Data Governance Act (DGA): Unterschied zwischen den Versionen

; Verordnung (EU) 2022/868
Titel:	Verordnung (EU) 2022/868 des Europäischen Parlaments und des Rates vom 30. Mai 2022 über europäische Daten-Governance und zur Änderung der Verordnung (EU) 2018/1724
Kurztitel:	Data Governance Act/Daten-Governance-Rechtsakt
Bezeichnung:; (nicht amtlich)	DGA
Geltungsbereich:	EWR
Rechtsmaterie:	Datenrecht
Grundlage:	AEUV, insbesondere Art. 114
Anzuwenden ab:	24. September 2023
Fundstelle:	ABl L 2022/152, 1
Volltext	Konsolidierte Fassung (nicht amtlich); Grundfassung
Regelung ist in Kraft getreten und anwendbar.
Hinweis zur geltenden Fassung von Rechtsakten der Europäischen Union

← Zum vorherigen Versionsunterschied

VisuellWikitext

Aktuelle Version vom 26. Februar 2025, 19:19 Uhr

Kurzübersicht


Ziele	Anwendungsbereich	Inhalt	Synergie	Konsequenzen bei Nichtumsetzung
Förderung der Weiterverwendung von (geschützten) Daten des öffentlichen Sektors	G2B	Vorgaben für die sichere Weiterverwendung von Daten des öffentlichen Sektors	Rechtsgrundlagen für die Datennverarbeitung nach der DSGVO Richtlinie (EU) 2019/1024 über offene Daten und die Weiterverwendung von Informationen des öffentlichen Sektors Verordnung (EU) 2018/1807 betreffend nicht-personenbezogene Daten	Rechtsschutzmöglichkeiten nach nationalem Recht (Beschwerderecht)
Stärkung des Vertrauens in den Datenaustausch	Datenvermittlungsdienste	Schaffung eines neuen Geschäftsmodells zur Förderung von Datenvermittlungsdiensten, die Unternehmen oder Einzelpersonen helfen, Daten auf sichere Weise auszutauschen	Wettbewerbsrecht, ua Art 101 und Art 102 AEUV, UWG DSA DSGVO	Verwaltungsstrafen, einschl Zwangsgelder mit Rückwirkung Aussetzung oder Einstellung der Erbringung des Datenvermittlungsdienstes Verfall von Gegenständen Reputationsschäden
Förderung von Datenaltruismus	Datenaltruistische Organisationen	Rahmen für die freiwillige Registrierung von Einrichtungen, die Daten erheben und verarbeiten, die für gemeinnützige Zwecke zur Verfügung gestellt werden	DSA DSGVO	Verlust des Status als anerkannte datenaltruistische Organisation Verfall von Gegenständen Reputationsschäden
Erfolgreiche Umsetzung des Rahmens für die Daten-Governance	Europäischer Dateninnovationsrat	Einrichtung des Europäischen Dateninnovationsrats zur Unterstützung und Beratung der Kommission bei der Umsetzung des DGA	DA	ineffiziente Daten-Governance Verzögerungen bei der Entwicklung des Datenbinnenmarkts

Einleitung und Hintergrund

Hintergrund

Data Governance Act (DGA) und Data Act (DA) bilden gemeinsam die erste Säule der Europäischen Datenstrategie.^[1] Sie sollen den rechtlichen Rahmen für einen vertrauenswürdigen und sicheren Datenaustausch im europäischen Binnenmarkt schaffen.^[2]

Der DGA verfolgt das Ziel, dass Daten, die mithilfe öffentlicher Gelder generiert oder erhoben wurden, auch der Gesellschaft zugutekommen.^[3] Ua soll Unternehmen die Nutzung von Daten, die im Besitz von Behörden sind, ermöglicht werden (G2B-Datennutzung).

Zu beachten ist, dass der DGA jedoch keine Verpflichtungen für öffentliche Stellen vorsieht, die Datenweiterverwendung zu erlauben. Die Zugangsgewährung zu amtlichen Dokumenten richtet sich somit weiterhin nach besonderen Vorschriften des Unionsrechts und des nationalen Rechts. Der DGA befreit öffentliche Stellen auch nicht von etwaigen Geheimhaltungspflichten (Art 1 Abs 2 DGA).

Struktur

Der DGA regelt:^[4]

Bedingungen für die Weiterverwendung bestimmter Daten, die im Besitz öffentlicher Stellen sind;
einen Anmelde- und Aufsichtsrahmen für die Erbringung von Datenvermittlungsdiensten;
einen Rahmen für die freiwillige Eintragung von Einrichtungen, die für altruistische Zwecke zur Verfügung gestellte Daten erheben und verarbeiten;
die Einsetzung eines Europäischen Dateninnovationsrats.

Nationale Begleitgesetzgebung

Die nationale Begleitgesetzgebung zum DGA soll im Datenzugangsgesetz (DZG) erfolgen. Dort soll insb die Behördenzuständigkeit geregelt werden. Ein Ministerialentwurf^[5] (in der Folge: DZG-Entwurf) war im Oktober 2024 in Begutachtung.

Anwendungsbereich

Sachlich

Der Datenbegriff des DGA ist weit gefasst und legt damit einen umfassenden Anwendungsbereich fest, der grds sämtliche digitalen Inhalte umfasst, ^[6] zB Gesundheitsdaten, Mobilitätsdaten, Umweltdaten oder Agrardaten.^[7] Der Datenbegriff entspricht dem der Art 2 Z 24 DMA und Art 2 Z 1 DA.

Voraussetzung dafür, dass Daten in den Anwendungsbereich des DGA fallen, ist, dass sie:

im Besitz öffentlicher Stellen sind und
aus den folgenden Gründen geschützt sind (Art 3 Abs 1 lit a bis d DGA):
- geschäftliche Geheimhaltung, einschließlich Betriebsgeheimnisse, Berufsgeheimnisse, Unternehmensgeheimnisse,
- statistische Geheimhaltung,
- Schutz geistigen Eigentums Dritter,
- Datenschutz.

Daten sind vom Anwendungsbereich wiederum ausgenommen, wenn

die Daten aus Gründen der öffentlichen Sicherheit, der Landesverteidigung oder der nationalen Sicherheit geschützt sind, oder
die Bereitstellung der Daten nicht unter den öffentlichen Auftrag der betreffenden öffentlichen Stelle fällt.

Ausgenommen sind weiters allgemein Datenkategorien im Besitz folgender Einrichtungen:

öffentlicher Unternehmen,
öffentlich-rechtlicher Rundfunkanstalten, sofern die Daten der Wahrnehmung eines öffentlichen Sendeauftrags dienen,
Kultureinrichtungen^[8] und Bildungseinrichtungen.

Daten, die lediglich analog vorliegen, fallen von Vornherein nicht in unter den Datenbegriff des DGA.

Personell

Öffentliche Stellen

Die Regelungen zur Datenweiterverwendung adressieren alle in der EU tätigen öffentlichen Stellen. Das sind gem Art 2 Z 17 DGA:

Staat,
Gebietskörperschaften,
Einrichtungen des öffentlichen Rechts (zB Kammern, Universitäten, Religionsgemeinschaften, Anstalten oder Stiftungen des öffentlichen Rechts),^[9]
Verbände, die aus einer oder mehreren dieser Körperschaften oder einer oder mehreren dieser Einrichtungen des öffentlichen Rechts bestehen.

Forschungseinrichtungen, die als öffentliche Stellen oder öffentlich-rechtliche Einrichtungen gegründet wurden, können im Einzelfall erfasst sein (ErwGr 12).^[10]

Datenvermittlungsdienste

Unter Datenvermittlungsdienst ist gem Art 2 Z 11 DGA ein Dienst zu verstehen, der eine unbestimmte Zahl von betroffenen Personen und Dateninhabern mit Datennutzern verbindet, um eine geschäftliche Beziehung zum Datenaustausch herzustellen.

Nicht davon erfasst sind somit Dienste, die für geschlossene Nutzergruppen (zB im Rahmen von Lieferanten- und Kundenbeziehungen) eingerichtet sind. Ist der Zugang zu den Daten etwa von der Zugehörigkeit zu einem Verein oder einem Unternehmen abhängig, liegt idR kein Datenvermittlungsdienst iSd DGA vor.^[11] Weiters nicht als Datenvermittlungsdienste zu qualifizieren sind Cloud-Anbieter, Datenbroker und Anbieter von Analysediensten.^[12]

Definitionen:

Dateninhaber (Art 2 Z 8 DGA): Eine juristische Person (inkl. öffentliche Stellen und internationale Organisationen) oder natürliche Person, die selbst nicht die betroffene Person der Daten ist und nach EU- oder nationalem Recht befugt ist, Zugang zu den Daten (personenbezogen oder nicht-personenbezogen) zu gewähren oder diese weiterzugeben.

Datennutzer (Art 2 Z 9 DGA):^[13] Eine natürliche oder juristische Person, die rechtmäßigen Zugang zu Daten (personenbezogen oder nicht-personenbezogen) hat und diese - bei personenbezogenen Daten unter Beachtung der DSGVO - für beliebige Zwecke (kommerziell oder nicht-kommerziell) nutzen darf.

Kategorien

Datenvermittlungsdienste lassen sich gem Art 10 DGA den folgenden drei Kategorien zuordnen:^[14]


Bestimmung	Kategorie	Fallgruppen
Art 10 lit a DGA	Vermittlungsdienste zwischen Dateninhabern und potenziellen Datennutzern	Datenaustausch, Plattformen und Datenbanken, andere spezielle Infrastruktur
Art 10 lit b DGA	Vermittlungsdienste zwischen betroffenen Personen, die ihre personenbezogenen Daten zugänglich machen wollen, oder natürlichen Personen, die nicht personenbezogene Daten zugänglich machen wollen, und potenziellen Datennutzern	Datentreuhänder, Personal Information Management Systems (PIMS),^[15] Datenräume, Vermittlungsdienste zur Ausübung der DSGVO-Betroffenenrechte
Art 10 lit c DGA	Dienste von Datengenossenschaften	Organisationen, die die kollektiven Datenrechte und -interessen ihrer Mitglieder verwalten und vertreten

Datenaltruistische Organisationen

Datenaltruismus ist die freiwillige gemeinsame Nutzung von Daten ohne Gewinnerzielungsabsicht für Ziele von allgemeinem Interesse gem nationalem Recht, wie die Gesundheitsversorgung oder die wissenschaftliche Forschung (Art 2 Z 16).

Räumlich

Öffentliche Stellen sind vom DGA erfasst, wenn deren Zuständigkeitsbereich in der Europäischen Union liegt.

Privatwirtschaftliche Akteure fallen in den Anwendungsbereich, wenn sie
- ihren Sitz in der EU haben oder
- ihre Dienste in der EU anbieten.

Zeitlich

Nach der Annahme am 16. Mai 2022 trat der DGA am 23. Juni 2022 in Kraft. Die Bestimmungen sind seit dem 24. September 2023 anwendbar.^[16]

Wegen der unzureichenden Umsetzung des DGA durch nationale Begleitgesetze in mehreren Mitgliedstaaten hat die Europäische Kommission bereits Vertragsverletzungsverfahren eingeleitet, darunter auch gegen Österreich und Deutschland.^[17]

Zentrale Inhalte

Weiterverwendung geschützter Daten (Kapitel II)

Der DGA soll es ermöglichen, Erkenntnisse aus geschützten Daten zu gewinnen. Dazu sieht er Regeln und Schutzmaßnahmen vor, um die Weiterverwendung von Daten zu erleichtern, soweit dies grds durch andere Rechtsvorschriften erlaubt ist.

Bedingungen für die Weiterverwendung

Den öffentlichen Stellen wird die Aufgabe auferlegt, einerseits den Schutz der Daten zu wahren und andererseits die Weiterverwendung im Einklang mit nationalen oder unionsrechtlichen Vorgaben zu ermöglichen.^[18]

Zu diesem Zweck müssen die öffentlichen Stellen Bedingungen für die Weiterverwendung aufstellen (Art 5 Abs 1 DGA). Diese Bedingungen dürfen gem Art 5 Abs 2 DGA nicht diskriminierend sein, dh, zwischen Weiterverwendern darf nicht unsachlich unterschieden werden.^[19] Weiters müssen sie transparent, verhältnismäßig und objektiv gerechtfertigt ausgestaltet sein und dürfen den Wettbewerb nicht behindern. Ein besonderer Fokus liegt auf der Förderung des Datenzugangs für kleine und mittlere Unternehmen (KMU)^[20] sowie Start-ups, um Innovation und wirtschaftliches Wachstum zu fördern (ErwGr 2 DGA).

Folgende Maßnahmen können die öffentlichen Stellen zum Schutz der Daten ergreifen:

Der Zugang zur Weiterverwendung kann davon abhängig gemacht werden, dass
- personenbezogene Daten anonymisiert wurden,
- vertrauliche Geschäftsinformationen verändert, aggregiert oder aufbereitet wurden.
Der Zugang kann durch Fernzugriff oder in einer sicheren Verarbeitungsumgebung^[21] (zB in Datenräumen)^[22] gewährt werden.
Der Zugang kann innerhalb bestimmter Räumlichkeiten unter Einhaltung hoher Sicherheitsstandards erfolgen.

Die Bedingungen sind von den öffentlichen Stellen den nationalen Zentralen Informationsstellen zur Verfügung zu stellen, über welche diese zugänglich gemacht werden.

Es gilt grundsätzlich ein Verbot von Ausschließlichkeitsvereinbarungen. Nur in Ausnahmefällen und unter sehr restriktiven Bedingungen kann bei allgemeinem Interesse eine öffentliche Stelle einem Unternehmen ein solches ausschließliches Recht gewähren (Art 4 DGA).^[23]

Antragsverfahren für die Weiterverwendung (Art 9 DGA)

Bestandsliste: Alle verfügbaren Datenressourcen und einschlägigen Informationen sollen in einer öffentlichen nationalen Bestandsliste einsehbar sein. Diese wird von der zentralen Informationsstelle zur Verfügung gestellt. Das Europäische Register für geschützte Daten im Besitz des öffentlichen Sektors (ERPD) bei der Kommission stellt darauf aufbauend ein durchsuchbares Register dieser Informationen bereit.

Antrag: Nach dem DZG-Entwurf ist vorgesehen, dass Anträge zur Weiterverwendung von Daten über data.gv.at eingebracht werden können.^[24] Die Zentrale Informationsstelle veranlasst dann die Weiterleitung an die Zuständigen Stellen oder Öffentlichen Stellen, die den Antrag abwickeln. Die zuständige öffentliche Stelle hat grds zwei Monate Zeit, um über den Antrag zu entscheiden. Gegen die Entscheidung der öffentlichen Stelle besteht ein wirksamer Rechtsbehelfsanspruch jeder Person, die davon direkt betroffen ist.

