Förderung des Datenaustauschs: EU-Rat erzielt Einigung mit Parlament über Daten-Governance-Gesetz

Die Verhandlungsführer des Rates und des Europäischen Parlaments haben am 30.11.2021 eine vorläufige Einigung über ein neues Gesetz erzielt, mit dem die Verfügbarkeit von Daten gefördert und ein vertrauenswürdiges Umfeld zur Nutzung von Daten für Forschung und für die Schaffung innovativer neuer Dienste und Produkte errichtet werden soll.

Mit dem Daten-Governance-Gesetz sollen robuste Mechanismen geschaffen werden, um die Weiterverwendung bestimmter Kategorien geschützter Daten des öffentlichen Sektors zu vereinfachen, das Vertrauen in die Datenvermittlungsdienste zu erhöhen und den Datenaltruismus in der gesamten EU zu fördern.

Breitere Weiterverwendung geschützter Daten des öffentlichen Sektors
Mit dem Daten-Governance-Gesetz wird ein Mechanismus geschaffen, durch den die sichere Weiterverwendung bestimmter Kategorien von Daten des öffentlichen Sektors, die den Rechten anderer unterliegen, ermöglicht wird. Dazu gehören beispielsweise Handelsgeheimnisse, personenbezogene Daten und durch Rechte des geistigen Eigentums geschützte Daten. Öffentliche Stellen, die diese Art der Weiterverwendung erlauben, müssen über eine angemessene technische Ausstattung verfügen, um sicherzustellen, dass Privatsphäre und Vertraulichkeit in vollem Umfang gewahrt bleiben.

In diesem Zusammenhang wird das Daten-Governance-Gesetz die Richtlinie über offene Daten aus dem Jahr 2019 ergänzen, in der diese Arten von Daten nicht abgedeckt werden.

Ausschließlichkeitsvereinbarungen für die Weiterverwendung von Daten des öffentlichen Sektors können geschlossen werden, wenn dies gerechtfertigt und für die Erbringung einer Dienstleistung von allgemeinem Interesse erforderlich ist. Die Höchstdauer für bestehende Verträge beträgt 2,5 Jahre und für neue Verträge 12 Monate.

Die Kommission beabsichtigt, einen europäischen einheitlichen Zugangspunkt mit einem durchsuchbaren elektronischen Verzeichnis von Daten des öffentlichen Sektors einzurichten. Dieses Verzeichnis soll über nationale zentrale Informationsstellen zugänglich sein.

Ein neues Geschäftsmodell für die Datenvermittlung
Mit dem Daten-Governance-Gesetz wird ein Rahmen zur Förderung eines neuen Geschäftsmodells - Datenvermittlungsdienste - geschaffen, der eine sichere Umgebung bieten wird, in der Unternehmen oder Einzelpersonen Daten austauschen können.

Für Unternehmen können diese Dienste die Form von digitalen Plattformen annehmen, auf denen die gemeinsame Datennutzung zwischen Unternehmen auf freiwilliger Basis unterstützt wird bzw. mit denen die Erfüllung rechtlicher Verpflichtungen in Bezug auf die gemeinsame Datennutzung erleichtert wird. Durch die Nutzung dieser Dienste können Unternehmen ihre Daten teilen, ohne deren missbräuchliche Verwendung oder den Verlust eines Wettbewerbsvorteils befürchten zu müssen.

In Bezug auf personenbezogene Daten werden solche Dienste und ihre Anbieter Einzelpersonen dabei helfen, ihre Rechte im Rahmen der Datenschutz-Grundverordnung (DSGVO) auszuüben. Damit wird es den Menschen ermöglicht, die volle Kontrolle über ihre Daten zu haben und sie mit einem Unternehmen ihres Vertrauens zu teilen. Dies kann beispielsweise mithilfe neuartiger Instrumente für die Verwaltung persönlicher Informationen geschehen, etwa mit persönlichen Datenräumen oder Daten-Wallets, bei denen es sich um Apps handelt, die nach Erteilung der Einwilligung des Dateninhabers Daten mit anderen teilen.

