1.
Hintergrund, Zielsetzung und Regelungsbereich des Data Governance Acts ^
Am 24. September 2023 ist die Verordnung (EU) 2022/868 des Europäischen Parlaments und des Rates über europäische Daten-Governance und zur Änderung der Verordnung (EU) 2018/1724 in Kraft getreten, auch Daten-Governance Rechtsakt genannt (engl. und im Folgenden „Data Governance Act“ oder „DGA“). Der Data Governance Act ist zusammen mit dem prominenten Data Act Teil der Europäischen Datenstrategie, mit der ein wettbewerbsfähiger EU-Binnenmarkt für Daten geschaffen werden soll.
Der Data Governance Act will einen harmonisierten Rechtsrahmen für den Datenaustausch schaffen und dadurch die gemeinsame Datennutzung im Binnenmarkt verbessern. Der EU-Gesetzgeber betont dabei, dass die Regelungen insbesondere dazu dienen, das Vertrauen betroffener Personen – im Sinne der DSGVO1 – und von Dateninhabern in die gemeinsame Datennutzung zu stärken.2 Dadurch soll zum einen die Etablierung von Datenmittlern insgesamt gefördert und Anreize für deren Nutzung geschaffen werden, sowie zum anderen die Nutzung und Verfügbarkeit von Daten in der Europäischen Union vorangetrieben werden. Darüber hinaus sollen durch den Data Governance Act Hemmnisse für eine gut funktionierende und wettbewerbsfähige datengesteuerte Wirtschaft abgebaut werden.3
Der Data Governance Act regelt im Wesentlichen drei Bereiche: Nach einigen allgemeinen Regelungen (Kapitel I) werden in Kapitel II Regelungen zur Weiterverwendung bestimmter Kategorien geschützter Daten im Besitz öffentlicher Stellen getroffen. Kapitel III, das für die freie Wirtschaft und für den vorliegenden Beitrag relevantesten Kapitel, formuliert Anforderungen an sogenannte Datenvermittlungsdienste. Schließlich werden in Kapitel IV Regelungen für den Datenaltruismus normiert.
Der vorliegende Beitrag fokussiert sich auf die Regelungen für Datenvermittlungsdienste – Regelungen zur Weiterverwendung von Daten im Besitz öffentlicher Stellen und für den Datenaltruismus sollen daher außen vor bleiben. Dabei skizziert der Beitrag zunächst, welche Datenvermittlungsdienste in den Anwendungsbereich des Data Governance Acts fallen (Ziffer 2). Anschließend erläutert der Beitrag, welche Anforderungen an Anbieter von Datenvermittlungsdienste gelten (Ziffer 3), um schließlich die Wirksamkeit der Regelungen im Lichte der Ziele des Data Governance Acts kritisch zu hinterfragen (Ziffer 4).
2.
Datenvermittlungsdienste im Sinne des Data Governance Acts ^
Nach der Definition in Art. 2 Nr. 11 DGA sind Datenvermittlungsdienste „alle Tätigkeiten, die eine Geschäftsbeziehung zwischen einer unbestimmten Anzahl von betroffenen Personen oder Dateninhabern einerseits und Datennutzern andererseits herstellen sollen, um die gemeinsame Datennutzung zu ermöglichen“.4 Beteiligte Parteien sind somit Dateninhaber bzw. betroffene Personen einerseits, Datennutzer andererseits sowie der Datenmittler, der den Datenvermittlungsdienst anbietet.5
Die Differenzierung zwischen Dateninhabern und betroffenen Personen rührt dabei daher, dass sich der sachliche Anwendungsbereich des Data Governance Acts sowohl auf den Austausch personenbezogener Daten6 als auch nicht-personenbezogener Daten erstreckt. Sofern personenbezogene Daten Gegenstand des Austausches sind, können diese entweder von der jeweils betroffenen Person oder durch einen Dateninhaber bereitgestellt werden. Nicht-personenbezogene Daten werden hingegen stets von Dateninhabern bereitgestellt, da bei solchen Daten qua Definition auch keine betroffenen Personen involviert sind.
Wesentlicher Anknüpfungspunkt für die Erbringung von Datenvermittlungsdiensten ist somit die Herstellung einer Geschäftsbeziehung zwischen zwei Parteien. Der Zweck dieser Geschäftsbeziehung soll die Ermöglichung einer gemeinsamen Datennutzung sein: Dateninhaber bzw. betroffene Personen stellen Daten bereit, die anschließend von den Datennutzern verwendet werden.