Gebühren: Öffentliche Stellen können für die Genehmigung der Weiterverwendung angemessene Gebühren erheben, die die erforderlichen Kosten nicht übersteigen dürfen. Es sollen Anreize durch Gebührensenkungen oder -befreiungen für Forschung, nicht-kommerzielle Zwecke, KMU und Start-ups geschaffen werden.

Internationaler Datentransfer (Art 5 und Art 31 DGA)

Werden personenbezogene Daten in Drittländer übermittelt, so kommt Kapitel V der DSGVO zur Anwendung. Um das hohe Schutzniveau der EU auch bei der Übermittlung von nicht personenbezogenen Daten zu wahren, sieht der DGA gewisse Schutzmaßnahmen und Voraussetzungen vor.^[25] Einen Vergleich über die beiden Rechtsakte bietet die folgende Tabelle, aus der erkennbar ist, dass der Tatbestand des DGA enger gefasst ist:^[26]


	DSGVO	DGA
Transfer	rechtmäßige und unrechtmäßige Übertragungen und Zugriffe	unrechtmäßige internationale Datenübertragungen oder Zugriffe
Daten	personenbezogene Daten	nicht personenbezogene Daten
Zugang	durch jedermann	durch eine Regierungsorganisation

Die Bestimmungen des DGA zum internationalen Datentransfer richten sich an sämtliche Akteure des DGA, dh sowohl an Anbieter von Datenvermittlungsdiensten, als auch an anerkannte datenaltruistische Organisationen, an öffentliche Stellen, sowie an natürliche oder juristische Personen, denen das Recht auf Weiterverwendung von Daten gewährt wurde.

Weiterverwender müssen bereits mit ihrem Antrag auf Weiterverwendung die Absicht und den Zweck einer Datenübermittlung in ein Drittland offenlegen (Art 5 Abs 9 DGA). Analog zur DSGVO sieht der DGA für die Datenübermittlung durch Weiterverwender Instrumente wie Angemessenheitsbeschlüsse und Vertragsmuster vor. Diese ermöglichen eine standardisierte und rechtssichere Übermittlung von Daten in Drittländer.

Datenvermittlungsdienste (Kapitel III)

Datenvermittlungsdienste agieren als Vermittler für die Nutzung und Zusammenführung von Daten und unterliegen dabei strengen Anforderungen an Neutralität und Transparenz.

Anmeldung (Art 11 DGA)

Die Tätigkeit als Datenvermittlungsdienst kann erst aufgenommen werden, nachdem eine Anmeldung durchgeführt wurde. Sämtliche Anbieter sind in einem Register der Kommission abrufbar.

Behördenzuständigkeit

Dienst mit Niederlassung in der EU: Zuständig ist die Behörde in dem Mitgliedstaat, in dem der Dienst seine Hauptniederlassung hat.
Dienst ohne Niederlassung in der EU: Hat ein Anbieter keine Niederlassung in der EU, bietet seine Dienste aber in einem oder mehreren Mitgliedstaaten an, so ist ein gesetzlicher Vertreter in einem dieser Mitgliedstaaten zu benennen. Zuständig ist dann der Mitgliedstaat, in dem sich der gesetzliche Vertreter befindet.

Erforderliche Informationen

Folgende Informationen sind zwingend bei der Anmeldung zu übermitteln:

der Rechtsstatus, die Rechtsform, die Eigentümerstruktur, die relevanten Tochtergesellschaften und, sofern gegeben, die Registernummer,
die Anschrift der Hauptniederlassung in der Union, falls zutreffend, und die Anschrift einer etwaigen Zweigniederlassung in einem anderen Mitgliedstaat oder des gesetzlichen Vertreters,
eine öffentliche Website mit vollständigen und aktuellen Informationen über den Anbieter und seine Tätigkeiten,
die Kontaktpersonen und Kontaktangaben,
eine Beschreibung des Datenvermittlungsdienstes und Angaben dazu, unter welche Kategorie dieser Datenvermittlungsdienst fällt,
den voraussichtlichen Tag der Aufnahme der Tätigkeit, falls dies ein anderer als der Tag der Anmeldung ist.

Führen des Logos

Die Kommission hat gemeinsame Logos für anerkannte Anbieter von Datenvermittlungsdiensten eingeführt.^[27] Diese Logos sollen es den Interessenträgern erleichtern, vertrauenswürdige Akteure im Datenmarkt der EU zu identifizieren. Anbieter, die die im DGA festgelegten Anforderungen erfüllen und sich für die Nutzung der Logos entscheiden, müssen diese gut sichtbar auf allen Veröffentlichungen anbringen. Die Logos sind durch eine Verordnung geregelt und als Marken geschützt.

Das Logo kann von der offiziellen Website der Europäischen Kommission in diversen Formaten heruntergeladen werden.

Pflichten

Die Erbringung von Datenvermittlungsdiensten setzt die Einhaltung folgender Bedingungen voraus (Art 12 DGA):


Verpflichtung	Erklärung	Praxishinweise/Synergien
Zweckbindungsgrundsatz	Die Daten dürfen ausschließlich zur Bereitstellung für Datennutzer verwendet werden.	Die Daten dürfen zB nicht für KI-gestützte Datenanalysen verwendet werden.^[28]
Unabhängigkeit	Der Dienst muss von einer getrennten juristischen Person erbracht werden.
Monetarisierungsverbot	Es darf keine Monetarisierung der Daten erfolgen.
Kopplungsverbot	Kommerzielle Bedingungen dürfen nicht von der Nutzung weiterer Dienste desselben Anbieters abhängig gemacht werden.
Verwendung von Daten zur Dienstentwicklung	Daten, die in Bezug auf Tätigkeiten einer Person zur Erbringung des Datenvermittlungsdienstes erhoben werden, wie Zeit- oder Standortangaben, dürfen nur zur Entwicklung des Dienstes verwendet werden.
Zurverfügungstellung der Daten	Daten, die in Bezug auf Tätigkeiten einer Person zur Erbringung des Datenvermittlungsdienstes erhoben werden, sind auf Anfrage den Dateninhabern zur Verfügung zu stellen.	Synergie mit der DSGVO: Natürliche Personen haben in Bezug auf ihre personenbezogenen Daten bereits aufgrund von Art 15 DSGVO Anspruch auf Auskunft über ihre Daten.^[29]
Datenformat und Umwandlung	Die Daten müssen im Originalformat bereitgestellt werden; Umwandlungen erfolgen nur zur Verbesserung der Interoperabilität oder auf Wunsch des Datennutzers oder wenn das Unionsrecht dies vorschreibt oder wenn dies der Harmonisierung mit internationalen oder europäischen Datennormen dient. Betroffene Personen oder Dateninhaber haben die Möglichkeit, auf diese Umwandlungen zu verzichten („opt out“), sofern sie nicht durch das Unionsrecht vorgeschrieben sind.	Lock-in-Effekte sind zu vermeiden.^[30]
Zusätzliche Werkzeuge	Zusätzliche Dienste und Werkzeuge zur Erleichterung des Datenaustauschs (zB Anonymisierung, Pseudonymisierung, vorübergehende Speicherung, Konvertierung) dürfen nur auf ausdrücklichen Antrag oder mit Zustimmung der betroffenen Personen oder des Dateninhabers angeboten werden.	Auch konkludente Willenserklärungen, die auf Initiative des Anbieters hin erteilt werden, sind wirksam.^[31]
Transparenz und Fairness	Der Zugang zu den Datenvermittlungsdiensten muss fair, transparent und nichtdiskriminierend erfolgen.^[32]	Transparenz kann durch Angaben auf der Website, die nach Art 11 DGA ohnehin zwingend einzurichten ist, gewährleistet werden.^[33]
Betrugs- und Missbrauchsprävention	Der Anbieter muss über Verfahren verfügen, um betrügerische oder missbräuchliche Nutzung seiner Datenvermittlungsdienste zu verhindern.	Anbieter sollten ein Compliance-System implementieren, das betrügerische oder missbräuchliche Nutzung identifiziert und gezielte Maßnahmen ermöglicht, zB den Ausschluss von Nutzern, die gegen AGB oder gesetzliche Vorschriften verstoßen.^[34]
Weiterführung bei Insolvenz	Bei Insolvenz muss der Anbieter die fortlaufende Datenbereitstellung sicherstellen und den Zugang zu den Daten ermöglichen. Datenvermittlungsdienste nach Art 10 lit b und lit c müssen Betroffenen und Datennutzern die Ausübung von Rechten ermöglichen.	Synergie mit Insolvenzrecht: Die Regelung kann in einem Spannungsverhältnis zum Insolvenzrecht stehen.^[35] Synergie mit der DSGVO: Betroffenenrechte nach der DSGVO stehen unabhängig von einer etwaigen Insolvenz zu.^[36]
Interoperabilität	Der Anbieter muss Interoperabilität mit anderen Datenvermittlungsdiensten gewährleisten.
Schutzmaßnahmen	Der Anbieter muss Maßnahmen ergreifen, um rechtswidrige Datenübertragungen und den rechtwidrigen Zugang zu nicht personenbezogenen Daten zu verhindern.	Als angemessene Maßnahmen zählen etwa die Verschlüsselung der Daten oder innerbetriebliche Vorgaben. Einschlägige technische Standards, Verhaltenskodizes und Zertifizierungen auf Unionsebene sind einzuhalten.^[37]
Unterrichtung bei Datenmissbrauch	Dateninhaber müssen bei unbefugter Datenübertragung oder -nutzung unverzüglich informiert werden.	Synergie mit der DSGVO: Nach Art 34 DSGVO sind im Falle eines Data Breaches betroffene Personen zu informieren, wenn ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen besteht. Der DGA verpflichtet hingegen zu einer Information bei jeder Verletzung nicht personenbezogener Daten, die Risiken spielen keine Rolle.
Sicherheitsniveau	Es bedarf Maßnahmen für einen angemessenen Schutz nicht personenbezogener Daten und den höchsten Schutz sensibler wettbewerbsrelevanter Informationen (wie Informationen über Kund*innen, Produktionskosten, Kapazitäten).^[38]	Synergie mit der DSGVO: Art 32 DSGVO enthält eine entsprechende Verpflichtung in Bezug auf personenbezogene Daten: demnach sind geeignete technische und organisatorische Maßnahmen zu treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.
Interessenwahrung für betroffene Personen	Anbieter, die für betroffene Personen tätig sind, müssen im Interesse der Betroffenen handeln und sie vor Erteilung einer Einwilligung auf prägnante, transparente, verständliche und leicht zugängliche Weise über die beabsichtigte Datennutzung und die üblichen Geschäftsbedingungen für solche Nutzungen informieren.
Werkzeuge zur Einholung von Einwilligungen, Widerrufsrecht und Informationen über Drittländer	Der Anbieter muss Werkzeuge für die Einwilligungs- und Erlaubniserteilung, sowie zum Widerruf bereitstellen und ggf das Drittland anführen, in dem die Datennutzung stattfinden soll.
Protokollierungspflicht	Der Anbieter muss ein Protokoll über seine Datenvermittlungstätigkeiten führen.	Synergie mit der DSGVO: Werden personenbezogene Daten verarbeitet, so bestehen bei der Protokollierungspflicht Überschneidungen mit Art 30 Abs 1 DSGVO, der die Pflicht zur Führung eines Verarbeitungsverzeichnisses vorsieht.^[39]

Datenaltruistische Organisationen (Kapitel IV)

Datenaltruismus stellt ein neues Konzept der europäischen Datenstrategie dar. Es ermöglicht die freiwillige gemeinsame Nutzung von Daten für Ziele von allgemeinem Interesse. Grundlage ist die Einwilligung der betroffenen Personen oder die Erlaubnis der Dateninhaber. Die Ziele, die damit verfolgt werden, sind vielfältig und im nationalen Recht verankert - sie reichen von der Verbesserung der Gesundheitsversorgung über die Bekämpfung des Klimawandels bis hin zur wissenschaftlichen Forschung im allgemeinen Interesse. Daten können direkt bei natürlichen oder juristischen Personen gesammelt oder von Dritten, einschließlich öffentlicher Stellen, erhoben und weiterverarbeitet werden. Um den Prozess zu vereinfachen und zu harmonisieren, wurde ein europäisches Einwilligungsformular für Datenaltruismus eingeführt. Dieses Instrument fördert die transparente und ethische Nutzung von Daten für gesellschaftlich relevante Zwecke und stärkt gleichzeitig das Vertrauen in den Datenaustausch.

Eintragungsvoraussetzungen

Folgende Voraussetzungen müssen erfüllt sein, damit eine Organisation eingetragen werden kann:

Die Einrichtung muss

datenaltruistische Tätigkeiten durchführen;
gemäß nationalem Recht Rechtspersönlichkeit haben, um ggf gemäß dem nationalen Recht Ziele von allgemeinem Interesse zu erreichen;
selbst ohne Erwerbszweck tätig sein und rechtlich unabhängig von jeder Organisation, die Erwerbszwecke verfolgt, handeln;
die Datenaltruismus-Tätigkeiten über eine Struktur ausüben, die von ihren anderen Tätigkeiten funktionell getrennt ist;
dem "Regelwerk" gem Art 22 Abs 1 DGA entsprechen, das von der Kommission zu erlassen ist.

Antragstellung

Die Einrichtung kann dann einen Antrag auf Eintragung in das nationale öffentliche Register der anerkannten datenaltruistischen Organisationen stellen. Dafür sind die folgenden Informationen zu übermitteln:

Name, Rechtsstatus, Rechtsform und ggf. Registernummer der Einrichtung;
Satzung, Einnahmequellen und Adressen der Haupt- und Zweigniederlassungen oder der gesetzlichen Vertretung;
öffentliche Website mit aktuellen Informationen über die Einrichtung und ihre Tätigkeiten;
Kontaktpersonen und -angaben;
Ziele von allgemeinem Interesse, die mit der Erhebung der Daten gefördert werden sollen;
Art der zu verarbeitenden Daten (einschließlich Kategorien personenbezogener Daten);
Nachweise zur Erfüllung der Eintragungsvoraussetzungen.

Die für die Registrierung zuständige Behörde teilt die Registrierung der Kommission mit, welche diese in das öffentliche Unionsregister der anerkannten datenaltruistischen Organisationen aufnimmt.

Behördenzuständigkeit

Einrichtung mit Niederlassung in der EU: Zuständig ist die Behörde in dem Mitgliedstaat, in dem die Organisation ihre Hauptniederlassung hat.
Einrichtung ohne Niederlassung in der EU: Hat eine Einrichtung keine Niederlassung in der EU, bietet ihre Dienste aber in einem oder mehreren Mitgliedstaaten an, so ist eine gesetzliche Vertretung in einem dieser Mitgliedstaaten zu benennen. Zuständig ist dann der Mitgliedstaat, in dem sich die gesetzliche Vertretung befindet.

