Der Data Governance Act

15.05.2023

Der Data Governance Act: neue Akteure, neue Vorgaben, neue Datenteilungskultur?

Gastbeitrag von Prof. Dr. Moritz Hennemann

Beitrag von Prof. Dr. Moritz Hennemann

Der neue Data Governance Act (DGA) wird bereits ab dem 24. September dieses Jahres gelten. Falls Sie besondere Kategorien von Daten des öffentlichen Sektors weiterverarbeiten, Datenvermittlungsdienste anbieten oder als datenaltruistische Organisation tätig sein wollen, dürften derzeit umfassende Anpassungsprozesse an die neuen Vorgaben anstehen. Falls noch nicht geschehen: Die verbleibende Zeit ist denkbar knapp!

Data Governance

Der Name der neuen EU-Verordnung weckt hohe Erwartungen. Die Bezeichnung des Rechtsakts impliziert auf den ersten Blick eine umfassende Regulierung personenbezogener und nicht personenbezogener Daten in unterschiedlichen gesellschaftlichen Kontexten. Die potentielle Spannweite ist groß. So ist die Nutzung codierter Informationen zunächst im wirtschaftlichen Kontext zentraler Katalysator von Innovation und Wettbewerb. Ähnlich ist die Lage im nicht kommerziellen Umfeld. NGOs oder Forschungsinstitutionen sind für ihre Arbeit oftmals auf Daten angewiesen. Staatliche Akteure treten als Datenanbieter (Open Data) und -nachfrager (Zugangsverlangen gegenüber Privaten) auf den Plan.

EU-Datenstrategie

Wer nun eine umfassende Regulierung aller Fragestellungen durch den DGA erwartet, wird enttäuscht. Der unionale Gesetzgeber begnügt sich mit der Regulierung einzelner Bausteine der benannten Datenaustausch- und Datenzugangskonstellationen im DGA. Dies ist nur vor dem Hintergrund verständlich, dass neben den DGA – in Umsetzung der EU-Datenstrategie – noch weitere Schwesterverordnungen treten (insbesondere Data Act (Entwurf), Digital Markets Act und Digital Services Act). Der DGA ist vor allem künftig mit dem derzeit im (fortgeschrittenen) Entwurf vorliegenden Data Act zusammenzudenken. Zudem wurden in der Vergangenheit mit der Open Data-Richtlinie und der Datenschutz-Grundverordnung (DS-GVO) bereits wesentliche Eckpfeiler etabliert. Die auf den ersten Blick heterogen wirkenden Regulierungsfelder des DGA sind deswegen mehr als ergänzende Puzzleteile einer vorhandenen Regulierungslandschaft zu verstehen denn als ein abgeschlossenes kohärentes Gesetzgebungswerk.

Konkrete Regulierungsfelder

Der DGA umfasst drei konkrete Regulierungsfelder. So statuiert die Verordnung zunächst die Bedingungen zur Weiterverwendung besonderer Kategorien von Daten des öffentlichen Sektors. Dieser Teil des DGA ist vornehmlich zusammen mit der existierenden Open Data-Richtlinie bzw. der nationalen Open Data-Gesetzgebung zu lesen.

Als Zweites nimmt sich der DGA sog. Datenvermittlungsdiensten an. Aufbauend auf den Erfahrungen der Plattformökonomie hat der EU-Gesetzgeber erkannt, dass Intermediären auch und gerade im Kontext der Datenwirtschaft eine zentrale Rolle zukommt. Vermittlungsdienste befördern ein matching von Dateninhabern und Dateninteressenten, mit dem Ziel Daten zu handeln. Neben klassischen Datenmarktplätzen umfasst der DGA auch sog. Datengenossenschaften und sog. Personal Information Management Systems (PIMS). Entsprechende Dienste sind künftig anmeldepflichtig – aber nicht genehmigungsbedürftig – und unterliegen einem engen Pflichtenkorsett.

Drittens sieht der DGA einen Abschnitt zur Förderung des Datenaltruismus vor. Hier geht es dem Gesetzgeber vor allem darum, die altruistische Preisgabe nicht personenbezogener oder personenbezogener Daten anzuregen. Der DGA setzt auf eine optionale Registrierung sog. datenaltruistischer Organisationen.

Ergänzt werden die Regelungen durch die Einführung eines neuen Expertengremiums, des Europäischen Dateninnovationsrats, durch Regelungen zum public enforcement sowie zum – praktisch enorm bedeutsamen – Transfer nicht personenbezogener Daten ins EU-Ausland.

Zielsetzungen

Wenn auch auf den ersten Blick heterogen wirkend, verfolgen alle Abschnitte des DGA ein übergeordnetes Ziel. Datennutzbarkeit bzw. Datennutzung in unterschiedlichen Datenökosystemen, seien sie staatlicher, privater oder gemischter Natur, sollen befördert werden. Damit verfolgt der DGA – ebenso wie alle weiteren Rechtsakte auf der Grundlage der EU-Datenstrategie – eine zumindest im Ansatz von der DS-GVO abweichende Grundkonzeption. Anders formuliert nimmt der DGA (ebenso wie der Data Act) die oftmals etwas unterbelichtete Dimension der DS-GVO zur Förderung des freien Verkehrs von Daten ein wenig ernster.

Umgesetzt wird der benannte Impetus zur Datennutzung durch einen sektorübergreifenden Ansatz. Der DGA reagiert damit nicht nur auf ein erkanntes Marktversagen. Vor allem richtet sich die Verordnung auch nicht nur an marktbeherrschende Unternehmen. Vielmehr macht der DGA allgemeine marktprägende Vorgaben (etwa zur Etablierung von Datenvermittlungsdiensten). Der DGA ist deswegen ebenso wie auch der kommende Data Act im Kern als Marktdesign(recht) zu verstehen.

