Einführung und Zielsetzung des Data Governance Act
Der Data Governance Act (DGA) ist eine europäische Verordnung, die den rechtlichen Rahmen für das Teilen und die Weiterverwendung von Daten innerhalb der Europäischen Union festlegt. Ziel ist es, vertrauenswürdige Datenräume zu fördern, die Verfügbarkeit wertvoller Daten zu erhöhen und zugleich den Schutz von personenbezogenen Daten, Geschäftsgeheimnissen und sonstigen schutzwürdigen Informationen zu sichern. Der DGA ist seit dem 24. September 2023 in der gesamten EU anwendbar und ergänzt bestehende Regeln, insbesondere zum Datenschutz und zum Zugang zu Informationen des öffentlichen Sektors.
Geltungsbereich und zentrale Begriffe
Welche Daten erfasst werden
Der DGA bezieht sich auf die Weiterverwendung von Daten, die bei öffentlichen Stellen vorhanden sind und nicht frei zugänglich sind, weil sie durch vertrauliche Informationen, Datenschutz, Geschäftsgeheimnisse oder Rechte des geistigen Eigentums geschützt sind. Er regelt außerdem Dienste, die Datenteilung zwischen Organisationen und Personen erleichtern, sowie die gemeinwohlorientierte Bereitstellung von Daten („Datenaltruismus“).
Rollen im Datenökosystem
Der DGA unterscheidet insbesondere folgende Rollen: öffentliche Stellen als Inhaber schutzwürdiger Informationen; Datenverwender, die Zugang beantragen; Datenvermittlungsdienste, die Datenaustausch sicher und neutral ermöglichen; sowie anerkannte Datenaltruismus-Organisationen, die Daten freiwillig für Zwecke von allgemeinem Interesse bündeln.
Zentrale Bausteine des DGA
Weiterverwendung geschützter Daten öffentlicher Stellen
Der DGA ermöglicht die Weiterverwendung von bei Behörden vorhandenen, nicht frei zugänglichen Daten unter klaren Bedingungen. Dazu gehören transparente Kriterien, nichtdiskriminierende Zugangsregelungen, Schutzmaßnahmen wie Anonymisierung oder Nutzung in gesicherten Umgebungen und Einschränkungen exklusiver Verträge. Gebühren dürfen grundsätzlich erhoben werden, müssen jedoch sachgerecht und verhältnismäßig sein.
Datenvermittlungsdienste
Datenvermittlungsdienste stellen die technische und organisatorische Infrastruktur bereit, um Datenteilung zwischen Unternehmen, zwischen Personen und Unternehmen oder zwischen öffentlichen und privaten Akteuren zu ermöglichen. Sie unterliegen Neutralitätsanforderungen: Insbesondere dürfen sie Daten nicht für eigene Zwecke verwenden, müssen Interessenkonflikte vermeiden und transparente Geschäftsbedingungen bereitstellen. Solche Dienste müssen sich bei zuständigen nationalen Stellen melden und bestimmte Anforderungen an Sicherheit, Interoperabilität und Governance erfüllen.
Datenaltruismus
Der DGA führt einen europäischen Rahmen für Datenaltruismus ein. Organisationen können sich als Datenaltruismus-Einrichtung registrieren lassen, wenn sie Daten ausschließlich zu Zwecken des allgemeinen Interesses sammeln und bereitstellen, Transparenz gewährleisten und geeignete Schutzmaßnahmen umsetzen. Für die freiwillige Bereitstellung personenbezogener Daten sieht der DGA standardisierte Einwilligungsmechanismen vor. Anerkannte Einrichtungen erhalten ein europaweit einheitliches Erkennungszeichen.
Europäischer Ausschuss für Dateninnovationen
Zur Koordinierung und zur Förderung einheitlicher Praktiken richtet der DGA einen europäischen Koordinierungsmechanismus ein. Dieser unterstützt die Zusammenarbeit der nationalen Behörden, erarbeitet Leitlinien und begleitet die Entwicklung interoperabler Verfahren in europäischen Datenräumen.
