Zwei Grundpfeiler der Europäischen Datenstrategie: Data Act als Ergänzung des Data Governance Act

Compliance
Veröffentlicht 01.07.2024

Tobias Neumann Vice President Public Sector d.velop

Beitragsbild Data Governance Act

Die Europäische Datenstrategie – kurz EU-Datenstrategie (englisch: EU Data Strategy) der Europäischen Kommission verfolgt das Ziel, einen Binnenmarkt für Daten zu schaffen, welcher eine EU-weite sowie branchenübergreifende Datenweitergabe zum Vorteil der öffentlichen Hand, Unternehmen und Forschenden ermöglicht. Dadurch sollen datengestützte Entscheidungen gefördert und die Nutzung der Daten effizienter werden. 
 
Mit der EU-Datenstrategie, welche peu à peu wichtige Verordnungen inkludiert, reagiert die Europäische Union auf die zunehmenden Herausforderungen der Digitalisierung. In diesem Artikel beschäftigen wir uns mit der „EU-Verordnung über harmonisierte Vorschriften für einen fairen Datenzugang und eine faire Datennutzung“ – kurz Datenverordnung (englisch: EU Data Act, DA) im Zusammenhang mit der „EU-Verordnung über europäische Daten-Governance“ – kurz Daten-Governance-Rechtsakt (englisch: Data Governance Act, DGA) als Grundpfeiler der Europäischen Datenstrategie. 

Regulatorische Vorgaben der EU-Datenstrategie: Data Act, Data Governance Act, AI Act & Co.

Neben der seit 2018 wirksamen DSGVO bringt die Datenstrategie der EU eine „Sammlung“ von Verordnungen mit sich, welche entweder bereits angewendet werden oder demnächst anzuwenden sind:

  • DGA: der Data Governance Act (Daten-Governance-Rechtsakt), der ein Rahmenwerk für die kollaborative Datennutzung schaffen soll (seit 2022 in Kraft, seit 2023 anzuwenden) 
  • DMA: der Digital Market Act (Gesetz über digitale Märkte – GDM), der die Regulierung von Gatekeepern („Torwächter“: Unternehmen, die den Marktzugang für andere kontrollieren) und den Schutz vor Datenmissbrauch sicherstellen soll (seit 2022 in Kraft, seit 2022/2023 anzuwenden) 
  • DSA: der Digital Services Act (Gesetz über digitale Dienste – GdD), der den Verbraucherschutz im digitalen Umfeld stärkt (seit 2022 in Kraft, seit 2022/2024 anzuwenden) 
  • DA: der EU Data Act (Datenverordnung), der eine faire und transparente Datenwirtschaft fördert (seit Januar 2024 in Kraft, ab 12. September 2025 anzuwenden) 
  • EU AI Act (Gesetz über künstliche Intelligenz – KI-Verordnung) der vor den Risiken der Künstlichen Intelligenz schützen soll (ab Juli 2024 in Kraft, Übergangsfristen von 6, 24 und 36 Monaten möglich) 

Die Datenverordnung: Was ist EU Data Act?

Die „Verordnung über harmonisierte Vorschriften für einen fairen Datenzugang und eine faire Datennutzung“ (englisch: Data Act) wurde vom Rat der Europäischen Union am 27. November 2023 verabschiedet und ist Teil der Europäischen Datenstrategie. Der EU Data Act trat am 11. Januar 2024 in Kraft und wird nach einer grundsätzlichen Übergangsfrist von 20 Monaten zum 12. September 2025 EU-weit gelten sowie anwendbar sein.

Der Data Act legt drei Hauptprinzipien fest

  1. Fairness und Transparenz
  2. Datensicherheit und Datenschutz
  3. Nichtdiskriminierung

Welche Ziele verfolgt der EU Data Act?

Laut EU-Kommission soll die neue Datenverordnung die Datenwirtschaft der EU verbessern und einen wettbewerbsfähigen Datenmarkt begünstigen, indem vor allem Industriedaten leichter zugänglich und einfacher nutzbar gemacht werden. Auch datengetriebene Innovationen sollen gefördert und die Datenverfügbarkeit erhöht werden:

  • Förderung von Innovation und Wettbewerb
  • Schutz von Verbraucher- und Nutzerrechten
  • Unterstützung des Wachstums und Innovationen von KMUs

Um welche Daten geht es beim EU Data Act?