Auf übergeordneter Ebene sind die neuen datenrechtlichen Rechtsakte legislativer Ausfluss des globalen Wettbewerbs um eine adäquate Datennutzung auf individueller, kommerzieller und gemeinwohlbezogener Ebene. Im Zusammenspiel mit sektorspezifischer Regulierung (Europäische Datenräume) wird derzeit eine grundlegende rechtliche Infrastruktur für Datenaustauschbeziehungen und Datenzugangsrechte in unterschiedlichen Ökosystemen ausbuchstabiert. Entsprechende Ökosysteme sind durch die Vielzahl unterschiedlicher staatlicher wie privater Akteure geprägt. Es werden deshalb durch die Neuregelungen bestimmte Akteure gefördert, verpflichtende Zugangsrechte etabliert sowie vertragliche Vereinbarungen zwischen den Beteiligten entweder verlangt oder zumindest angestoßen und gerahmt.

Kritik

All dies soll freilich nicht verdecken, dass sich der DGA in vielfacher Hinsicht umfassender und oftmals zutreffender Kritik ausgesetzt sieht. Neue Zugangsansprüche gegenüber staatlichen Akteuren werden im DGA trotz der Regelung der Weiterverwendungskonditionen nicht begründet. Die Regelungen zu Datenvermittlungsdiensten erlegen diesen vielfältige Pflichten auf, ohne gleichzeitig substantielle Anreize zu setzen. Eine „Flucht“ in andere Geschäftsmodelle (wie etwa nicht erfasste Data Broker) ist naheliegend. Insbesondere werden keine Befreiungen vom oder Privilegierungen gegenüber dem Datenschutzrecht statuiert. Dies gilt in gleicher Weise für datenaltruistische Organisationen. Der Registrierungsmechanismus ist bei Letzteren im Unterschied zu Datenvermittlungsdiensten lediglich optional. Anreiz für die Registrierung ist im Wesentlichen allein die Aussicht, ein entsprechendes Logo und eine damit verbundene Bezeichnung im Rechtsverkehr führen zu dürfen. Schließlich werden die Regelungen zum Transfer nicht personenbezogener Daten noch erhebliche Aufmerksamkeit auf sich ziehen. Etwas versteckt – und abhängig von der Auslegung der Norm – wurde im entsprechenden Art. 31 der Verordnung ein bislang unbekanntes Transferregime für nicht personenbezogene Daten eingeführt. Der Regulierungsansatz gleicht zwar nicht den Art. 44 ff. DS-GVO, es drohen allerdings dieselben restriktiven Effekte.

Ausblick

Trotz oder gerade weil der DGA erhebliche Kritik auf sich gezogen hat, lohnt eine Befassung mit den Neuregelungen in vielfacher Hinsicht. Zunächst sind die Vorgaben des DGA grundlegender Ausfluss der Neujustierung unionaler Datenregulierung. Die Gewichte werden dadurch zumindest nicht weiter in Richtung eines klassisch-restriktiv verstandenen Datenschutz(recht)es verschoben.

Darüber hinaus ist absehbar, dass sich eine Vielzahl von Akteuren künftig mit DGA-spezifischen Fragestellungen auseinander werden setzen müssen. Jedes Unternehmen, das personenbezogene oder nicht personenbezogene Daten handeln möchte, ist direkt oder indirekt betroffen. Insbesondere die Regelungen zu PIMS weisen eine hohe Praxisrelevanz auf, auch wenn sich dieses äußerst wünschenswerte Geschäftsmodell aufgrund ungeklärter datenschutzrechtlicher Fragen bislang noch nicht endgültig durchgesetzt hat.

Vor allem werden aber mit dem DGA neue und zentrale Vertrauensanker gesetzt. Der DGA soll nicht nur das Vertrauen im datenwirtschaftlichen Kontext durch Datenintermediäre stärken, sondern auch gerade in nicht kommerziellen Konstellationen wie etwa der Forschung. Vor allem soll im gesamtgesellschaftlichen Sinne und zugunsten aller Akteure die rechtliche und konkret die vertragliche Infrastruktur zum Datenteilen gestärkt werden. Zu diesen Zwecken setzt der DGA schließlich auch auf eine institutionalisierte Beratung durch den Europäischen Innovationsrat und auf ein DGA-spezifisches public enforcement (das private enforcement bleibt leider ein blinder Fleck der Verordnung).

Insgesamt sollen die verschiedenen Bausteine einer übergreifenden Datenteilungskultur Vorschub leisten. Es ist mit Spannung zu erwarten, ob der DGA dieser Zielsetzung in Ansehung einer Vielzahl offener Detailfragen – gerade im Verhältnis zum „unbeschadet“ anwendbaren Datenschutzrecht (Art. 1 Abs. 3 S. 2 DGA) – und eingeschränkter Anreizsetzungen wirklich gerecht werden kann. Der gewählte Ansatz, Vertrauen zu schaffen durch mehr Regulierung, kann sich auch als Bumerang für die europäische Datenwirtschaft erweisen.

Der Autor ist Inhaber des Lehrstuhls für Europäisches und Internationales Informations- und Datenrecht sowie Leiter der Forschungsstelle für Rechtsfragen der Digitalisierung (FREDI) der Universität Passau. Zusammen mit Louisa Specht-Riemenschneider hat er den Nomos Handkommentar zum Data Governance Act verfasst, der in Kürze erscheinen wird.