Bei der Umsetzung der Europäischen Datenstrategie kommt Datenvermittlungsdiensten eine maßgebliche Rolle zu. Der DGA unterwirft diese einer Regulierung.
Neben dem Data Act stellt der seit dem 24. September 2023 geltende Data Governance Act (DGA) eine wichtige Säule der Europäischen Datenstrategie dar, mit der die EU-Kommission eine florierende Datenwirtschaft in der Europäischen Union (EU) schaffen will. Der Austausch von Daten zugunsten von Allgemeinwohl und Zielen der Nachhaltigkeit sowie zur Förderung von Innovation und Zukunftstechnologien wie Künstlicher Intelligenz (KI) rückt in den Fokus des europäischen Gesetzgebers und tritt neben die bekannten Instrumente zum Schutz personenbezogener Daten.
In einem vorherigen Beitrag in unserer CMS Blog-Serie „#CMSdatalaw“ haben wir einen ersten Überblick über die Grundzüge und Ziele des DGA gegeben. Thematisiert wurden in unserer Blog-Serie zudem bereits die Bedingungen für die Weiterverwendung von Daten im Besitz öffentlicher Stellen nach dem DGA.
In diesem Beitrag stellen wir Ihnen die mit dem DGA neu geschaffenen Regelungen für Datenvermittlungsdienste vor.
Datenvermittlungsdiensten soll eine „Schlüsselrolle in der Datenwirtschaft“ zukommen
Dem Verordnungsgeber zufolge werden Datenvermittlungsdienste eine „Schlüsselrolle in der Datenwirtschaft“ einnehmen (EG 27 DGA): Die Dienste sollen die freiwillige und gemeinsame Datennutzung zwischen Unternehmen ermöglichen und den Austausch großer Datenmengen unter Einhaltung des europäischen Rechts erleichtern. Der DGA unterwirft die Datenvermittlungsdienste in Kapitel III einer Regulierung und soll einen Teil des rechtlichen Rahmens für die geplanten europäischen Datenräume schaffen (EG 2, 27 DGA).
Wer sind die Normadressaten? – Der Begriff des Datenvermittlungsdienstes nach dem DGA
Datenvermittlungsdienste sind Intermediäre, die eine Infrastruktur zum Austausch von Daten zwischen Marktteilnehmern bereitstellen. Reguliert werden nur solche Dienste, die sich an einen offenen Nutzerkreis richten und Geschäftsbeziehungen zwischen Dateninhabern* bzw. betroffenen Personen und sog. Datennutzern herstellen. Während der Begriff der betroffenen Person deckungsgleich mit dem der EU Datenschutz-Grundverordnung (DSGVO) ist, wird der Dateninhaber originär im DGA definiert. Den „Dateninhaber“ definiert Art. 2 Nr. 8 DGA wörtlich als „eine juristische Person, einschließlich öffentlichen Stellen und internationalen Organisationen oder natürlichen Person, die in Bezug auf die betreffenden Daten keine betroffene Person ist, welche nach geltendem Unionsrecht oder geltendem nationalen Recht berechtigt ist, Zugang zu bestimmten personenbezogenen Daten oder nicht personenbezogenen Daten zu gewähren oder diese Daten weiterzugeben“.
Dateninhaber im Sinne des Art. 2 Nr. 8 DGA ist also derjenige, der (ohne betroffene Person zu sein) berechtigt ist, über den Zugang Dritter zu Daten (einschließlich personenbezogener Daten) zu entscheiden. Dateninhaber bzw. betroffene Personen sind daher diejenigen, die „ihre“ Daten unter Nutzung des Datenvermittlungsdienstes gegenüber Dritten anbieten. Datennutzer sind hingegen Personen, denen über den Datenvermittlungsdienst rechtmäßig Zugang zu den Daten der Dateninhaber bzw. der betroffenen Personen vermittelt wird (Art. 2 Nr. 9 DGA). Die Regulierung der Datenvermittlungsdienste knüpft nicht daran an, zu welcher Art von Daten der Zugang vermittelt wird. Sowohl Datenvermittlungsdienste für personenbezogene als auch für nicht-personenbezogene Daten sind dem DGA unterworfen.
