Begriff und Zielsetzung des Daten-Dienste-Gesetzes
Das Daten-Dienste-Gesetz (kurz: DDG) ist eine zentrale nationale Regelung im Bereich des Datenrechts der Bundesrepublik Deutschland. Sein Hauptziel ist die Schaffung eines rechtlichen Rahmens für das Zugänglichmachen, die Nutzung und den Austausch von Daten, insbesondere im Verhältnis zwischen Privatwirtschaft, Bürgern und öffentlichen Stellen. Das Gesetz dient als rechtliche Schnittstelle zur Umsetzung der EU-Datengesetzgebung, insbesondere der Data Governance Act (DGA) und Data Act (DA), in nationales Recht.
Das Daten-Dienste-Gesetz regelt unter anderem die Voraussetzungen, unter denen Zugang zu nicht-personenbezogenen Daten gewährt werden muss, definiert die Aufgaben und Pflichten von Datenbereitstellern und schafft Instrumente für die Durchsetzung und Aufsicht über Datenzugang und Datennutzung.
Rechtsgrundlagen und Gesetzgebungshintergrund
Europarechtliche Grundlage
Das Daten-Dienste-Gesetz baut auf der EU-Datenstrategie auf, zu deren wichtigsten Elemente der Data Governance Act (Verordnung (EU) 2022/868) und der Data Act (Verordnung (EU) 2023/2854) zählen. Beide Rechtsakte fördern die Schaffung eines Binnenmarkts für Daten und bestimmen grundlegende Prinzipien für die Dateninteroperabilität, Datenteilung und Datensouveränität innerhalb der Europäischen Union.
Nationale Gesetzgebung
Das Daten-Dienste-Gesetz dient als Umsetzungsgesetz für die genannten europäischen Verordnungen und ergänzt nationale Besonderheiten im Bereich des Datenrechts. Es wird im Bundesgesetzblatt veröffentlicht und tritt zu einem gesetzlich bestimmten Zeitpunkt in Kraft. Die nationale Gesetzgebung konkretisiert Umsetzungsspielräume der EU-Verordnungen, legt zuständige Behörden fest und regelt Sanktionen sowie Durchsetzungsmaßnahmen.
Anwendungsbereich und sachlicher Geltungsbereich
Das Daten-Dienste-Gesetz findet Anwendung auf Datenanbieter (private wie öffentliche Stellen), Datenmittler sowie Nutzer von Daten im Geltungsbereich Deutschlands. Es umfasst Vorgaben für den Zugang zu und die Nutzung von
- industriellen Daten (Maschinendaten, Produktionsdaten)
- öffentlichen Datenbeständen (Open Data)
- geteilten Daten in Geschäftsbeziehungen (B2B, B2G, G2B)
Nicht erfasst vom Anwendungsbereich sind personenbezogene Daten, die bereits durch Datenschutzgrundverordnung (DSGVO) und Bundesdatenschutzgesetz (BDSG) geregelt werden, sofern sie nicht anonymisiert vorliegen.
Begriffsbestimmungen
Im Sinne des Daten-Dienste-Gesetzes gelten verschiedene Definitionen, unter anderem für:
- Daten: Digitale Darstellungen von Tatsachen, Informationen oder Konzepten, die auf beliebige Weise gespeichert oder übertragen werden können.
- Dateninhaber: Jede natürliche oder juristische Person, öffentliche Stelle oder sonstige Einrichtung, die Daten kontrolliert und Zugang dazu gewähren kann.
- Datenempfänger: Jede natürliche oder juristische Person, die vom Dateninhaber Zugang zu dessen Daten erhält.
- Datenmittler: Stellen, die Daten zwischen Dateninhabern und Datennutzern organisieren, ohne diese selbst zu verwerten.
Rechte und Pflichten nach dem Daten-Dienste-Gesetz
Pflichten von Dateninhabern
Dateninhaber sind verpflichtet, unter den gesetzlichen Voraussetzungen Zugang zu bestimmten Daten zu gewähren. Für öffentliche Stellen besteht, soweit der Zugang gesetzlich vorgeschrieben ist, eine Verpflichtung zur Veröffentlichung von Datenbeständen als Open Data.
Für private Unternehmen können nach Maßgabe des Gesetzes Zugangspflichten entstehen, zum Beispiel im Rahmen von Datenportabilitätsansprüchen oder gesetzlich begründeten Auskunftsrechten Dritter.
