderen Datendiensten getrennt werden.

Im Rahmen der DGA werden Datenintermediäre verpflichtet, der zuständigen Behörde ihre Absicht mitzuteilen, solche Dienstleistungen zu erbringen. Die zuständige Behörde stellt sicher, dass das Notifizierungsverfahren nicht diskriminierend ist und den Wettbewerb nicht verzerrt, und bestätigt, dass der Anbieter von Datenvermittlungsdiensten die Mitteilung mit allen erforderlichen Informationen übermittelt hat.

Nach Erhalt einer solchen Bestätigung kann der Datenvermittler in seiner schriftlichen und mündlichen Kommunikation das Etikett „in der Union anerkannte Datenvermittlungsdiensteanbieter“ sowie das gemeinsame Logo legal betreiben und verwenden. Diese Behörden werden auch die Einhaltung der Datenvermittlungsanforderungen überwachen, und die Kommission wird ein zentrales Register der Datenintermediäre führen.

Beispiele

Mit ihrem Data Intelligence Hub bietet die Deutsche Telekom einen Datenmarktplatz, in dem Unternehmen qualitativ hochwertige Informationen, beispielsweise Produktionsdaten, sicher verwalten, bereitstellen und monetarisieren können, um Prozesse oder ganze Wertschöpfungsketten zu optimieren. Die Telekom übernimmt die Rolle eines neutralen Treuhänders und garantiert Datenhoheit durch dezentrales Datenmanagement. Derzeit sind mehr als 1.000 Nutzer aus über 100 verschiedenen Unternehmen auf der Plattform aktiv.

Dawex ist ein französisches Unternehmen, das sich selbst als „globaler Datenmarktplatz“ bezeichnet.  Dawex kauft oder verkauft keine Daten, sondern bringt Unternehmen zusammen, die an der Monetarisierung und Wiederverwendung von Daten interessiert sind, und fördert die Transparenz zwischen Datenlieferanten und -nutzern, indem sie sicherstellen, dass sie die Transaktion direkt auf ihrer Plattform kommunizieren und durchführen. Dawex entwickelte eine Reihe von Tools, die Datenlieferanten und -nutzern dabei helfen, die Daten zu verstehen, zu bewerten und zu kommunizieren. Visualisierungstools (z. B. Heatmaps, Baumkarten) liefern Datenbenutzern unterschiedliche Informationen über einen vollständigen Datensatz, der vor Abschluss einer Transaktion sicher geteilt werden kann. Sampling Tools generieren automatisch repräsentative Datenproben basierend auf Algorithmen, um Verzerrungen zu vermeiden. Datennutzer und Datenlieferanten kommunizieren über ein in die Plattform eingebettetes Messaging-Tool. Darüber hinaus unterstützt Dawex die Aushandlung der vertraglichen Vereinbarung nach Musterbedingungen, die automatisch generiert werden können.

API-AGRO ist ein landwirtschaftlicher Datenaustausch-Hub, der die Dawex-Technologie verwendet. Diese Technologie fördert ein landwirtschaftliches Ökosystem, an dem zahlreiche Akteure beteiligt sind, und einen neutralen Vermittler (die Api-Agro-Plattform), in dem eine klare Trennung zwischen der Vermittlungsrolle und anderen Tätigkeiten im Zusammenhang mit der Nutzung der Daten besteht. API-Agro monetarisiert die Daten nicht, sondern fungiert als neutraler Dritter, der Dateninhaber und Datennutzer verbindet.

Datenaltruismus

Was sind die wichtigsten Ziele?

Bei Data Altruism geht es um Einzelpersonen und Unternehmen, die ihre Zustimmung oder Erlaubnis erteilen, Daten zur Verfügung zu stellen, die sie – freiwillig und ohne Belohnung – erzeugen, um im öffentlichen Interesse verwendet zu werden. Solche Daten haben ein enormes Potenzial, um Forschung voranzutreiben und bessere Produkte und Dienstleistungen zu entwickeln, auch in den Bereichen Gesundheit, Umwelt und Mobilität.