Die Anbieter von Datenvermittlungsdiensten müssen in einem Register eingetragen sein, damit ihre Kunden wissen, dass sie sich auf sie verlassen können.

Es wird den Anbietern nicht gestattet sein, die gemeinsam genutzten Daten für andere Zwecke zu verwenden. Sie dürfen keinen Nutzen aus den Daten ziehen, zum Beispiel indem sie sie weiterverkaufen. Für die von ihnen durchgeführten Transaktionen dürfen jedoch Gebühren erhoben werden.

Datenaltruismus für das Gemeinwohl
Mit dem Daten-Governance-Gesetz wird es Einzelpersonen und Unternehmen ferner erleichtert, ihre Daten zum Wohl der Allgemeinheit, etwa für medizinische Forschungsprojekte, freiwillig bereitzustellen.

Einrichtungen, die für Ziele von allgemeinem Interesse Daten sammeln möchten, können beantragen, in einem nationalen Register der anerkannten datenaltruistischen Organisationen geführt zu werden. Die eingetragenen Organisationen werden EU-weit anerkannt. Auf diese Weise wird das nötige Vertrauen in den Datenaltruismus geschaffen, was Einzelpersonen und Unternehmen dazu anregen wird, solchen Einrichtungen Daten zu spenden, damit sie für das größere gesellschaftliche Wohl verwendet werden können.

Wenn eine Organisation als datenaltruistische Organisation im Sinne des Daten-Governance-Gesetzes anerkannt werden möchte, muss sie ein spezifisches Regelwerk einhalten.

Einfache Identifizierung von Diensteanbietern
Eine freiwillige Zertifizierung in Form eines Logos soll es einfacher machen, Anbieter von Datenvermittlungsdiensten und datenaltruistische Organisationen, die den einschlägigen Vorschriften entsprechen, zu identifizieren.

Europäischer Dateninnovationsrat
Mit dem Europäischen Dateninnovationsrat wird eine neue Einrichtung geschaffen, die u.a. die Kommission bei der Verbesserung der Interoperabilität von Datenvermittlungsdiensten und bei der Erteilung von Leitlinien für die Erleichterung der Entwicklung von Datenräumen beraten und unterstützen soll.

Internationaler Zugang zu und internationale Übertragung von nicht personenbezogenen Daten
Mit dem Daten-Governance-Gesetz werden Schutzvorkehrungen für Daten des öffentlichen Sektors, Datenvermittlungsdienste und datenaltruistische Organisationen getroffen, um die unrechtmäßige internationale Übertragung nicht personenbezogener Daten oder den unrechtmäßigen internationalen Zugang von Regierungsorganisationen dazu zu vermeiden. Für personenbezogene Daten gibt es in der EU bereits ähnliche Schutzvorkehrungen im Rahmen der DSGVO.

Insbesondere kann die Kommission - im Wege des Sekundärrechts - Angemessenheitsbeschlüsse erlassen, mit denen erklärt wird, dass bestimmte Drittländer angemessene Sicherheitsvorkehrungen für die Nutzung von aus der EU übertragenen nicht personenbezogenen Daten bieten. Diese Beschlüsse würden den Angemessenheitsbeschlüssen für personenbezogene Daten im Rahmen der DSGVO ähneln. Solche Sicherheitsvorkehrungen sollten als vorhanden gelten, wenn das betreffende Land über gleichwertige Maßnahmen verfügt, die ein Schutzniveau gewährleisten, das dem durch das EU-Recht oder das Recht der EU-Mitgliedstaaten gewährten Schutzniveau entspricht.

Die Kommission kann auch Vorlagen für Vertragsklauseln annehmen, um öffentliche Stellen und Weiterverwender im Fall von Übertragungen von Daten des öffentlichen Sektors an Drittländer zu unterstützen.

Anwendungsbeginn
Die neuen Vorschriften werden 15 Monate nach Inkrafttreten der Verordnung zur Anwendung kommen.

Weiteres Vorgehen
Die erzielte vorläufige Einigung muss vom Rat gebilligt werden. Sie wird nun dem Ausschuss der Ständigen Vertreter (AStV) des Rates zur Billigung vorgelegt.