In der Regel dürfte die Zugangsvermittlung kommerzielle Gründe haben, etwa wenn ein Unternehmen Daten über einen Datenmarktplatz zur weiteren Nutzung gegen Entgelt lizenzieren möchte. Reguliert werden aber auch Dienste, bei denen Daten kostenlos ausgetauscht werden. Als besondere Kategorie eines regulierten Datenvermittlungsdienstes nennt der DGA Dienste, die betroffenen Personen bei der Ausübung ihrer Rechte nach der DSGVO unterstützen (Art. 10 lit. b) DGA; EG 30 DGA). Auch diese Dienste, die insb. bei der Geltendmachung von Betroffenenrechten unterstützen sollen, sind vom DGA umfasst. Die Regulierung der letztgenannten Dienste dient dem Ziel, die datenschutzrechtlichen Interessen der betroffenen Personen zu wahren. Es soll sichergestellt werden, dass durch die Geschäftsmodelle der Anbieter keine „falschen Anreize“ zum Teilen weiterer personenbezogener Daten gesetzt werden (EG 30 DGA).
Nicht als Datenvermittlungsdienst eingeordnet werden Dienste, die zur Vermittlung urheberrechtlich geschützter Inhalte tätig werden (Art. 2 Nr. 11 lit. b) DGA) oder die sich an eine geschlossene Gruppe von IoT-Nutzern richten (Art. 2 Nr. 11 lit. c) Hs. 2) DGA), sowie solche, die von öffentlichen Stellen ohne Absicht der Herstellung von Geschäftsbeziehungen angebotenen werden (Art. 2 Nr. 11 lit. d) DGA). Der DGA greift gemäß Art. 2 Nr. 11 lit. c) DGA zudem nicht, wenn der Dienst lediglich dazu dient, dem Dateninhaber die Verwendung „seiner“ Daten zu ermöglichen. Auch die Organisationen des sog. Datenaltruismus im Sinne des Art. 2 Nr. 16 DGA sollen gemäß Art. 15 DGA grundsätzlich nicht Adressaten der Regelungen zu Datenvermittlungsdiensten sein (vgl. EG 29 DGA).
Behördliche Anmeldepflicht zur Steigerung des Vertrauens in die Weiterverwendung von Daten
Anbieter von Datenvermittlungsdiensten müssen nach Art. 11 Abs. 1, Abs. 3 DGA vor Aufnahme der Tätigkeit ein Anmeldeverfahren durchlaufen. Erst nach der Anmeldung ist die Tätigkeit erlaubt und steht fortan unter einer Ex-Post-Aufsicht der Aufsichtsbehörde. Anbieter von Datenvermittlungsdiensten sind nach der Anmeldung in einem Register öffentlich einsehbar. Mit der Anmeldung sind bestimmte Pflichtinformationen mitzuteilen, die sich im Wesentlichen auf einige formale Aspekte, wie die Rechtsform des Anbieters und die Benennung einer Kontaktperson, beschränken. Weiterhin ist eine Kurzbeschreibung des Dienstes einzureichen. Das behördliche Anmeldeverfahren soll das Vertrauen in die Datenvermittlungsdienste steigern (vgl. EG 38 DGA). Für die Anmeldung ist Art. 11 Abs. 3 DGA zufolge nicht zwingend notwendig, dass der Datenvermittlungsdienst seinen Sitz in der EU hat, solange er einen gesetzlichen Vertreter in einem der EU-Mitgliedstaaten benennt, in denen er die Dienste anbietet. Für Diensteanbieter außerhalb der EU gilt das Marktortprinzip. Sie sind dem DGA unterworfen, wenn sie ihre Dienste in der Union anbieten (vgl. Art. 11 Abs. 3 DGA).