Auf welche Weise der Datenmittler eine Geschäftsbeziehung konkret herstellt, lässt der EU-Gesetzgeber offen. Er stellt jedoch klar, dass auch die Bereitstellung technischer und sonstiger Mittel einen Vermittlungsdienst im Sinne des Data Governance Acts darstellt.7 Unter technischen Mitteln wird dabei insbesondere Soft- und Hardware zu fassen sein, sofern sie eine gemeinsame Datennutzung ermöglicht.8 Sonstige Mittel dürften beispielsweise organisatorische Maßnahmen sein.9
Was unter Datenvermittlungsdiensten konkret zu verstehen ist, wird durch einige Beispiele deutlich:
- Plattformen und Datenbanken: Ein Datenvermittlungsdienst kann die Einrichtung von Plattformen und Datenbanken sein, die den Austausch oder die gemeinsame Nutzung von Daten ermöglichen.10
- Datentreuhänder:11 Datentreuhänder, die betroffene Personen als Mittler zwischen diesen und etwaigen Datennutzern unterstützen und dadurch die Datensouveränität und informationelle Selbstbestimmung betroffener Personen fördern, sind Datenvermittlungsdienste.12 Als Beispiele für Dienste von Datentreuhändern wird die Übergabe personenbezogener Daten an den Datentreuhänder zur Pseudonymisierung und anschließender Bereitstellung an einen Dritten genannt.13 Dadurch soll die Identifizierung der betroffenen Personen durch den Dritten ausgeschlossen werden, wodurch für diese der Personenbezug der Daten (Art. 4 Nr. 1 DSGVO) entfällt und womit die Regelungen der DSGVO auf diesen Dritten keine Anwendung finden.14 Lediglich der Datentreuhänder hat in dieser Konstellation die Möglichkeit, die betroffenen Personen zu Re-identifizieren. Dieses Modell findet bspw. bereits in der medizinischen Forschung und bei Biobanken erfolgreich Anwendung.15
- Personal Information Management Services (PIMS): PIMS betreffen insbesondere die Erteilung und Verwaltung datenschutzrechtlicher Einwilligungserklärungen sowie etwaiger Datenschutzeinstellungen. Darüber hinaus ist nicht ausgeschlossen, dass PIMS auch weitere Betroffenenrechte für betroffene Personen ausüben. Im Vergleich zu Datentreuhändern liegt der Fokus von PIMS im Gegensatz zu Datentreuhändern auf der Erleichterung des Einwilligungsmanagements.16
- Datenräume: Datenräume erlauben eine Verarbeitung personenbezogener Daten innerhalb dieses Raumes, ohne dass die Daten an Dritte übermittelt werden.17
3.
Verpflichtungen für Datenvermittlungsdienste ^
Auf Datenvermittler finden zahlreiche sowohl formelle als auch materiell-rechtliche Vorschriften Anwendungen. Die formellen Anforderungen normiert Art. 11 DGA, die materiellen Anforderungen Art. 12 DGA.
3.1.
Formelle Anforderungen ^
Die Erbringung von Datenvermittlungsdiensten unterliegt einem Anmeldeverfahren bei der zuständigen Behörde.18 Dabei darf der Dienst erst nach Anmeldung aufgenommen werden, es handelt sich insofern um ein Verbot mit Anmeldevorbehalt. Bei der Anmeldung wird lediglich formell geprüft, ob die Anmeldeunterlagen vollständig sind.
Nicht geprüft wird bei der Anmeldung hingegen, ob der Anbieter des Datenvermittlungsdienstes auch die materiell-rechtlichen Regelungen nach Art. 12 DGA erfüllt. Er kann jedoch auf freiwilliger Basis ein Zertifikat beantragen, das bestätigt, dass er die Anforderungen nach Art. 11 und Art. 12 DGA einhält.19 Der Erhalt einer solchen Bestätigung berechtigt den Anbieter des Datenvermittlungsdienstes bei der Kommunikation mit Dritten das Label „in der Union anerkannter Anbieter von Datenvermittlungsdiensten“ zu tragen. Zudem kann der Datenmittler nach Bestätigung der Behörde ein von der Kommission erstelltes gemeinsames Logo verwenden.
