Das Daten-Governance-Gesetz bietet einen Rahmen, um das Vertrauen in den freiwilligen Datenaustausch zum Nutzen von Unternehmen und Bürgern zu stärken.
Das wirtschaftliche und gesellschaftliche Potenzial von Daten ist enorm: Sie kann neue Produkte und Dienstleistungen auf der Grundlage neuartiger Technologien ermöglichen, die Produktion effizienter machen und Instrumente zur Bewältigung gesellschaftlicher Herausforderungen bereitstellen. Im Gesundheitsbereich können Daten beispielsweise dazu beitragen, eine bessere Gesundheitsversorgung zu gewährleisten, personalisierte Behandlungen zu verbessern und seltene oder chronische Krankheiten zu heilen. Es ist auch ein starker Motor für Innovation und neue Arbeitsplätze und eine wichtige Ressource für Start-ups und KMU.
Dieses Potenzial wird jedoch nicht ausgeschöpft. Der Datenaustausch in der EU ist aufgrund einer Reihe von Hindernissen (u. a. geringes Vertrauen in den Datenaustausch, Probleme im Zusammenhang mit der Weiterverwendung von Daten des öffentlichen Sektors und der Datenerhebung für das Gemeinwohl sowie technische Hindernisse) nach wie vor begrenzt.
Um dieses enorme Potenzial wirklich zu nutzen, sollte es einfacher sein, Daten auf vertrauenswürdige und sichere Weise auszutauschen.
Das Daten-Governance-Gesetz (Data Governance Act, DGA) ist ein sektorübergreifendes Instrument, das darauf abzielt, die Weiterverwendung öffentlich/geschützter Daten zu regeln, indem der Datenaustausch durch die Regulierung neuartiger Datenmittler gefördert und der Austausch von Daten für altruistische Zwecke gefördert wird. Sowohl personenbezogene als auch nicht personenbezogene Daten fallen in den Anwendungsbereich des DGA, und wo personenbezogene Daten betroffen sind, gilt die Datenschutz-Grundverordnung (DSGVO). Zusätzlich zur DSGVO werden eingebaute Sicherheitsvorkehrungen das Vertrauen in die gemeinsame Nutzung und Wiederverwendung von Daten erhöhen, eine Voraussetzung, um mehr Daten auf dem Markt verfügbar zu machen.
Weiterverwendung bestimmter Kategorien von Daten, die sich im Besitz öffentlicher Stellen befinden
Was sind die wichtigsten Ziele?
Die Richtlinie über offene Daten regelt die Weiterverwendung öffentlich zugänglicher Informationen, die sich im Besitz des öffentlichen Sektors befinden. Der öffentliche Sektor verfügt jedoch auch über große Mengen geschützter Daten (z. B. personenbezogene Daten und vertrauliche Geschäftsdaten), die nicht als offene Daten wiederverwendet werden können, die aber im Rahmen spezifischer EU- oder nationaler Rechtsvorschriften wiederverwendet werden könnten. Eine Fülle von Kenntnissen kann aus solchen Daten gewonnen werden, ohne ihren geschützten Charakter zu beeinträchtigen, und das DGA sieht Regeln und Garantien vor, um eine solche Weiterverwendung zu erleichtern, wann immer dies nach anderen Rechtsvorschriften möglich ist.
Wie funktioniert das in der Praxis?
- Technische Anforderungen an den öffentlichen Sektor: Die Mitgliedstaaten müssen technisch ausgestattet sein, um sicherzustellen, dass die Privatsphäre und Vertraulichkeit von Daten bei der Weiterverwendung in vollem Umfang gewahrt werden. Dies kann eine Reihe von Instrumenten umfassen, von technischen Lösungen wie Anonymisierung, Pseudonymisierung oder Zugriff auf Daten in sicheren Verarbeitungsumgebungen (z. B. Datenräumen), die vom öffentlichen Sektor überwacht werden, bis hin zu vertraglichen Mitteln wie Vertraulichkeitsvereinbarungen zwischen der öffentlichen Stelle und dem Weiterverwender.
- Unterstützung durch die öffentliche Stelle: Wenn eine öffentliche Stelle bestimmten Daten keinen Zugang zur Weiterverwendung gewähren kann, sollte sie den potenziellen Weiterverwender dabei unterstützen, die Zustimmung der Person zur Weiterverwendung ihrer personenbezogenen Daten oder die Zustimmung des Dateninhabers einzuholen, dessen Rechte oder Interessen durch die Weiterverwendung beeinträchtigt werden könnten. Darüber hinaus dürfen vertrauliche Informationen (z.B. Geschäftsgeheimnisse) nur mit einer solchen Zustimmung oder Erlaubnis zur Weiterverwendung offengelegt werden.