Der DGA stellt umfangreiche materielle Pflichten für Datenvermittlungsdienste auf
Datenvermittlungsdienste sind den in Art. 12 DGA geregelten Pflichten unterworfen. Der mit „Bedingungen“ betitelte Artikel enthält einen bunten Strauß an Verhaltenspflichten für Datenvermittlungsdienste, die sich daher in einem regulierten Umfeld befinden. Das Geschäftsmodell wird durch die in Art. 12 DGA aufgestellten technischen und rechtlichen Anforderungen vorgeprägt und beschränkt.
Nur Tätigwerden als Datentreuhand erlaubt
Der Datenvermittlungsdienst darf in Bezug auf die Daten nur treuhänderisch tätig werden. Für die verarbeiteten Daten gilt eine strenge Zweckbindung. Der Anbieter des Datenvermittlungsdienstes darf die Daten gemäß Art. 12 lit. a) DGA nur verwenden, um sie den „Datennutzern zur Verfügung zu stellen“. Eine Nutzung der Daten zur Verfolgung weiterer Geschäftszwecke, die über die bloße Bereitstellung der Daten an die Datennutzer hinausgehen, ist untersagt.
Die Fremdnützigkeit der Tätigkeit wird zudem dadurch akzentuiert, dass der Datenvermittlungsdienst nach Art. 12 lit. m) DGA „im besten Interesse“ der betroffenen Personen handeln muss. Diese Verpflichtung trifft Datenvermittlungsdienste, die betroffenen Personen zur Ermöglichung der Ausübung ihrer Rechte nach der DSGVO angeboten werden.
Eine Doppelstellung nehmen die durch Nutzung des Dienstes generierten Daten ein. Diese Metadaten (genannt werden exemplarisch Datum, Uhrzeit und Geolokalisierungsdaten) dürfen Art. 12 lit. c) DGA zufolge von dem Datenvermittlungsdienst zwar verwendet werden, allerdings nur für die Fortentwicklung oder Absicherung des Dienstes. Eine über diesen Zweck hinausgehende Nutzung dieser Daten ist untersagt. Die erlaubte Nutzung der Metadaten liegt somit sowohl im Eigeninteresse des Anbieters als im Fremdinteresse der Nutzer, die von der Sicherung und Verbesserung des Dienstes profitieren (EG 33 DGA). Zur Vermeidung von Interessenkonflikten müssen die Dienste über eine gesonderte juristische Person erbracht werden. Es ist nicht möglich, den Dienst zusätzlich zu einem anderen Angebot, bspw. als Ergänzung zu einem Cloud-Dienst, anzubieten (Art. 12 lit. a) DGA, EG 33 DGA).
Diskriminierungsverbote runden die vertrauensfördernden Maßnahmen ab
Preise, Konditionen und das Verfahren für den Zugang zu den Diensten müssen fair, transparent und nicht-diskriminierend sein (Art. 12 lit. f) DGA). Weiterhin darf der Datenvermittlungsdienst die Preisgestaltung nicht davon abhängig machen, dass ein Nutzer weitere Leistungen des Dienstes oder verbundener Unternehmen nutzt (Art. 12 lit. b) DGA). Geschäfte, die zu einer Ungleichbehandlung von Neu- bzw. Bestandkunden führen, sind daher ebenso verboten, wie Kopplungsgeschäfte, bei denen ein Kunde durch die Nutzung mehrerer Dienste günstigere Konditionen erhält. Dadurch, dass der Datenvermittlungsdienst zugleich einem für seine Preise- und Konditionen geltenden Transparenzgebot unterliegt, sollen der Wettbewerb gefördert und Informationsasymmetrien abgebaut werden.
