Der Data Governance Act (DGA) legt gesetzliche Rahmenregelungen für Datenvermittlungsdienste fest, um das Vertrauen in die Datenwirtschaft zu stärken und zur effizienten Bündelung von Datensätzen sowie zur Erleichterung des Datenaustauschs, insbesondere zwischen Unternehmen, beizutragen und dabei auch KMU und Start-up-Unternehmen einen diskriminierungsfreien Zugang zur Datenwirtschaft zu ermöglichen. Unser Geschäftsführer Dr. Tamer Bile gibt in der ZD-Aktuell 2022, 01286 einen Überblick über die gesetzlichen Rahmenregelungen und schließt diesen Beitrag mit einer kurzen Bewertung ab.
1. Hintergrund
Durch die rasanten Entwicklungen in der IuK-Technologie und die Durchdringung aller Tätigkeitsbereiche sowie des täglichen Lebens durch diese Technologien haben sich Wirtschaft und Gesellschaft tiefgreifend verändert. Von zentraler Bedeutung sind dabei die durch diese Technologien generierten Daten, die Innovationen ermöglichen und sowohl Bürgern als auch der Wirtschaft enorme Vorteile bringen, wie zB eine Verbesserung und Personalisierung der Medizin, das Ermöglichen einer neuen Mobilität sowie das Beitragen zum europäischen Green Deal (s. Erwägungsgrund 2 DGA). Für die Realisierung der genannten Vorteile ist es allerdings notwendig, dass Unternehmen ihre Daten teilen.
Allerdings hindern eine strenge Datenschutzpraxis sowie die weiterhin existierende Zurückhaltung von Unternehmen, Daten zu teilen, Innovation und Wachstum (Hartl/Ludin MMR 2021, 534). Die Zurückhaltung der Unternehmen sowie die Motive hierfür werden in einer Studie des Instituts der deutschen Wirtschaft (IW Köln) im Auftrag des Bundesverbands der Deutschen Industrie (BDI) besonders deutlich. Demnach halten 74,1 % von über 500 befragten Unternehmen eine Datenweitergabe an andere Firmen für „nicht erwünscht“, unter den befragten Großunternehmen sind es sogar 77 %. Grund für die Zurückhaltung der Datenteilung ist vor allem die Sorge vor unautorisiertem Zugriff Dritter auf die Daten. Aber auch datenschutzrechtliche Grauzonen, Unklarheiten in Hinblick auf die Nutzungsrechte an den Daten sowie fehlende rechtssichere Anonymisierungsmöglichkeiten personenbezogener Daten wirken sich hemmend auf ein Datenteilen aus (BDI, Studie Datenwirtschaft in Deutschland, S. 40).
Um die Bereitschaft von Unternehmen zum Teilen ihrer Daten zu erhöhen, hat der Europäische Rat am 16.5.2022 den Data Governance Act (DGA) verabschiedet. Der Data Governance Act (DGA) zielt darauf ab, die Verfügbarkeit von Daten zur wirtschaftlichen Nutzung, gemeinsamen Verwendung und nicht zuletzt für Forschungszwecke zu erhöhen, um dem europäischen Markt so einen Wettbewerbsvorteil bei datengestützten Innovationen zu verschaffen. Für die Verwirklichung dieser Ziele hat der DGA u. a. das innovative Konzept der Datenvermittlungsdienste gesetzlich verankert, für das er Rahmenbedingungen festlegt (s. Erwägungsgründe 27 und 33 DGA). In diesen Datenmittlern wird vielfach die gesetzliche Verankerung des sog. Datentreuhändermodells gesehen (s. zB Specht-Riemenschneider u. a. MMR-Beil. 6/2021, 25).
2. Begriff des Datenvermittlungsdienstes
Bei einem Datenvermittlungsdienst handelt es sich nach Art. 2 Nr. 11 DGA um einen Dienst, „mit dem durch technische, rechtliche oder sonstige Mittel Geschäftsbeziehungen zwischen einer unbestimmten Anzahl von betroffenen Personen oder Dateninhabern einerseits und Datennutzern andererseits hergestellt werden sollen, um die gemeinsame Datennutzung … zu ermöglichen“ (s. Tolks MMR 2022, 446). Mit Hilfe von Datenvermittlungsdiensten soll eine „sichere Umgebung“ entstehen, in der Unternehmen oder Einzelpersonen Daten austauschen können, ohne deren missbräuchliche Verwendung oder den Verlust von Wettbewerbsnachteilen befürchten zu müssen. Als Beispiel für einen Datenvermittlungsdienst kann ein Datenmarktplatz angeführt werden, auf dem Unternehmen anderen Daten zugänglich machen können (s. Erwägungsgrund 28 DGA).