Führen des Logos

Anerkannte datenaltruistische Organisationen können das entsprechende Logo der Europäischen Kommission verwenden.^[27] Zusätzlich muss ein QR-Code zum öffentlichen EU-Register beigefügt werden. Diese Maßnahme soll Transparenz und Vertrauen auf dem Datenmarkt stärken.

Transparenzanforderungen

Anerkannte datenaltruistische Organisationen müssen vollständige Aufzeichnungen über Folgendes führen:

Datenzugriffsberechtigte,
Verarbeitungszwecke,
Zeiträume der Datenverarbeitung,
Gebühren

Außerdem müssen sie jährliche Tätigkeitsberichte führen, die Folgendes transparent dokumentieren:

ihre Aktivitäten,
Einnahmen und Ausgaben,
die Förderung von Zwecken von allgemeinem Interesse,
Beschreibung der technischen Mittel,
Ergebnisse der Datenverarbeitung.

Schutz der Rechte und Interessen Betroffener und Dateninhaber bei der Datenverarbeitung

Anerkannte datenaltruistische Organisationen müssen betroffene Personen und Dateninhaber ua klar über die Zwecke der Datenverarbeitung informieren. Sie sind verpflichtet, die Einwilligung der Betroffenen einzuholen und einfache Möglichkeiten zum Widerruf dieser Einwilligung bereitzustellen. Außerdem müssen sie ein hohes Sicherheitsniveau für die Datenverarbeitung gewährleisten. Bei Datenschutzverletzungen sind die Betroffenen unverzüglich zu informieren. Die Nutzung der Daten darf ausschließlich für die Ziele von allgemeinem Interesse erfolgen.

Einwilligungsformular

Um die Datenerhebung zu erleichtern und sicherzustellen, dass betroffene Personen ihre Einwilligung gem der DSGVO erteilen und widerrufen können, wird ein europäisches Einwilligungsformular entwickelt.^[40] Dieses wird modular aufgebaut, sowie sektor- und zweckbezogen anpassbar sein.

Europäischer Dateninnovationsrat (EDIB, Kapitel VI)

Der Europäische Dateninnovationsrat^[42] spielt eine zentrale Rolle bei der Gestaltung der europäischen Datenwirtschaft. Seine Hauptaufgaben umfassen den Austausch bewährter Praktiken, insbesondere im Bereich der Datenvermittlung, des Datenaltruismus und der Nutzung nicht-offener öffentlicher Daten. Dabei liegt ein besonderer Fokus auf der Förderung sektorübergreifender Interoperabilitätsstandards. In seiner beratenden Funktion tauscht der EDIB Informationen aus und bietet Expertise zu datenrelevanten Themen. Zudem besitzt er die Befugnis, Leitlinien für gemeinsame europäische Datenräume vorzuschlagen. Dies schließt Empfehlungen zum angemessenen Schutz von Datenübermittlungen außerhalb der Union ein (ErwGr 53 f).

Zusammensetzung

Vertreter*innen der für Datenvermittlungsdienste zuständigen nationalen Behörden,^[43]
Vertreter*innen der für die Registrierung von datenaltruistischen Organisationen zuständigen nationalen Behörden,^[43]
Vertreter*innen des Europäischen Datenschutzausschusses,
Vertreter*innen des Europäischen Datenschutzbeauftragten,
Vertreter*innen der Agentur der Europäischen Union für Cybersicherheit (ENISA),
Vertreter*innen der Europäischen Kommission,
Der/die KMU-Beauftragte der EU oder ein*e vom Netz der KMU-Beauftragten benannte*r Vertreter*in,
Andere Vertreter*innen von maßgeblichen Stellen in bestimmten Sektoren und von Stellen mit spezifischen Fachkenntnissen.

Die Expert*innengruppe wird in thematische Untergruppen untergliedert (Art 29 Abs 2 DGA).

Aufgaben

In Art 30 lit a bis m DGA werden 13 Aufgaben des Dateninnovationsrates genannt. Diese lassen sich folgendermaßen zusammenfassen:^[44]

Entwicklung einer einheitlichen Praxis bei der Umsetzung des DGA (Art 30 lit a bis c),
Entwicklung einheitlicher Leitlinien zum Schutz von Daten und zur Cybersicherheit (Art 30 lit d und e),
Beratung und Unterstützung der Kommission bei der Normentwicklung und -verbesserung (Art 30 lit f und g),
Unterbreitung von Leitlinien zu gemeinsamen europäischen Datenräumen (Art 30 lit h),
Erleichterung der Zusammenarbeit zwischen den Mitgliedstaaten und zwischen den nationalen Behörden (Art 30 lit i und j),
Prüfung des Erlasses von Durchführungsrechtsakten gem Art 5 Abs 11 (Mustervertragsklauseln) und 12 DGA (Anerkennung eines angemessenen Schutzniveaus in Drittstaaten) (Art 30 lit k),
Entwicklung eines europäischen Einwilligungsformulars für Datenaltruismus gem Art 25 Abs 1 (Art 30 lit l),
Verbesserung des internationalen Regelungsumfelds, einschließlich der Normung (Art 30 lit m).

Auch nach dem Data Act kommen dem EDIB gewisse Aufgaben zu.

Fallbeispiele

Daten-Vermittlungsdienste

Die Deutsche Telekom bietet mit dem Data Intelligence Hub eine Plattform, auf der Unternehmen Informationen, wie Produktionsdaten, verwalten, bereitstellen und verwerten können.
Agdatahub bietet basierend auf der Dawex-Technologie eine Plattform für landwirtschaftliche Daten. Sie ermöglicht den Datenaustausch in der Agrarbranche.

Organisationen für Datenaltruismus

Die Smart Citizen-Plattform ermöglicht es Privatpersonen, Daten über Lärm und Luftverschmutzung in ihrer Umgebung zu teilen, die sie mit Sensoren erfassen. Behörden oder Wissenschafter*innen können diese Daten in der Folge nutzen, um darauf basierend passende Lösungen zu entwickeln.
Die deutsche Corona-Datenspende-App sammelte Daten wie Herzfrequenz, Körpertemperatur, Blutdruck und Schlafmuster, die freiwillig von Nutzenden von Fitness-Armbändern und Smartwatches übermittelt wurden. Diese Daten wurden Wissenschafter*innen zur Verfügung gestellt, um Corona-Hotspots rascher zu erkennen.

Auswirkungen des DGA auf Forschungsprojekte

Der DGA soll den Zugang zu Daten der öffentlichen Verwaltung für Forschungseinrichtungen erleichtern. Durch zentrale Informationsstellen und Bestandslisten wird das Auffinden relevanter Datenquellen vereinfacht. Die Förderung datenaltruistischer Organisationen könnte gemeinwohlorientierten Datenplattformen den Zugang zu neuen Datenquellen eröffnen. Agieren Forschungseinrichtungen selbst als Anbieter von Datenvermittlungsdiensten, dürfen sie die über die Plattform bereitgestellten Daten nicht monetarisieren. Dies kann die Möglichkeiten zur Entwicklung nachhaltiger Geschäftsmodelle nach Abschluss eines Projekts begrenzen.^[45]

Synergien

DSGVO

Der DGA gilt für geschützte Daten, worunter sowohl personenbezogene, als auch nicht personenbezogene Daten fallen können. Werden personenbezogene Daten verarbeitet, so kommen die Regeln der DSGVO^[46] und des Datenschutzgesetzes^[47] im Falle eines Konflikts ausdrücklich vorrangig zur Anwendung (ErwGr 4, Art 1 Abs 3 DGA).^[48] Zu beachten ist, dass der DGA gerade keine eigene Rechtsgrundlage für die Verarbeitung personenbezogener Daten schafft.

Auch die Datenschutzverordnung für die Stellen der EU (VO 2018/1725), die ePrivacy-RL (RL 2002/58/EG) sowie die JI-RL (RL 2016/680) lässt der DGA "unbeschadet" (Art 1 Abs 3 DGA).

Es ist zu befürchten, dass das unklare Verhältnis zwischen Datenschutzrecht und DGA zu einer eher zurückhaltenden Anwendung des DGA führen könnte. Auch wird dadurch uU nicht der erwünschte Anreiz geschaffen, sich als datenaltruistische Organisation zu engagieren.^[49]

Datenschutzrechtliche Rollenverteilung

Der DGA enthält keine ausdrückliche Regelung zur datenschutzrechtlichen Rollenverteilung.

Im DZG-Entwurf werden in Bezug auf die Wahrnehmung ihrer Befugnisse und Aufgaben nach dem DGA als datenschutzrechtlich Verantwortliche Art 4 Z 7 DSGVO genannt:^[50] Die zuständige Behörde, die zentrale Informationsstelle und Zuständige Stellen. Es wird mitunter vertreten, dass die öffentliche Stelle, die eine Weiterverwendung personenbezogener (nicht anonymisierter) Daten ermöglicht, und der Datennutzer als gemeinsam Verantwortliche iSv Art 26 DSGVO anzusehen sind und konsequenterweise eine entsprechende Vereinbarung zur gemeinsamen Verantwortlichkeit abzuschließen haben.^[51]

Datenaltruistische Organisationen werden als Verantwortliche einzuordnen sein.

Strafverfahren

Der normierte Vorrang datenschutzrechtlicher Bestimmungen erstreckt sich auch auf die Bestimmungen der RL (EU) 2016/680^[52], die den Schutz personenbezogener Daten bei der Verarbeitung durch Strafverfolgungsbehörden regelt. Diese RL wurde in Österreich in der Strafprozessordnung (StPO)^[53] umgesetzt. Der DGA sollte keine Auswirkungen auf diesen Bereich haben, da die StPO aufgrund des Anwendungsvorrangs weiterhin maßgeblich ist. Konkret erfolgt die Verarbeitung iRd Übermittlung personenbezogener Daten aus einem Strafverfahren ausschließlich nach § 76 Abs 4 StPO und bleibt vom DGA unberührt.^[54] Daten der Gerichtsbarkeit, einschließlich staatsanwaltschaftlicher Daten, dürften gar vom Anwendungsbereich des DGA ausgeschlossen sein.^[54]

Sektorspezifische Datenräume

Sektorspezifische EU-Rechtsvorschriften für konkrete Datenräume, beispielsweise der EHDS^[55] für den Gesundheitsbereich, sollen die allgemeinen Bestimmungen ergänzen und Regelungen für spezifische Datenräume unter Berücksichtigung der jeweiligen Branchenanforderungen schaffen.

Open Data-Regulierung

Die Open Data und PSI 2-RL^[56] regelt die Weiterverwendung von nicht geschützten, öffentlich zugänglichen Informationen (sog Open Data), die sich im Besitz öffentlicher Stellen befinden (EG 8 Open Data und PSI 2-RL). Ziel ist es, den gesellschaftlichen und wirtschaftlichen Nutzen öffentlicher Daten zu erhöhen, indem deren Zugänglichkeit verbessert und faire Nutzungsbedingungen gewährleistet werden. Zentrale Aspekte der Richtlinie umfassen die unentgeltliche bzw kostengünstige Bereitstellung von Daten, insbesondere für KMU und Start-ups, sowie die Einbeziehung von Daten öffentlicher Unternehmen und von Forschungseinrichtungen. Die Richtlinie soll Innovation fördern, zur Bewältigung gesellschaftlicher Herausforderungen beitragen und die Entwicklung neuer Technologien wie der KI unterstützen. In Österreich wurde die Richtlinie durch das Informationsweiterverwendungsgesetz 2022 (IWG 2022)^[57] umgesetzt. Ua verpflichtet das IWG 2022 öffentliche Stellen sowie Öffentliche Unternehmen, Forscher, Forschungseinrichtungen und Forschungsförderungseinrichtungen dazu, Dokumente, die zur Weiterverwendung verfügbar sind, durch Bestandslisten und maschinenlesbare Formate zugänglich zu machen und mit dem Portal data.gv.at zu verknüpfen, sofern dies zumutbar ist (§ 11 IWG 2022).

Personenbezogene Daten und vertrauliche Geschäftsinformationen dürfen nach der Open Data und PSI 2-RL nur in anonymisierter oder aggregierter Form freigegeben werden.

Der DGA ergänzt die Open Data und PSI 2-RL, indem Vorschriften für die Nutzung nicht-öffentlicher Daten vorgesehen werden, ohne den Schutz der Informationen zu beeinträchtigen.

Informationsfreiheit

Das Informationsfreiheitsgesetz (IFG)^[58] soll ab dem 1.9.2025 den Zugang zu staatlichen Informationen und staatsnaher unternehmerischer Informationen ermöglichen. Insbesondere schafft das IFG eine aktive verfassungsgesetzliche Informationsverpflichtung und ein verfassungsgesetzlich gewährleisteten Recht auf Zugang zu Informationen. Ausnahmen gelten bei bestimmten öffentlichen und überwiegenden privaten Interessen (insb aufgrund des Grundrechts auf Datenschutz).^[59]

Das Verhältnis zwischen DGA und IFG bleibt jedoch noch unklar, insbesondere ob und in welchem Umfang Stellen, die nach dem IFG zur Veröffentlichung von Informationen verpflichtet sind, zusätzliche Vorgaben nach dem DGA erfüllen müssen. Dies betrifft etwa vertrauliche Daten im Bereich des öffentlichen Auftragswesen.^[54]

Konsequenzen/Sanktionen

Sanktionen

Die Höhe etwaiger Geldbußen richtet sich nach nationalem Recht. Die folgende Tabelle bietet einen Überblick über die maßgeblichen Strafdrohungen nach dem DZG-Entwurf:

Verstoß	Adressat	Strafdrohung
Fehlende oder unvollständige Aufzeichnungen	Anerkannte datenaltruistische Organisation	Geldstrafe bis zu 10.000 EUR
Fehlender oder unvollständiger jährlicher Tätigkeitsbericht	Anerkannte datenaltruistische Organisation	Geldstrafe bis zu 10.000 EUR
Nichteinhaltung des "Regelwerks" gem Art 22 Abs 1 DGA	Anerkannte datenaltruistische Organisation	Geldstrafe bis zu 10.000 EUR
Nichteinhaltung von Mitteilungspflichten nach Art 11 DGA, insb Benennung einer gesetzlichen Vertretung, wenn keine Niederlassung in der EU besteht	Anbieter von Datenvermittlungsdiensten	Geldstrafe bis zu 10.000 EUR
Nichteinhaltung der Bedingungen für die Erbringung von Datenvermittlungsdiensten	Anbieter von Datenvermittlungsdiensten	Geldstrafe bis zu 20.000 EUR
Verstoß gegen die Allgemeinen Eintragungsanforderungen	Anerkannte datenaltruistische Organisation	Geldstrafe bis zu 20.000 EUR
Verletzung von Anforderungen an den Schutz der Rechte Betroffener und der Dateninhaber^[60]	Anerkannte datenaltruistische Organisation	Geldstrafe bis zu 100.000 EUR
Übertragung nicht personenbezogener Daten in ungeeignete Drittländer	Natürliche oder juristische Personen mit Weiterverwendungsrecht	Geldstrafe bis zu 100.000 EUR
Verstöße gegen die Bestimmungen zum internationalen Zugang und zur internationalen Übertragung	Natürliche oder juristische Personen mit Weiterverwendungsrecht	Geldstrafe bis zu 100.000 EUR

Bei der Bemessung der Sanktion sind die folgenden Umstände zu berücksichtigen:^[61]

Art, Schwere und Umfang des Verstoßes;
Getroffene Maßnahmen zur Schadensminderung oder -behebung;
frühere Verstöße;
finanzielle Auswirkungen des Verstoßes (Gewinne/Verluste, soweit feststellbar);
sonstige erschwerende oder mildernde Umstände.