Schutzmechanismen und Compliance-Anforderungen
Personenbezogene Daten und Verhältnis zur DSGVO
Der DGA ändert die Regeln zum Schutz personenbezogener Daten nicht. Er schafft keine eigenständige Rechtsgrundlage für die Verarbeitung personenbezogener Daten. Jede Verarbeitung bleibt an die allgemeinen Datenschutzanforderungen gebunden, einschließlich Rechtmäßigkeit, Zweckbindung, Datenminimierung und Betroffenenrechten. Wo möglich, kommt Anonymisierung oder Pseudonymisierung zum Einsatz; bleibt Personenbezug erhalten, gelten die Datenschutzpflichten uneingeschränkt.
Geschäftsgeheimnisse, geistiges Eigentum und Vertraulichkeit
Bei der Weiterverwendung sind Geschäftsgeheimnisse, Urheberrechte und verwandte Schutzrechte zu respektieren. Der DGA erlaubt die Nutzung nur in Formen, die solche Interessen wahren, etwa durch vertrauliche Zugangsbedingungen, sichere Rechenumgebungen oder vertragliche Vertraulichkeitsbindungen. Öffentliche Stellen und Vermittler müssen sicherstellen, dass schutzwürdige Inhalte nicht offengelegt werden.
Drittstaatenzugriffe und internationale Dimension
Der DGA enthält Vorkehrungen für den Umgang mit Zugriffsbegehren aus Drittstaaten. Ein Zugriff von Behörden außerhalb der EU auf geschützte Daten, die unter den DGA fallen, ist nur unter Bedingungen zulässig, die den Schutzstandard der EU wahren. Nicht mit EU-Regeln vereinbare ausländische Anordnungen sollen abgewehrt werden, es sei denn, internationale Übereinkünfte oder gleichwertige Garantien liegen vor.
Transparenz-, Sicherheits- und Interoperabilitätsanforderungen
Datenvermittler und anerkannte Datenaltruismus-Organisationen müssen klare Informationen über ihre Bedingungen, Entgelte und Schutzmaßnahmen bereitstellen. Sie haben geeignete technische und organisatorische Maßnahmen zu etablieren, einschließlich Zugriffskontrollen, Protokollierung, Risiko- und Vorfallsmanagement sowie angemessener Interoperabilität, um den sicheren und fairen Datenaustausch zu gewährleisten.
Aufsicht, Durchsetzung und Sanktionen
Zuständige Stellen und Aufsicht
Mitgliedstaaten benennen zuständige Behörden für die Überwachung der Verpflichtungen nach dem DGA. Diese führen Register, nehmen Meldungen entgegen, überwachen die Einhaltung der Neutralitäts- und Sicherheitsanforderungen und koordinieren sich auf EU-Ebene.
Sanktionsrahmen
Verstöße gegen den DGA können mit Maßnahmen und Sanktionen belegt werden, die wirksam, verhältnismäßig und abschreckend sein müssen. Die konkrete Ausgestaltung erfolgt nach nationalem Recht, das den europäischen Rahmen ausfüllt.
Verhältnis zu anderen EU-Rechtsakten
Abgrenzung zum Data Act
Der Data Act regelt vor allem vertragliche und gesetzliche Zugangs- und Nutzungsrechte an Daten, insbesondere bei vernetzten Produkten und in Geschäftsbeziehungen. Der DGA konzentriert sich demgegenüber auf vertrauenswürdige Governance-Mechanismen, die Weiterverwendung geschützter Behördendaten, neutrale Vermittlungsdienste und Datenaltruismus. Beide Rechtsakte sind komplementär.
Bezug zur Open-Data-Richtlinie
Frei zugängliche Informationen öffentlicher Stellen unterliegen der Open-Data-Richtlinie. Der DGA ergänzt diese, indem er den rechtlichen Rahmen für Behördendaten schafft, die aufgrund von Schutzinteressen nicht frei veröffentlicht werden dürfen, aber unter Auflagen weiterverwendet werden können.
Sektorale Sonderregeln
Branchenspezifische Vorschriften, etwa im Gesundheits-, Finanz- oder Verkehrsbereich, bleiben unberührt. Der DGA wirkt als Querschnittsrahmen, der sektorale Spezialregelungen respektiert und deren Schutzstandards nicht absenkt.