Interoperabilität zur Steigerung von Fairness und zur Vermeidung von Lock-In-Effekten
Zur Vermeidung von Lock-In-Effekten müssen die Anbieter von Datenvermittlungsdiensten geeignete Maßnahmen treffen, um die Interoperabilität mit anderen Datenvermittlungsdiensten herzustellen (Art. 12 lit. i) DGA). Weiterhin ist es dem Diensteanbieter nicht erlaubt, die Daten in ein eigenes Format des Anbieters zu konvertieren. Neben diesen Regelungen, die offenbar die Kosten von Datennutzern beim Wechsel zwischen Datenvermittlungsdiensten reduzieren sollen, zielt der DGA auch darauf ab, den interoperablen Austausch von Daten zwischen Dateninhabern und -nutzern zu erhöhen.
Der Diensteanbieter muss den Datenaustausch zwar in jedem Fall im Ursprungsformat ermöglichen, in welchem ihm die Daten von Dateninhaber bereitgestellt worden sind. Der Diensteanbieter darf die Daten aber auch ohne Einwilligung des Dateninhabers in standardisierte Formate umwandeln, wenn dies zur Herstellung von Interoperabilität innerhalb eines oder zwischen mehreren Industriesektoren förderlich ist. Dies ergibt sich aus Art. 12 lit. d) DGA, der zudem noch darauf verweist, dass eine Umwandlung erfolgen darf, soweit diese vom Dateninhaber verlangt wird, gesetzlich vorgeschrieben ist oder zur Harmonisierung mit europäischen Datennormen dient. Die im Gemein- bzw. Marktinteresse stehende Umwandlungsbefugnis zur Herstellung von Interoperabilität wird allerdings durch eine Opt-Out Möglichkeit des Dateninhabers beschränkt. Der Dateninhaber ist daher nicht verpflichtet, Interoperabilität herzustellen. Er kann die Dienste auch für Daten nutzen, die er nur unter einem proprietären Format bereitstellt, und der Umwandlung in Standardformate widersprechen.
Schließlich enthält der DGA weitere Regelungen, die zwar nicht auf die technische Interoperabilität, aber ebenfalls auf die Verbesserung der Verkehrsfähigkeit von Daten abzielen. So soll der Diensteanbieter „Werkzeuge und Dienste“ anbieten können, um den Datenaustausch zu erleichtern – bspw. Funktionalitäten zur Anonymisierung oder Pseudonymisierung der Daten (Art. 12 lit. e) DGA). Mindeststandards für die Leistungserbringung werden nicht vorgegeben. Die Haftung soll sich nach nationalem Recht und den mit den Diensteanbietern geschlossenen Verträgen richten (EG 33 DGA).
Geeignete technische und organisatorische Schutzmaßnahmen gegen Daten-Vorfälle
Anbieter von Datenvermittlungsdiensten müssen geeignete technische und organisatorische Maßnahmen treffen, um eine nach dem Unionsrecht oder nach dem Recht eines Mitgliedstaates unbefugte Übertragung von oder den Zugang zu nicht-personenbezogenen Daten zu verhindern (Art. 12 lit. j) DGA). Der DGA führt damit stark an die DSGVO angelehnte Pflichten ein, die allerdings ausdrücklich nur den Schutz von nicht-personenbezogenen Daten bezwecken. Flankiert wird die Schutzpflicht durch eine ebenfalls von der DSGVO inspirierte Informationspflicht: Im Falle einer unbefugten Übertragung, eines unbefugten Zugangs oder einer unbefugten Nutzung von nicht-personenbezogenen Daten muss der Datenvermittlungsdienst den Dateninhaber gemäß Art. 12 lit. k) DGA unverzüglich unterrichten.
Diese neuen und nur nicht-personenbezogene Daten betreffenden Pflichten treten neben die aus der DSGVO bekannten Pflichten. Dies ergibt sich aus Art. 1 Abs. 3 DGA, nach dem die DSGVO unberührt bleibt. Allerdings scheint die Pflicht, Vorkehrungen gegen die rechtwidrige Offenlegung von Daten zu treffen, über jene aus der DSGVO hinauszugehen. Denn der Datenvermittlungsdienst dürfte zur Befolgung angehalten sein, die Datentransaktionen seiner Nutzer zu überwachen und Maßnahmen zur Unterbindung von Rechtsverstößen zu ergreifen. Im Hinblick auf die personenbezogenen Daten trifft den Datenvermittlungsdienst als Auftragsverarbeiter keine derartige Pflicht, da die Rechtmäßigkeit der Verarbeitung Sache des Verantwortlichen ist.