Schutz von Geschäftsgeheimnissen
Das Daten-Dienste-Gesetz enthält umfassende Vorkehrungen zum Schutz von Geschäftsgeheimnissen und vertraulichen Informationen. Sensible Daten müssen so bereitgestellt werden, dass angemessene Sicherheitsmechanismen gegen unberechtigte Nutzung oder Weitergabe bestehen.
Rechte und Ansprüche der Datenempfänger
Datenempfänger erhalten gemäß Gesetz einen Anspruch auf Zugang zu bestimmten Datenbeständen. Der Anspruch ist grundsätzlich nur dann gegeben, wenn eine gesetzliche Zugangsverpflichtung besteht oder der Dateninhaber verpflichtet wurde, den Zugang zu ermöglichen. Das Gesetz sieht zudem Möglichkeiten zur Geltendmachung und Durchsetzung dieser Ansprüche vor.
Einschränkungen und Ausnahmen
Zugangsansprüche sind ausgenommen, soweit Rechte Dritter, etwa aus dem Datenschutz, dem Urheberrecht oder dem Schutz geistigen Eigentums, entgegenstehen.
Rolle und Aufgaben der Datenmittler
Datenmittler übernehmen eine Vermittlungsfunktion und garantieren Neutralität sowie Transparenz bei der Organisation von Datenaustauschprozessen. Das Daten-Dienste-Gesetz verlangt von diesen Akteuren besondere Sorgfalt hinsichtlich Datenschutz, Sicherheit und Interoperabilität.
Aufsichtsbehörden und Durchsetzung
Für die Überwachung der Einhaltung des Daten-Dienste-Gesetzes werden in der Regel nationale Aufsichtsbehörden bestimmt. Diese haben Ermittlungs-, Auskunfts- und Anordnungsbefugnisse, um Verstöße gegen gesetzliche Bestimmungen zu sanktionieren.
Sanktionsmechanismen und Rechtsfolgen
Verstöße gegen das Daten-Dienste-Gesetz können mit empfindlichen Bußgeldern geahndet werden. Das Gesetz definiert Bußgeldrahmen und regelt die Maßnahmen zur Durchsetzung von Zugangs- und Unterlassungsansprüchen. Daneben ist die Möglichkeit der zivilrechtlichen Anspruchsdurchsetzung, beispielsweise über einstweilige Verfügungen, vorgesehen.
Verhältnis zu anderen Rechtsgebieten
Das Daten-Dienste-Gesetz wirkt als Querschnittsmaterie an der Schnittstelle zu anderen Rechtsgebieten. Es hat insbesondere Auswirkungen auf folgende Bereiche:
- Datenschutzrecht: Die Regelungen stehen im Einklang mit der DSGVO und enthalten spezielle Vorgaben zu anonymisierten und nicht-personenbezogenen Daten.
- Geistiges Eigentum und Urheberrecht: Die Vorschriften zum Datenzugang beachten explizit bestehende Schutzrechte an Daten, etwa urheberrechtliche oder sachmittelrechtliche Rechte.
- Wettbewerbsrecht: Das Gesetz enthält wettbewerbsrechtliche Öffnungspflichten für bestimmte Datenbestände und unterliegt insoweit der Kontrolle durch die zuständigen Wettbewerbsbehörden.
Bedeutung und Auswirkungen des Daten-Dienste-Gesetzes
Das Daten-Dienste-Gesetz stellt einen Meilenstein in der Entwicklung eines modernen Datenökosystems dar. Es trägt dazu bei, Innovationspotenziale besser nutzbar zu machen, Wettbewerb und technologische Entwicklung zu stärken und die europäische Souveränität im Umgang mit Daten zu fördern. Gleichzeitig setzt das Gesetz einen rechtlichen Rahmen, um Missbrauch und unbefugten Zugriff auf Daten wirksam zu verhindern.
Fazit
Das Daten-Dienste-Gesetz ist ein integraler Bestandteil des deutschen und europäischen Datenrechts. Es legt verbindliche Mindeststandards für den Zugang und die Nutzung von Daten fest, adressiert zentrale Fragestellungen rund um Datensouveränität, Schutzrechte und Interoperabilität und etabliert ein ausgewogenes Verhältnis zwischen den Interessen von Dateninhabern und Datenempfängern. Damit bildet das Gesetz einen wesentlichen Baustein für die digitale Zukunft der Bundesrepublik Deutschland und der Europäischen Union.
Häufig gestellte Fragen
Welche Voraussetzungen müssen Unternehmen gemäß Daten-Dienste-Gesetz (DDG) bei der Datenbereitstellung beachten?