Zeitliche Einordnung und Umsetzung
Der DGA ist in der EU unmittelbar anwendbar. Mitgliedstaaten haben ergänzende nationale Strukturen geschaffen, insbesondere Aufsichts- und Meldestellen, Register sowie Verfahrensregeln für Anträge auf Weiterverwendung. Seit dem 24. September 2023 gelten die Vorgaben in allen Mitgliedstaaten.
Bedeutung in der Praxis und typische Anwendungsfelder
Der DGA erleichtert die Nutzung sensibler Behördendaten für Forschung, Innovation, öffentliche Daseinsvorsorge und wirtschaftliche Entwicklung, ohne Schutzinteressen zu vernachlässigen. Neutrale Datenvermittler fördern Datenaustausch zwischen Organisationen und stärken die Kontrolle von Personen über ihre Daten. Datenaltruismus eröffnet Wege, Daten freiwillig zu gemeinwohlorientierten Zwecken bereitzustellen, etwa in Wissenschaft, Gesundheit, Mobilität oder Klimaschutz.
Häufig gestellte Fragen (FAQ) zum Data Governance Act
Was regelt der Data Governance Act in Kernpunkten?
Der DGA schafft Regeln für die Weiterverwendung geschützter Daten öffentlicher Stellen, setzt einen Rahmen für neutrale Datenvermittlungsdienste und etabliert die Möglichkeit anerkannter Datenaltruismus-Organisationen. Er stärkt Schutzmechanismen für personenbezogene Daten, Geschäftsgeheimnisse und andere vertrauliche Informationen.
Für wen gilt der DGA?
Der DGA gilt für öffentliche Stellen, die über schutzwürdige Daten verfügen, für natürliche und juristische Personen, die deren Weiterverwendung beantragen, sowie für Anbieter von Datenvermittlungsdiensten und für Organisationen, die Daten altruistisch zu Zwecken des allgemeinen Interesses bereitstellen wollen.
Ändert der DGA die Datenschutzregeln?
Nein. Der DGA ändert die Datenschutzregeln nicht und ersetzt sie nicht. Jede Verarbeitung personenbezogener Daten muss weiterhin den geltenden Datenschutzanforderungen entsprechen. Der DGA ergänzt den Datenschutz um spezifische Governance- und Sicherheitsvorgaben für Datenteilung und Weiterverwendung.
Was ist ein Datenvermittlungsdienst nach dem DGA?
Ein Datenvermittlungsdienst ist ein neutraler Dienst, der den Austausch von Daten zwischen verschiedenen Parteien ermöglicht, ohne die Daten für eigene Zwecke zu nutzen. Solche Dienste unterliegen Meldepflichten und müssen Transparenz, Neutralität, Sicherheit und Interoperabilität gewährleisten.
Was bedeutet Datenaltruismus im Sinne des DGA?
Datenaltruismus ist die freiwillige Bereitstellung von Daten für Zwecke des allgemeinen Interesses, etwa in Forschung oder öffentlichen Aufgaben. Anerkannte Datenaltruismus-Organisationen handeln transparent, setzen Schutzmaßnahmen um und verwenden standardisierte Mechanismen für die Einwilligung bei personenbezogenen Daten.
Unter welchen Bedingungen dürfen Behörden schutzwürdige Daten weiterverwenden lassen?
Behörden dürfen die Weiterverwendung schutzwürdiger Daten zulassen, wenn Schutzinteressen gewahrt werden. Dies kann durch Maßnahmen wie Anonymisierung, Nutzung in sicheren Umgebungen, vertragliche Vertraulichkeit und nichtdiskriminierende Zugangsbedingungen erfolgen. Exklusive Zugangsrechte sind nur ausnahmsweise und zeitlich begrenzt vorgesehen.
Welche Rolle spielt der DGA bei internationalen Datenzugriffen?
Der DGA enthält Schutzvorkehrungen gegenüber Zugriffsbegehren aus Drittstaaten. Er verlangt Bedingungen, die den EU-Schutzstandard sicherstellen, und sieht vor, dass unvereinbare ausländische Anordnungen nicht befolgt werden sollen, sofern keine geeigneten internationalen Grundlagen bestehen.