- Um noch mehr öffentlich gehaltene Daten für die Weiterverwendung verfügbar zu machen, beschränkt die DGA die Abhängigkeit von exklusiven Datenweiterverwendungsvereinbarungen (wobei eine öffentliche Stelle einem Unternehmen ein solches ausschließliches Recht einräumt) auf bestimmte Fälle von öffentlichem Interesse.
- Angemessene Gebühren: öffentliche Stellen können Gebühren für die Genehmigung der Weiterverwendung erheben, solange diese Gebühren die erforderlichen Kosten nicht übersteigen. Darüber hinaus sollten öffentliche Stellen Anreize für die Weiterverwendung für wissenschaftliche Forschung und andere nichtkommerzielle Zwecke sowie für KMU und Start-up-Unternehmen schaffen, indem sie die Gebühren senken oder sogar ausschließen.
- Eine öffentliche Stelle hat bis zu zwei Monate Zeit, um über einen Antrag auf Weiterverwendung zu entscheiden.
- Die Mitgliedstaaten können wählen, welche zuständigen Stellen die öffentlichen Stellen, die Zugang zur Weiterverwendung gewähren, unterstützen, indem sie ihnen beispielsweise eine sichere Verarbeitungsumgebung zur Verfügung stellen und sie beraten, wie sie Daten am besten strukturieren und speichern können, um sie leicht zugänglich zu machen.
- Damit potenzielle Weiterverwender relevante Informationen darüber finden können, welche Daten bei welchen Behörden gespeichert sind, müssen die Mitgliedstaaten eine zentrale Informationsstelle einrichten. Die Kommission hat das Europäische Register für geschützte Daten im Besitz des öffentlichen Sektors (ERPD)eingerichtet, ein durchsuchbares Register der von den nationalen zentralen Informationsstellen zusammengestellten Informationen, um die Weiterverwendung von Daten im Binnenmarkt und darüber hinaus weiter zu erleichtern.
Datenvermittlungsdienste
Was sind die wichtigsten Ziele?
Viele Unternehmen befürchten derzeit, dass die Weitergabe ihrer Daten einen Verlust des Wettbewerbsvorteils bedeuten und ein Missbrauchsrisiko darstellen würde. Die DGA legt eine Reihe von Vorschriften für Anbieter von Datenvermittlungsdiensten (sogenannte Datenmittler wie Datenmarktplätze) fest, um sicherzustellen, dass sie als vertrauenswürdige Organisatoren des Datenaustauschs oder -pools innerhalb der gemeinsamen europäischen Datenräume fungieren. Um das Vertrauen in den Datenaustausch zu stärken, schlägt dieser neue Ansatz ein Modell vor, das auf der Neutralität und Transparenz von Datenmittlern beruht und gleichzeitig Einzelpersonen und Unternehmen die Kontrolle über ihre Daten gibt.
Wie funktioniert das in der Praxis?
Das Framework bietet ein alternatives Modell zu den Datenverarbeitungspraktiken der Big-Tech-Plattformen, die eine hohe Marktmacht haben, weil sie große Datenmengen kontrollieren.
In der Praxis werden Datenmittler als neutrale Dritte fungieren, die Einzelpersonen und Unternehmen mit Datennutzern verbinden. Obwohl sie für die Erleichterung des Datenaustauschs zwischen den Parteien Gebühren erheben können, können sie die Daten, die sie vermitteln, nicht direkt für finanzielle Gewinne verwenden (z. B. indem sie sie an ein anderes Unternehmen verkaufen oder zur Entwicklung ihres eigenen Produkts auf der Grundlage dieser Daten verwenden). Datenmittler müssen strenge Anforderungen erfüllen, um diese Neutralität zu gewährleisten und Interessenkonflikte zu vermeiden. In der Praxis bedeutet dies, dass es eine strukturelle Trennung zwischen dem Datenvermittlungsdienst und allen anderen erbrachten Diensten geben muss (d. h. sie müssen rechtlich getrennt sein). Auch sollten die kommerziellen Bedingungen (einschließlich der Preisgestaltung) für die Erbringung von Vermittlungsdiensten nicht davon abhängen, ob ein potenzieller Dateninhaber oder Datennutzer andere Dienste nutzt. Alle erfassten Daten und Metadaten dürfen nur zur Verbesserung des Datenvermittlungsdienstes verwendet werden.