Die neue Datenverordnung reguliert den Zugriff auf und die Nutzung von nicht-personenbezogenen und personenbezogenen Daten, die von IoT-Produkten und -Diensten (englisch: Internet of Things, deutsch: Internet der Dinge) erfasst und verarbeitet werden. 

IoT-Geräte sind lokal oder über das Internet vernetzt, wie z. B. Smart-Home-Geräte, digitale Sprachassistenten, Gesundheitsüberwachungsgeräte, Fahrzeuge, Flugzeuge oder Industriemaschinen. Diese Geräte rufen bei den Herstellern regelmäßig Updates ab oder senden die Informationen an eine Cloud zur weiteren Datenverarbeitung.  

Welche Arten von Daten umfasst der Anwendungsbereich in welchem Zusammenhang? 

  • Daten, mit Ausnahme von Inhalten, die die Leistung, Nutzung und Umgebung von vernetzten Produkten und verbundenen Diensten betreffen 
  • Daten des Privatsektors, die rechtlichen Verpflichtungen mit Blick auf die Datenweitergabe unterliegen 
  • Daten des Privatsektors, die auf der Grundlage von Verträgen zwischen Unternehmen abgerufen und genutzt werden 
  • Daten des Privatsektors mit Schwerpunkt auf nicht-personenbezogenen Daten 
  • alle von Anbietern von Datenverarbeitungsdiensten verarbeiteten Daten und Dienste 
  • alle nicht-personenbezogenen Daten, die in der EU von Anbietern der Datenverarbeitungsdienste gehalten werden 

Wer ist vom Data Act betroffen?

Der Data Act richtet sich insbesondere an Hersteller, Dateninhaber und Nutzende von vernetzen Geräten, wie zum Beispiel: 

  • Hersteller von vernetzten Produkten und Erbringer von produktbezogenen digitalen Diensten (verbundene Dienste), die in der EU in Verkehr gebracht werden sowie Nutzende solcher vernetzten Produkte und bzw. oder der damit verbundenen Dienste 
  • Dateninhaber (Stellen, die verpflichtet sind, Daten zu nutzen und zur Verfügung zu stellen) und Datenempfänger (Stellen, denen ein Dateninhaber Daten zur Verfügung stellt) 
  • Öffentliche Stellen und Organe, Einrichtungen und sonstige Stellen der EU (unter bestimmten Voraussetzungen) 
  • Anbieter von Datenverarbeitungsdiensten (Cloud-Computing-Dienste), die Kunden:innen in der EU solche Dienste anbieten 

Einführung einer eAkte in der öffentlichen Verwaltung

Jetzt lesen

Pflichten des Data Act

  • Zugänglichmachung: Die Datenweitergabe von Unternehmen an Verbraucher:innen (B2C) und zwischen Unternehmen (B2B) 
  • Bereitstellung: die Pflichten der Dateninhaber, die verpflichtet sind, Daten bereitzustellen 
  • Vertragsgestaltung: das Verbot missbräuchlicher Vertragsklauseln für den Datenzugang und die Datennutzung zwischen Unternehmen (B2B) 
  • Gefahrenabwehr: die Bereitstellung von Daten für öffentliche Stellen oder Einrichtungen der EU wegen außergewöhnlicher Notwendigkeit (B2G) 
  • Interoperabilität: vertragliche Regelungen und die technische Umsetzung beim Wechsel zwischen Datenverarbeitungsdiensten („Cloud Switching“) 

Das schwierige Verhältnis des Data Act zur DSGVO

Die europäische Verordnung DSGVO verfolgt den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten. Die DSGVO wir demnach angewendet, sobald personenbezogene Daten verarbeitet werden. Der EU Data Act findet jedoch Anwendung sowohl bei den personenbezogenen Daten als auch bei den nicht-personenbezogenen Daten. Soweit der Unterschied. 

