In unregelmäßigen Abständen berichten wir in der Rubrik “Gastbeiträge“ von eigenen Publikationen in Zeitschriften und Büchern oder geben anderen Menschen die Gelegenheit, hier zu veröffentlichen. Von dieser Möglichkeit macht heute Sergey Lagodinsky Gebrauch. Sergey ist Grüner, Mitglied des Europäischen Parlaments und dort unter anderem stellvertretender Vorsitzender des Rechtsausschusses. An dieser Stelle berichtet er über die Einigung zwischen Europäischem Parlament und Europäischem Rat auf das Daten-Governance-Gesetz, den Data Governance Act, kurz DGA, und stellt uns dessen wichtigste Instrumente vor.
Diesmal ging es schneller als man es sonst gewohnt ist: Am 30. November haben sich das Europäische Parlament und der Europäische Rat auf das Daten-Governance-Gesetz geeinigt. Als Berichterstatter für den Ausschuss für Bürgerliche Freiheiten, Justiz und Inneres waren mein Team und ich in den Verhandlungen für das Thema Datenschutz verantwortlich. Der DGA ist das zweite von drei großen Gesetzesvorhaben der Kommission und ist ein entscheidender Bestandteil der europäischen Datenstrategie.
Europäische Datenstrategie
Die damals noch recht frische Europäische Kommission legte im Februar 2020 ihr Papier für eine europäische Datenstrategie vor. Darin beschreibt sie unter anderem die großen wirtschaftlichen Vorteile einer modernen Datenpolitik. So soll der DGA allein zwischen 3,87-3,95% Wachstum des europäischen Bruttoinlandsprodukts bringen. Dem voran ging bereits Anfang 2019 die Open Data-Richtlinie (ehemals Public Sector Information-RL) und Anfang 2022 soll der Data Act zusammen mit sektorenspezifischen Datenräumen (Data Spaces) folgen.
Der Werkzeugkasten
Der DGA ist auch eine Kombination aus verschiedenen Instrumenten. Es geht vor allem um vier Themen:
Weiterverwendung öffentlicher Datensätze
Das erste Instrument komplementiert die Open Data-Richtlinie. Diese schreibt öffentlichen Einrichtungen vor, nicht-personenbezogene Daten zur Weiterverarbeitung zur Verfügung zu stellen, von denen sie alle Rechte besitzen. Allerdings galt sie nicht für die beiden übrigen Datenkategorien: personenbezogene Daten und nicht-personenbezogene Daten, die etwa urheberrechtlich oder durch andere Rechte Dritter geschützt sind.
Mit dem DGA wird dies nun ermöglicht. Gleichzeitig bleibt der Schutz insbesondere für personenbezogene Daten sichergestellt – sie müssen vor der Weiterverwendung anonymisiert werden. Damit mögliche Rechte Anderer bewahrt bleiben, sollen nicht-personenbezogenen Daten aggregiert oder anderweitig vorbehandelt werden.
Wo solche vorbehandelnden Maßnahmen nicht möglich sind oder dem Verwendungszweck entgegenstehen könnten, kann die öffentliche Stelle je nach Schutzzweck eine sichere Verarbeitungsumgebung zur Verfügung stellen oder die Verarbeitung nur vor Ort ermöglichen, um die betroffenen Rechte und Interessen Dritter zu schützen.
Dienste für die gemeinsame Datennutzung und Datengenossenschaften
Das zweite Instrument richtet sich an die Datenwirtschaft und etabliert Regeln für Dienste, die eine gemeinsame Datennutzung ermöglichen. Solche data sharing services sind zwar auch ohne den DGA schon möglich, er soll aber neue Anreize für die gemeinsame Datennutzung zwischen Firmen schaffen und die Freigabe personenbezogener Daten von Einzelpersonen stimulieren, indem etwa mit der Schaffung von Datengenossenschaften auch die Verhandlungsposition gegenüber Daten-Nutzern gestärkt wird. Die Betroffenen behalten dabei das letzte Wort.
Daten-Altruismus für altruistische Daten-Nutzung?
Als dritten Bestandteil führt der DGA die sogenannten datenaltruistischen Organisationen ein, die es für Einzelpersonen einfacher machen sollen, personenbezogene Daten zu Gemeinwohlzwecken freizugeben.
Der DGA erkennt diese Organisationen an und gibt vor, dass sie einen Sitz oder einen rechtlichen Ansprechpartner in Europa benennen müssen. Außerdem müssen datenaltruistische Aktivitäten von anderen Geschäftsaktivitäten getrennt durchgeführt werden, um Interessenkonflikte zu vermeiden.
Um mehr Einwilligungen in die Freigabe von Daten zu bekommen, entwickelt die Kommission unter Einbeziehung der europäischen Datenschutzbehörden ein Freigabeformular, das die Zustimmung und den Widerspruch für Betroffene einfach machen soll.
Dass die Regeln auch eingehalten werden, soll ein Netzwerk von zuständigen Stellen in den EU-Mitgliedsstaaten überwachen, Beschwerden annehmen und ggf. den Titel der „anerkannten datenaltruistischen Organisation“ wieder entziehen. Die Regeln der Datenschutzgrundverordnung zu Strafen bei Verstößen bleiben davon unangetastet.
Europäischer Dateninnovationsrat
Mit dem Europäischen Dateninnovationsrat (Data Innovation Board) wird eine Expert*innengruppe geschaffen, die Arbeitsgruppen zu den speziellen Fragestellungen etwa für Industrie, Forschung und Wissenschaft, Zivilgesellschaft, sowie für Standardisierungsgremien bilden soll.
Keine Spezialgesetzgebung für Datenschutz
Nach der Vorstellung des DGA kamen schnell Fragen auf, inwiefern er negative Auswirkungen auf den Datenschutz haben könnte. Die Europäischen Datenschutzbehörden haben sich in einer ungewöhnlich ausführlichen Stellungnahme im März 2021 für umfassende Klarstellungen ausgesprochen, die im Gesetzgebungsprozess sowohl auf Seiten des Parlaments als auch auf der Seite des Europäischen Rates auf viel Gegenliebe gestoßen sind. Als Berichterstatter für den LIBE-Ausschuss im EP kam mir dabei die Sonderrolle des „Hüters des Datenschutzes“ zu, für dieses Themenfeld gleichberechtigt neben dem ansonsten federführenden Industrieausschuss ITRE.
Mit den umfangreichen Änderungen konnten wir insbesondere die klare Unterscheidung zwischen Betroffenen personenbezogener Daten und deren Rechten einerseits, und den Schutzrechten von Dateninhabern andererseits klarstellen. Die Unterscheidung scheint technisch, war aber doch wesentlich für den effektiven Datenschutz – die entscheidende Gesetzgebung für den Datenschutz bleibt also die Datenschutzgrundverordnung. Somit konnten die befürchteten Uneindeutigkeiten für kommerzielle Datenverwender oder in der Frage der zuständigen Behörden hoffentlich ausgeräumt werden.
Abschluss der Daten-Trilogie
Den Abschluss der Daten-Trilogie soll im Frühjahr des Jahres 2022 dann der sogenannte Data Act bilden. Nachdem sich die Open Data-Richtlinie vor allem der Daten öffentlicher Stellen annimmt, und der DGA das Bindeglied zwischen öffentlichen-, Industrie- und Personenbezogenen Daten bildet, soll der Data Act aller Voraussicht nach vor allem zu mehr Datenaustausch und Kooperation zwischen Firmen führen. Im engen zeitlichen Zusammenhang wird Spezialgesetzgebung etwa zur Schaffung eines Gesundheitsdatenraums erwartet.
Comments are closed