Beschwerderecht und Rechtsbehelfe

Auch private Rechtsdurchsetzung durch Mittbewerber*innen oder Dateninhaber ist möglich.

Gem Art 27 DGA besteht ein Beschwerderecht. Gegen Entscheidungen einer öffentlichen Stelle oder einer zuständigen Stelle steht ein Recht auf gerichtliche Überprüfung zu.

Kontroll- und Aufsichtsbehörden

Die Benennung von nationalen Behörden zur Überwachung von Datenvermittlungsdiensten und zur Errichtung eines Registers für datenaltruistische Organisationen obliegt den nationalen Gesetzgebern. Art 13 bis 26 DGA nennen konkrete Anforderungen, denen diese Stellen entsprechen müssen. In einigen Mitgliedstaaten wurden unter anderem Minister*innen, aber auch Telekommunikations-Aufsichtsbehörden oder Datenschutzbehörden^[62] mit diesen Aufgaben betraut.^[63]

Der DZG-Entwurf sieht folgende Zuständigkeiten vor:


Stelle nach dem DGA	DZG-Entwurf	Aufgaben	Auftragsverarbeiter
Zentrale Informationsstelle (ZIS)	dieder für Angelegenheiten der Digitalisierung zuständige Bundesministerin (§ 4 Abs 1 DZG-Entwurf)	Entgegennahme von Anfragen oder Anträgen zur Weiterverwendung von Daten. Weiterleitung von Anfragen an zuständige öffentliche Stellen, auch automatisiert. Bereitstellung einer elektronisch durchsuchbaren Bestandsliste aller verfügbaren Datenressourcen.^[64] Veröffentlichung relevanter Informationen zu Datenformat, -umfang und Nutzungsbedingungen.	Bundesanstalt Statistik Österreich; BRZ GmbH als Sub-Auftragsverarbeiter^[65]
Zuständige Behörde für Datenvermittlungsdienste und für die Registrierung von datenaltruistischen Organisationen	dieder für Angelegenheiten der Digitalisierung zuständige Bundesministerin (§ 3 Abs 1 DZG-Entwurf)	Anmeldeverfahren Überwachung der Datenvermittlungsdienste und der datenaltruistischen Organisationen Führung eines öffentlichen Registers der anerkannten datenaltruistischen Organisationen Entscheidungen über Beschwerden Verhängung von Bußgeldern	Bundesrechenzentrum GmbH (in Bezug auf die Führung eines Registers der anerkannten datenaltruistischen Organisationen)^[66]
Zuständige Stellen, welche die öffentlichen Stellen, die Zugang zur Weiterverwendung von Daten gewähren oder verweigern, unterstützen	Festlegung durch Verordnung desder für Angelegenheiten der Digitalisierung zuständigen Bundesministerin (§ 5 Abs 2 DZG-Entwurf)	Unterstützung der öffentlichen Stellen durch: Bereitstellung sicherer Verarbeitungsumgebungen. Beratung zur Datenstrukturierung und -speicherung. Technische Unterstützung bei Pseudonymisierung und Datenschutzmaßnahmen. Anonymisierung und Entfernung vertraulicher Informationen. Unterstützung bei Einwilligungseinholung. Bewertung von vertraglichen Zusagen der Weiterverwender.

Die Datenschutzbehörde, die nationalen Wettbewerbsbehörden, die für Cybersicherheit zuständigen Behörden sowie andere relevante Fachbehörden^[67] behalten ihre jeweiligen Aufgaben und Befugnisse, wobei eine effektive Zusammenarbeit mit diesen sicherzustellen ist.

Weiterführende Literatur

Einführungsbücher

Knyrim, DGA - Data Governance Act (2023).
Schreiber/Pommerening/Schoel, Der neue Data Act (DA) mit Data Governance Act (DGA)² (2024).
Schreiber/Pommerening/Schoel, New Data Governance Act. A Practitioner's Guide (2023).
Steinrötter (Hrsg), Europäische Plattformregulierung. DSA | DMA | P2B-VO | DGA | DA | AI Act | DSM-RL (2023).
Steinrötter/Heinze/Denga (Hrsg), EU Platform Regulation. A Handbook (2025).

Kommentare

Paschke/Rücker, Data Governance Act: DGA (2024).
Specht-Riemenschneider/Hennemann, Data Governance Act (2025).
Specht/Hennemann, Data Act. Data Governance Act² (2025, iE).
Wolff/Brink/Ungern-Sternberg, BeckOK Datenschutzrecht⁴⁹ (2024).

Weiterführende Links

Europäische Kommission, Daten-Governance-Gesetz erläutert, https://digital-strategy.ec.europa.eu/de/policies/data-governance-act-explained (Stand 11.10.2024).
Europäische Kommission, Europäisches Daten-Governance-Gesetz, https://digital-strategy.ec.europa.eu/de/policies/data-governance-act (abgerufen am 24.1.2025).
Bundeskanzleramt Österreich, Der europäische Weg für eine starke Datenwirtschaft, https://www.digitalaustria.gv.at/Themen/Daten.html (abgerufen am 24.1.2025).
Europäische Kommission, Praktischer Leitfaden zum Daten-Governance-Gesetz, https://ec.europa.eu/newsroom/dae/redirection/document/108539 (abgerufen am 24.1.2025).
Europäische Kommission, Register der Datenvermittlungsdienste, https://digital-strategy.ec.europa.eu/de/policies/data-intermediary-services (abgerufen am 24.1.2025).
Europäische Kommission, European data: Das offizielle Portal für Daten zu Europa, https://data.europa.eu/data/datasets?locale=en (abgerufen am 24.1.2025).
Europäische Kommission, Liste der zuständigen nationalen Stellen und Behörden, https://ec.europa.eu/newsroom/dae/redirection/document/98966 (Stand 8.1.2025).
International Data Spaces Association (IDSA), Data Spaces Radar, https://www.dataspaces-radar.org/radar/ (abgerufen am 24.1.2025).

Nachweise

↑ Mitteilung der Kommission an das Europäische Parlament, den Rat, den Europäischen Wirtschafts- und Sozialausschuss und den Ausschuss der Regionen vom 19.2.2020, Eine europäische Datenstrategie, COM(2020) 66 final.
↑ Europäische Kommission, Daten-Governance-Gesetz erläutert, https://digital-strategy.ec.europa.eu/de/policies/data-governance-act-explained (Stand 11.10.2024).
↑ ErwGr 6 DGA; vgl Mitteilung der Kommission an das Europäische Parlament, den Rat, den Europäischen Wirtschafts- und Sozialausschuss und den Ausschuss der Regionen vom 19.2.2020, Eine europäische Datenstrategie, COM(2020) 66 final, 8.
↑ Art 1 Abs 1 lit a bis d DGA.
↑ Entwurf für ein Bundesgesetz, mit dem ein Bundesgesetz über Daten-Governance, Anbieter von Datenvermittlungsdiensten und datenaltruistische Organisationen nach der Verordnung (EU) 2022/868 über europäische Daten-Governance und zur Änderung der Verordnung (EU) 2018/1724 (Datenzugangsgesetz – DZG) erlassen wird, ME DZG, 352/ME 27. GP.
↑ Keppeler/Poncza in Paschke/Rücker, DGA (2024) Art 2 Rz 3.
↑ Europäische Kommission, Europäisches Daten-Governance-Gesetz, https://digital-strategy.ec.europa.eu/de/policies/data-governance-act (abgerufen am 24.1.2025).
↑ Laut ErwGr 12 sind das etwa Bibliotheken, Archive, Museen, Orchester, Opern, Ballette und Theater.
↑ Wischmeyer in Wolff/Brink/Ungern-Sternberg, BeckOK Datenschutzrecht⁴⁹ Art 3 DGA Rz 8 (Stand 1.5.2024).
↑ Europäische Kommission, Praktischer Leitfaden zum Daten-Governance-Gesetz, 3, https://ec.europa.eu/newsroom/dae/redirection/document/108539 (abgerufen am 24.1.2025).
↑ Keppeler/Poncza in Paschke/Rücker Art 2 Rz 58.
↑ Siehe zur Abgrenzung im Detail etwa Straub/Bogenstahl in Gabriel/Wischmann (Hrsg) Die aktuelle EU-Gesetzgebung: Die Regulierung von Künstlicher Intelligenz und Datenwirtschaft (2024) 23.
↑ Der Begriff unterscheidet sich vom Begriff des Nutzers nach dem DA.
↑ Siehe dazu im Detail ua Schumacher/Lück in Paschke/Rücker Art 10 Rz 26 ff.
↑ Vgl Gutachten der deutschen Datenethikkommission (2019) 133 f.
↑ Ausgenommen sind Datenvermittlungsdienste, die ihre Dienste bereits am 23.6.2022 erbracht haben. Für sie gelten die Verpflichtungen erst ab dem 24.9.2025. (Art 37 DGA)
↑ Europäische Kommission, Pressemitteilung vom 23.5.2024, Gemeinsame Daten-Nutzung und Steuertransparenz: EU-Kommission eröffnet Vertragsverletzungsverfahren gegen Deutschland, https://germany.representation.ec.europa.eu/news/gemeinsame-daten-nutzung-und-steuertransparenz-eu-kommission-eroffnet-vertragsverletzungsverfahren-2024-05-23-1_de.
↑ Weiden in Paschke/Rücker, DGA Art 5 Rz 1.
↑ Europäische Kommission, Praktischer Leitfaden zum Daten-Governance-Gesetz, 5, https://ec.europa.eu/newsroom/dae/redirection/document/108539 (abgerufen am 24.1.2025).
↑ Empfehlung 2003/361/EG der Kommission vom 6.5.2003 betreffend die Definition der Kleinstunternehmen sowie der kleinen und mittleren Unternehmen, ABl L 2003/124, 36.
↑ Damit gemeint ist eine von der öffentlichen Stelle kontrollierte IT-Umgebung, Europäische Kommission, Praktischer Leitfaden zum Daten-Governance-Gesetz, 5 f, https://ec.europa.eu/newsroom/dae/redirection/document/108539 (abgerufen am 24.1.2025).
↑ Europäische Kommission, Daten-Governance-Gesetz erläutert, https://digital-strategy.ec.europa.eu/de/policies/data-governance-act-explained(Stand 11.10.2024).
↑ Der Unionsgesetzgeber zeigt eine klare Tendenz, die Weiterverwendung von Daten im Besitz öffentlicher Stellen auf faire und offene Weise zu ermöglichen. So wurde auch im Rahmen der Neufassung der RL (EU) 2019/1024 des Europäischen Parlaments und des Rates vom 20.6.2019 über offene Daten und die Weiterverwendung von Informationen des öffentlichen Sektors (Open Data und PSI 2-RL), ABl L 2019/172, 56, die Möglichkeit für Ausschließlichkeitsvereinbarungen eingeschränkt (Art 12 Open Data und PSI 2-RL, EG 48).
↑ § 4 Abs 4 DZG-Entwurf.
↑ Der DA sieht ähnliche Bestimmungen vor.
↑ Zur Thematik siehe ausf Schreiber/Pommerening/Schoel, Der neue Data Act² (2024) § 15 Rz 5 ff.
↑ ^27,0 ^27,1 Die Logos wurden durch die Durchführungsverordnung (EU) 2023/1622 der Kommission vom 9. August 2023 über die Ausgestaltung gemeinsamer Logos für die in der Union anerkannten Anbieter von Datenvermittlungsdiensten und datenaltruistischen Organisationen, ABl L 2023/200, 1, angenommen und als Marken eingetragen.
↑ Straub/Bogenstahl in Gabriel/Wischmann (Hrsg) Die aktuelle EU-Gesetzgebung: Die Regulierung von Künstlicher Intelligenz und Datenwirtschaft (2024) 24.
↑ Schumacher/Lück in Paschke/Rücker Art 12 Rz 15.
↑ Schumacher/Lück in Paschke/Rücker Art 12 Rz 17.
↑ Schumacher/Lück in Paschke/Rücker Art 12 Rz 25.
↑ Eine ähnliche Regelung enthält Art 8 Abs 1 Data Act, wonach Vereinbarungen über die Datenbereitstellung nur faire, angemessene und nichtdiskriminierende Bedingungen vorsehen dürfen (sog FRAND-Bedingungen).
↑ Schumacher/Lück in Paschke/Rücker Art 12 Rz 32.
↑ Vgl ErwGr 36 DGA.
↑ Schumacher/Lück in Paschke/Rücker Art 12 Rz 35.
↑ Schumacher/Lück in Paschke/Rücker Art 12 Rz 37.
↑ ErwGr 23 DGA.
↑ Siehe ErwGr 37 DGA.
↑ Schumacher/Lück in Paschke/Rücker Art 12 Rz 67.
↑ Art 25 DGA.
↑ Europäische Kommission, Commission Staff Working Document, Impact Assessment Report Accompanying the document Proposal for a Regulation of the European Parliament and of the Council on European data governance (Data Governance Act), Brüssel, 25.11.2020, SWD(2020) 295 final, 53.
↑ https://ec.europa.eu/transparency/expert-groups-register/screen/expert-groups/consult?lang=en&groupID=3903 (abgerufen am 24.1.2025). Eine eigene Website gibt es offenbar (noch) nicht.
↑ ^43,0 ^43,1 Eine Liste der zuständigen Stellen und Behörden sämtlicher Mitgliedstaaten ist auf der Website der Europäischen Kommission abrufbar und wird laufend aktualisiert, https://digital-strategy.ec.europa.eu/de/library/national-competent-bodies-and-authorities-under-data-governance-act (Stand 17.7.2024).
↑ Keppeler/Poncza in Paschke/Rücker, Data Governance Act (2024) Art 30 Rz 4 ff.
↑ Straub/Bogenstahl in Gabriel/Wischmann (Hrsg) Die aktuelle EU-Gesetzgebung: Die Regulierung von Künstlicher Intelligenz und Datenwirtschaft (2024) 26 ff.
↑ VO (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl L 2016/119, 1.
↑ Bundesgesetz zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten (Datenschutzgesetz – DSG), BGBl I 1999/165 idF BGBl I 2024/70.
↑ Siehe dazu im Detail Brink/Ungern-Sternberg in Wolff/Brink/Ungern-Sternberg, BeckOK Datenschutzrecht⁴⁹ Art 1 DGA Rz 52 ff.
↑ Schreiber/Pommerening/Schoel, Der neue Data Act mit Data Governance Act² (2024) § 10 Rz 10, 14.
↑ § 6 Abs 1 DZG-E.
↑ Der Bayerische Landesbeauftragte für den Datenschutz, Daten-Governance-Rechtsakt - Auf dem Weg zu einem europäischen Binnenmarkt für Daten - Orientierungshilfe, Rz 53, https://www.datenschutz-bayern.de/infothek/OH_DGA.pdf (Stand 1.5.2024).
↑ RL (EU) 2016/680 des Europäischen Parlaments und des Rates vom 27.4.2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates, ABl L 2016/119, 89.
↑ Strafprozeßordnung 1975 (StPO), BGBl 1975/631 idF BGBl I 2024/157.
↑ ^54,0 ^54,1 ^54,2 Siehe Stellungnahme des Bundesministeriums für Justiz zum DZG-E, 15/SN-352/ME 28. GP, 2.
↑ Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates über den Europäischen Raum für Gesundheitsdaten (EHDS), COM(2022) 197 final.
↑ RL (EU) 2019/1024 des Europäischen Parlaments und des Rates vom 20.6.2019 über offene Daten und die Weiterverwendung von Informationen des öffentlichen Sektors (Open Data und PSI 2-RL), ABl L 2019/172, 56.
↑ Bundesgesetz über die Weiterverwendung von Informationen öffentlicher Stellen, öffentlicher Unternehmen und von Forschungsdaten, BGBl I 2022/116.
↑ Bundesgesetz über den Zugang zu Informationen (Informationsfreiheitsgesetz – IFG), BGBl I 2024/5.
↑ ErläutRV 2238 BlgNR 27.GP 1 f.
↑ Das Verhältnis zu den Strafdrohungen nach der DSGVO bleibt unklar, siehe etwa die Stellungnahme der DSB zum DZG-Entwurf, 6/SN-352/ME, 5.
↑ Art 34 Abs 2 DGA; 352/ME 27. GP Erläut 6.
↑ Laut ErwGr 4 DGA besteht ausdrücklich die Möglichkeit, nationale Datenschutzbehörden mit diesen Aufgaben zu betrauen.
↑ Siehe die Liste der zuständigen Stellen und Behörden sämtlicher Mitgliedstaaten der Europäischen Kommission, https://digital-strategy.ec.europa.eu/de/library/national-competent-bodies-and-authorities-under-data-governance-act (Stand 17.7.2024).
↑ Die Bestandsliste soll eine Übersicht aller verfügbaren Datenressourcen darstellen und enthält grds ausschließlich Metadaten. Die Bestandsliste wird mit data.gv.at verknüpft und an das europäische Datenportal data.europa.eu angebunden, 352/ME 27. GP Erläut 4.
↑ Siehe die Stellungnahme der DSB zum DZG-Entwurf, 6/SN-352/ME, 4.
↑ Siehe die Stellungnahme der DSB zum DZG-Entwurf, 6/SN-352/ME, 3.
↑ Einen Überblick über die Behörden in Deutschland bietet Paschke in Paschke/Rücker, Data Governance Act (2024) Einleitung Rz 28 ff.