Sobald aber personenbezogene Daten verarbeitet werden, kommt es zu einer „Konfliktsituation“ beider Verordnungen. Um diese Konfliktsituation zu entschärfen, wurde in Art. 1 Abs. 5 EU Data Act und Erwägungsgrund 7 S. 5 EU Data Act der Datenschutzverordnung (DSGVO) Vorrang vor dem Data Act gewährt. Die beiden Regelungssysteme sollen sich nach Möglichkeit ergänzen und Rücksicht aufeinander nehmen. Der EU Data Act spart allerdings mit konkreten Hinweisen, wie die beiden Verordnungen in Einklang gebracht werden sollen.  

Die Akteure stehen nun vor der schier unlösbaren Aufgabe, sowohl den Data Act als auch die DSGVO einzuhalten, wobei der legitime Schutz von geistigem Eigentum bzw. Geschäftsgeheimnissen gewahrt werden soll. Verstöße gegen den Data Act und bzw. oder die DSGVO können schwerwiegende negative rechtliche und wirtschaftliche Folgen für die Betroffenen nach sich ziehen. Solange diese und weitere Konflikte nicht aus der Welt geschaffen sind, bleibt das Verhältnis zwischen Data Act und DSGVO schwierig. 

In welchem Verhältnis steht der EU Data Act zum Data Governance Act?

„Der Data Act ergänzt den Data Governance Act, das erste Ergebnis der europäischen Datenstrategie. Während der Data Governance Act das Vertrauen in freiwillige Datenaustauschmechanismen stärkt, schafft der Data Act rechtliche Klarheit in Bezug auf den Zugriff und die Nutzung von Daten.“ 

DGA: Was ist der Data Governance Act?

Der Daten-Governance-Rechtsakt (englisch: Data Governance Act, DGA) stellt Daten in den Mittelpunkt der Entwicklung des europäischen Binnenmarktes. Er etabliert Prozesse, Strukturen und einen rechtlichen Rahmen für die gemeinsame Nutzung von personenbezogenen und nicht-personenbezogenen Daten. 

Das Ziel des DGA besteht darin, die Verfügbarkeit der Daten für wirtschaftliche Zwecke, für die Forschungszwecke und gemeinsame Nutzung zu steigern, um dem europäischen Markt einen Wettbewerbsvorteil bei datenbasierten Innovationen zu ermöglichen. Der DGA gilt seit dem 24. September 2023 in allen EU-Mitgliedsstaaten.  

Der Data Governance Act behandelt schwerpunktmäßig drei zentrale Themenfelder: 

  1. Bereitstellung von Daten der öffentlichen Hand 
  1. das Konzept der Datenvermittlungsdienste 
  1. den Datenaltruismus (freiwillige Daten-Bereitstellung „zum Wohle der Allgemeinheit“) 

Digitaler Bürgerservice: Verwaltungsportal als Ergänzung zum DMS

Jetzt ansehen

Wer ist vom Data Governance Act betroffen?

Der Data Governance Act richtet sich insbesondere an öffentliche Stellen, Datenvermittlungsdienste und gemeinnützige (datenaltruistische) Organisationen, die entweder in der EU ansässig sind oder ihre Dienstleistungen innerhalb der EU anbieten. Es werden sowohl private als auch öffentliche Akteure in folgenden Bereichen (u. a.) einbezogen: 

  • Gesundheit 
  • Umwelt 
  • Energie 
  • Landwirtschaft 
  • Mobilität 
  • Finanzen 
  • Verarbeitende Industrie 
  • Öffentliche Verwaltung 

Was ist ein Datenvermittlungsdienst? 

Nach Art. 2 Nr. 11 DGA sind Datenvermittlungsdienste solche Dienste, die durch technische, rechtliche oder sonstige Mittel Geschäftsbeziehungen zwischen einer unbestimmten Anzahl von betroffenen Personen oder Dateninhabern einerseits und Datennutzern andererseits herstellen, um die gemeinsame Datennutzung zu ermöglichen. 

Gut zu wissen: Bestehende Datenvermittlungsdienste haben eine Schonfrist noch bis zum 24. September 2025, um die Vorschriften des Data Governance Acts umzusetzen. 

Was ist eine datenaltruistische Organisation? 

