Die Europäische Union (EU) sieht sich meist selbst als politischer Zwerg und wirtschaftlicher Riese. Allerdings liegt die EU bei der Digitalisierung weit abgeschlagen hinter den USA. Gerät die EU nun auch als wirtschaftlicher Riese ins Wanken? Damit dies nicht passiert und die Aufholjagd in der Digitalisierung beginnen kann, hat die EU im Jahr 2020 die Europäische Datenstrategie ins Leben gerufen.
Innerhalb des europäischen Binnenmarktes soll der Datenfluss zwischen den Unternehmen erleichtert werden. Ziel ist es, dass der erleichterte Zugang zu und die Nutzung von Daten zu mehr digitalen Innovationen und wirtschaftlichem Wachstum in der EU führen.
Dazu wird es verschiedene Gesetze auf europäischer Ebene geben:
- Den Data Act (DA), der den Anspruch auf Zugang zu Daten für Einzelpersonen, Unternehmen und öffentliche Stellen regeln soll (wir berichteten),
- den Digital Markets Act (DMA), der den Marktmissbrauch von Konzernen wie Alphabet (besser bekannt als Google), Amazon oder Meta verhindern soll,
- den Digital Services Act (DSA), der den Wettbewerb zwischen Internet-, Cloud- oder Hostinganbieter stärken soll, und
- den Data Governance Act (DGA), der die Verfügbarkeit von Daten und die gemeinsame Datennutzung zur innovativen Entwicklung von digitalen Dienstleistungen und Produkten fördern soll.
Nachdem wir uns bereits mit dem DA beschäftigt hatten, soll es hier um DGA (VO EU 2022/868) gehen, der am 23. Juni 2022 in Kraft getreten und nun seit dem 24. September in der EU gültig ist.
Was ist das Ziel des DGA?
Der DGA soll den Austausch von digitalen Daten fördern. Dabei ist es unerheblich, ob es sich um personenbezogene oder nicht personenbezogene Daten handelt. Sie müssen nur in digitaler Form – anders als im Anwendungsbereich der DSGVO – vorliegen.
Um dieses Ziel, die Förderung des Austauschs, zu erreichen, soll das Vertrauen unter Einzelpersonen und Unternehmen in Bezug auf den Zugang zu Daten, deren Kontrolle, gemeinsame Nutzung, Verwendung und Weiterverwendung gestärkt werden (ErwGr. 5). Der erste Adressat, der Daten zur Weiterverwendung zur Verfügung stellen soll, ist der öffentliche Sektor. Aber auch Unternehmen, die Daten generieren, sollen Daten zur Verfügung stellen.
Eine Schlüsselrolle kommt sog. Datenvermittlungsdiensten zu. Sie sollen freiwillige Verfahren zur gemeinsamen Datennutzung zwischen Unternehmen unterstützen und fördern oder die gemeinsame Datennutzung in Hinblick auf Verpflichtungen aus Unions- oder nationalem Recht erleichtern. Solche Datenvermittlungsdienste können bspw. öffentliche Stellen sein. Der Wunsch der EU ist es, dass diese Dienste KMUs und Start-up-Unternehmen mit eingeschränkten finanziellen, rechtlichen oder administrativen Möglichkeiten einen einfacheren Zugang zur Datenwirtschaft ermöglichen (ErwGr. 27). Die Dienste sollen für den vereinfachten Datenaustausch Plattformen oder Datenbanken oder auch eine spezielle Infrastruktur für die Vernetzung von betroffenen Personen, Dateninhabern und Datennutzern einrichten.
Wichtiges Merkmal des Datenaustauschs ist der altruistische Zweck. Ziel des DGA ist es, durch Altruismus ausreichend große Datenbestände entstehen zu lassen, um Datenanalysen und maschinelles Lernen auch grenzüberschreitend in der EU zu ermöglichen (ErwGr. 45). Dazu sollen betroffene Personen oder Dateninhaber ihre Einwilligung oder Erlaubnis zur altruistischen Verwendung ihrer Daten erteilen. Der DGA betont, dass der Datenaustausch insbesondere zur Verbesserung des Verkehrs, der öffentlichen Gesundheit und der Bekämpfung des Klimawandels dienen kann.
