Neues EU-Datengesetz – Was Unternehmen und Verwaltung jetzt wissen müssen:

 

• EU-Parlament und Mitgliedstaaten haben sich auf einen Entwurf für ein "Daten-Governance-Gesetz" geeinigt, dass 2023 in Kraft treten soll.
• Damit werden europaweit einheitliche Regelungen für das Teilen von Daten zwischen Wirtschaft, Privatpersonen und der Verwaltung geschaffen.
• Durch den verstärkten Austausch der rasant steigenden Datenmengen sollen Innovationen gefördert werden.
• Der EU-Gesetzgeber stellt dabei eine Reihe von Anforderungen an Unternehmen und Behörden.

Ende des vergangenen Jahres wurde eine politische Einigung über den Entwurf der "Verordnung über europäische Daten-Governance" erzielt. Mit dieser neuen Verordnung sollen innerhalb der EU für alle Akteure mehr Daten zur Verfügung stehen. Insbesondere soll die gemeinsame Datennutzung und Entwicklung gemeinsamer europäischer Datenräume gefördert werden. Da sich das Gesetz noch im Entwurfsstadium befindet wird es zunächst dem Ausschuss der Ständigen Vertreter des Rates der EU zur Billigung vorgelegt. Auch die förmliche Verabschiedung durch die Vollversammlung des Europäischen Parlaments und den Rat steht noch aus. Entsprechende Vorgänge sind allerdings reine Formalien. Nachdem das europäische Gesetzgebungsverfahren erfolgreich abgeschlossen ist, werden die neuen Vorschriften 15 Monate nach Inkrafttreten der Verordnung zur Anwendung kommen, also voraussichtlich im Jahr 2023.
 
Da es sich bei dem EU-Datengesetz um eine Verordnung handelt, bedarf es – anders als im Rahmen europarechtlicher Richtlinien – keines weiteren Umsetzungsaktes auf Ebene der Mitgliedstaaten. Die "Verordnung über europäische Daten-Governance" wird vielmehr allgemeine Geltung haben. Sie ist in allen ihren Teilen verbindlich und wird künftig unmittelbar in jedem Mitgliedstaat gelten.
 

I. Überblick:

Die "Verordnung über europäische Daten-Governance" stellt eine von mehreren Säulen der Datenstrategie der EU dar. Übergeordnetes Ziel des Gesetzes ist es, die gemeinsame Nutzung von Daten und damit Innovationen im Bereich der Wirtschaft, Verwaltung und des Gemeinwohls zu fördern. Zu diesem Zweck soll Rechtssicherheit beim freiwilligen Teilen von Daten zwischen mehreren Unternehmen als auch zwischen Behörden und Unternehmen geschaffen werden. Die Europäische Kommission bestrebt damit unter anderem, die Daten privater Unternehmen im öffentlichen Interesse nutzbar zu machen. Auf diesem Weg sollen etwa öffentliche Dienstleistungen verbessert werden. Der Privatwirtschaft hingegen wird durch den rechtssicheren Zugriff auf einen europaweiten Datenpool die Entwicklung innovativer Geschäftsmodelle ermöglicht.
 
Unter Daten versteht die Kommission digital strukturierte Informationen, unabhängig von der Darstellungsform und ihres konkreten Inhalts. Der Begründung des Verordnungsentwurfs zufolge soll zum einen ein grundlegender Rechtsrahmen für "Anbieter von Diensten gemeinsamer Datennutzung" (sog. Datenmittler) und "datenaltruistische Dienste" geschaffen werden. Zum anderen ist die Einführung von Richtlinien vorgesehen, die das Vertrauen der verschiedenen Akteure des Binnenmarktes in diese Dienste langfristig gewährleisten sollen. Vorgesehen ist etwa eine Zweckbindung, die jede andere Verarbeitungsform als die Zurverfügungstellung für Datennutzer ausdrücklich verbietet. Ferner müssen sämtliche Dienste für die gemeinsame Datennutzung bei einer hierzu bestimmten Person angesiedelt werden. Schließlich werden den zuständigen Behörden in den Mitgliedstaaten weitreichende Kontroll- und Sanktionsbefugnisse zustehen.
 