Nicht als Datenvermittlungsdienst sollen nach Art. 2 Nr. 11 lit. a bis lit. c DGA solche Dienste angesehen werden, die Daten aggregieren, anreichern oder umwandeln, um deren Wert erheblich zu steigern, und Lizenzen für die Nutzung der daraus resultierenden Daten vergeben, ohne eine Geschäftsbeziehung zwischen Dateninhabern und Datennutzern herzustellen. Zudem sollen solche Dienste nicht als Datenvermittlungsdienst angesehen werden, die auf die Vermittlung von urheberrechtlich geschützten Inhalten abzielen, sowie Dienste, die von einem Dateninhaber oder von mehreren juristischen Personen in einer geschlossenen Gruppe (einschließlich Lieferanten- oder Kundenbeziehungen) genutzt werden, um die interne Datennutzung zu ermöglichen, insbesondere im Zusammenhang mit dem Internet der Dinge (weitere Beispiele für Dienste, die nicht als Datenvermittlungsdienst angesehen werden sollen in Erwägungsgrund 28 DGA).
3. Anmeldepflicht und Pflichtenkatalog
Für die Erbringung von Datenvermittlungsdiensten wird gem. Art. 10 DGA ein Anmeldeverfahren vorausgesetzt. Art. 11 DGA sieht ein formelles Anmeldeverfahren vor. Geregelt werden im Einzelnen u. a. die Zuständigkeit der Mitgliedstaaten für Anbieter von Datenvermittlungsdiensten, die in mehreren Mitgliedstaaten niedergelassen sind, die Pflicht für Datenvermittlungsanbieter, die nicht in der EU niedergelassen sind, zur Benennung von gesetzlichen Vertretern in einem der Mitgliedstaaten, in denen die Dienste angeboten werden, sowie die Pflicht zu allgemeinen Angaben zum Anbieter des Datenvermittlungsdienstes (Name, Anschrift, Rechtsstatus, Kontaktperson usw.).
Art. 12 DGA enthält einen ausführlichen Katalog von eng gefassten Verhaltenspflichten für Datenvermittlungsdienste. Einzelne Pflichten werden nachfolgend exemplarisch beleuchtet. So sieht etwa Art. 12 lit. a DGA vor, dass die gemittelten Daten nicht für andere Zwecke genutzt werden dürfen und die Tätigkeit als Datenvermittlungsdienst in einer separaten, selbstständigen Rechtsperson zu erfolgen hat. Art. 12 lit. b DGA bestimmt, dass im Wege der Diensterbringung gesammelte Daten nur für die Erbringung dieses Dienstes genutzt werden dürfen. Nach Art. 12 lit. f DGA sind die Anbieter von Datenvermittlungsdiensten verpflichtet sicherzustellen, dass das Verfahren für den Zugang zu ihrem Dienst sowohl für betroffene Personen als auch für Dateninhaber sowie für Datennutzer – auch in Bezug auf die Preise und die Geschäftsbedingungen – fair, transparent und nichtdiskriminierend ist. Nach Art. 12 lit. g DGA ist der Anbieter von Datenvermittlungsdiensten verpflichtet, ein Verfahren einzurichten, um betrügerische oder missbräuchliche Praktiken derjenigen Parteien zu verhindern, die über seine Datenvermittlungsdienste Zugang zu erlangen suchen. Nach Art. 12 lit. j DGA wird der Anbieter von Datenvermittlungsdiensten verpflichtet, angemessene technische, rechtliche und organisatorische Maßnahmen zu ergreifen, um eine unrechtmäßige Übertragung oder einen unrechtmäßigen Zugang zu nicht personenbezogenen Daten zu verhindern. Eine Regelung zu personenbezogenen Daten war nicht erforderlich, da sich entsprechende Pflichten bereits aus der DS-GVO ergeben.