Unternehmen, die vom Daten-Dienste-Gesetz (DDG) erfasst sind, müssen eine Vielzahl rechtlicher Voraussetzungen erfüllen, bevor sie Daten bereitstellen dürfen. Zunächst müssen sie prüfen, ob sie als Dateninhaber oder als datenverarbeitender Dienstleister im Sinne des Gesetzes gelten. Maßgeblich ist hierbei, dass personenbezogene Daten nur unter strikter Beachtung der Datenschutz-Grundverordnung (DSGVO) und sonstiger Datenschutzgesetze zur Verfügung gestellt werden dürfen. Daneben ist sicherzustellen, dass keine vertraglichen oder gesetzlichen Geheimhaltungspflichten (z. B. aus Arbeits-, Wettbewerbs- oder Gesellschaftsrecht) verletzt werden. Unternehmen müssen ferner den Zweck der Datenübermittlung eindeutig definieren und im Rahmen der gesetzlichen Vorgaben transparent machen, an wen und für welchen Zweck Daten weitergeleitet werden. Sie sind überdies verpflichtet, die Sicherheit der Datenübertragung zu gewährleisten und ein angemessenes technisches und organisatorisches Schutzkonzept vorzulegen. Abschließend ist zu beachten, dass bestimmte Datenkategorien, wie etwa Betriebsgeheimnisse oder geistiges Eigentum, besonderen Schutz genießen und deren Weitergabe ggf. nur unter besonderen gesetzlichen Voraussetzungen erfolgen darf.
Inwiefern regelt das Daten-Dienste-Gesetz die Haftung bei fehlerhaften oder unvollständigen Daten?
Das Daten-Dienste-Gesetz enthält spezifische Regelungen zur Haftung von Unternehmen bei der Bereitstellung von Daten. Grundsätzlich haften Unternehmen dafür, dass die zur Verfügung gestellten Daten den rechtlichen Anforderungen entsprechen, insbesondere hinsichtlich ihrer Richtigkeit, Vollständigkeit und Aktualität, soweit dies vertraglich oder gesetzlich vorgesehen ist. Liegt ein Verstoß vor, kann das Empfängerunternehmen Schadenersatz verlangen, wobei etwaige Einschränkungen – beispielsweise durch Haftungsausschlüsse in den AGB oder durch das Gesetz selbst – zu berücksichtigen sind. Das DDG differenziert zudem zwischen vorsätzlichen und fahrlässigen Pflichtverletzungen, wobei die Haftung im Falle grober Fahrlässigkeit oder Vorsatzes verschärft ist. Bei reinen Übermittlungsdiensten kann die Haftung gegebenenfalls gemäß § 7 TMG analog eingeschränkt sein, sofern keine Kenntnis von der Fehlerhaftigkeit der Daten bestand. Dennoch müssen Unternehmen im Vorfeld durch geeignete Prüfmechanismen sicherstellen, dass keine rechtlich unzulässigen oder fehlerhaften Daten weitergegeben werden.
Welche Rechte haben betroffene Personen laut Daten-Dienste-Gesetz bei der Verarbeitung ihrer Daten?
Betroffene Personen werden durch das Daten-Dienste-Gesetz umfassend geschützt. Sie haben insbesondere das Recht auf Auskunft über die Verarbeitungszwecke, Art und Umfang der von ihnen betreffenden Datennutzung sowie die Empfänger dieser Daten. Weitergehende Rechte ergeben sich aus der DSGVO, darunter das Recht auf Berichtigung, Löschung, Einschränkung der Verarbeitung sowie Widerspruch gegen die Verarbeitung ihrer personenbezogenen Daten. Das Daten-Dienste-Gesetz stellt hierbei klar, dass die Wahrung dieser Betroffenenrechte oberste Priorität hat und geht von einem hohen Transparenzgebot aus. Unternehmen müssen demnach leicht zugänglich und in verständlicher Sprache Auskunft über die Datenverarbeitung geben, ein effektives Beschwerdeverfahren implementieren und die Möglichkeit zum Widerruf von Einwilligungen sicherstellen. Kommt ein Unternehmen diesen Pflichten nicht in ausreichendem Maße nach, können betroffene Personen bei der zuständigen Aufsichtsbehörde Beschwerde einlegen oder zivilrechtliche Ansprüche geltend machen.
Welche Pflichten zur Informationssicherheit werden von Unternehmen nach dem Daten-Dienste-Gesetz gefordert?
