Der Data Governance Act (DGA)

Was also ist der Data Governance Act oder «DGA»? Der DGA soll (a) einen Rahmen schaffen für eine sichere Nutzung von Daten des öffentlichen Sektors, (b) Regeln für Anbieter von Vermittlungsdiensten festlegen und (c) das neue Konzept des Datenaltruismus einführen. Darüber hinaus wird ein neues Organ errichtet: das European Data Innovation Board. Schauen wir uns diese drei Säulen etwas genauer an. 

Verwendung von Daten, die von öffentlichen Stellen verarbeitet werden

Im Wesentlichen bietet der DGA einen Rahmen, der sicherstellt, dass Daten vertrauensvoll weitergegeben werden können und dass sie aus technischer Sicht einfach zu verwenden sind. Der Geltungsbereich des DGA ist in diesem Zusammenhang sehr weit gefasst, denn alle öffentlichen Stellen sind betroffen. Dazu zählen auch sämtliche Institutionen, die vom Staat zum Wohl der Allgemeinheit finanziert, verwaltet oder erschaffen werden. Neu ist, dass der DGA nicht nur personenbezogene Daten, sondern auch nicht personenbezogene Daten wie Geschäftsgeheimnisse, statistische Informationen und geistige Eigentumsrechte erfasst. Daten, die sich im Besitz von öffentlichen Stellen, öffentlich-rechtlichen Rundfunkanstalten, Kultur- und Bildungseinrichtungen befinden, sowie Daten, die aus Gründen der öffentlichen Sicherheit und Verteidigung geschützt sind, fallen jedoch nicht in den Anwendungsbereich des Gesetzes.

Öffentliche Stellen müssen die Bedingungen, die eine derartige Weiterverwendung ermöglichen, öffentlich zugänglich machen. Die Bedingungen für die Weiterverwendung müssen im Hinblick auf die Datenkategorien und die Zwecke der Weiterverwendung nicht diskriminierend, verhältnismässig und objektiv gerechtfertigt sein. Bei der gemeinsamen Nutzung von Daten muss sichergestellt werden, dass der geschützte Charakter der Daten gewahrt bleibt, z.B. durch Anonymisierung personenbezogener Daten, durch Änderung oder Zusammenfassung von Geschäftsgeheimnissen oder Inhalten, die durch geistige Eigentumsrechte geschützt sind. Ausserdem können die Weiterverwender aufgefordert werden, Vertraulichkeitsvereinbarungen zu schliessen.

Hinsichtlich Durchsetzung und Sanktionen verweist der DGA auf die zuständigen Behörden der jeweiligen Mitgliedstaaten. Betroffene natürliche und juristische Personen können zudem eine Beschwerde bei den zuständigen Behörden einreichen.

Anbieter von Datenvermittlungsdiensten (DISPs)

Diese werden als «Vermittler» des Datenverkehrs von einer unbestimmten Anzahl von betroffenen Personen und Dateninhabern zu Datennutzern definiert. Sie begründen eine Geschäftsbeziehung zwischen den Dateninhabern und den Datennutzern. Auszunehmen sind Anbieter von Cloud-Diensten sowie Dienstanbieter, die entweder Daten von Dateninhabern erhalten, Daten aggregieren, anreichern oder umwandeln und den Datennutzern eine Lizenz für die Nutzung der daraus resultierenden Daten erteilen. Dadurch wird keine direkte Beziehung zwischen Dateninhabern und Datennutzern hergestellt, z.B. Werbung oder Datenmakler, Datenberatungsfirmen, Anbieter von Datenprodukten, die sich aus der Wertschöpfung der Daten durch den Dienstanbieter ergeben.

Es wird erwartet, dass Datenvermittler eine Schlüsselrolle in der Datenwirtschaft spielen werden, da sie das Aggregieren und den Austausch grosser Mengen relevanter Daten erleichtern. Spezialisierte Datenvermittler, die sowohl von den Dateninhabern als auch von den Datennutzern unabhängig sind, könnten bei der Entstehung neuer datengesteuerter Ökosysteme, die von etwaigen Akteuren mit beträchtlicher Marktmacht unabhängig sind, eine unterstützende Rolle spielen.

Die abgedeckten Daten umfassen sowohl personenbezogene Daten als auch die nicht personenbezogenen Daten eines Unternehmens.

Ein gewisses Mass an Vertrauen ist erforderlich, damit das Konzept der Datenvermittlung verwirklicht werden kann. Dazu müssen einige regulatorische Anforderungen berücksichtigt werden:

• DISPs müssen bei den zuständigen Behörden registriert sein. Sie werden zudem in ein von der Europäischen Kommission kontrolliertes Register eingetragen.
• DISPs werden von den zuständigen Behörden streng überwacht.
• Die gemeinsame Datennutzung ist darüber hinaus an eine Reihe von Bedingungen geknüpft.

Die zuständigen Behörden der einzelnen Mitgliedstaaten können Durchsetzungsmassnahmen einleiten. Betroffene natürliche und juristische Personen können ausserdem eine Beschwerde bei den zuständigen Behörden einreichen. 

Datenaltruismus

Datenaltruismus bezieht sich auf das Konzept der freiwilligen Bereitstellung von Daten durch Einzelpersonen oder Unternehmen für das Gemeinwohl. Dies sieht die Möglichkeit vor, dass sich Organisationen, die Datenaltruismus betreiben, als «in der Europäischen Union anerkannte Organisation für Datenaltruismus» registrieren lassen können, um das Vertrauen in ihre Tätigkeit zu stärken. Darüber hinaus wird ein gemeinsames europäisches Formular für die Einwilligung in den Datenaltruismus entwickelt, um die Kosten für das Einholen der Einwilligung zu senken und die Übertragbarkeit der Daten zu erleichtern (falls sich die zur Verfügung zu stellenden Daten nicht im Besitz der betroffenen Person befinden).

Die Vorschriften über den Datenaltruismus gelten für personenbezogene und nicht personenbezogene Daten.

Die zuständigen Behörden in den EU-Mitgliedstaaten müssen ein Register der anerkannten Organisationen für Datenaltruismus führen.

Aus extraterritorialer Sicht gilt der DGA für Datenvermittler, die Dienstleistungen in der EU erbringen, und für Organisationen, die innerhalb der EU Daten sammeln.

Haben Sie Fragen?

https://pages.pwc.ch/core-contact-page?form_id=7014L000000kkHMQAY&embed=true&lang=de

#social#