[1] Mitteilung der Kommission an das Europäische Parlament, den Rat, den Europäischen Wirtschafts- und Sozialausschuss und den Ausschuss der Regionen vom 19.2.2020, Eine europäische Datenstrategie, COM(2020) 66 final.

[2] Europäische Kommission, Daten-Governance-Gesetz erläutert, https://digital-strategy.ec.europa.eu/de/policies/data-governance-act-explained (Stand 11.10.2024).

[3] ErwGr 6 DGA; vgl Mitteilung der Kommission an das Europäische Parlament, den Rat, den Europäischen Wirtschafts- und Sozialausschuss und den Ausschuss der Regionen vom 19.2.2020, Eine europäische Datenstrategie, COM(2020) 66 final, 8.

[4] Art 1 Abs 1 lit a bis d DGA.

[5] Entwurf für ein Bundesgesetz, mit dem ein Bundesgesetz über Daten-Governance, Anbieter von Datenvermittlungsdiensten und datenaltruistische Organisationen nach der Verordnung (EU) 2022/868 über europäische Daten-Governance und zur Änderung der Verordnung (EU) 2018/1724 (Datenzugangsgesetz – DZG) erlassen wird, ME DZG, 352/ME 27. GP.

[6] Keppeler/Poncza in Paschke/Rücker, DGA (2024) Art 2 Rz 3.

[7] Europäische Kommission, Europäisches Daten-Governance-Gesetz, https://digital-strategy.ec.europa.eu/de/policies/data-governance-act (abgerufen am 24.1.2025).

[8] Laut ErwGr 12 sind das etwa Bibliotheken, Archive, Museen, Orchester, Opern, Ballette und Theater.

[9] Wischmeyer in Wolff/Brink/Ungern-Sternberg, BeckOK Datenschutzrecht⁴⁹ Art 3 DGA Rz 8 (Stand 1.5.2024).

[10] Europäische Kommission, Praktischer Leitfaden zum Daten-Governance-Gesetz, 3, https://ec.europa.eu/newsroom/dae/redirection/document/108539 (abgerufen am 24.1.2025).

[11] Keppeler/Poncza in Paschke/Rücker Art 2 Rz 58.

[12] Siehe zur Abgrenzung im Detail etwa Straub/Bogenstahl in Gabriel/Wischmann (Hrsg) Die aktuelle EU-Gesetzgebung: Die Regulierung von Künstlicher Intelligenz und Datenwirtschaft (2024) 23.

[13] Der Begriff unterscheidet sich vom Begriff des Nutzers nach dem DA.

[14] Siehe dazu im Detail ua Schumacher/Lück in Paschke/Rücker Art 10 Rz 26 ff.

[15] Vgl Gutachten der deutschen Datenethikkommission (2019) 133 f.

[16] Ausgenommen sind Datenvermittlungsdienste, die ihre Dienste bereits am 23.6.2022 erbracht haben. Für sie gelten die Verpflichtungen erst ab dem 24.9.2025. (Art 37 DGA)

[17] Europäische Kommission, Pressemitteilung vom 23.5.2024, Gemeinsame Daten-Nutzung und Steuertransparenz: EU-Kommission eröffnet Vertragsverletzungsverfahren gegen Deutschland, https://germany.representation.ec.europa.eu/news/gemeinsame-daten-nutzung-und-steuertransparenz-eu-kommission-eroffnet-vertragsverletzungsverfahren-2024-05-23-1_de.

[18] Weiden in Paschke/Rücker, DGA Art 5 Rz 1.

[19] Europäische Kommission, Praktischer Leitfaden zum Daten-Governance-Gesetz, 5, https://ec.europa.eu/newsroom/dae/redirection/document/108539 (abgerufen am 24.1.2025).

[20] Empfehlung 2003/361/EG der Kommission vom 6.5.2003 betreffend die Definition der Kleinstunternehmen sowie der kleinen und mittleren Unternehmen, ABl L 2003/124, 36.

[21] Damit gemeint ist eine von der öffentlichen Stelle kontrollierte IT-Umgebung, Europäische Kommission, Praktischer Leitfaden zum Daten-Governance-Gesetz, 5 f, https://ec.europa.eu/newsroom/dae/redirection/document/108539 (abgerufen am 24.1.2025).

[22] Europäische Kommission, Daten-Governance-Gesetz erläutert, https://digital-strategy.ec.europa.eu/de/policies/data-governance-act-explained(Stand 11.10.2024).

[23] Der Unionsgesetzgeber zeigt eine klare Tendenz, die Weiterverwendung von Daten im Besitz öffentlicher Stellen auf faire und offene Weise zu ermöglichen. So wurde auch im Rahmen der Neufassung der RL (EU) 2019/1024 des Europäischen Parlaments und des Rates vom 20.6.2019 über offene Daten und die Weiterverwendung von Informationen des öffentlichen Sektors (Open Data und PSI 2-RL), ABl L 2019/172, 56, die Möglichkeit für Ausschließlichkeitsvereinbarungen eingeschränkt (Art 12 Open Data und PSI 2-RL, EG 48).

[24] § 4 Abs 4 DZG-Entwurf.

[25] Der DA sieht ähnliche Bestimmungen vor.

[26] Zur Thematik siehe ausf Schreiber/Pommerening/Schoel, Der neue Data Act² (2024) § 15 Rz 5 ff.

[:1-27] 27,0 ^27,1 Die Logos wurden durch die Durchführungsverordnung (EU) 2023/1622 der Kommission vom 9. August 2023 über die Ausgestaltung gemeinsamer Logos für die in der Union anerkannten Anbieter von Datenvermittlungsdiensten und datenaltruistischen Organisationen, ABl L 2023/200, 1, angenommen und als Marken eingetragen.

[28] Straub/Bogenstahl in Gabriel/Wischmann (Hrsg) Die aktuelle EU-Gesetzgebung: Die Regulierung von Künstlicher Intelligenz und Datenwirtschaft (2024) 24.

[29] Schumacher/Lück in Paschke/Rücker Art 12 Rz 15.

[30] Schumacher/Lück in Paschke/Rücker Art 12 Rz 17.

[31] Schumacher/Lück in Paschke/Rücker Art 12 Rz 25.

[32] Eine ähnliche Regelung enthält Art 8 Abs 1 Data Act, wonach Vereinbarungen über die Datenbereitstellung nur faire, angemessene und nichtdiskriminierende Bedingungen vorsehen dürfen (sog FRAND-Bedingungen).

[33] Schumacher/Lück in Paschke/Rücker Art 12 Rz 32.

[34] Vgl ErwGr 36 DGA.

[35] Schumacher/Lück in Paschke/Rücker Art 12 Rz 35.

[36] Schumacher/Lück in Paschke/Rücker Art 12 Rz 37.

[37] ErwGr 23 DGA.

[38] Siehe ErwGr 37 DGA.

[39] Schumacher/Lück in Paschke/Rücker Art 12 Rz 67.

[40] Art 25 DGA.

[41] Europäische Kommission, Commission Staff Working Document, Impact Assessment Report Accompanying the document Proposal for a Regulation of the European Parliament and of the Council on European data governance (Data Governance Act), Brüssel, 25.11.2020, SWD(2020) 295 final, 53.

[42] ttps://ec.europa.eu/transparency/expert-groups-register/screen/expert-groups/consult?lang=en&groupID=3903 (abgerufen am 24.1.2025). Eine eigene Website gibt es offenbar (noch) nicht.

[:2-43] 43,0 ^43,1 Eine Liste der zuständigen Stellen und Behörden sämtlicher Mitgliedstaaten ist auf der Website der Europäischen Kommission abrufbar und wird laufend aktualisiert, https://digital-strategy.ec.europa.eu/de/library/national-competent-bodies-and-authorities-under-data-governance-act (Stand 17.7.2024).

[44] Keppeler/Poncza in Paschke/Rücker, Data Governance Act (2024) Art 30 Rz 4 ff.

[45] Straub/Bogenstahl in Gabriel/Wischmann (Hrsg) Die aktuelle EU-Gesetzgebung: Die Regulierung von Künstlicher Intelligenz und Datenwirtschaft (2024) 26 ff.

[46] VO (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl L 2016/119, 1.

[47] Bundesgesetz zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten (Datenschutzgesetz – DSG), BGBl I 1999/165 idF BGBl I 2024/70.

[48] Siehe dazu im Detail Brink/Ungern-Sternberg in Wolff/Brink/Ungern-Sternberg, BeckOK Datenschutzrecht⁴⁹ Art 1 DGA Rz 52 ff.

[49] Schreiber/Pommerening/Schoel, Der neue Data Act mit Data Governance Act² (2024) § 10 Rz 10, 14.

[50] § 6 Abs 1 DZG-E.

[51] Der Bayerische Landesbeauftragte für den Datenschutz, Daten-Governance-Rechtsakt - Auf dem Weg zu einem europäischen Binnenmarkt für Daten - Orientierungshilfe, Rz 53, https://www.datenschutz-bayern.de/infothek/OH_DGA.pdf (Stand 1.5.2024).

[52] RL (EU) 2016/680 des Europäischen Parlaments und des Rates vom 27.4.2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates, ABl L 2016/119, 89.

[53] Strafprozeßordnung 1975 (StPO), BGBl 1975/631 idF BGBl I 2024/157.

[:0-54] 54,0 ^54,1 ^54,2 Siehe Stellungnahme des Bundesministeriums für Justiz zum DZG-E, 15/SN-352/ME 28. GP, 2.

[55] Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates über den Europäischen Raum für Gesundheitsdaten (EHDS), COM(2022) 197 final.

[56] RL (EU) 2019/1024 des Europäischen Parlaments und des Rates vom 20.6.2019 über offene Daten und die Weiterverwendung von Informationen des öffentlichen Sektors (Open Data und PSI 2-RL), ABl L 2019/172, 56.

[57] Bundesgesetz über die Weiterverwendung von Informationen öffentlicher Stellen, öffentlicher Unternehmen und von Forschungsdaten, BGBl I 2022/116.

[58] Bundesgesetz über den Zugang zu Informationen (Informationsfreiheitsgesetz – IFG), BGBl I 2024/5.

[59] ErläutRV 2238 BlgNR 27.GP 1 f.

[60] Das Verhältnis zu den Strafdrohungen nach der DSGVO bleibt unklar, siehe etwa die Stellungnahme der DSB zum DZG-Entwurf, 6/SN-352/ME, 5.

[61] Art 34 Abs 2 DGA; 352/ME 27. GP Erläut 6.

[62] Laut ErwGr 4 DGA besteht ausdrücklich die Möglichkeit, nationale Datenschutzbehörden mit diesen Aufgaben zu betrauen.