Die Forschung zeigt, dass zwar grundsätzlich die Bereitschaft besteht, sich an Datenaltruismus zu beteiligen, in der Praxis wird dies jedoch durch einen Mangel an Tools für den Datenaustausch behindert. Das Ziel des Data Governance Act ist es, vertrauenswürdige Tools zu schaffen, die es ermöglichen, Daten auf einfache Weise zum Wohle der Gesellschaft zu teilen. Es wird die richtigen Bedingungen schaffen, um Einzelpersonen und Unternehmen zu versichern, dass sie, wenn sie ihre Daten teilen, von vertrauenswürdigen Organisationen auf der Grundlage der Werte und Grundsätze der EU behandelt werden. Dies wird die Schaffung von Datenpools von ausreichender Größe ermöglichen, um Datenanalysen und maschinelles Lernen auch grenzüberschreitend zu ermöglichen.

Wie funktioniert es in der Praxis?

Einrichtungen, die relevante Daten auf der Grundlage von Datenaltruismus zur Verfügung stellen, können sich als „in der Union anerkannte datenaltruistische Organisationen“ registrieren. Diese Einrichtungen müssen gemeinnützigen Charakter haben und Transparenzanforderungen erfüllen sowie spezifische Garantien zum Schutz der Rechte und Interessen von Bürgern und Unternehmen bieten, die ihre Daten teilen. Darüber hinaus müssen sie dem Regelwerk (spätestens 18 Monate nach Inkrafttreten) entsprechen, in dem Informationsanforderungen, technische und sicherheitstechnische Anforderungen, Kommunikationsfahrpläne und Empfehlungen zu Interoperabilitätsnormen festgelegt werden. Das Regelwerk wird von der Kommission in enger Zusammenarbeit mit datenaltruistischen Organisationen und anderen einschlägigen Interessenträgern ausgearbeitet.

Die Entitäten werden in der Lage sein, das für diesen Zweck entworfene gemeinsame Logo zu verwenden und können sich dafür entscheiden, in das öffentliche Register der datenaltruistischen Organisationen aufgenommen zu werden. Die Kommission wird ein Register anerkannter Daten-/Altruismusorganisationen auf EU-Ebene zu Informationszwecken einrichten.  

Ein gemeinsames europäisches Einwilligungsformular für Datenaltruismus ermöglicht die Erhebung von Daten in allen Mitgliedstaaten in einem einheitlichen Format, um sicherzustellen, dass diejenigen, die ihre Daten teilen, ihre Einwilligung einfach erteilen und widerrufen können. Es wird auch Rechtssicherheit für Forscher und Unternehmen schaffen, die Daten auf der Grundlage von Altruismus verwenden möchten. Dies wird eine modulare Form sein, die auf die Bedürfnisse bestimmter Sektoren und Zwecke zugeschnitten werden kann.

Beispiele

MyData Global zielt darauf ab, „Personen zu stärken, indem sie ihr Recht auf Selbstbestimmung in Bezug auf ihre personenbezogenen Daten verbessern.“ Während das übergeordnete Ziel über den Datenaltruismus hinausgeht, bietet die Organisation eine vertrauenswürdige Schnittstelle für Mitglieder, um der Verwendung ihrer personenbezogenen Daten für bestimmte Zwecke zustimmen zu können.

Die Smart Citizen -Plattform ermöglicht es den Bürgern, Daten über Lärmpegel und Umweltverschmutzung in ihrem Haus, die über Sensoren gesammelt werden, auszutauschen. Dies liefert wichtige Informationen zur Erfassung von Lärm und Luftqualität sowie für Forscher und Regierungen, um gezielte Lösungen für diese Probleme zu entwickeln.

Die deutsche Corona-Datenspende-App wurde eingerichtet, um Daten (z. B. Herzfrequenz, Körpertemperatur, Blutdruck, Schlafmuster) von Fitnessarmbändern und Smartwatches zu sammeln. Durch die Überwachung dieser Daten konnten Forscher in einem frühen Stadium mögliche Covid-19-Hotspots identifizieren.

Europäischer Ausschuss für Dateninnovation

Was sind die wichtigsten Ziele?

Wie in der DGA vorgesehen, wird die Kommission den Europäischen Ausschuss für Dateninnovation (EDIB) einrichten, um den Austausch bewährter Verfahren zu erleichtern, insbesondere in Bezug auf Datenvermittlung, Datenaltruismus und die Verwendung öffentlicher Daten, die nicht als offene Daten zur Verfügung gestellt werden können, sowie zur Priorisierung sektorübergreifender Interoperabilitätsstandards.