Um die Einhaltung der für Datenmittler geltenden Regelungen auch gegenüber nicht in der EU ansässige Datenmittlern sicherzustellen, müssen solche Anbieter einen gesetzlichen Vertreter in der EU benennen.20 Eine ähnliche Regelung ist bereits aus dem Datenschutzrecht bekannt, vgl. Art. 27 DSGVO.
3.2.
Materiell-rechtliche Anforderungen ^
Die beiden wohl wichtigsten materiell-rechtlichen Anforderungen an Datenvermittlungsdienste sind zum einen die Datenneutralität des Datenmittlers, zum anderen die (unternehmens-)rechtliche Unabhängigkeit des Datenmittlers.21 Nach dem Grundsatz der Datenneutralität darf der Datenmittler die Daten nur für die Erbringung von Datenvermittlungsdiensten verwenden (auch „Zweckbindungsgrundsatz“). Die Zweckbindung bei der Verarbeitung von Daten soll die Rolle des Datenmittlers als reiner Mittler gewährleisten.22 Darüber hinaus muss der Datenmittler die Datenvermittlungsdienste über eine gesonderte juristische Person bereitstellen (Unabhängigkeit des Datenmittlers). Die Unabhängigkeit des Datenmittlers geht jedoch nicht so weit, eine auch faktische Unabhängigkeit oder Weisungsfreiheit des Datenmittlers zu fordern.23
Insgesamt sieht Art. 12 DGA zahlreiche (insgesamt fünfzehn) materiell-rechtliche Regelungen vor, z.B.:
- Kopplungsverbot:24 Die kommerziellen Bedingungen, einschließlich der Preisgestaltung, für die Erbringung von Datenvermittlungsdiensten für einen Dateninhaber oder Datennutzer dürfen nicht davon abhängig sein, ob der Dateninhaber oder Datennutzer andere Dienste desselben Anbieters von Datenvermittlungsdiensten oder eines verbundenen Unternehmens nutzt, und wenn dies der Fall ist, in welchem Umfang der Dateninhaber oder Datennutzer diese anderen Dienste nutzt.
- Faires, transparentes und diskriminierungsfreies Zugangsverfahren:25 Datenmittler müssen sicherstellen, dass das Verfahren für den Zugang zu den Datenvermittlungsdiensten fair, transparent und nichtdiskriminierend ist.
- Interoperabilität:26 Der Anbieter von Datenvermittlungsdiensten ist verpflichtet, geeignete Maßnahmen zu treffen, um die Interoperabilität mit anderen Datenvermittlungsdiensten zu gewährleisten.
4.
Kritische Würdigung der Regelungen für Datenvermittlungsdienste ^
Die Schaffung einheitlicher Anforderungen für Datenvermittlungsdienste wird grundsätzlich begrüßt.27 Insbesondere im Schrifttum werden die Regelungen für Datenmittler aber auch teilweise kritisiert und deren Wirksamkeit bezweifelt. Bemängelt werden vor allem die hohen regulatorischen Anforderungen für Datenmittler, die in den Anwendungsbereich des Kapitels III DGA fallen.28 So setzt Art. 12 DGA zahlreiche und teils hohe Anforderungen an die Erbringung von Datenvermittlungsdiensten, lässt aber weitestgehend konkrete Regelungen zur Umsetzung der Anforderungen vermissen.29 Durch die umfassenden Vorgaben für Datenmittler entsteht für diese ein hoher Verwaltungsaufwand vor Anmeldung ihres Dienstes, der letztlich auch Rechtskosten für die Gewährleistung der Einhaltung der Vorschriften umfasst.30 Kritisiert wird zudem, dass die Anforderungen und Definitionen teilweise nicht hinreichend klar formuliert sind, was ebenfalls zu Rechtsunsicherheiten führen und den Markteintritt von Datenvermittlungsdiensten hemmen kann.31 Ob die Kritik berechtigt ist und der Markteintritt von Datenmittlern durch den Data Governance Act tatsächlich gehemmt wird, bleibt abzuwarten.
5.
Literatur ^
Datenethikkommission, Gutachten der Datenethikkommission der Bundesregierung, 2019.
Europäische Kommission, Impact Assessment Report SWD(2020) 295 final.
Europäische Kommission, Impact Assessment on enhancing the use of data in Europe, Report on Task 1 – Data Governance (SMART 2020/694 / D2), Brüssel 2020.
Hartl, Andreas/Ludin, Anna, Was die Datenstrategie der EU sowie der Bundesregierung für die Gesetzgebung erwarten lassen, MMR 2021, S. 534.