[63] Siehe die Liste der zuständigen Stellen und Behörden sämtlicher Mitgliedstaaten der Europäischen Kommission, https://digital-strategy.ec.europa.eu/de/library/national-competent-bodies-and-authorities-under-data-governance-act (Stand 17.7.2024).

[64] Die Bestandsliste soll eine Übersicht aller verfügbaren Datenressourcen darstellen und enthält grds ausschließlich Metadaten. Die Bestandsliste wird mit data.gv.at verknüpft und an das europäische Datenportal data.europa.eu angebunden, 352/ME 27. GP Erläut 4.

[65] Siehe die Stellungnahme der DSB zum DZG-Entwurf, 6/SN-352/ME, 4.

[66] Siehe die Stellungnahme der DSB zum DZG-Entwurf, 6/SN-352/ME, 3.

[67] Einen Überblick über die Behörden in Deutschland bietet Paschke in Paschke/Rücker, Data Governance Act (2024) Einleitung Rz 28 ff.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[15]

[16]

[17]

[18]

[19]

[20]

[21]

[22]

[23]

[24]

[25]

[26]

[27]

[28]

[29]

[30]

[31]

[32]

[33]

[34]

[35]

[36]

[37]

[38]

[39]

[40]

[41]

[42]

[43]

[44]

[45]

[46]

[47]

[48]

[49]

[50]

[51]

[52]

[53]

[54]

[55]

[56]

[57]

[58]

[59]

[60]

[61]

[62]

[63]

[64]

[65]

[66]

[67]