Die Regelungen des Verordnungsentwurfs unterscheiden dabei drei inhaltliche Bereiche.Zunächst werden die "Bedingungen für die Weiterverwendung von Daten bestimmter Datenkategorien, die im Besitz öffentlicher Stellen sind", dargelegt. Darüber hinaus wird ein "Anmelde- und Aufsichtsrahmen für die Erbringung von Diensten für die gemeinsame Datennutzung" festgelegt und letztlich ein rechtlicher Rahmen für die Nutzung und Bereitstellung von Daten zu altruistischen Zwecken geschaffen. 

II. Die Regelungen im Detail:

 

1. Daten im Besitz staatlicher Stellen:  

Der Gesetzesentwurf betont an mehreren Stellen, dass Daten, die mithilfe öffentlicher Gelder generiert wurden, auch der Gesellschaft zugutekommen sollten. Staatliche Daten sind eine besonders hochwertige Informationsquelle – ein Potential mit Innovationskraft für die staatliche Daseinsvorsorge oder neuartige Geschäftsmodelle.
 
Dieses erste Kapitel des Verordnungsentwurfs ergänzt die vertrauliche Geschäftsdaten, unter die Geheimhaltungspflicht fallende statistische Daten, durch die Rechte Dritter am geistigen Eigentum geschützte Daten, Geschäftsgeheimnisse und anderweitige personenbezogene Daten.Anonymisierung oder Generalisierung für Forschung und Innovation Vom Anwendungsbereich des Kapitels ausgeschlossen bleiben allerdings Daten im Besitz öffentlicher Unternehmen sowie von Kultur- und Bildungseinrichtungen.
 
Trotz aller Liberalisierung verpflichtet der Gesetzesentwurf die öffentlichen Stellen nicht, die Weiterverwendung von Daten in jedem Fall zu erlauben. Ebenso wenig befreit er sie von grundsätzlichen Geheimhaltungspflichten. Vielmehr wird die prinzipielle Weiterverwendungsmöglichkeit von der Erfüllung bestimmter Bedingungen abhängig gemacht. Insofern gibt der Verordnungsentwurf Eckpunkte vor, die von den öffentlichen Stellen in den Mitgliedstaaten noch ausdifferenziert werden müssen. Demnach sollen die zugrunde gelegten Bedingungen jedenfalls "nichtdiskriminierend, verhältnismäßig und objektiv gerechtfertigt sein" und "dürfen nicht der Behinderung des Wettbewerbs dienen".
 
Ferner wird von den Mitgliedstaaten verlangt, eine zentrale Daten-Informationsstelle zu schaffen. Diese soll alle regional verfügbaren Daten in einem umfangreichen Verzeichnis beschreiben und katalogisieren. Zudem soll sie sämtliche Anträge auf Weiterverwendung von Daten zentral entgegennehmen und an die im Einzelfall zuständigen Bewilligungsbehörden weiterleiten.
 
Schließlich soll die Verordnung auch den Zugang und Austausch von Daten mit Nicht-EU-Staaten ermöglichen. Dafür wird die Europäische Kommission befähigt, Drittländern im Wege von Durchführungsrechtsakten ein gleichwertiges Schutzniveau des geistigen Eigentums sowie der Geschäftsgeheimnisse bescheinigen zu können.
 

2. Schaffung eines Anmelde- und Aufsichtsrahmens für die gemeinsame Datennutzung:  

Forschung und Industrie sind im Rahmen des Teilens von Daten in besonderem Maße auf Zwischenhändler angewiesen, die im Gesetzesentwurf als "Datenmittler" bezeichnet werden. Diese Begrifflichkeit ist sehr vage und erfasst auf den ersten Blick eine große Vielzahl von Diensten. Vom Anwendungsbereich der Verordnung ausdrücklich ausgenommen sind jedoch solche Dienste, die etwaige Daten vollständig eigenverantwortlich übernehmen und damit keinerlei mittelnde Tätigkeit zwischen einer unbestimmten Zahl von Dateninhabern und Datennutzern ausüben. Unter diese Ausnahme sollen unter anderem auch Cloud-Dienste, Datenberatungsunternehmen sowie Werbe- oder Datenmakler fallen.
 