Sowohl eigenständige Organisationen, die nur Datenvermittlungsdienste anbieten, als auch Unternehmen, die Datenvermittlungsdienste zusätzlich zu anderen Diensten anbieten, könnten als vertrauenswürdige Vermittler fungieren. Im letzteren Fall muss die Datenvermittlungstätigkeit rechtlich und wirtschaftlich strikt von anderen Datendiensten getrennt werden.
Nach dem DGA müssen Datenmittler der zuständigen Behörde ihre Absicht mitteilen, solche Dienste zu erbringen. Die zuständige Behörde stellt sicher, dass das Notifizierungsverfahren nicht diskriminierend ist und den Wettbewerb nicht verfälscht, und bestätigt, dass der Anbieter von Datenvermittlungsdiensten die Notifizierung mit allen erforderlichen Informationen eingereicht hat.
Nach Erhalt einer solchen Bestätigung kann der Datenmittler in seiner schriftlichen und mündlichen Kommunikation rechtlich mit dem Betrieb beginnen und das Etikett „in der Union anerkannter Anbieter von Datenvermittlungsdiensten“ sowie das gemeinsame Logo verwenden. Diese Behörden werden auch die Einhaltung der Anforderungen an die Datenvermittlung überwachen, und die Kommission führt ein zentrales Register der anerkannten Datenmittler.
Datenaltruismus
Was sind die wichtigsten Ziele?
Bei Datenaltruismus geht es darum, dass Einzelpersonen und Unternehmen ihre Einwilligung oder Erlaubnis geben, Daten, die sie – freiwillig und ohne Gegenleistung – generieren, für Ziele von allgemeinem Interesse zur Verfügung zu stellen. Solche Daten haben ein enormes Potenzial, um die Forschung voranzutreiben und bessere Produkte und Dienstleistungen zu entwickeln, auch in den Bereichen Gesundheit, Umwelt und Mobilität.
Untersuchungen zeigen, dass zwar grundsätzlich die Bereitschaft besteht, sich an Datenaltruismus zu beteiligen, dies in der Praxis jedoch durch einen Mangel an Instrumenten für den Datenaustausch behindert wird. Daher besteht das Ziel des Data Governance Act darin, vertrauenswürdige Tools zu schaffen, mit denen Daten zum Wohle der Gesellschaft auf einfache Weise weitergegeben werden können. Sie wird die richtigen Bedingungen schaffen, um Einzelpersonen und Unternehmen zu versichern, dass sie, wenn sie ihre Daten weitergeben, von vertrauenswürdigen Organisationen auf der Grundlage der Werte und Grundsätze der EU behandelt werden. Dies wird die Schaffung von Datenpools mit einer ausreichenden Größe ermöglichen, um Datenanalysen und maschinelles Lernen auch grenzüberschreitend zu ermöglichen.
Wie funktioniert das in der Praxis?
Einrichtungen, die relevante Daten auf der Grundlage von Datenaltruismus zur Verfügung stellen, können sich als „in der Union anerkannte datenaltruistische Organisationen“ registrieren lassen. Diese Einrichtungen müssen gemeinnützig sein, Transparenzanforderungen erfüllen und spezifische Garantien zum Schutz der Rechte und Interessen von Bürgern und Unternehmen bieten, die ihre Daten weitergeben. Darüber hinaus müssen sie das Regelwerk (spätestens 18 Monate nach seinem Inkrafttreten) einhalten, in dem Informationsanforderungen, technische Anforderungen und Sicherheitsanforderungen, Kommunikationsfahrpläne und Empfehlungen zu Interoperabilitätsstandards festgelegt sind. Das Regelwerk wird von der Kommission in enger Zusammenarbeit mit datenaltruistischen Organisationen und anderen einschlägigen Interessenträgern ausgearbeitet.
Die Einrichtungen können das zu diesem Zweck entwickelte gemeinsame Logo verwenden und sich dafür entscheiden, in das öffentliche Register der datenaltruistischen Organisationen aufgenommen zu werden. Die Kommission hat zu Informationszwecken ein EU-weites Register anerkannter datenaltruistischer Organisationen eingerichtet.
Ein gemeinsames europäisches Einwilligungsformular für Datenaltruismus wird die Erhebung von Daten in allen Mitgliedstaaten in einem einheitlichen Format ermöglichen und sicherstellen, dass diejenigen, die ihre Daten weitergeben, ihre Einwilligung leicht erteilen und widerrufen können. Es wird auch Forschern und Unternehmen, die Daten auf der Grundlage von Altruismus verwenden möchten, Rechtssicherheit geben. Dabei handelt es sich um eine modulare Form, die auf die Bedürfnisse bestimmter Sektoren und Zwecke zugeschnitten werden kann.
