Einführung in den Data Governance Act
Der Data Governance Act (DGA), offiziell Verordnung (EU) 2022/868 des Europäischen Parlaments und des Rates vom 30. Mai 2022, ist eine zentrale Rechtsvorschrift der Europäischen Union zur Förderung der Verfügbarkeit und gemeinsamen Nutzung von Daten innerhalb des europäischen Binnenmarkts. Ziel ist es, das Potenzial der Datenwirtschaft zu stärken und Rahmenbedingungen für die vertrauensvolle, sichere und effiziente Datenverwendung zu schaffen. Der DGA ist Teil der europäischen Datenstrategie und ergänzt zuvor bestehende Vorschriften, insbesondere die Datenschutz-Grundverordnung (DSGVO) und die Open Data Richtlinie.
Anwendungsbereich und Zielsetzung des Data Governance Act
Anwendungsbereich
Der Data Governance Act findet Anwendung auf die gemeinsame Nutzung von Daten des öffentlichen Sektors, auf Datentreuhändler sowie auf altruistische Datennutzung innerhalb der Europäischen Union. Die Verordnung gilt sowohl für personenbezogene als auch für nicht-personenbezogene Daten und bezieht öffentliche Stellen, Unternehmen sowie Einzelpersonen ein, die mit solchen Daten arbeiten.
Zielsetzung
Der DGA verfolgt folgende Hauptziele:
- Förderung und Erleichterung der Datennutzung im europäischen Binnenmarkt durch die Schaffung rechtlicher und technischer Rahmenbedingungen
- Sicherstellung von Vertrauen und Transparenz bei der gemeinsamen Nutzung und Weitergabe von Daten
- Unterstützung innovativer Dienste und Geschäftsmodelle im Datenökosystem
- Ermöglichung und Förderung von Datenspenden für gemeinnützige Zwecke
Zentrale Begriffsbestimmungen
Datenaltruismus
Datenaltruismus bezeichnet die freiwillige, zweckgebundene Bereitstellung von Daten für das Allgemeinwohl durch Einzelpersonen oder Unternehmen. Der DGA fördert Datenaltruismus mithilfe eines speziellen Registrierungsverfahrens und einer EU-weiten Kennzeichnung für anerkannt gemeinnützige Organisationen.
Datentreuhänder (Data Intermediaries)
Datentreuhänder sind Vermittler, die sichere und unabhängige Plattformen oder Dienste für die gemeinsame Datennutzung zur Verfügung stellen. Sie unterliegen strengen Anforderungen bezüglich Unabhängigkeit, Transparenz und Rechenschaftspflicht, um Missbrauch oder Interessenkonflikte zu vermeiden.
Weiterverwendung von Informationen des öffentlichen Sektors
Der DGA erweitert die Möglichkeiten zur Weiterverwendung geschützter öffentlicher Daten, wie etwa Geschäftsgeheimnisse, personenbezogene Daten oder Daten mit Rechten Dritter, durch spezifische Regelungen und technisch-organisatorische Maßnahmen.
Rechtsrahmen und rechtliche Pflichten nach dem Data Governance Act
Registrierung und Aufsicht
Datentreuhänder und anerkannte Datenaltruismus-Organisationen unterliegen einem Melde- und Registrierungsverfahren bei den zuständigen Behörden der Mitgliedstaaten. Diese Behörden überwachen die Einhaltung der Vorgaben und können Maßnahmen bei Pflichtverletzungen ergreifen.
Anforderungen an Datentreuhänder
- Unabhängigkeit: Trennung der Datentreuhandschaft von eigenen kommerziellen Aktivitäten, um Interessenkonflikte zu vermeiden.
- Transparenzpflichten: Offenlegung der Bedingungen der Dienstleistung sowie Abrechnung und Verwaltung der Daten.
- Datensicherheit: Umsetzung adäquater technischer und organisatorischer Maßnahmen zum Schutz der Daten.
Rechte und Schutzmechanismen der betroffenen Personen
Personen, deren Daten über Datentreuhänder oder auf Basis von Datenaltruismus bereitgestellt werden, genießen Schutzrechte entsprechend DSGVO und haben Anspruch auf Auskunft, Berichtigung sowie Löschungsersuchen bezüglich ihrer Daten.
Verhältnis zu bestehenden Rechtsvorschriften
Der Data Governance Act steht in engem Zusammenhang zu anderen EU-Regelwerken, insbesondere:
- Datenschutz-Grundverordnung (DSGVO): Gilt vorrangig bei personenbezogenen Daten.