Nach Art. 18 DGA ist eine Organisation datenaltruistisch, wenn sie: 

  • datenaltruistische Tätigkeiten durchführt 
  • eine Rechtspersönlichkeit nach nationalem Recht hat, um ggf. gem. dem nationalen Recht Ziele von allgemeinem Interesse zu erreichen 
  • selbst ohne Erwerbszweck tätig ist und rechtlich unabhängig von anderen Organisationen handelt, die Erwerbszwecke verfolgen 
  • ihre Datenaltruismus-Tätigkeiten über eine Struktur ausübt, die von ihren anderen Tätigkeiten funktionell getrennt ist 

Welche Bestimmungen enthält der Data Governance Act?

Die Verordnung regelt hauptsächlich: 

  • die Wiederverwendung von geschützten Daten öffentlicher Stellen (z. B. Geschäftsgeheimnisse, geistiges Eigentum Dritter, personenbezogene Daten), ohne einen Anspruch auf Datenzugang zu gewähren 
  • die Nutzung und Weitergabe der Daten durch Datenvermittlungsdienste, einschließlich Anmeldeerfordernis und Verhaltensregeln (wie Neutralität, Interoperabilität, Diskriminierungsverbot, Transparenz) 
  • das Konzept des Datenaltruismus sowie die Nutzung und Weitergabe von Daten durch altruistische Organisationen, inklusive ihrer Pflichten (z. B. Registrierung, Transparenz, Informationspflichten). 

Der Data Governance Act bietet detaillierte Vorschriften zur Standardisierung des Datenaustauschs im Binnenmarkt. Trotz der zahlreichen Verpflichtungen für die einzelnen Akteure schafft er für diese jedoch keinen Anreiz, ihre Daten zu teilen.

Handlungsempfehlung

Obwohl der Data Act und der DGA die zwei Grundpfeiler bei der Umsetzung der Europäischen Datenstrategie darstellen, sollen weitere branchenspezifische EU-Verordnungen, insbesondere zu den gemeinsamen europäischen Datenräumen, den sogenannten „Data Spaces“ (wie dem European data space für smart communities, dem European health data space, dem European mobility data space), folgen. Organisationen und Unternehmen sollten die Auswirkungen des Data Acts und kommender Vorschriften des Europäischen Datenrechts auf ihre Daten- und Geschäftsstrategien zeitnah analysieren und entsprechende Vorbereitungen treffen. 

Digitalisierungs-Beratung: Gespräch mit unserem Expertenteam zur Digitalisierung deiner Verwaltung

Termin vereinbaren

Zusammenfassung Data Act & Data Governance Act

Der Unterschied zwischen DGA und DA: Während der Data Governance Act die Prozesse und Strukturen für die Bereitstellung und den Austausch von Daten definiert, regelt der Data Act, wer unter welchen Bedingungen Zugang zu Daten haben soll.

Der im Jahr 2025 anzuwendende Data Act (DA) legt Zugangsrechte zu Daten, insbesondere zu nutzungsgenerierten Daten im IoT-Bereich, fest. Er enthält Bereitstellungsansprüche für Nutzende gegenüber Unternehmen (B2C), für Unternehmen untereinander (B2B) und für öffentliche Stellen gegenüber Unternehmen (B2G). Dateninhaber müssen öffentlichen Stellen Daten zur Verfügung stellen, wenn eine außergewöhnliche Notwendigkeit besteht, wie z. B. bei einem öffentlichen Notstand oder einer Naturkatastrophe.

Der Data Governance Act (DGA), welcher seit 2023 anzuwenden ist, zielt darauf ab, bestimmte geschützte Daten öffentlicher Stellen über die Open Data-Regelungen hinaus verstärkt zugänglich und nutzbar zu machen. Diese Daten sollen zum Vorteil aller im EU-Binnenmarkt grenzüberschreitend ausgetauscht werden können. Der DGA schafft zudem rechtliche Grundlagen für Datenvermittlungsdienste, die Daten in einer sicheren Umgebung zugänglich und nutzbar machen sollen. Außerdem enthält der DGA Regelungen für datenaltruistische Organisationen, die Daten zu gemeinnützigen Zwecken nutzen können. Zu diesen Zwecken zählen insbesondere die Gesundheitsversorgung, die Bekämpfung des Klimawandels, die Verbesserung der Mobilität, die Erstellung und Verbreitung amtlicher Statistiken, die Verbesserung öffentlicher Dienstleistungen, die staatliche Entscheidungsfindung und die wissenschaftliche Forschung im allgemeinen Interesse.