Verhältnis zur DSGVO
Die DSGVO hat Vorrang vor dem DGA. Der DGA schafft keine Rechtsgrundlage für die Verarbeitung personenbezogener Daten – so lautet sinngemäß Art. 1 Abs. 3 DGA. Hier zeichnet sich ein Widerspruch in der Zielsetzung ab: Die DSGVO soll zwar nach Art. 1 Abs. 3 DSGVO den freien Verkehr personenbezogener Daten in der Union weder einschränken, noch verbieten (wir berichteten), doch steht die Transparenz der Datenverarbeitung basierend auf einer Rechtsgrundlage oder der Einwilligung der betroffenen Person im Zentrum des Datenschutzes. Die DSGVO bremst in der Praxis zunächst den Datenaustausch als ihn zu fördern. Die Förderung der Weitergabe von personenbezogenen Daten kann nur gelingen, wenn die DSGVO dabei beachtet wird.
Dem DGA schwebt dabei folgendes Szenario vor:
- Die betroffene Person möchte über einen Datenvermittlungsdienst ihre personenbezogenen Daten einem Unternehmen zur Verfügung stellen.
- Der Datenvermittlungsdienst darf nach Art. 12 DGA die Daten nur vermitteln und nicht für eigene Zwecke nutzen. Es soll lediglich der geschäftliche Kontakt zwischen der betroffenen Person und dem Unternehmen als potentiellem Datennutzer hergestellt werden. Der Datenvermittlungsdienst hat daher hier die datenschutzrechtliche Rolle als Auftragsverarbeiter im Sinne von Art. 4 Nr. 8 DSGVO. Das Unternehmen, welches die personenbezogenen Daten empfängt, handelt als Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO.
- Der Datenvermittlungsdienst darf nach Art. 12 lit. e DGA bei der Erleichterung der Datenweitergabe unterstützen. So kann er die Daten in andere Formate umwandeln, pseudonymisieren oder anonymisieren.
Gerade die beiden letzten Punkte sind in datenschutzrechtlicher Hinsicht relevant, weil der DGA keine Rechtsgrundlage für die Datenverarbeitung darstellt und der DGA im Lichte der DSGVO ausgelegt werden muss, wenn es um personenbezogene Daten geht. Die Pseudonymisierung oder gar Anonymisierung sind wichtige Bausteine, um eine erleichterte Datenverarbeitung durch das empfangende Unternehmen zu erreichen. Zu beachten ist dabei aber, dass diese Verarbeitungsschritte einer Rechtsgrundlage bedürfen, die sich aus dem Gesetz oder aus der Einwilligung der betroffenen Person ergibt.
In der Regel wird hier die Einwilligung der betroffenen Person das Mittel der Wahl sein, um die Datenweitergabe, aber auch um die Umwandlung bzw. Bearbeitung der Daten zu ermöglichen.
Art. 25 DGA sieht zu diesem Zweck ein von der Kommission erlassenes Europäisches Einwilligungsformular vor, das den Datenaltruismus erleichtern soll. Das Formular soll modular aufgebaut sein, damit es flexibel angepasst werden kann. Die Form und der Inhalt der Einwilligung und des Widerrufs unterliegen den Spielregeln aus Art. 7 DSGVO, soweit es sich um personenbezogene Daten handelt.
DSGVO und DGA – eine Stotterbremse für die europäische Wirtschaft
Zentraler Dreh- und Angelpunkt sind die Datenvermittlungsdienstleister. Erst wenn diese reibungslos arbeiten können, ist eine erleichterte Datenweitergabe überhaupt möglich, die zu einem wirtschaftlichen Schub und Innovationen führen kann.
Der europäische Gesetzgeber will den Datenaustausch erleichtern. Dies ist mit dem DGA deutlich geworden. Allerdings führt das Nebeneinander von DSGVO und DGA dazu, dass der Datenvermittlungsdienst genau schauen muss, dass er bei der Datenverarbeitung nicht gegen die DSGVO verstößt. Dies wäre anders gewesen, wenn der DGA eine Rechtsgrundlage der Datenverarbeitung im Sinne von Art. 6 Abs. 1 lit. c DSGVO wäre. Dagegen hat sich der Gesetzgeber aber bewusst entschieden. Ob sich Datenvermittlungsdienste daher in der Breite etablieren werden, wenn für sie das Risiko besteht, gegen die DSGVO zu verstoßen und damit Ziel von Bußgeldern zu werden, ist eine der spannenden Fragen, die nur die Zukunft beantworten kann.
Was die EU in ihrer Beschreibung zum DGA geradezu prophetisch hervorgehoben hat, ist, dass der DGA wichtig für die Ausbildung von KI-Systemen sei. Da passt es in die Zeit, dass die Kommission einen Vorschlag über eine Verordnung zur Künstlichen Intelligenz unterbreitet hat (AI-Act). Aber das ist eine andere Geschichte und soll ein andermal erzählt werden.