- Open Data Richtlinie: Bleibt für nicht-schützenswerte Daten des öffentlichen Sektors maßgeblich.
- Data Act (in Vorbereitung): DGA und Data Act bilden zusammen einen umfassenden EU-Datenbinnenmarkt.
- Nationale Umsetzung: Mitgliedstaaten sind verpflichtet, zuständige Behörden einzurichten und die Kooperation auf EU-Ebene sicherzustellen.
Durchsetzung und Sanktionen
Zur Überwachung und Durchsetzung der Vorschriften setzt der DGA auf nationale Aufsichtsbehörden. Diese sind zur Zusammenarbeit im European Data Innovation Board verpflichtet. Bei Verstößen gegen Vorgaben des DGA sind Bußgelder und weitere Maßnahmen vorgesehen, die sich an den Sanktionsmechanismen ähnlich der DSGVO orientieren können.
Bedeutung und Auswirkungen für den Datenverkehr und die Wirtschaft
Der Data Governance Act schafft Rechtssicherheit und bietet Unternehmen, öffentlichen Einrichtungen und gemeinnützigen Organisationen neue Möglichkeiten, Daten verantwortungsbewusst und innovationsfördernd zu nutzen. Die Verordnung leistet einen wichtigen Beitrag zu einem offenen, transparenten und europäischen Markt für Datendienste, der sowohl wirtschaftliches Wachstum als auch neue digitale Geschäftsmodelle unterstützt.
Fazit
Der Data Governance Act ist ein bedeutender Baustein der europäischen Datenstrategie und sorgt für klare, einheitliche Regeln zur Verwaltung und gemeinsamen Nutzung von Daten im Digitalen Binnenmarkt der EU. Er setzt umfassende rechtliche Rahmenbedingungen für das Datenmanagement, stärkt den Datenschutz, fördert Innovationen und bietet einen effizienten Rechtsrahmen für die Förderung der europäischen Datenwirtschaft.
Häufig gestellte Fragen
Welche rechtlichen Verpflichtungen ergeben sich durch den Data Governance Act für Dateninhaber?
Der Data Governance Act (DGA) verpflichtet Dateninhaber, insbesondere solche des öffentlichen Sektors, dazu, bei der Weitergabe bzw. Bereitstellung von Daten spezifische rechtliche Anforderungen einzuhalten. Hierzu zählt die Sicherstellung, dass personenbezogene und vertrauliche Daten nur unter umfassender Berücksichtigung des Datenschutzrechts und anderer betroffener Rechtsbereiche (wie Geschäftsgeheimnisschutz oder geistiges Eigentum) weitergegeben werden dürfen. Die Dateninhaber müssen vertrauenswürdige Mechanismen einrichten, um unrechtmäßigen Zugang und Nutzung zu verhindern. Zudem sind sie gehalten, vor der Bereitstellung der Daten entsprechende Vereinbarungen mit den Datenempfängern zu schließen, welche die Rechte und Pflichten klar regeln. Verstöße gegen diese Vorgaben können zu empfindlichen Sanktionen führen, da der Rechtsrahmen des DGA nationale Kontrollbehörden zur Überwachung und Durchsetzung der Pflichten vorsieht.
Welche Rolle spielen nationale Behörden bei der Umsetzung des Data Governance Act?
Nationale Behörden übernehmen im Rahmen des Data Governance Act eine zentrale Rolle als Aufsichts- und Durchsetzungsorgane. Sie sind dafür verantwortlich, die Einhaltung der gesetzlichen Vorgaben durch Dateninhaber, Datenmittler und Datenaltruismus-Organisationen zu überwachen. Hierzu können sie zum Beispiel Prüfungen und Audits durchführen, Beschwerden Betroffener bearbeiten und im Falle von Verstößen Sanktionen verhängen. Außerdem agieren sie teilweise als zuständige Stellen für die Registrierung und Überwachung zertifizierter Datenmittler und kontrollieren die Bedingungen, unter denen Daten innerhalb und außerhalb der EU weitergegeben werden dürfen. Diese Funktion trägt entscheidend zur Rechtssicherheit und Rechtsdurchsetzung innerhalb der Mitgliedstaaten bei.
Wie wird die Einhaltung des Datenschutzrechts gemäß Data Governance Act sichergestellt?
