Die Mozilla Foundation untersucht in ihrem Projekt „Is that even legal?“ neue Wege und Möglichkeiten der Alternative Data Governance, um einen fairen Datenumgang zu etablieren. Ziel soll es sein, den Individuen mehr Kontrolle über ihre Daten zu geben, deren Handlungskompetenzen zu stärken und den Wert von Daten gemeinsam zu nutzen. Um Verantwortlichen und Systementwicklern einen Leitfaden an die Hand zu geben, inwiefern diese Ziele innerhalb bestehender Rechtssysteme umgesetzt werden können, hat die Mozilla Foundation vier Länderreporte – für Deutschland, die USA, Kenia und Indien – in Auftrag gegeben. Dieser Beitrag, zuerst erschienen in ZD-aktuell 2023, 01102, gibt einen Überblick über den von PD Dr. Christian L. Geminn, RA Paul C. Johannes LL. M., Ass. iur. Johannes Müller und Dr. Maxi Nebel verfassten Bericht für Deutschland und wirft zudem einen Blick in die weiteren Länderstudien der USA, Kenia und Indien.
Alternative Data Governance in Deutschland
Der Länderreport „Is that even legal? A guide for builders experimenting with data governance in Germany“ skizziert die verfassungsrechtlichen Grundlagen, wie Datenumgang in Deutschland und in der EU reguliert wird, und geht dann auf die wichtigsten Rechtsvorschriften sowohl auf Unions- als auch auf nationaler Ebene ein. Dazu gehören die DS-GVO und ePrivacy-RL sowie die entsprechenden nationalen Datenschutzgesetze, aber auch angrenzende Bereiche wie das Urheberrecht und Regelungen zu Geschäftsgeheimnissen. Der Bericht erörtert zudem Gesetzesinitiativen wie den Data Act (Vorgang 2022/0047/COD), die derzeit in der EU umgesetzt oder verhandelt werden. Vertieft betrachtet wird insbesondere der Data Governance Act (DGA), der die gemeinsame Nutzung und Wiederverwendung von Daten in der EU erleichtern soll und ab dem 24.9.2023 gelten wird.
Im Anschluss werden verschiedene konzeptionelle Ansätze zur Datenverwaltung erörtert, nämlich Datensouveränität einerseits und Datenvermittlungsdienste andererseits. Ersterer Begriff umfasst Ansätze, die darauf abzielen, die Handlungsfähigkeit und Kontrolle der Menschen über ihre Daten und die Daten, die sie betreffen, zu stärken. Letzterer ist ein Begriff, der durch den DGA der EU geprägt wurde und eine neue Kategorie von Diensten Dritter beschreibt, die eine Geschäftsbeziehung herstellen und den Datenaustausch zwischen betroffenen Personen, Dateninhabern und Datennutzenden erleichtern.
Darüber hinaus werden in zwei Fallstudien Datengenossenschaften und Datenaltruismus einer genaueren Untersuchung unterzogen. Datengenossenschaften sind laut DGA mitgliederbasierte Datenvermittlungsdienste, die Daten für ein gemeinsames Ziel sammeln und nutzen. Auf der Grundlage einer kollektiven Verwaltung und Entscheidungsfindung unter den Mitgliedern sollen Datengenossenschaften ihre Mitglieder in die Lage versetzen, ihre Rechte besser wahrzunehmen und aus den sie betreffenden Daten Wert und Nutzen zu ziehen. Die zweite Fallstudie befasst sich mit Datenaltruismus. Auch dieser Begriff ist im DGA kodifiziert worden. Er soll die Grundlage für eine stärkere freiwillige Weitergabe von Daten in der EU schaffen, um den Zugang zu Daten zu verbessern, die für Zwecke des öffentlichen Interesses genutzt werden.