@@ Zeile 1: / Zeile 1: @@
-'''Langtitel:''' [https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:32022R0868 VO (EU) 2022/868 des Europäischen Parlaments und des Rates vom 30. Mai 2022 über europäische Daten-Governance und zur Änderung der Verordnung (EU) 2018/1724 (Daten-Governance-Rechtsakt)]
+{{Infobox Rechtsakt (EU)|Typ=Verordnung|Jahr=2022|Nummer=868|Vertrag=EU|EWR=ja|Titel=Verordnung (EU) 2022/868 des Europäischen Parlaments und des Rates vom 30. Mai 2022 über europäische Daten-Governance und zur Änderung der Verordnung (EU) 2018/1724|Kurztitel=Data Governance Act/Daten-Governance-Rechtsakt|Bezeichnung=DGA|Rechtsmaterie=Datenrecht|Grundlage=AEUV, insbesondere {{Art.|114|AEUV|dejure|}}|Fundstelle=ABl L 2022/152, 1|Anzuwenden=24. September 2023|Gültig=anwendbar}}
-'''Kurztitel:''' Daten-Governance-Rechtsakt; Data Governance Act (DGA)
+{{TOC limit}}
 == Kurzübersicht ==
@@ Zeile 10: / Zeile 10: @@
 !Inhalt
 !Synergie
-!Konsequenzen
+!Konsequenzen bei Nichtumsetzung
 |-
-|Förderung der Wiederverwendung von (geschützten) Daten des öffentlichen Sektors
+|Förderung der Weiterverwendung von (geschützten) Daten des öffentlichen Sektors
-|Datennutzende
+|G2B
-|Vorgaben für die Verfügbarkeit von Daten des öffentlichen Sektors für die sichere Wiederverwendung
+|Vorgaben für die sichere Weiterverwendung von Daten des öffentlichen Sektors
 |
-* Rechtsgrundlagen für die Datennutzung nach der Datenschutz-Grundverordnung
+* Rechtsgrundlagen für die Datennverarbeitung nach der DSGVO
-* Richtlinie (EU) 2019/1024 über offene Daten und die Weiterverwendung von Informationen des öffentlichen Sektors.
+* Richtlinie (EU) 2019/1024 über offene Daten und die Weiterverwendung von Informationen des öffentlichen Sektors
-|Verwaltungsstrafen
+* Verordnung (EU) 2018/1807 betreffend nicht-personenbezogene Daten
+|Rechtsschutzmöglichkeiten nach nationalem Recht (Beschwerderecht)
 |-
 |Stärkung des Vertrauens in den Datenaustausch
 |Datenvermittlungsdienste
 |Schaffung eines neuen Geschäftsmodells zur Förderung von Datenvermittlungsdiensten, die Unternehmen oder Einzelpersonen helfen, Daten auf sichere Weise auszutauschen
-|Wettbewerbsrecht, ua Art 101 und Art 102 AEUV; UWG
+|
-|Verwaltungsstrafen; Reputationsschäden; Entzug der Registrierungszulassung
+* Wettbewerbsrecht, ua Art 101 und Art 102 AEUV, UWG
+* DSA
+* DSGVO
+|
+* Verwaltungsstrafen, einschl Zwangsgelder mit Rückwirkung
+* Aussetzung oder Einstellung der Erbringung des Datenvermittlungsdienstes
+* Verfall von Gegenständen
+* Reputationsschäden
 |-
 |Förderung von Datenaltruismus
@@ Zeile 30: / Zeile 38: @@
 |Rahmen für die freiwillige Registrierung von Einrichtungen, die Daten erheben und verarbeiten, die für gemeinnützige Zwecke zur Verfügung gestellt werden
 |
-|Verlust des Status als anerkannte datenaltruistische Organisation; Verwaltungsstrafen
+* DSA
+* DSGVO
+|
+* Verlust des Status als anerkannte datenaltruistische Organisation
+* Verfall von Gegenständen
+* Reputationsschäden
 |-
 |Erfolgreiche Umsetzung des Rahmens für die Daten-Governance
 |Europäischer Dateninnovationsrat
-|Einrichtung des Europäischen Dateninnovationsrats zur Unterstützung und Beratung der Kommission bei der Umsetzung des DGA.
+|Einrichtung des Europäischen Dateninnovationsrats zur Unterstützung und Beratung der Kommission bei der Umsetzung des DGA
-|Der Dateninnovationsrat befolgt bzw nutzt die folgenden Grundsätze und Normen:
+|
+* DA
-* Grundsätze des Europäischen Interoperabilitätsrahmens
+|
-* europäische und internationale Normen und Spezifikationen, auch im Rahmen der Multi-Stakeholder-Plattform der EU für die IKT-Normung,
+* ineffiziente Daten-Governance
-* Kernvokabulare und CEF-Bausteine
+* Verzögerungen bei der Entwicklung des Datenbinnenmarkts
-|Unzureichende Umsetzung kann zu ineffizienter Daten-Governance und Verzögerungen bei der Entwicklung des Datenbinnenmarkts führen.
 |}
-== Einführung ==
+== Einleitung und Hintergrund ==
-=== Hintergrund: Eine neue Datenstrategie ===
+=== Hintergrund ===
-Mit der '''Europäischen Datenstrategie'''<ref>Mitteilung der Kommission an das Europäische Parlament, den Rat, den Europäischen Wirtschafts- und Sozialausschuss und den Ausschuss der Regionen vom 19.2.2020, Eine europäische Datenstrategie, COM(2020) 66 final.</ref> verfolgt die EU das Ziel, einen Binnenmarkt für Daten zu schaffen, um eine EU-weite und branchenübergreifende Datenweitergabe zum Nutzen von Unternehmen, Forschenden und öffentlichen Verwaltungen zu ermöglichen. Dadurch soll die EU eine führende Rolle in der Datenwirtschaft übernehmen. Gleichzeitig sollen die hohen europäischen Datenschutz-, Sicherheits- und Ethik-Standards gewahrt bleiben. In Umsetzung dieser Version sollen Datenräume, etwa der Europäische Gesundheitsdatenraum, geschaffen werden. Ein bekanntes Beispiel ist das [[Data Act (DA)#Gaia-X|Projekt Gaia-X]].
+Data Governance Act (DGA) und [[Data Act (DA)#Kurzübersicht|Data Act (DA)]] bilden gemeinsam die erste Säule der '''[[Datenstrategie#Hintergrund|Europäischen Datenstrategie]].'''<ref>Mitteilung der Kommission an das Europäische Parlament, den Rat, den Europäischen Wirtschafts- und Sozialausschuss und den Ausschuss der Regionen vom 19.2.2020, Eine europäische Datenstrategie, COM(2020) 66 final.</ref> Sie sollen den rechtlichen Rahmen für einen vertrauenswürdigen und sicheren Datenaustausch im europäischen Binnenmarkt schaffen.<ref>''Europäische Kommission,'' Daten-Governance-Gesetz erläutert, https://digital-strategy.ec.europa.eu/de/policies/data-governance-act-explained (Stand 11.10.2024).</ref>
-Österreich hat auf den Grundsätzen der Europäischen Datenstrategie aufbauend im Oktober 2024 eine österreichische Datenstrategie<ref>''Bundeskanzleramt'', Österreichische Datenstrategie https://www.data.gv.at/wp-content/uploads/2024/10/Datenstrategie_barrierefrei_final-02102024.pdf<nowiki/>(Stand Juni 2024). </ref> veröffentlicht.<ref>''Bundeskanzleramt Österreich'', Digital Austria <nowiki>https://www.digitalaustria.gv.at/Strategien/Datenstrategie.html</nowiki> (abgefragt a, 28.10.2024).</ref> Sie verfolgt drei zentrale Ziele für Verwaltung und Datenwirtschaft, um eine proaktive Datennutzung und eine ausgeprägte Datenkultur zu stärken. Die Strategie soll eine strukturierte und verantwortungsvolle Datennutzung zur Unterstützung evidenzbasierter Entscheidungen in der öffentlichen Verwaltung fördern und zur Entwicklung neuer Dienstleistungen und Produkte beitragen. Ein erweiterter Datenzugang soll staatliche Prozesse effizienter und transparenter gestalten.
+Der DGA verfolgt das Ziel, dass Daten, die mithilfe öffentlicher Gelder generiert oder erhoben wurden, auch der Gesellschaft zugutekommen.<ref>ErwGr 6 DGA; vgl Mitteilung der Kommission an das Europäische Parlament, den Rat, den Europäischen Wirtschafts- und Sozialausschuss und den Ausschuss der Regionen vom 19.2.2020, Eine europäische Datenstrategie, COM(2020) 66 final, 8.</ref> Ua soll Unternehmen die Nutzung von Daten, die im Besitz von Behörden sind, ermöglicht werden ('''''G2B-Datennutzung''''').
-Das Daten-Governance-Gesetz bietet gemeinsam mit dem Data Act den '''sektorübergreifenden Rahmen''', die zentralen Säulen dieser Datennutzung im Binnenmarkt. Konkret soll der DGA den vertrauenswürdigen und sicheren Datenaustausch erleichtern.<ref>''Europäische Kommission,'' Daten-Governance-Gesetz erläutert, https://digital-strategy.ec.europa.eu/de/policies/data-governance-act-explained.</ref> '''Datenvermittlungsdiensten''' soll in der Datenwirtschaft eine Schlüsselrolle zukommen, insbesondere zur Erleichterung des Datenaustauschs. (EG 27 DGA)
+Zu beachten ist, dass der DGA jedoch '''keine Verpflichtungen''' für öffentliche Stellen vorsieht, die Datenweiterverwendung zu erlauben. Die Zugangsgewährung zu amtlichen Dokumenten richtet sich somit weiterhin nach besonderen Vorschriften des Unionsrechts und des nationalen Rechts. Der DGA befreit öffentliche Stellen auch nicht von etwaigen Geheimhaltungspflichten (Art 1 Abs 2 DGA).
-Die nationale Begleitgesetzgebung zum DGA soll im Datenzugangsgesetz (DZG) erfolgen. Ein Ministerialentwurf<ref>Bundesgesetz, mit dem ein Bundesgesetz über Daten-Governance, Anbieter von  Datenvermittlungsdiensten und datenaltruistische Organisationen nach der Verordnung  (EU) 2022/868 über europäische Daten-Governance und zur Änderung der Verordnung  (EU) 2018/1724 (Datenzugangsgesetz – DZG) erlassen wird, ME DZG, 352/ME 27. GP.</ref> ist seit Anfang Oktober 2024 in Begutachtung. Die Begutachtungsfrist endet am 11.11.2024.<ref>https://www.parlament.gv.at/gegenstand/XXVII/ME/352.</ref>
 === Struktur ===
-Der DGA regelt (Art 1 Abs 1 lit a bis d DGA):
+Der DGA regelt:<ref>Art 1 Abs 1 lit a bis d DGA.</ref>
-* Bedingungen für die Weiterverwendung von Daten bestimmter Datenkategorien, die im Besitz [[Data Governance Act (DGA)#Öffentliche Stellen|öffentlicher Stellen]] sind, innerhalb der Union;
+* Bedingungen für die Weiterverwendung bestimmter Daten, die im Besitz öffentlicher Stellen sind;
 * einen Anmelde- und Aufsichtsrahmen für die Erbringung von Datenvermittlungsdiensten;
-* einen Rahmen für die freiwillige Eintragung von Einrichtungen, die für altruistische Zwecke zur Verfügung gestellte Daten erheben und verarbeiten und
+* einen Rahmen für die freiwillige Eintragung von Einrichtungen, die für altruistische Zwecke zur Verfügung gestellte Daten erheben und verarbeiten;
-* einen Rahmen für die Einsetzung eines Europäischen Dateninnovationsrats.
+* die Einsetzung eines Europäischen Dateninnovationsrats.
-Der DGA soll sicherstellen, dass der geschützte Charakter der Daten gewahrt bleibt, insbesondere im Hinblick auf die Rechte und Interessen Dritter. Er verpflichtet zur Einhaltung von Vertraulichkeitsvorgaben. Zudem schließt er die Vergabe exklusiver Rechte zur Nutzung der Daten ausdrücklich aus, um einen fairen und transparenten Zugang zu gewährleisten.
-Zu beachten ist, dass der DGA '''keine Verpflichtungen''' für öffentliche Stellen vorsieht, die Datenweiterverwendung zu erlauben. Der DGA befreit öffentliche Stellen nicht von etwaigen Geheimhaltungspflichten (Art 1 Abs 2 DGA). Die Zugangsgewährung zu amtlichen Dokumenten richtet sich somit weiterhin nach besonderen Vorschriften des Unionsrechts und des nationalen Rechts.
+=== Nationale Begleitgesetzgebung ===
+Die nationale Begleitgesetzgebung zum DGA soll im Datenzugangsgesetz (DZG) erfolgen. Dort soll insb die Behördenzuständigkeit geregelt werden. Ein Ministerialentwurf<ref>Entwurf für ein Bundesgesetz, mit dem ein Bundesgesetz über Daten-Governance, Anbieter von Datenvermittlungsdiensten und datenaltruistische Organisationen nach der Verordnung  (EU) 2022/868 über europäische Daten-Governance und zur Änderung der Verordnung  (EU) 2018/1724 (Datenzugangsgesetz – DZG) erlassen wird, ME DZG, 352/ME 27. GP.</ref> (in der Folge: DZG-Entwurf) war im Oktober 2024 in Begutachtung.
-==== Grundprinzipien ====
-Die Grundprinzipien des Digital Governance Act orientieren sich am sog "FAIR"-Konzept (EG 2):
-* '''F'''indable (auffindbar),
-* '''A'''ccessible (zugänglich),
-* '''I'''nteroperable (interoperabel)
-* '''R'''eusable (wiederverwendbar)
-==== Ziel ====
-Daten, die mithilfe öffentlicher Gelder generiert oder erhoben wurden, sollen auch der Gesellschaft zugutekommen (EG 6 DGA).
 == Anwendungsbereich ==
 === Sachlich ===
-Der sachliche Anwendungsbereich des DGA erstreckt sich ausschließlich auf '''digitale''' '''Daten''' (Art 2 Nr 1 DGA), die '''im Besitz [[Data Governance Act (DGA)#Öffentliche Stellen|öffentlicher Stellen]]''' sind.
+Der Datenbegriff des DGA ist weit gefasst und legt damit einen umfassenden Anwendungsbereich fest, der grds sämtliche digitalen Inhalte umfasst, <ref>''Keppeler/Poncza'' in ''Paschke/Rücker'', DGA (2024) Art 2 Rz 3.</ref> zB Gesundheitsdaten, Mobilitätsdaten, Umweltdaten oder Agrardaten.<ref>''Europäische Kommission'', Europäisches Daten-Governance-Gesetz, https://digital-strategy.ec.europa.eu/de/policies/data-governance-act (abgerufen am 24.1.2025).</ref> Der Datenbegriff entspricht dem der Art 2 Z 24 [[Digital Markets Act (DMA)#Einleitung|DMA]] und Art 2 Z 1 [[Data Act (DA)#Sachlich|DA]].  [[Datei:Anwendungsbereich DSGVO und DGA-DA.jpg|mini|Der Datenbegriff nach DSGVO und DGA - Research Institute [https://creativecommons.org/licenses/by/4.0/deed.de CC BY 4.0]]]
+Voraussetzung dafür, dass Daten in den Anwendungsbereich des DGA fallen, ist, dass sie:
-Der Begriff "Daten" ist weit zu verstehen und erfasst jegliche digitale Inhalte.<ref>''Keppeler/Poncza'' in ''Paschke/Rücker'', DGA (2024) Art 2 Rz 3.</ref> Daten, die lediglich analog vorliegen, fallen somit nicht in den Anwendungsbereich. Beispiele sind Gesundheitsdaten, Mobilitätsdaten, Umweltdaten oder Agrardaten.<ref>''Europäische Kommission'', Europäisches Daten-Governance-Gesetz, https://digital-strategy.ec.europa.eu/de/policies/data-governance-act.</ref> Der Datenbegriff enstpricht somit Art 2 Z 24 [[Digital Markets Act (DMA)#Einleitung|DMA]] und Art 2 Z 1 [[Data Act (DA)#Sachlich|DA]].
-[[Datei:Anwendungsbereich DSGVO und DGA-DA.jpg|mini|Der Datenbegriff nach DSGVO und DGA]]
-Der DGA enthält Bestimmungen über die Weiterverwendung von Daten, die
 * im '''Besitz [[Data Governance Act (DGA)#Öffentliche Stellen|öffentlicher Stellen]]''' sind und
@@ Zeile 88: / Zeile 85: @@
 ** geschäftliche Geheimhaltung, einschließlich Betriebsgeheimnisse, Berufsgeheimnisse, Unternehmensgeheimnisse,
 ** statistische Geheimhaltung,
-** der Schutz geistigen Eigentums Dritter,
+** Schutz geistigen Eigentums Dritter,
 ** Datenschutz.
-Daten, die im Besitz [[Data Governance Act (DGA)#Öffentliche Stellen|öffentlicher Stellen]] sind, sind vom Anwendungsbereich des DGA ausgenommen, '''wenn'''
+Daten sind vom Anwendungsbereich wiederum ausgenommen, '''wenn'''
 *die Daten aus Gründen der öffentlichen Sicherheit, der Landesverteidigung oder der nationalen Sicherheit geschützt sind, oder
 * die Bereitstellung der Daten nicht unter den '''öffentlichen Auftrag''' der betreffenden öffentlichen Stelle fällt.
-'''Ausgenommen''' sind weiters Datenkategorien im Besitz folgender Einrichtungen (Art 3 Abs 2 DGA):
+'''Ausgenommen''' sind weiters allgemein Datenkategorien im Besitz folgender Einrichtungen:
 * '''öffentlicher Unternehmen,'''
 * öffentlich-rechtlicher Rundfunkanstalten, sofern die Daten der Wahrnehmung eines öffentlichen Sendeauftrags dienen,
-* Kultureinrichtungen<ref>Lt EG 12 sind das etwa Bibliotheken, Archive, Museen, Orchester, Opern, Ballette und Theater.</ref> und Bildungseinrichtungen.
+* Kultureinrichtungen<ref>Laut ErwGr 12 sind das etwa Bibliotheken, Archive, Museen, Orchester, Opern, Ballette und Theater.</ref> und Bildungseinrichtungen.
+Daten, die lediglich analog vorliegen, fallen von Vornherein nicht in unter den Datenbegriff des DGA.
 === Personell ===
 ==== Öffentliche Stellen ====
-Die Regelungen zur Datenweiterverwendung adressieren '''alle in der EU tätigen öffentlichen Stellen'''. Das sind gem Art 2 Nr 17 DGA:
+Die Regelungen zur Datenweiterverwendung adressieren '''alle in der EU tätigen öffentlichen Stellen'''. Das sind gem Art 2 Z 17 DGA:
 * Staat,
 * Gebietskörperschaften,
-* Einrichtungen des öffentlichen Rechts (zB Kammern, Universitäten, Religionsgemeinschaften, Anstalten oder Stiftungen des öffentlichen Rechts)<ref>''Wischmeyer'' in ''Wolff/Brink/v. Ungern-Sternberg,'' BeckOK Datenschutzrecht<sup>49</sup> Art 3 DGA Rz 8 (Stand: 01.05.2024, beck-online.beck.de).</ref>,
+* Einrichtungen des öffentlichen Rechts (zB Kammern, Universitäten, Religionsgemeinschaften, Anstalten oder Stiftungen des öffentlichen Rechts),<ref>''Wischmeyer'' in ''Wolff/Brink/Ungern-Sternberg,'' BeckOK Datenschutzrecht<sup>49</sup> Art 3 DGA Rz 8 (Stand 1.5.2024).</ref>
 * Verbände, die aus einer oder mehreren dieser Körperschaften oder einer oder mehreren dieser Einrichtungen des öffentlichen Rechts bestehen.
-'''Forschungseinrichtungen''', die als öffentliche Stellen oder öffentlich-rechtliche Einrichtungen gegründet wurden, können erfasst sein (EG 12), nicht aber öffentliche Unternehmen.<ref>''Europäische Kommission'', Praktischer Leitfaden zum Daten-Governance-Gesetz, 3.</ref>
+'''Forschungseinrichtungen''', die als öffentliche Stellen oder öffentlich-rechtliche Einrichtungen gegründet wurden, können im Einzelfall erfasst sein (ErwGr 12).<ref>''Europäische Kommission'', Praktischer Leitfaden zum Daten-Governance-Gesetz, 3, https://ec.europa.eu/newsroom/dae/redirection/document/108539 (abgerufen am 24.1.2025).</ref>
 ==== Datenvermittlungsdienste ====
-Unter Datenvermittlungsdienst ist gem Art 2 Nr 11 DGA ein Dienst zu verstehen, der eine unbestimmte Zahl von betroffenen Personen und '''Dateninhabern''' mit '''Datennutzern''' verbindet, um eine geschäftliche Beziehung zum Datenaustausch herzustellen. Nicht davon erfasst sind somit Dienste, die für geschlossene Nutzergruppen eingerichtet sind. Ist der Zugang zu den Daten etwa von der Zugehörigkeit zu einem Verein oder einem Unternehmen abhängig, liegt idR kein datenvermittlungsdienst iSd DGA vor.<ref>''Keppeler/Poncza'' in ''Paschke/Rücker'' Art 2 Rz 58.</ref>
