Seit gut drei Monaten gilt nun der Data Governance Act (DGA) unmittelbar in allen Mitgliedstaaten der EU. Neben dem im November vom EU-Parlament beschlossenen Data Act ist der Data Governance Act eine der tragenden Säulen der europäischen Datenstrategie, die darauf abzielt, einen vertrauenswürdigen europäischen Binnenmarkt für Daten zu schaffen. Vordergründiges Ziel ist es, den Zugang und die Weiterverwendung von Daten zu vereinfachen, um bislang ungenutzte Potenziale zu heben und Europas „globale Wettbewerbsfähigkeit und Datensouveränität“ zu stärken.

Dieses Ziel soll insbesondere durch die Etablierung eines vertrauenswürdigen Datenökosystems erreicht werden:

1. Weiterverwendung geschützter Daten des öffentlichen Sektors

Zunächst zielt der Data Governance Act auf eine breitere Verwendung von Daten ab, die sich im Besitz öffentlicher Stellen befinden. Daten, die mithilfe öffentlicher Gelder generiert oder erhoben werden, sollen auch der Gesellschaft zugutekommen, so der Grundgedanke. Besonders ist, dass es um die Weiterverwendung geschützter Daten geht. Darunter fallen etwa solche Daten, die einen Personenbezug aufweisen, einer Geheimhaltung unterliegen oder an denen geistige Eigentumsrechte Dritter bestehen. Damit ergänzt der Data Governance Act die 2019 aktualisierte PSI-Richtlinie, welche den Zugang zu „offenen Daten“ des öffentlichen Sektors regelt.

Aber nicht zu früh gefreut: Selbstverständlich sieht der Data Governance Act nicht die uneingeschränkte Nutzung geschützter Daten vor. Vielmehr müssen öffentliche Stellen dafür Sorge tragen, dass die Daten geschützt bleiben – bei personenbezogenen Daten wird unter anderem eine Anonymisierung, bei vertraulichen Geschäftsinformationen eine aggregierte Überlassung angesprochen, Art. 5 Abs. 3 DGA.

Der Data Governance Act regelt zudem keinen unmittelbaren Anspruch auf Datenüberlassung gegen öffentliche Stellen, sondern lediglich die Bedingungen für eine Weiterverwendung. Ausdrücklich heißt es, dass die Verordnung weder eine Verpflichtung für öffentliche Stellen begründe, die Weiterverwendung von Daten zu erlauben, noch eine Befreiung öffentlicher Stellen von ihren Geheimhaltungspflichten, Art. 1 Abs. 2 S. 1 DGA.

Die Bedingungen für eine Weiterverwendung müssen nichtdiskriminierend, transparent, verhältnismäßig und objektiv gerechtfertigt sein, Art. 5 Abs. 2 DGA. Besonders für KMU und Startups sollen Zugangshindernisse abgebaut werden, EG 15 und EG 25.

2. Datenvermittlungsdienste

Zweites Ziel des Data Governance Act ist der Aufbau von Datenvermittlungsdiensten, die als neutrale Matchmaker zwischen Dateninhabern und Datennutzern fungieren sollen. Als Beispiel für einen (potenziellen) Datenvermittlungsdienst nennt die Kommission den Data Intelligence Hub der Deutschen Telekom, einem Datenmarktplatz, auf dem Unternehmen Informationen verwalten, bereitstellen und monetarisieren können und die Telekom als neutraler Treuhänder agiert.

Sowohl eigenständige Organisationen, die nur Datenvermittlungsdienste erbringen, als auch Unternehmen, die zusätzlich zu anderen Diensten Datenvermittlungsdienste anbieten, sind als Vermittler zulässig. Zwingende Voraussetzung ist aber, dass die Datenvermittlungstätigkeit sowohl rechtlich als auch wirtschaftlich streng von anderen Datendiensten getrennt ist. Die Datenvermittlung muss zudem neutral, fair und diskriminierungsfrei stattfinden, Art. 12 lit. f DGA. Für die Vermarktungstätigkeiten dürfen Gebühren verlangt werden. Auch bei der Datenvermittlung sind Hürden für KMU und Startups abzubauen, EG 32.

Das Anmeldeverfahren ist überraschend unbürokratisch. Der zuständigen Behörde sind nur wenige Stammdaten zu nennen (vgl. Art. 11 Abs. 6 DGA), die „unverzüglich“ an die Kommission zur Eintragung im EU-Register für Datenvermittlungsdienste weiterzuleiten sind. Um sich am Markt aber als „in der Union anerkannter Anbieter von Datenvermittlungsdiensten“ mit entsprechendem Logo präsentieren zu dürfen, muss auf Antrag die Erfüllung einer Vielzahl von (vornehmlich technischen und organisatorischen) Bedingungen bestätigt werden, Art. 11 Abs. 9, Art. 12 DGA. Hier liegt für interessierte Unternehmen auch haftungstechnisch der Hase im Pfeffer: Denn die Strafen, die bei Verstößen gegen die Anerkennungsbedingungen ausgesprochen werden können (zum Beispiel „abschreckende Bußgelder“), gelten für alle Datenvermittlungsdienste. Vor einer Anmeldung ist also sicherzustellen, dass die in Art. 12 DGA genannten Bedingungen eingehalten werden (können).