Alternative Data Governance in den USA
Der Länderreport der USA von Dr. Beatriz Botero Arcila beginnt mit einem Überblick über Gesetze und Vorschriften – und in gewissem Maße deren Fehlen – zur Regelung von Datenumgang in den USA, und stellt in drei Fallstudien neue Ansätze zur Daten-Governance vor: Datenkooperationen (data collaboratives), vertrauenswürdige Vermittler (trustworthy intermediaries) und Datengenossenschaften (data co-ops). In Ermangelung eines umfassenden Datenschutzgesetzes auf Bundeseben ist in den USA ein auf Selbstregulierung basierender Ansatz, der sich auf Benachrichtigung und Wahlmöglichkeiten konzentriert, zum vorherrschenden Ansatz für Daten-Governance geworden. Darüber hinaus befasst sich der Länderreport mit sektoralen Daten-Governance-Vorschriften – zB im Finanz- und Gesundheitssektor – und mit Vorschriften, die auf bundesstaatlicher Ebene erlassen wurden (insbesondere in Kalifornien, Colorado, Connecticut, Virginia und Utah).
Alternative Data Governance in Kenia
Der Länderreport zu Kenia wurde von der Organisation Lawyers Hub verfasst und untersucht den im Entstehen begriffenen kenianischen Rechtsrahmen der Daten-Governance und angrenzender Rechtsbereiche. Insbesondere werden die Rechte auf Privatsphäre und Zugang zu Informationen gemäß der kenianischen Verfassung von 2010 sowie wichtige Gesetze und Verordnungen wie das Datenschutzgesetz von 2019 und die nachfolgenden Datenschutzverordnungen erörtert. Anschließend werden potenziell vielversprechende alternative Ansätze für Daten-Governance in Kenia untersucht und die wichtigsten Fragen beantwortet, die Entwickler und Verantwortliche berücksichtigen sollten. Zum einen werden Datenkooperationen (data sharing pools/data collaboratives) einer genaueren Betrachtung unterzogen, die die Zusammenführung und gemeinsame Nutzung von Daten zwischen Organisationen erleichtern sollen, um kollektive Erkenntnisse und einen gemeinsamen Nutzen zu erzielen. Zum anderen wird das Modell der Datengenossenschaften (data commons) als gemeinsam genutzte Ressource vorgestellt, die von einer Gemeinschaft mit dem Ziel verwaltet wird, sie einem breiteren Publikum zugänglich und nützlich zu machen. Die als Allmende gehaltenen Daten unterliegen gemeinsamen Regeln und Normen, die von der Gemeinschaft entwickelt wurden.
Alternative Data Governance in Indien
Im Länderreport zu Indien geben die Autoren Aayush Rathi und Setu Bandh Upadhyay zunächst einen Überblick über die Rechtslage in Bezug auf die Daten-Governance. Zunächst wird der wichtigste Rechtsakt zur Regelung der Datenverwaltung in Indien – das Informationstechnologiegesetz (IT-Gesetz) – und die SPDI-Vorschriften vorgestellt, die vorschreiben, wie sensible personenbezogene Daten zu behandeln sind. Darüber hinaus werden die Anforderungen an die Datenlokalisierung erörtert und ein Überblick über die aktuellen Entwicklungen gegeben, insbesondere über den Umgang mit nicht-personenbezogenen Daten in Indien sowie über die vorgeschlagenen Gesetze zum Schutz digitaler personenbezogener Daten und zur indischen Telekommunikation. Anschließend werden Organisationsmodelle vorgestellt, die neue Ansätze zur Datenverwaltung unterstützen können. Zwei Fallstudien setzen sich vertiefend mit Crowdsourced Data Commons und Quasi-Datentreuhandgesellschaften auseinander.
Ausblick
Die Studien haben das Ziel, einen Überblick über die derzeitige (und sich ändernde) Rechtslandschaft zu geben, die die Erhebung, Verwaltung, gemeinsame Nutzung und Verwendung von Daten in ihrem Land regelt. Außerdem zeigen sie die Möglichkeiten für sog. „alternative Data-Governance“-Modelle innerhalb der bestehenden Rechtslandschaft auf, die sinnvolle Anreize für die gemeinsame Nutzung von Daten durch verschiedene Parteien schaffen und es ermöglichen sollen, dass Daten individuellen oder kollektiven Interessen dienen.
Die Länderstudien dienen dem interessierten Publikum als Einstieg in ein komplexes, sich ständig wandelndes Thema und sind auf der Projekt-Homepage der Mozilla Foundation „Is that even legal?“ abrufbar. Sie fallen in einen Zeitraum, in dem sich wesentliche Gesetze(-svorhaben) anschicken, die fortschreitende Digitalisierung stärker zu modellieren und zu regulieren.