Wie mittlerweile allseits bekannt und von uns auch in diesem Blog bereits behandelt, versucht die EU mit der Europäischen Datenstrategie nach eigener Aussage die „EU an die Spitze einer datengesteuerten Gesellschaft zu bringen“. Ein Teil dieser Datenstrategie ist der seit dem 24. September 2023 in den EU-Mitgliedstaaten unmittelbar geltende Data Governance Act (DGA).
Durch den DGA soll ein großer, gemeinsamer Datenraum innerhalb der EU geschaffen werden, um den Datenaustausch grenzübergreifend zu verbessern und Innovationen im Bereich der KI-Forschung und des maschinellen Lernens zu fördern.
Diesem Ansatz dient auch der in Kapitel 4 DGA festgeschriebene Grundsatz des Datenaltruismus.
In Art. 2 Nr. 16 DGA wird der Begriff Datenaltruismus legal definiert als:
„[…] freiwillige gemeinsame Nutzung von Daten auf der Grundlage der Einwilligung betroffener Personen zur Verarbeitung der sie betreffenden personenbezogenen Daten oder einer Erlaubnis anderer Dateninhaber zur Nutzung ihrer nicht personenbezogenen Daten, ohne hierfür ein Entgelt zu fordern oder zu erhalten, das über eine Entschädigung für die ihnen durch die Bereitstellung ihrer Daten entstandenen Kosten hinausgeht, für Ziele von allgemeinem Interesse […]“.
Personenbezogene Daten sind gerade durch die auch wirtschaftlich immer wichtigere KI-Entwicklung und -Forschung ein begehrtes Gut geworden. Durch die Regelung des Datenaltruismus im DGA soll die dafür notwendige Datenverarbeitung für Forschungs- bzw. Allgemeinwohlzwecke vereinfacht werden, indem natürliche Personen oder Unternehmen Daten unentgeltlich und ohne großen bürokratischen Aufwand für diese Zwecke „spenden“ können.
Doch wie bei jedem neuen Vorstoß der Politik, so stellt sich auch hier die Frage: Wird dadurch wirklich die beabsichtigte Vereinfachung der Datenspende für Gemeinwohlzwecke erreicht oder hat die EU wieder einmal ein weiteres „Bürokratiemonster“ erschaffen?
Regelungen für Datenaltruismus im DGA
Zur Beantwortung dieser Frage muss genauer auf einige Regelungen des DGA im Kapitel 4 eingegangen werden. Diese legen u. a. folgendes fest:
- Es besteht eine Pflicht für die Mitgliedstaaten zum Führen eines öffentlichen Registers anerkannter datenaltruistischer Organisationen (Art. 17 Abs. 1 DGA)
Die entsprechenden registrierten Organisationen sollen dann auch ein Logo führen (dürfen), was auf die Registrierung und damit die Einhaltung der Voraussetzungen gemäß Kapitel 4 des DGA verweist. - Anforderungen an die datenaltruistischen Organisationen selbst, um für eine Registereintragung in Betracht zu kommen (Art. 18 und Art. 21 DGA)
Die Organisation muss danach u. a. eine Rechtspersönlichkeit haben, datenaltruistische Tätigkeiten durchführen und darf keinen Erwerbszweck verfolgen. - Vorgaben zum Registrierungsverfahren (Art. 19 DGA)
Dies umfasst insbesondere notwendige Angaben der Organisation, die diese der Behörde mitzuteilen hat und der eine rechtliche Bewertung der Behörde folgt, ob die Organisation die Anforderungen des Art. 18 DGA erfüllt. - Transparenzverpflichtungen und insbesondere Informationsverpflichtungen gegenüber Betroffenen (Art. 20 und Art. 21 DGA)
So muss die datenaltruistische Organisation die betroffenen Personen oder Dateninhaber vor der Verarbeitung der Daten z. B. über die Ziele und Zwecke der Datenverarbeitung informieren. Eine Verarbeitung zu anderen Zwecken, die die betroffene Person oder der Dateninhaber nicht erlaubt hat, ist nicht gestattet. Für die Einholung der Einwilligung und auch für den Widerruf hat die datenaltruistische Organisation geeignete Instrumente bereitzustellen. - Die Überwachung der Einhaltung der Voraussetzungen an die datenaltruistischen Organisationen erfolgt durch die zuständige Behörde (Art. 23 DGA)
Die zuständige Behörde ist in Deutschland noch immer nicht benannt worden. Ob dies die entsprechende Datenschutzbehörde oder eine neue Instanz wird, ist daher noch nicht abschließend geklärt.