Wie funktioniert es in der Praxis?

Die EDIB setzt sich aus Vertretern folgender Einrichtungen zusammen:

  • Für die Datenvermittlung zuständige Behörden der Mitgliedstaaten
  • Für Datenaltruismus zuständige Behörden der Mitgliedstaaten
  • der Europäische Datenschutzausschuss
  • der Europäische Datenschutzbeauftragte
  • Agentur der Europäischen Union für Cybersicherheit (ENISA)
  • die Europäische Kommission
  • der EU-KMU-Beauftragte/Vertreter, der vom Netz der KMU-Beauftragten ernannt wird
  • weitere Vertreter einschlägiger Gremien (zu diesem Zweck wird die Kommission eine Aufforderung zur Einreichung von Sachverständigen einleiten)

Es wird über mindestens drei Untergruppen operieren:

  1. eine Untergruppe, die sich aus Vertretern der zuständigen Behörden der Mitgliedstaaten zusammensetzt,
  2. eine Untergruppe für technische Diskussionen über Normung, Portabilität und Interoperabilität und
  3. eine Untergruppe für die Beteiligung der Interessenträger.

Beispiele

Die EDIB wird befugt sein, Leitlinien für gemeinsame europäische Datenräume vorzuschlagen, beispielsweise zum angemessenen Schutz von Datenübermittlungen außerhalb der Union.

Internationale Datenflüsse

Was sind die wichtigsten Ziele?

In der europäischen Datenstrategie vom Februar 2020 wurde anerkannt, wie wichtig es ist, einen offenen, aber dennoch selbstbewussten Ansatz für den internationalen Datenfluss zu verfolgen.

Internationale Datenübertragungen können das erhebliche sozioökonomische Potenzial der in der EU erzeugten großen Datenmenge erschließen, wodurch die internationale Wettbewerbsfähigkeit der Union auf globaler Ebene gesteigert und gleichzeitig zum Wirtschaftswachstum beigetragen wird, das insbesondere in der Zeit nach der COVID-19-Erholung von entscheidender Bedeutung ist.

Die DGA spielt zwar eine Schlüsselrolle bei der Stärkung der offenen strategischen Autonomie der Europäischen Union, trägt aber auch dazu bei, Vertrauen in internationale Datenströme zu schaffen.

Wie funktioniert es in der Praxis?

Während die DSGVO alle erforderlichen Garantien im Zusammenhang mit personenbezogenen Daten eingeführt hat, gibt es dank der DGA ähnliche Garantien für Auskunftsersuchen aus Drittländern im Zusammenhang mit nicht personenbezogenen Daten.

Diese Garantien betreffen alle von der DGA festgelegten Szenarien und Bestimmungen, insbesondere für Daten des öffentlichen Sektors, Datenvermittlungsdienste und Datenaltruismus-Konstellationen. Der Weiterverwender in dem Drittland muss in Bezug auf die betreffenden Daten das gleiche Schutzniveau wie das im EU-Recht gewährleistete Schutzniveau gewährleisten und die jeweilige EU-Gerichtsbarkeit akzeptieren.  

Falls dies für erforderlich erachtet wird, kann die Kommission zusätzliche Angemessenheitsbeschlüsse für die Übermittlung öffentlich geschützter Daten zur Weiterverwendung erlassen, wenn es um einen Antrag auf Zugang zu nicht personenbezogenen Daten aus einem Drittland geht. Diese Angemessenheitsentscheidungen werden mit den Angemessenheitsentscheidungen im Zusammenhang mit der Übermittlung personenbezogener Daten im Rahmen der DSGVO vergleichbar sein.

Darüber hinaus ermächtigt die DGA die Kommission, Mustervertragsklauseln für öffentliche Stellen und Weiterverwender für Szenarien zur Verfügung zu stellen, in denen Daten des öffentlichen Sektors an Datenübermittlungen mit Drittländern beteiligt sind.

Zugehöriger Inhalt

Gesamtbild

Europäisches Daten-Governance-Gesetz

Ein europäischer Rechtsakt zur Datenverwaltung, der in vollem Umfang mit den Werten und Grundsätzen der EU in Einklang steht, wird den Bürgern und Unternehmen der EU erhebliche Vorteile bringen.