4. Überwachung der Einhaltung und Durchsetzung der gesetzlichen Anforderungen
Für die Erbringung von Datenvermittlungsdiensten ist eine Einholung einer behördlichen Genehmigung nicht erforderlich. Gleichwohl wird die Einhaltung der Anforderungen in Art. 11 und 12 DGA durch die Anbieter von Datenvermittlungsdiensten durch die zuständigen Behörden überwacht (Art. 14 Abs. 1 S. 1 DGA). Die Überwachung der Einhaltung der gesetzlichen Anforderungen kann darüber hinaus auf Antrag einer natürlichen oder juristischen Person erfolgen (Art. 14 Abs. 1 S. 2 DGA).
Stellt die für Datenvermittlungsdienste zuständige Behörde fest, dass ein Anbieter von Datenvermittlungsdiensten mindestens gegen eine gesetzliche Anforderung in Art. 11 oder 12 DGA verstößt, teilt sie dies dem betreffenden Anbieter mit und gibt ihm Gelegenheit, innerhalb von 30 Tagen nach Erhalt der Mitteilung dazu Stellung zu nehmen (Art. 14 Abs. 3 DGA). Die für Datenvermittlungsdienste zuständige Behörde ist darüber hinaus nach Art. 13 Abs. 4 DGA befugt, die Beendigung eines Verstoßes gegen die gesetzlichen Anforderungen innerhalb einer angemessenen Frist und im Fall eines schwerwiegenden Verstoßes unverzüglich zu verlangen. Dabei kann die Behörde nach Art. 14 Abs. 4 lit. a DGA abschreckende Geldstrafen, die Zwangsgelder und Zwangsgelder mit Rückwirkung umfassen können, verhängen und/oder gerichtliche Verfahren zur Verhängung von Geldbußen einleiten, nach lit. b eine Verschiebung des Beginns oder eine Aussetzung der Erbringung des Datenvermittlungsdienstes anordnen und nach lit. c die Einstellung der Bereitstellung des Datenvermittlungsdienstes anordnen.
Um die Durchsetzung der gesetzlichen Anforderungen sicherzustellen, müssen die Anbieter in der EU niedergelassen sein oder einen gesetzlichen Vertreter in der EU benennen (Art. 11 Abs. 3 DGA). Andernfalls ist die zuständige Behörde befugt, die Aussetzung anzuordnen (Art. 14 Abs. 5 DGA). Darüber hinaus können die gesetzlichen Anforderungen auch vertraglich durchgesetzt werden (Richter ZEuP 2021, 658).
5. Bewertung
Die gesetzlichen Rahmenregelungen zu Datenvermittlungsdiensten sind grundsätzlich zu begrüßen, da sie zum einen eine „privatwirtschaftliche Vereinnahmung“ dieses Konzepts verhindern und zum anderen Vertrauen in das Konzept des Datenvermittlungsdienstes schaffen und damit zentrale Hemmnisse des Datenteilens überwinden können [s. Falkhofen EuZW 2021, 787 (790].
Allerdings stellt sich angesichts fehlender Anreize im DGA für Anbieter von Datenvermittlungsdiensten die Frage, warum sich solche Anbieter mit den Verhaltenspflichten in Art. 12 DGA zusätzliche strengere Anforderungen auferlegen sollten, als im geltenden Recht insbesondere mit dem Datenschutz- und dem IT-Sicherheitsrecht ohnehin für sie gelten. Zu bezweifeln ist zudem, ob die gesetzlichen Rahmenregelungen zu Datenvermittlungsdiensten im DGA Unternehmen tatsächlich dazu bewegen können, ihre Daten zu teilen. So wird etwa das Problem datenschutzrechtlicher Grauzonen als erhebliches Hemmnis für ein freiwilliges Datenteilen nicht adressiert. In der Literatur wird daher zu Recht ein (freiwilliges) anreizbasiertes Zertifizierungsverfahren, an das datenschutzrechtliche Anreize geknüpft werden, dem auf Verpflichtung setzenden Regulierungsansatz des DGA vorgezogen (s. Specht-Riemenschneider/Blankertz MMR 2021, 370; Tolks MMR 2022, 444).