Einführung weiterer formaler Hürden und fehlende Regelung materiell-rechtlicher Fragen
Es wird alleine durch diese Regelungen ersichtlich, dass der Weg zur Datenspende im Rahmen des DGA im höchsten Maße bürokratisiert ist. Darüber hinaus wird gerade der Ablauf der Datenspende selbst und die Nutzung dieser Daten durch Dritte nicht detailliert geregelt, sodass es bei materiell-rechtlichen Fragen der Datenspende bei der Anwendung der DSGVO-Regelungen bleibt. Dies wird auch explizit in Art. 1 DGA festgelegt, der die Regelungen der DSGVO für anwendbar erklärt. Die Rechtsgrundlage der entsprechenden Datenverarbeitung ist daher auch weiterhin die Einwilligung gemäß Art. 6 Abs. 1 S. 1 lit. a DSGVO. Gerade das wird bei den überlappenden Regelungsbereichen wenig hilfreich sein für die Vereinfachung der Datenspende für altruistische Zwecke.
Eine Vereinfachung ist daher gerade nicht ersichtlich, vielmehr wird eine weitere bürokratische Hürde für die Verarbeitung personenbezogener Daten für altruistische Zwecke aufgebaut, die keinen Mehrwert hat. Im Gegenteil werden Organisationen, die grundsätzlich für eine Datenspende nach dem DGA in Frage kommen zukünftig einen wesentlich höheren organisatorischen Aufwand haben, um die zusätzlichen Anforderungen aus dem DGA neben den weiterhin geltenden Regelungen der DSGVO zu erfüllen.
Dies wird verdeutlicht durch Anforderungen im DGA an die betreffenden Organisationen hinsichtlich der notwendigen Zertifizierung und der darüber bestehenden Aufsicht durch die zuständige Aufsichtsbehörde, die nicht deckungsgleich mit der jeweiligen Aufsichtsbehörde nach der DSGVO sein muss, sodass zusätzlich das Risiko besteht, dass eine weitere behördliche Instanz geschaffen wird.
Selbst wenn die Datenschutzaufsichtsbehörden auch für die Überwachung der Voraussetzungen des DGA zuständig sein sollten, wird es durch die überlappenden Regelungsbereiche dennoch zu einem deutlich erhöhten bürokratischen Aufwand, z. B. infolge von Fragen der Befugnisse bzw. internen Zuständigkeiten kommen.
In formeller Hinsicht kann man den Regelungen zum Datenaltruismus innerhalb des DGA dagegen gewisse Bündelungseffekte und Vereinheitlichungen nicht absprechen. So sollen die registrierten Organisationen mit den Daten der Allgemeinheit dienende Datenarchive aufbauen können und durch die Registrierung und behördliche Überwachung dürfte das Vertrauen potentieller Datenspender gestärkt werden. Dazu dient auch das von der EU-Kommission zu erlassende Regelwerk gemäß Art. 22 DGA und das ebenfalls von der EU-Kommission zu erlassende europäische Einwilligungsformular zum Datenaltruismus gemäß Art. 25 DGA, welches zumindest eine Vereinheitlichung für die einzuholende Einwilligung für die entsprechende Datenverarbeitung bewirken könnte.
Fazit
Die Idee der Vereinfachung der Datenverarbeitung für altruistische Zwecke ist sicherlich gut, die Regelungen zum Datenaltruismus im DGA verfehlen dieses Ziel aber deutlich.
Es wird keine materiell-rechtliche Vereinfachung der Datenspende erreicht, die Regelungen der DSGVO gelten auch bzgl. der Verarbeitung zu altruistischen Zwecken weiter und der DGA trifft überhaupt keine Regelungen zum Ablauf der Datenspende an sich. Es kommt vielmehr zu einer weiteren Erschwerung der Datenspende durch zusätzliche formelle Anforderungen und die Einführung einer weiteren behördlichen Prüfungsinstanz. Durch die sich überlappenden Regelungsbereiche der DSGVO und des DGA droht der bürokratische Aufwand für datenaltruistische Organisationen massiv zu steigen, ohne dass daraus neben einem gewissen Bündelungseffekt durch Musterformulare und das Stärken des Vertrauens der Betroffenen durch ein entsprechendes Logo ein großer Mehrwert entstehen dürfte.
Für die beabsichtigte Vereinfachung hätte der EU-Gesetzgeber mutiger handeln und im DGA selbst materiell-rechtliche Regelungen für datenaltruistische Organisationen aufstellen müssen.
Ob die Wettbewerbsfähigkeit des Standorts Europa innerhalb der rasant fortschreitenden KI-Entwicklung durch die jetzige Regelung gefördert wird, darf daher stark bezweifelt werden. Es erscheint leider so, als würde die EU im Rennen der Digitalisierung weiter an Boden gegenüber den USA verlieren.