Rechte von Datenvermittlungsdiensten: Titelführung und gemeinsames Logo
Sofern ein Datenvermittlungsdienst die Anforderungen des DGA und insb. die Pflichten aus Art. 12 DGA erfüllt, kann dies auf Antrag durch die zuständige Behörde bestätigt werden, sodass der Dienst in der Folge gemäß Art. 11 Abs. 9 DGA den Titel „in der Union anerkannter Anbieter von Datenvermittlungsdiensten“ führen und ein von der EU-Kommission festgelegtes gemeinsames Logo für Datenvermittlungsdienste verwenden darf (vgl. EG 3, 43 DGA).
Kontrolle und Sanktionen bei Verstößen: „Abschreckende Geldstrafen“ möglich
Die jeweilige nationale Behörde ist neben dem Anmeldeverfahren gemäß Art. 14 Abs. 1 S. 1 DGA auch für die Überwachung der Datenvermittlungsdienste zuständig und muss gemäß Art. 26 Abs. 1 S. 1 DGA von diesen rechtlich getrennt sowie funktional unabhängig sein. Im Falle der Nicht-Einhaltung der Anforderungen des DGA kann die zuständige Behörde die Beendigung des Verstoßes verlangen, „abschreckende Geldstrafen“ verhängen und die Aussetzung oder Einstellung des Dienstes anordnen (Art. 14 Abs. 4 DGA).
Mit dem DGA in eine florierende Datenwirtschaft?
Ob der DGA zusammen mit dem Data Act zu einer florierenden Datenwirtschaft in der EU führt, wird nicht nur davon abhängen, ob Dateninhaber zum Teilen von Daten bereit sind. Maßgeblich wird auch sein, ob es ein ausreichendes Angebot an leicht nutzbaren und vertrauenswürdigen Intermediären für die Vermittlung von Datentransaktionen gibt. Ob es für Unternehmen ausreichend attraktiv ist, als Datenvermittlungsdienst tätig zu werden, wird der Markt entscheiden. Der DGA unterwirft solche Intermediäre erneut mit dem Argument der Vertrauensförderung nicht unerheblicher Regulierung, was zu einem hohen Compliance-Aufwand führen könnte. Da das Geschäftsmodell der Intermediäre durch die strenge Zweckbindung zudem stark vorgeprägt ist, scheint der Raum für wirtschaftliche Entfaltung beschränkt. Gelingt es Unternehmen nicht, profitable Datenintermediär-Geschäftsmodelle zu errichten, könnten weite Teile des DGA ungelebtes Recht bleiben.
Mit unserer CMS Blog-Serie „#CMSdatalaw“ geben wir Ihnen einen Überblick über das Datenrecht wie z.B. den Data Act und den Data Governance Act. Sie können diese Blog-Serie über den RSS-Feed abonnieren und werden von uns über neue Beiträge informiert. In unserer Blog-Serie haben wir uns bereits beschäftigt mit Themen wie: Bedingungen für die Weiterverwendung von Daten im Besitz öffentlicher Stellen nach dem DGA, Disharmonie zwischen Data Act und DSGVO und Neues Mobilitätsdatengesetz: Zukunftstreiber im Mobilitätssektor. Den in unsere Blog-Serie einführenden Beitrag finden Sie hier. Besuchen Sie zum Datenrecht gern auch unsere CMS Insight-Seite „Data Law“.
This article is also available in English.
* Gemeint sind Personen jeder Geschlechtsidentität. Um der leichteren Lesbarkeit willen wird im Beitrag die grammatikalisch männliche Form verwendet.