Kühling, Jürgen, Der datenschutzrechtliche Rahmen für Datentreuhänder, ZfDR 2021, S. 1.
Paschke, Anne/ Rücker, Daniel, Data Governance Act, im Erscheinen.
Richter, Heiko, Looking at the Data Governance Act and Beyond: How to Better Integrate Data Intermediaries in the Market Order for Data Sharing, ZEuP GRUR Int. 2023, S. 458
Specht-Riemenschneider, Louisa/Hennemann, Moritz, Data Governance Act: DGA, Nomos Verlag, 2023.
Verbraucherzentrale Bundesverband e.V., Neue Datenintermediäre – Anforderungen des vzbv an „Personal Information Management Systems“ (PIMS) und Datentreuhänder, Berlin 2020.
- 1 Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung).
- 2 Erwägungsgrund 5 und 2 DGA.
- 3 Europäische Kommission, Impact Assessment Report SWD(2020) 295 final, S. 1.
- 4 Art. 2 Nr. 11 DGA.
- 5 Paschke/Rücker, Data Governance Act, im Erscheinen.
- 6 Im Sinne von Art. 4 Nr. 1 DSGVO.
- 7 Vgl. Art. 10 DGA.
- 8 Specht-Riemenschneider/Hennemann, Data Governance Act: DGA, Art. 10 Rn. 22.
- 9 Specht-Riemenschneider/Hennemann, Data Governance Act: DGA Art. 10 Rn. 22.
- 10 Diese fallen unter Art. 10 lit. a DGA.
- 11 Zur Schwierigkeit bei der begrifflichen Abgrenzung siehe nur Verbraucherzentrale Bundesverband e.V., Neue Datenintermediäre – Anforderungen des vzbv an „Personal Information Management Systems“ (PIMS) und Datentreuhänder, S. 5.
- 12 Diese fallen unter Art. 10 lit. b DGA.
- 13 Kühling, Der datenschutzrechtliche Rahmen für Datentreuhänder, ZfDR 2021, S. 1 (S. 6 f.).
- 14 Paschke/Rücker, Data Governance Act, im Erscheinen.
- 15 Dazu sowie zu weiteren Beispielen: Verbraucherzentrale Bundesverband e.V., Neue Datenintermediäre – Anforderungen des vzbv an „Personal Information Management Systems“ (PIMS) und Datentreuhänder, S. 5.
- 16 Kühling, Der datenschutzrechtliche Rahmen für Datentreuhänder, ZfDR 2021, S. 1 (S. 7); Datenethikkommission, Gutachten der Datenethikkommission der Bundesregierung, 2019, S. 133 f.
- 17 Vgl. Erwgr. 30; vgl. hierzu auch die Übersicht Europäische Kommission, Impact Assessment on enhancing the use of data in Europe, Report on Task 1 – Data Governance (SMART 2020/694 / D2), S. 39 f. Datenräume fallen unter Art. 10 lit. b DGA.
- 18 Art. 11 Abs. 1, Abs. 4 DGA.
- 19 Art. 11 Abs. 9 DGA.
- 20 Art. 11 Abs. 3 DGA.
- 21 Art. 12 lit. a DGA.
- 22 Vgl. Erwägungsgrund 3 DGA.
- 23 Specht-Riemenschneider/Hennemann, Data Governance Act: DGA, Art. 12 Rn. 36.
- 24 Art. 12 lit. b DGA.
- 25 Art. 12 lit. f DGA.
- 26 Art. 12 lit. i DGA.
- 27 Verbraucherzentrale Bundesverband e. V. Vertrauen stärken durch verbraucherfreundliche Daten-Governance, S. 4.
- 28 Paschke/Rücker, Data Governance Act, im Erscheinen.
- 29 Siehe nur Hartl/Ludin, Was die Datenstrategie der EU sowie der Bundesregierung für die Gesetzgebung erwarten lassen, MMR 2021, S. 534 (S. 537 f.).
- 30 Richter, Looking at the Data Governance Act and Beyond: How to Better Integrate Data Intermediaries in the Market Order for Data Sharing, ZEuP GRUR Int. 2023, S. 458 (S. 465 f.).
- 31 Richter, Looking at the Data Governance Act and Beyond: How to Better Integrate Data Intermediaries in the Market Order for Data Sharing, ZEuP GRUR Int. 2023, S. 458 (S. 463).