Europäischer Dateninnovationsrat
Was sind die wichtigsten Ziele?
Wie in der DGA vorgesehen, richtete die Kommission den Europäischen Dateninnovationsrat (EDIB) ein, um den Austausch bewährter Verfahren, insbesondere in Bezug auf Datenvermittlung, Datenaltruismus und die Nutzung öffentlicher Daten, die nicht als offene Daten zur Verfügung gestellt werden können, sowie die Priorisierung sektorübergreifender Interoperabilitätsstandards zu erleichtern.
Wie funktioniert das in der Praxis?
Dem EDIB gehören Vertreter folgender Einrichtungen an:
- Zuständige Behörden der Mitgliedstaaten für die Datenvermittlung
- Zuständige Behörden der Mitgliedstaaten für Datenaltruismus
- des Europäischen Datenschutzausschusses
- des Europäischen Datenschutzbeauftragten
- Agentur der Europäischen Union für Cybersicherheit (ENISA)
- der Europäischen Kommission
- der vom Netz der KMU-Beauftragten ernannte KMU-Beauftragte/Vertreter der EU
- andere Vertreter einschlägiger Einrichtungen, die von der Kommission im Rahmen einer Aufforderung zur Einreichung von Sachverständigen ausgewählt wurden.
Die Liste der EDIB-Mitglieder finden Sie hier: Register der Expertengruppen der Kommission und anderer ähnlicher Einrichtungen (europa.eu).
Das EDIB wird befugt sein, Leitlinien für gemeinsame europäische Datenräume vorzuschlagen, beispielsweise zum angemessenen Schutz von Datenübermittlungen außerhalb der Union.
Internationale Datenströme
Was sind die wichtigsten Ziele?
In der europäischen Datenstrategie vom Februar 2020 wurde anerkannt, wie wichtig ein offener, aber durchsetzungsfähiger Ansatz für internationale Datenströme ist.
Internationale Datenübermittlungen können das beträchtliche sozioökonomische Potenzial der großen Datenmengen, die in der EU generiert werden, erschließen und so die internationale Wettbewerbsfähigkeit der Union auf globaler Ebene steigern und gleichzeitig zum Wirtschaftswachstum beitragen, das insbesondere in der Zeit nach der COVID-19-Krise von entscheidender Bedeutung ist.
Die DGA spielt zwar eine Schlüsselrolle bei der Stärkung der offenen strategischen Autonomie der Europäischen Union, trägt aber auch dazu bei, Vertrauen in die internationalen Datenströme zu schaffen.
Wie funktioniert das in der Praxis?
Während die DSGVO alle notwendigen Garantien im Zusammenhang mit personenbezogenen Daten eingeführt hat, ist es der Datenschutz-Grundverordnung zu verdanken, dass ähnliche Garantien für Zugriffsanfragen von Regierungen von Drittländern im Zusammenhang mit nicht personenbezogenen Daten bestehen.
Diese Garantien betreffen alle von der DGA festgelegten Szenarien und Bestimmungen, insbesondere für Daten des öffentlichen Sektors, Datenvermittlungsdienste und Datenaltruismuskonstellationen. Der Weiterverwender in dem Drittland muss in Bezug auf die betreffenden Daten das gleiche Schutzniveau gewährleisten wie das im EU-Recht gewährleistete Schutzniveau und die jeweilige EU-Gerichtsbarkeit akzeptieren.
Wenn dies für notwendig erachtet wird, kann die Kommission zusätzliche Angemessenheitsbeschlüsse für die Übermittlung öffentlich geschützter Daten zur Weiterverwendung erlassen, wenn es um einen Antrag auf Zugang zu nicht personenbezogenen Daten aus einem Drittland geht. Diese Angemessenheitsbeschlüsse werden den Angemessenheitsbeschlüssen im Zusammenhang mit der Übermittlung personenbezogener Daten gemäß der DSGVO ähneln.
Darüber hinaus ermächtigt die DGA die Kommission, Mustervertragsklauseln für öffentliche Stellen und Weiterverwender für Szenarien zur Verfügung zu stellen, in denen Daten des öffentlichen Sektors an Datenübermittlungen mit Drittländern beteiligt sind.
Zugehöriger Inhalt
Gesamtbild