Durch freiwillige Datenspenden sollen Daten umfangreich nutzbar gemacht werden. Der DGA möchte das Vertrauen in datenaltruistische Organisationen fördern.
Das Einsatzgebiet, in dem die Nutzung von Daten und Informationen eine immer größer werdende Rolle spielen, ist denkbar weit: Vom Gesundheitssektor bis zur Automobilbranche können Daten in jedem Unternehmen sowie in der Forschung erhebliche Vorteile bringen. Zudem erfordert der erfolgreiche Einsatz Künstliche Intelligenz (KI) die Auswertung großer Datenmengen. Daten können allerdings nur dann zu Gunsten der Allgemeinheit verwendet werden, wenn diese erhoben worden sind, verfügbar vorliegen und nutzbar gemacht werden. Der seit dem 24. September 2023 geltende Data Governance Act (DGA) stellt daher regulatorische Ansätze zur Förderung von Datenspenden und dem freiwilligen Daten Teilen, dem sog. Datenaltruismus, auf, denen sich dieser Blog-Beitrag widmet.
Kapitel IV des DGA richtet sich an Organisationen, die datenaltruistisch tätig werden. Mit den Regelungen in Kapitel IV des DGA zum Datenaltruismus sollen Unternehmen und Privatpersonen angehalten werden, Daten zugunsten von Forschung, Innovation und Wirtschaft freiwillig zu teilen. Art. 16 Abs. 1 DGA eröffnet den Mitgliedstaaten die Möglichkeit, nationale Strategien sowie organisatorische und/oder technische Regelungen festzulegen, um den Datenaltruismus zu erleichtern. Doch was genau ist eigentlich Datenaltruismus?
Der Begriff des Datenaltruismus
Der DGA definiert Datenaltruismus in Art. 2 Nr. 16 als die „freiwillige gemeinsame Nutzung von Daten auf der Grundlage der Einwilligung betroffener Personen zur Verarbeitung der sie betreffenden personenbezogenen Daten oder einer Erlaubnis anderer Dateninhaber* zur Nutzung ihrer nicht personenbezogenen Daten“ für Ziele von allgemeinem Interesse. Art. 2 Nr. 16 DGA listet hier die Gesundheitsversorgung, die Bekämpfung des Klimawandels sowie die Verbesserung der Mobilität, amtlicher Statistiken, öffentlicher Dienstleistungen, staatlicher Entscheidungsfindungen oder der dem Allgemeinwohl dienenden wissenschaftlichen Forschung auf. Die Nutzung erfolgt der Definition zufolge zudem frei von einem Entgelt, das über eine Entschädigung der für die durch die Bereitstellung der Daten entstandenen Kosten hinausgeht. Einrichtungen können sich gemäß Art. 18f. DGA als datenaltruistische Organisation anerkennen lassen.
Auch die deutsche Bundesregierung hat in ihrem im August 2023 veröffentlichten Strategiepapier „Fortschritt durch Datennutzung″ angekündigt, den Datenaltruismus unterstützen zu wollen und definiert diesen als aktiven Beitrag von Einzelpersonen oder Institutionen zur Datenverfügbarkeit.
Die Anerkennung als datenaltruistische Organisation bringt Rechte und Pflichten mit sich
Erforderlich ist für die Anerkennung als datenaltruistische Organisation neben der Durchführung datenaltruistischer Tätigkeiten in entsprechender Rechtsform das Handeln ohne Erwerbszweck sowie die funktionelle Trennung des Datenaltruismus von anderen Strukturen (Art. 18 lit. a) bis d) DGA), um Interessenkollisionen zu vermeiden. Außerdem müssen die Organisationen gemäß Art. 18 lit. e) DGA einem Regelwerk im Sinne des Art. 22 DGA entsprechen. Dieses soll von der EU-Kommission erlassen werden und u.a. die wirksame und informierte Einwilligung, ihren Widerruf sowie die IT-Sicherheit und Interoperabilität sicherstellen und den Missbrauch von Daten verhindern. Hierdurch sollen das Vertrauen in den Datenaltruismus und technische Mechanismen zur Förderung des Datenteilens gestärkt werden.
Anerkannte datenaltruistische Organisationen, die den von Art. 18 DGA gestellten Anforderungen gerecht werden, sollen in einem öffentlichen nationalen und stets aktualisierten Register im Sinne des Art. 17, 19 DGA geführt und gemäß Art. 23f., 26 Abs. 1 S. 1 DGA durch die zuständige, von der Organisation rechtlich getrennten und funktional unabhängigen Behörde mit Sanktionsmöglichkeiten überwacht werden. Wie für die Datenvermittlungsdienste ist auch für anerkannte Organisationen des Datenaltruismus ein gemeinsames Logo zur Kennzeichnung und leichten Erkennbarkeit vorgesehen (Art. 17 Abs. 2 S. 2 DGA). Dieses Logo sollen die Organisationen gemäß Art. 17 Abs. 2 S. 3 DGA gut sichtbar auf jeder mit der datenaltruistischen Tätigkeit in Zusammenhang stehenden Online- und Offline-Veröffentlichung anbringen. Ein QR-Code muss dabei auf das o.g. öffentliche Register verweisen (Art. 17 Abs. 2 S. 4 DGA).