Das Daten-Dienste-Gesetz verpflichtet Unternehmen, umfassende technische und organisatorische Maßnahmen zum Schutz der bereitgestellten und verarbeiteten Daten zu implementieren. Dazu gehören insbesondere Anforderungen an die Datensicherheit und den Schutz vor unberechtigtem Zugriff, Verlust, Missbrauch oder Zerstörung von Daten. Unternehmen müssen aktuelle Verschlüsselungsstandards bei der Datenübertragung und -speicherung einsetzen sowie regelmäßige Penetrationstests und Audits durchführen, um Sicherheitslücken zu identifizieren und zu beheben. Darüber hinaus ist ein kontinuierliches Monitoring vorgeschrieben, das im Falle eines sicherheitsrelevanten Vorfalls (Data Breach) sofortige Maßnahmen zur Eindämmung und Meldung des Verstoßes an die Aufsichtsbehörde vorsieht. Besonders hohe Anforderungen gelten für Unternehmen, die sensible oder kritische Infrastrukturdaten verarbeiten, für die branchenspezifische Sicherheitsnormen anzuwenden sind.
In welchen Fällen dürfen Unternehmen die Herausgabe von Daten nach dem Daten-Dienste-Gesetz verweigern?
Das Daten-Dienste-Gesetz sieht mehrere Fälle vor, in denen Unternehmen die Herausgabe von Daten verweigern können oder sogar müssen. Dies betrifft insbesondere Situationen, in denen die Herausgabe gegen gesetzliche Bestimmungen, insbesondere datenschutzrechtliche Vorschriften oder bestehende Geheimhaltungspflichten, verstoßen würde. Ferner kann die Weigerung gerechtfertigt sein, wenn durch die Datenweitergabe Betriebs- oder Geschäftsgeheimnisse, Rechte Dritter oder die nationale Sicherheit gefährdet würden. Auch dann, wenn kein berechtigtes Interesse oder keine gesetzliche Grundlage für die Datenpreisgabe vorliegt, haben Unternehmen das Recht, die Herausgabe zu verweigern. In jedem Fall müssen die Gründe der Verweigerung dokumentiert und dem Antragsteller auf Anfrage hin transparent gemacht werden.
Welche Überwachungs- und Sanktionsmechanismen sieht das Daten-Dienste-Gesetz vor?
Zur Durchsetzung der gesetzlichen Vorgaben enthält das Daten-Dienste-Gesetz klare Regelungen zur staatlichen Aufsicht und zu Sanktionsmechanismen. Die Bildung spezialisierter Aufsichtsbehörden ist vorgesehen, die die Einhaltung der gesetzlichen Vorgaben kontrollieren, regelmäßige Prüfungen durchführen und im Verdachtsfall Untersuchungen einleiten können. Verstöße gegen das Daten-Dienste-Gesetz können mit empfindlichen Bußgeldern, Anordnungen zur Datenlöschung, Betriebsschließungen oder Lizenzentzug geahndet werden. Die Sanktionshöhe orientiert sich analog zur DSGVO an der Schwere und Dauer des Verstoßes sowie an der Größe des Unternehmens und seinem bisherigen Verhalten. Unternehmen sind verpflichtet, eng mit den Aufsichtsbehörden zu kooperieren und bei Ermittlungen vollständigen Einblick in alle relevanten Unterlagen zu geben.
Welche Anforderungen stellt das Daten-Dienste-Gesetz an vertragliche Vereinbarungen zwischen Datenbereitstellern und Datennutzern?
Das Gesetz verlangt, dass vertragliche Vereinbarungen zwischen Datenbereitstellern und Datennutzern klar und transparent ausgestaltet werden. Verträge müssen die Nutzungszwecke, den zulässigen Umfang der Datennutzung, Haftungsregelungen, Datenschutzpflichten, Sicherheitsmaßnahmen, Löschungsfristen sowie etwaige Pflichten zur Unterrichtung über Datenpannen oder Veränderungen der Datengrundlage detailliert regeln. Zudem sollten auch etwaige Drittübermittlungen und die Anforderungen an Unterauftragsverarbeiter dargelegt werden. Die Einhaltung internationaler Datenschutzstandards und ggf. die Vereinbarung von Standardvertragsklauseln für die Datenübermittlung in Drittstaaten sind sicherzustellen. Verträge unterliegen einer fortlaufenden Aktualisierungspflicht, sodass bei Gesetzesänderungen oder neuen behördlichen Vorgaben rechtzeitig Anpassungen vorgenommen werden müssen.