Der Data Governance Act verweist explizit auf die vollumfängliche Geltung der Datenschutz-Grundverordnung (DSGVO). Das bedeutet, dass auch bei der Datenweitergabe, -vermittlung oder -freigabe sämtliche datenschutzrechtlichen Anforderungen – wie Einwilligung, Transparenz, Zweckbindung und Betroffenenrechte – eingehalten werden müssen. Organisationen, die Daten vermitteln oder bereitstellen, sind verpflichtet, technische und organisatorische Maßnahmen zu implementieren, um den Schutz personenbezogener Daten zu gewährleisten. Nationale Datenschutzbehörden bleiben weiterhin zuständig für die Durchsetzung datenschutzrechtlicher Bestimmungen und arbeiten ggf. eng mit den für den DGA zuständigen Behörden zusammen, um Rechtsverletzungen zu verhindern und abzustellen.
Welche rechtlichen Anforderungen gelten für Datenmittler im Sinne des Data Governance Act?
Datenmittler stehen unter besonderen rechtlichen Verpflichtungen. Sie müssen sich in einem offiziellen Register der zuständigen nationalen Stelle registrieren, strenge Anforderungen an Unabhängigkeit und Neutralität erfüllen und dürfen keine eigenen Interessen an den weitergegebenen Daten verfolgen. Die Bereitstellung ihrer Dienstleistungen muss diskriminierungsfrei und transparent ausgestaltet sein. Verstöße gegen diese Bedingungen, etwa die unerlaubte Weiterverwendung der Daten für eigene Zwecke, können dazu führen, dass die Registrierung entzogen und Bußgelder verhängt werden. Weiterhin treffen sie besondere Berichtspflichten und die Notwendigkeit, klare vertragliche Regelungen mit allen am Datenvermittlungsprozess Beteiligten vorzuhalten.
Unter welchen rechtlichen Bedingungen dürfen Daten international (außerhalb der EU) geteilt werden?
Eine internationale Datenweitergabe nach dem DGA unterliegt strengen rechtlichen Hürden, um das Schutzniveau gemäß EU-Recht zu wahren. Insbesondere müssen Datenmittler sicherstellen, dass der Drittstaat ein angemessenes Datenschutzniveau gewährleistet (z.B. durch Angemessenheitsbeschlüsse der EU-Kommission). Fehlt ein solcher, sind zusätzliche Schutzmechanismen wie Standardvertragsklauseln, verbindliche Unternehmensregeln oder andere von der Kommission genehmigte Instrumente notwendig. Die nationalen Behörden behalten sich das Recht vor, einschlägige Übermittlungen zu untersagen, wenn Risiken für den Schutz personenbezogener oder vertraulicher Daten bestehen.
Welche rechtlichen Grundlagen existieren für Datenaltruismus-Organisationen gemäß Data Governance Act?
Datenaltruismus-Organisationen, die Daten freiwillig zum Nutzen der Allgemeinheit bereitstellen, müssen sich gemäß dem DGA eintragen lassen und unterliegen besonderen Transparenz- sowie Rechenschaftspflichten. Im rechtlichen Kontext bedeutet dies, dass sie ausschließlich gemeinnützige Ziele verfolgen und keinerlei Gewinnabsichten mit den bereitgestellten Daten verbinden dürfen. Sie müssen ihre Nutzer umfassend über die Zwecke und geplante Verwendung der Daten aufklären. Zudem haben sie entsprechende Dokumentations- und Berichtspflichten gegenüber den zuständigen Behörden. Bei Verstößen droht ihnen der Entzug der Registrierung sowie mögliche Bußgelder.
Welche Sanktionen drohen bei Verstößen gegen die Vorschriften des Data Governance Act?
Der Data Governance Act sieht für Verstöße gegen seine Vorschriften ein abgestuftes Sanktionssystem vor, das von Verwarnungen über die Anordnung von Maßnahmen bis hin zur Verhängung empfindlicher Geldbußen reicht. Die konkreten Sanktionshöhen werden von den Mitgliedstaaten festgesetzt, müssen jedoch wirksam, verhältnismäßig und abschreckend sein. Besonders gravierende Verstöße, etwa unrechtmäßige Datenweitergaben oder Verletzungen der Pflichten von Datenmittlern und Datenaltruismus-Organisationen, können zur Aberkennung der Zulassung/Registrierung sowie zu hohen Geldstrafen führen. Zudem bleibt Betroffenen der Weg zu zivilrechtlichen Schadensersatzansprüchen offen. Die Durchsetzung obliegt den nationalen Behörden, die eine enge Zusammenarbeit mit Datenschutz-Aufsichtsbehörden pflegen.