Der DGA stellt Pflichten anerkannter datenaltruistischer Organisationen zur Vertrauensförderung auf
Die den anerkannten datenaltruistischen Organisationen auferlegten Pflichten zielen darauf ab, Interessenskollisionen zu vermeiden und das Vertrauen in den Datenaustausch und damit die Bereitschaft zum Datenspenden zu stärken. Vertrauensfördernde Transparenzvorschriften treffen diese Organisationen, indem sie u.a. zu Aufzeichnungen über erhobene und verarbeitete Daten, Zweck und Zeitpunkt der Verarbeitung und Personen mit Zugriffsmöglichkeiten auf die Daten sowie zur Vorlage eines jährlichen Tätigkeitsberichts verpflichtet werden (Art. 20 Abs. 1, Abs. 2 DGA). Hinsichtlich einiger der genannten Punkte erlegt Art. 21 Abs. 1 DGA den Organisationen Informationspflichten gegenüber betroffenen Personen oder Dateninhabern auf, während Art. 21 Abs. 2 DGA die Organisationen einem strengen Zweckbindungsgrundsatz bei der Verwendung von Daten unterwirft.
Für personenbezogene Daten muss zunächst eine Einwilligung im Sinne der Europäischen Datenschutz-Grundverordnung (DSGVO) vorliegen, während für nicht-personenbezogene Daten die Erlaubnis ausreicht. Wie die Datenvermittlungsdienste werden durch Art. 21 Abs. 4 DGA auch Organisationen des Datenaltruismus verpflichtet, ein angemessenes Sicherheitsniveau für die Speicherung und Verarbeitung der nicht-personenbezogenen Daten zu gewährleisten. Art. 21 Abs. 3 DGA soll zur Steigerung der Bereitschaft beitragen, Daten zu teilen, indem er den Organisationen die Pflicht auferlegt, Werkzeuge zur Einholung der Einwilligung betroffener Personen bzw. der Erlaubnis zur Verarbeitung der von den Dateninhabern zur Verfügung gestellten Daten bereitzustellen; ebenso muss die Möglichkeit geschaffen werden, die einmal erteilte Einwilligung bzw. Erlaubnis einfach zu widerrufen (vgl. EG 52 DGA).
Für Organisationen des Datenaltruismus wird die Kommission Art. 25 DGA zufolge ein einheitliches und modular aufgebautes Formular zur Einholung der Einwilligung bzw. Erlaubnis zur Verfügung stellen, welches im Einklang mit der DSGVO für verschiedene Sektoren und Zwecke digital oder in ausgedruckter Form eingesetzt werden kann (vgl. EG 52 DGA).
Bei Verstößen gegen die Pflichten des DGA drohen datenaltruistischen Organisationen Sanktionen
Sofern eine Organisation gegen die ihr durch den DGA auferlegten Anforderungen verstößt, kann die zuständige Behörde gemäß Art. 23 Abs. 3, Abs. 4 DGA eine Stellungnahme der Organisation binnen 30 Tagen und die unverzügliche Beendigung des Verstoßes verlangen oder hierfür eine angemessene Frist setzen; zudem darf die Behörde verhältnismäßige Maßnahmen zur Sicherstellung der Einhaltung ergreifen. Bei anhaltendem Verstoß verliert die Organisation durch öffentlich bekannt gemachte Entscheidung der Behörde das Recht, die o.g. offizielle Bezeichnung als „in der Union anerkannte datenaltruistische Organisation“ zu führen, und wird aus den öffentlichen nationalen Registern sowie dem Unionsregister gestrichen (Art. 24 Abs. 5 DGA).
Wird dem DGA die Schaffung einer europäischen Datenwirtschaft durch das freiwillige Bereitstellen von Daten gelingen?
Der DGA soll die europäische Datenwirtschaft durch verfügbare Daten und das Vertrauen in den fairen Datentausch fördern. Die Vertrauensförderung ist als wiederkehrendes Element in den Regelungsbereichen des DGA in unterschiedlichen Ausprägungen angelegt: Die Transparenz-, Anmelde- und Verhaltenspflichten nebst Kontroll- und Bußgeldgeldvorschriften bilden Maßnahmen, die Sicherheit und Verlässlichkeit beim Teilen von Daten geben sollen. Technische Hindernisse für die allgemeine Weiterverwendung von Daten sollen überwunden und die Akzeptanz in der Bevölkerung und Wirtschaft für die Bereitstellung der eigenen Daten gesteigert werden. Mit dieser Zielrichtung steht der DGA in einem Spannungsverhältnis zu rechtlichen Konzepten, die auf einen restriktiven Umgang mit Daten ausgerichtet sind. Der DGA erwähnt zwar einige Mittel, die offenbar auf einen Ausgleich der widerstreitenden Ziele bedacht sind – so etwa Geheimhaltungs- und Anonymisierungspflichten –, diese in der Praxis umzusetzen ist oftmals jedoch nicht ohne Weiteres möglich.
Mit unserer CMS Blog-Serie „#CMSdatalaw″ geben wir Ihnen einen Überblick über das Datenrecht wie z.B. den Data Act und den Data Governance Act. Sie können diese Blog-Serie über den RSS-Feed abonnieren und werden von uns über neue Beiträge informiert. In unserer Blog-Serie haben wir uns bereits beschäftigt mit Themen wie: Bedingungen für die Weiterverwendung von Daten im Besitz öffentlicher Stellen und für Datenvermittlungsdienste nach dem DGA, Disharmonie zwischen Data Act und DSGVO und Neues Mobilitätsdatengesetz: Zukunftstreiber im Mobilitätssektor. Den in unsere Blog-Serie einführenden Beitrag finden Sie hier. Besuchen Sie zum Datenrecht gern auch unsere CMS Insight-Seite „Data Law“.
This article is also available in English.
* Gemeint sind Personen jeder Geschlechtsidentität. Um der leichteren Lesbarkeit willen wird im Beitrag die grammatikalisch männliche Form verwendet.