Nach Aufnahme der Tätigkeit als Datenvermittlungsdienst sind sodann die laufenden Pflichten des Art. 12 DGA zu erfüllen, wozu etwa die Protokollierung der Datenvermittlungstätigkeit zählt. Ähnlich der Datenschutzgrundverordnung fordert der Data Governance Act geneigten Unternehmen also nicht unerheblichen administrativen Aufwand ab. Dieser dürfte wiederum – und so ja auch ein maßgebliches Ziel der Verordnung – vertrauensbildend sein und könnte damit einen Wettbewerbsvorteil darstellen. Laut EU-Register gibt es derzeit nur einen angemeldeten Anbieter, nämlich den Dienst Tritom der finnischen Aktiengesellschaft DataSpace Europe.

3. Förderung des Datenaltruismus

Als dritte Säule soll der sogenannte Datenaltruismus gefördert werden. Darunter versteht die Kommission die freiwillige und vergütungslose Hergabe von Daten durch Einzelpersonen und Unternehmen für die Verwendung im öffentlichen Interesse. Untersuchungen zeigten, so die Kommission, dass ein entsprechender Wille weit verbreitet sei, es aber an vertrauenswürdigen Werkzeugen fehle.

Diese Lücke soll durch „anerkannte datenaltruistische Organisationen“ geschlossen werden. Zur Anerkennung solcher Organisationen sieht der Data Governance Act ein aufwendiges Verfahren vor, das – für einmal anerkannte Organisationen – in laufenden Pflichten mündet. Anerkannte datenaltruistische Organisationen müssen sich insbesondere einem bisher nur skizzierten Regelwerk unterwerfen, das noch zwischen der Kommission, (potenziellen) datenaltruistischen Organisationen sowie „einschlägigen Interessenträgern“ auszuarbeiten ist (Art. 22 Abs. 2 DGA). Soweit ersichtlich ist ein solches Regelwerk noch nicht entworfen worden.

Bei der Umsetzung der im Kern guten Idee, vertrauenswürdige Gegenspieler zu außereuropäischen Akteuren zu schaffen, ist der Gesetzgeber womöglich über das Ziel hinausgeschossen. Neben dem hohen (und derzeit unklaren) bürokratischen Aufwand sind Anreize dadurch beschränkt, dass datenaltruistische Organisationen keinen Erwerbszweck verfolgen dürfen, Art. 18 lit. c DGA. Auch wurde versäumt, hinderliche Vorgaben der Datenschutzgrundverordnung zu adressieren. Es wäre etwa möglich gewesen, Bereichsausnahmen für die Verarbeitung personenbezogener Daten für altruistische Zwecke zu formulieren, oder zumindest Privilegierungen für entsprechende Verarbeitungen vorzusehen (wie es sie etwa bei wissenschaftlicher Forschung gibt, Art. 5 Abs. 1 lit. b DSGVO). Es verwundert nicht, dass das Register der Kommission für anerkannte Datenaltruismusorganisationen bis heute keine Einträge enthält.

Fazit und Ausblick für Unternehmen

Die Union nähert sich ihrem Ziel, die Datenwirtschaft anzukurbeln, mit dem Data Governance Act auf einem eher ungewöhnlichen Weg. Es werden weder bestimmte Arten der Datenverarbeitung erlaubt. Noch regelt die Verordnung, unter welchen Bedingungen Unternehmen Big Data Analysen durchführen dürfen. Der Data Governance Act versucht, mithilfe eines regulierten Ökosystems und der Schaffung neuer Marktrollen das Vertrauen in die Datenwirtschaft zu verbessern und technische Hindernisse abzubauen.

Während dem Datenaltruismus erhebliche bürokratische Hürden im Wege stehen, kann es für Unternehmen durchaus interessant sein, sich als Datenvermittlungsdienst zu engagieren. Die administrativen Hürden dürften gerade für solche Firmen, die bereits gute datenschutzrechtliche Prozesse implementiert haben, zu meistern sein. Wesentlich ist dann die Ausgestaltung fairer und diskriminierungsfreier Datennutzungs- und -lizenzverträge, ohne die eine Data Governance nach der Vorstellung der EU nicht funktioniert.