Unbeantwortet lässt der Verordnungsentwurf allerdings zwingende weitergehende Fragen: Allen voran, was genau unter Cloud-Dienstleistern zu verstehen ist und wie der vage Rechtsbegriff der "unbestimmten Zahl" von Dateninhabern und -nutzern ausgelegt werden muss. Es kann allerdings davon ausgegangen werden, dass insbesondere Anbieter von sog. Cloud-Computing-Systemen erfasst sein werden. Diese erzielen ihre Umsätze nicht mehr nur auf Grundlage von E-Commerce-Dienstleistungen gegenüber einzelnen Privatkunden, sondern im Wege der grenzüberschreitenden Bereitstellung von Cloud-Infrastruktur und darauf basierender Open-Source-Datenanalysesoftware für Geschäftskunden.
 
Die in den Anwendungsbereich des Verordnungsentwurfs fallenden Dienstleister sollen künftig erstmals Anmeldepflichten unterliegen. Sie haben sich bei einer durch die jeweiligen Mitgliedstaaten noch zu benennenden zuständigen Behörde zu registrieren – ein sog. Verbot mit Anmeldungsvorbehalt. Nach den Vorstellungen des europäischen Gesetzgebers sollen jene Anmeldungsmodalitäten allerdings mit einem vergleichsweise geringen Aufwand verbunden sein. Die Anmeldepflicht gleicht somit vielmehr einer formalen Hürde.
 

3. Förderung von "Datenaltruismus":  

Schließlich bestrebt der Unionsgesetzgeber die Schaffung eines rechtlichen Rahmens für die Zurverfügungstellung von Daten für altruistische Zwecke. Datenaltruismus wird im Gesetzesentwurfs beschrieben als „die Einwilligung betroffener Personen zur Verarbeitung der sie betreffenden personenbezogenen Daten oder die Erlaubnis anderer Dateninhaber zur unentgeltlichen Nutzung ihrer nicht personenbezogenen Daten für Zwecke von allgemeinem Interesse wie die wissenschaftliche Forschung oder die Verbesserung öffentlicher Dienstleistungen“.
 
Verständlichkeitshalber verweisen wir auf das gleichlaufende Beispiel der Datenspende-Apps des Robert-Koch-Instituts, mit Hilfe derer man bspw. aus Sportuhren entstammende Daten zur individuellen körperlichen Fitness anlässlich der Bekämpfung der Covid-19-Pandemie freiwillig teilen kann.
 
Ferner wird Organisationen, die Daten auf der Grundlage von Datenaltruismus in größerem Maßstab zur Verfügung stellen, die Möglichkeit eröffnet, sich als "in der Union anerkannte datenaltruistische Organisation" eintragen zu lassen. Hierfür müssten mit der Datenbereitstellung Zwecke von allgemeinen Interesse wie etwa die Förderung des allgemeinen Gesundheitsniveaus unterstützt werden. Anders als für die oben dargestellten "Datenmittler" besteht insoweit allerdings keine Anmeldepflicht. Vielmehr ergänzt diese Option die eingangs erwähnten Richtlinien zur Vertrauensförderung der unterschiedlichen Akteure in den Datenmarkt. Zudem wird der mit dem Anerkennungsverfahren einhergehende dokumentarische und organisatorische Aufwand – genannt werden unter anderem – mit einer unionsweit gültigen Zertifizierung als "datenaltruistische Organisation" und damit verbundenem Renommee entlohnt.
 

III. Bedeutung für die Praxis:

Das Potential und mögliche Anwendungsfelder des EU-Datengesetzes lassen sich anhand der Auswirkungen der Corona-Pandemie demonstrieren. So lassen sich künftig vielversprechende Daten von Erkrankten oder (Un-)Geimpften zum Zwecke der Durchführung wissenschaftlicher Studien einfacher an Forschungsinstitute übermitteln. Als weiteres Beispiel sei der erkenntnisversprechende Austausch von Forschungsdaten zur Entwicklung und Verbesserung der Systemsteuerung im Bereich des autonomen Fahrens genannt.

Die verstärkte und grenzüberschreitende Nutzung von Informationen wird nicht nur für Innovationen auf dem Gebiet der Medizin, Mobilität oder künstlicher Intelligenz sorgen, sondern flächendeckend innovationstreibend wirken. Nicht zuletzt ist ein gerechter Zugriff auf Daten insbesondere für Unternehmen von zentraler Bedeutung, um neue Geschäftsmodelle entwickeln zu können. Der europaweit geregelte Austausch von Daten wird es etwa vereinfachen, Leistungsangebote auf das Konsumverhalten und individuelle Wünsche zuzuschneiden. Letztlich werden damit auch die Kosten für den Endnutzer gesenkt werden können.