+Unter Datenvermittlungsdienst ist gem Art 2 Z 11 DGA ein Dienst zu verstehen, der eine '''unbestimmte Zahl''' von betroffenen Personen und '''Dateninhabern''' mit '''Datennutzern''' verbindet, um eine '''geschäftliche Beziehung''' zum Datenaustausch herzustellen.
+'''Nicht davon erfasst''' sind somit Dienste, die für geschlossene Nutzergruppen (zB im Rahmen von Lieferanten- und Kundenbeziehungen) eingerichtet sind. Ist der Zugang zu den Daten etwa von der Zugehörigkeit zu einem Verein oder einem Unternehmen abhängig, liegt idR kein Datenvermittlungsdienst iSd DGA vor.<ref>''Keppeler/Poncza'' in ''Paschke/Rücker'' Art 2 Rz 58.</ref> Weiters nicht als Datenvermittlungsdienste zu qualifizieren sind Cloud-Anbieter, Datenbroker und Anbieter von Analysediensten.<ref>Siehe zur Abgrenzung im Detail etwa ''Straub/Bogenstahl'' in ''Gabriel/Wischmann'' (Hrsg) Die aktuelle EU-Gesetzgebung: Die Regulierung von Künstlicher Intelligenz und Datenwirtschaft (2024) 23.</ref>
-* '''Dateninhaber''' (Art 2 Nr 8 DGA):
+'''Definitionen:'''
-** Eine juristische Person (inkl. öffentliche Stellen und internationale Organisationen) oder natürliche Person,
-** die selbst '''nicht die betroffene Person''' der Daten ist,
-** und nach EU- oder nationalem Recht befugt ist, Zugang zu den Daten (personenbezogen oder nicht-personenbezogen) zu gewähren oder diese weiterzugeben.
-* '''Datennutzer''' (Art 2 Nr 9 DGA):<ref>Der Begriff unterscheidet sich vom Begriff des [[Data Act (DA)#Nutzer|Nutzers nach dem DA]].</ref>
+* '''Dateninhaber''' (Art 2 Z 8 DGA): Eine juristische Person (inkl. öffentliche Stellen und internationale Organisationen) oder natürliche Person, die selbst '''nicht die betroffene Person''' der Daten ist und nach EU- oder nationalem Recht befugt ist, Zugang zu den Daten (personenbezogen oder nicht-personenbezogen) zu gewähren oder diese weiterzugeben.
-** Eine natürliche oder juristische Person
-** die rechtmäßigen Zugang zu Daten (personenbezogen oder nicht-personenbezogen) hat,
+* '''Datennutzer''' (Art 2 Z 9 DGA):<ref>Der Begriff unterscheidet sich vom Begriff des [[Data Act (DA)#Nutzer|Nutzers nach dem DA]].</ref> Eine natürliche oder juristische Person, die rechtmäßigen Zugang zu Daten (personenbezogen oder nicht-personenbezogen) hat und diese - bei personenbezogenen Daten unter Beachtung der DSGVO - für beliebige Zwecke (kommerziell oder nicht-kommerziell) nutzen darf.
-** und diese - bei personenbezogenen Daten unter Beachtung der DSGVO - für beliebige Zwecke (kommerziell oder nicht-kommerziell) nutzen darf.
 ===== Kategorien =====
-Datenvermittlungsdienste lassen sich gem Art 10 DGA den folgenden 3 Kategorien zuordnen:'''<ref>Siehe dazu im Detail ua ''Schumacher/Lück'' in ''Paschke/Rücker'' Art 10 Rz 26 ff.</ref>'''
+Datenvermittlungsdienste lassen sich gem Art 10 DGA den folgenden drei Kategorien zuordnen:'''<ref>Siehe dazu im Detail ua ''Schumacher/Lück'' in ''Paschke/Rücker'' Art 10 Rz 26 ff.</ref>'''
 {| class="wikitable"
 |+
@@ Zeile 139: / Zeile 136: @@
 |Art 10 lit b DGA
 |
-====== Vermittlungsdienste zwischen betroffenen und natürlichen Personen und Datennutzern ======
+====== Vermittlungsdienste zwischen betroffenen Personen, die ihre personenbezogenen Daten zugänglich machen wollen, oder natürlichen Personen, die nicht personenbezogene Daten zugänglich machen wollen, und potenziellen Datennutzern ======
-|Datentreuhänder, Personal Information Management Systems (PIMS), Datenräume, Vermittlungsdienste zur Ausübung der DSGVO-Betroffenenrechte
+|Datentreuhänder, Personal Information Management Systems (PIMS),<ref>Vgl Gutachten der deutschen Datenethikkommission (2019) 133 f.</ref> Datenräume, Vermittlungsdienste zur Ausübung der DSGVO-Betroffenenrechte
 |-
 |Art 10 lit c DGA
@@ Zeile 149: / Zeile 146: @@
 ==== Datenaltruistische Organisationen ====
-Datenaltruismus ist die freiwillige gemeinsame Nutzung von Daten ohne Gewinnerzielungsabsicht für Ziele von allgemeinem Interesse gem nationalem Recht, wie die Gesundheitsversorgung oder die wissenschaftliche Forschung (Art 2 Nr 16).
+Datenaltruismus ist die freiwillige gemeinsame Nutzung von Daten ohne Gewinnerzielungsabsicht für Ziele von allgemeinem Interesse gem nationalem Recht, wie die Gesundheitsversorgung oder die wissenschaftliche Forschung (Art 2 Z 16).
 === Räumlich ===
@@ Zeile 160: / Zeile 157: @@
 === Zeitlich ===
-Nach der Annahme am 16. Mai 2022 trat der DGA am 23. Juni 2022 in Kraft. Die Bestimmungen sind seit dem 24. September 2023 anwendbar.<ref>Ausgenommen sind Datenvermittlungsdienste, die ihre Diesnte bereits am 23.6.2022 erbrachthaben. Für sie gelten die Verpflichtungen erst ab dem 24.9.2025. (Art 37 DGA)</ref>
+Nach der Annahme am 16. Mai 2022 trat der DGA am 23. Juni 2022 in Kraft. Die Bestimmungen sind seit dem 24. September 2023 anwendbar.<ref>Ausgenommen sind Datenvermittlungsdienste, die ihre Dienste bereits am 23.6.2022 erbracht haben. Für sie gelten die Verpflichtungen erst ab dem 24.9.2025. (Art 37 DGA)</ref>
-Aufgrund mangelnder Umsetzung der nationalen Begleitgesetzgebung zur Durchführung des DGA in mehreren Mitgliedstaaten hat die Kommission bereits Vertragsverletzungsverfahren, unter anderem gegen Österreich und Deutschland, eingeleitet.<ref>https://germany.representation.ec.europa.eu/news/gemeinsame-daten-nutzung-und-steuertransparenz-eu-kommission-eroffnet-vertragsverletzungsverfahren-2024-05-23-1_de.</ref>
+Wegen der unzureichenden Umsetzung des DGA durch nationale Begleitgesetze in mehreren Mitgliedstaaten hat die Europäische Kommission bereits Vertragsverletzungsverfahren eingeleitet, darunter auch gegen Österreich und Deutschland.<ref>''Europäische Kommission'', Pressemitteilung vom 23.5.2024, Gemeinsame Daten-Nutzung und Steuertransparenz: EU-Kommission eröffnet Vertragsverletzungsverfahren gegen Deutschland, https://germany.representation.ec.europa.eu/news/gemeinsame-daten-nutzung-und-steuertransparenz-eu-kommission-eroffnet-vertragsverletzungsverfahren-2024-05-23-1_de.</ref>
 == Zentrale Inhalte ==
-[[Datei:DGA Datenweiterverwendung.png|mini|Antrag auf Weiterverwendung geschützter Daten durch eine Forschungseinrichtung]]
+=== Weiterverwendung geschützter Daten (Kapitel II) ===
+Der DGA soll es ermöglichen, Erkenntnisse aus geschützten Daten zu gewinnen. Dazu sieht er Regeln und Schutzmaßnahmen vor, um die Weiterverwendung von Daten zu erleichtern, soweit dies grds durch andere Rechtsvorschriften erlaubt ist.
-=== Weiterverwendung geschützter Daten (Kap II) ===
-Der DGA ermöglicht es, wertvolle Erkenntnisse aus geschützten Daten zu gewinnen. Er sieht klare Regeln und Schutzmaßnahmen vor, um die Weiterverwendung zu erleichtern, soweit dies durch andere Rechtsvorschriften erlaubt ist.
 ==== Bedingungen für die Weiterverwendung ====
-Den [[Data Governance Act (DGA)#Öffentliche Stellen|öffentlichen Stellen]] wird die heikle Aufgabe auferlegt, einerseits den Schutz der Daten zu wahren und andererseits die Weiterverwendung im Einklang mit nationalen oder unionsrechtlichen Vorgaben zu ermöglichen.<ref>''Weiden'' in ''Paschke/Rücker,'' DGA Art 5 Rz 1.</ref>
+Den [[Data Governance Act (DGA)#Öffentliche Stellen|öffentlichen Stellen]] wird die Aufgabe auferlegt, einerseits den Schutz der Daten zu wahren und andererseits die Weiterverwendung im Einklang mit nationalen oder unionsrechtlichen Vorgaben zu ermöglichen.<ref>''Weiden'' in ''Paschke/Rücker,'' DGA Art 5 Rz 1.</ref>
-Zu diesem Zweck müssen die öffentlichen Stellen Bedingungen für die Weiterverwendung aufstellen (Art 5 Abs 1 DGA). Diese Bedingungen dürfen gem Art 5 Abs 2 DGA nicht diskriminierend sein, dh, zwischen Weiterverwendern darf nicht unsachlich unterschieden werden.<ref>''Europäische Kommission'', Praktischer Leitfaden zum Daten-Governance-Gesetz, 5.</ref> Weiters müssen sie transparent, verhältnismäßig und objektiv gerechtfertigt ausgestaltet sein und dürfen den Wettbewerb nicht behindern. Ein besonderer Fokus liegt auf der Förderung des Datenzugangs für kleine und mittlere Unternehmen (KMU)<ref>Empfehlung 2003/361/EG der Kommission vom 6. Mai 2003 betreffend die Definition der Kleinstunternehmen sowie der kleinen und mittleren Unternehmen (ABl L 2003/, 36).</ref> sowie Start-ups, um Innovation und wirtschaftliches Wachstum zu fördern (EG 2 DGA).
+Zu diesem Zweck müssen die öffentlichen Stellen Bedingungen für die Weiterverwendung aufstellen (Art 5 Abs 1 DGA). Diese Bedingungen dürfen gem Art 5 Abs 2 DGA nicht diskriminierend sein, dh, zwischen Weiterverwendern darf nicht unsachlich unterschieden werden.<ref>''Europäische Kommission'', Praktischer Leitfaden zum Daten-Governance-Gesetz, 5, https://ec.europa.eu/newsroom/dae/redirection/document/108539 (abgerufen am 24.1.2025).</ref> Weiters müssen sie transparent, verhältnismäßig und objektiv gerechtfertigt ausgestaltet sein und dürfen den Wettbewerb nicht behindern. Ein besonderer Fokus liegt auf der Förderung des Datenzugangs für kleine und mittlere Unternehmen (KMU)<ref>Empfehlung 2003/361/EG der Kommission vom 6.5.2003 betreffend die Definition der Kleinstunternehmen sowie der kleinen und mittleren Unternehmen, ABl L 2003/124, 36.</ref> sowie Start-ups, um Innovation und wirtschaftliches Wachstum zu fördern (ErwGr 2 DGA).
 Folgende '''Maßnahmen''' können die [[Data Governance Act (DGA)#Öffentliche Stellen|öffentlichen Stellen]] zum Schutz der Daten ergreifen:
@@ Zeile 181: / Zeile 176: @@
 ** personenbezogene Daten anonymisiert wurden,
 ** vertrauliche Geschäftsinformationen verändert, aggregiert oder aufbereitet wurden.
-* Der Zugang kann durch Fernzugriff oder in einer sicheren Verarbeitungsumgebung<ref>Damit gemeint ist eine von der öffentlichen Stelle kontrollierte IT-Umgebung, ''Europäische Kommission'', Praktischer Leitfaden zum Daten-Governance-Gesetz, 5 f.</ref> (zB in [[Data Act (DA)#Datenräume|Datenräumen]])<ref>''Europäische Kommission,'' Daten-Governance-Gesetz erläutert, https://digital-strategy.ec.europa.eu/de/policies/data-governance-act-explained.</ref> gewährt werden.
+* Der Zugang kann durch Fernzugriff oder in einer sicheren Verarbeitungsumgebung<ref>Damit gemeint ist eine von der öffentlichen Stelle kontrollierte IT-Umgebung, ''Europäische Kommission'', Praktischer Leitfaden zum Daten-Governance-Gesetz, 5 f, https://ec.europa.eu/newsroom/dae/redirection/document/108539 (abgerufen am 24.1.2025).</ref> (zB in [[Data Act (DA)#Datenräume|Datenräumen]])<ref>''Europäische Kommission,'' Daten-Governance-Gesetz erläutert, https://digital-strategy.ec.europa.eu/de/policies/data-governance-act-explained<nowiki/>(Stand 11.10.2024).</ref> gewährt werden.
 * Der Zugang kann innerhalb bestimmter Räumlichkeiten unter Einhaltung hoher Sicherheitsstandards erfolgen.
 Die Bedingungen sind von den öffentlichen Stellen den nationalen [[Data Governance Act (DGA)#Zentrale Informationsstellen|Zentralen Informationsstellen]] zur Verfügung zu stellen, über welche diese zugänglich gemacht werden.
-Es gilt grundsätzlich ein '''Verbot von Ausschließlichkeitsvereinbarungen.''' Nur in Ausnahmefällen kann bei allgemeinem Interesse eine [[Data Governance Act (DGA)#Öffentliche Stellen|öffentliche Stelle]] einem Unternehmen ein solches ausschließliches Recht unter sehr restriktiven Bedingungen gewähren (Art 4 DGA).<ref>Der Unionsgesetzgeber zeigt eine klare Tendenz, die Weiterverwendung von Daten im Besitz öffentlicher Stellen auf faire und offene Weise zu ermöglichen. So wurde auch im Rahmen der Neufassung der RL (EU) 2019/1024 des Europäischen Parlaments und des Rates vom 20. Juni 2019 über offene Daten und die Weiterverwendung von Informationen des öffentlichen Sektors (Open Data und PSI 2-RL) die Möglichkeit für Ausschließlichkeitsvereinbarungen eingeschränkt (Art 12 Open Data ud PSI 2-RL, EG 48, .</ref>
+Es gilt grundsätzlich ein '''Verbot von Ausschließlichkeitsvereinbarungen.''' Nur in Ausnahmefällen und unter sehr restriktiven Bedingungen kann bei allgemeinem Interesse eine [[Data Governance Act (DGA)#Öffentliche Stellen|öffentliche Stelle]] einem Unternehmen ein solches ausschließliches Recht gewähren (Art 4 DGA).<ref>Der Unionsgesetzgeber zeigt eine klare Tendenz, die Weiterverwendung von Daten im Besitz öffentlicher Stellen auf faire und offene Weise zu ermöglichen. So wurde auch im Rahmen der Neufassung der RL (EU) 2019/1024 des Europäischen Parlaments und des Rates vom 20.6.2019 über offene Daten und die Weiterverwendung von Informationen des öffentlichen Sektors (Open Data und PSI 2-RL), ABl L 2019/172, 56, die Möglichkeit für Ausschließlichkeitsvereinbarungen eingeschränkt (Art 12 Open Data und PSI 2-RL, EG 48).</ref>[[Datei:DGA Datenweiterverwendung.png|mini|Antrag auf Weiterverwendung geschützter Daten durch eine Forschungseinrichtung - Research Institute [https://creativecommons.org/licenses/by/4.0/deed.de CC BY 4.0]|189x189px]]
 ==== Antragsverfahren für die Weiterverwendung (Art 9 DGA) ====
-Auf Antrag entscheidet zunächst die zuständige öffentliche Stelle über die Weiterverwendung der Daten. Hierfür hat sie grundsätzlich zwei Monate Zeit.
+'''Bestandsliste:''' Alle verfügbaren Datenressourcen und einschlägigen Informationen sollen in einer öffentlichen nationalen '''Bestandsliste''' einsehbar sein. Diese wird von der zentralen Informationsstelle zur Verfügung gestellt. Das [https://data.europa.eu/data/datasets?superCatalogue=erpd&locale=de Europäische Register für geschützte Daten im Besitz des öffentlichen Sektors (ERPD)] bei der Kommission stellt darauf aufbauend ein durchsuchbares Register dieser Informationen bereit.
+'''Antrag''': Nach dem DZG-Entwurf ist vorgesehen, dass Anträge zur Weiterverwendung von Daten über [https://www.data.gv.at/ data.gv.at] eingebracht werden können.<ref>§ 4 Abs 4 DZG-Entwurf.</ref> Die Zentrale Informationsstelle veranlasst dann die Weiterleitung an die Zuständigen Stellen oder Öffentlichen Stellen, die den Antrag abwickeln. Die zuständige öffentliche Stelle hat grds zwei Monate Zeit, um über den Antrag zu entscheiden. Gegen die Entscheidung der öffentlichen Stelle besteht ein wirksamer Rechtsbehelfsanspruch jeder Person, die davon direkt betroffen ist.
+'''Gebühren''': Öffentliche Stellen können für die Genehmigung der Weiterverwendung angemessene Gebühren erheben, die die erforderlichen Kosten nicht übersteigen dürfen. Es sollen Anreize durch Gebührensenkungen oder -befreiungen für Forschung, nicht-kommerzielle Zwecke, KMU und Start-ups geschaffen werden.
+=== Internationaler Datentransfer (Art 5 und Art 31 DGA) ===
+Werden personenbezogene Daten in Drittländer übermittelt, so kommt Kapitel V der DSGVO zur Anwendung. Um das hohe Schutzniveau der EU auch bei der Übermittlung von nicht personenbezogenen Daten zu wahren, sieht der DGA gewisse Schutzmaßnahmen und Voraussetzungen vor.<ref>Der DA sieht [[Data Act (DA)#Internationaler Datentransfer (Kapitel VII)|ähnliche Bestimmungen]] vor.</ref> Einen Vergleich über die beiden Rechtsakte bietet die folgende Tabelle, aus der erkennbar ist, dass der Tatbestand des DGA enger gefasst ist:<ref>Zur Thematik siehe ausf ''Schreiber/Pommerening/Schoel'', Der neue Data Act<sup>2</sup> (2024) § 15 Rz 5 ff.</ref>
+{| class="wikitable"
+|+
+!
+!DSGVO
+!DGA
+|-
+|'''Transfer'''
+|rechtmäßige und unrechtmäßige Übertragungen und
+Zugriffe
+|unrechtmäßige internationale Datenübertragungen oder Zugriffe
+|-
+|'''Daten'''
+|personenbezogene Daten
+|nicht personenbezogene Daten
+|-
+|'''Zugang'''
+|durch jedermann
+|durch eine Regierungsorganisation
+|}
-Gegen die Entscheidung der öffentlichen Stelle besteht ein wirksamer Rechtsbehelfsanspruch jeder Person, die davon direkt betroffen ist. Die Ausgestaltung richtet sich nach nationalem Recht.
+Die Bestimmungen des DGA zum internationalen Datentransfer richten sich an sämtliche Akteure des DGA, dh sowohl an Anbieter von Datenvermittlungsdiensten, als auch an anerkannte datenaltruistische Organisationen, an öffentliche Stellen, sowie an natürliche oder juristische Personen, denen das Recht auf Weiterverwendung von Daten gewährt wurde.
-Öffentliche Stellen können für die Genehmigung der Weiterverwendung angemessene Gebühren erheben, die die erforderlichen Kosten nicht übersteigen dürfen, und sollten Anreize durch Gebührensenkungen oder -befreiungen für Forschung, nichtkommerzielle Zwecke, KMU und Start-ups schaffen.
+Weiterverwender müssen bereits mit ihrem [[Data Governance Act (DGA)#Antragsverfahren für die Weiterverwendung (Art 9 DGA)|Antrag auf Weiterverwendung]] die Absicht und den Zweck einer Datenübermittlung in ein Drittland offenlegen (Art 5 Abs 9 DGA). Analog zur DSGVO sieht der DGA für die Datenübermittlung durch Weiterverwender Instrumente wie '''Angemessenheitsbeschlüsse''' und '''Vertragsmuster''' vor. Diese ermöglichen eine standardisierte und rechtssichere Übermittlung von Daten in Drittländer.
-=== Datenvermittlungsdienste (Kap III) ===
+=== Datenvermittlungsdienste (Kapitel III) ===
-Datenvermittlungsdienste fungieren als neutrale Organisatoren für die Nutzung und Zusammenführung von Daten. Dabei zeichnen sie sich durch Neutralität und Transparenz aus. Es erfolgt keine Monetarisierung der Daten. Einzelpersonen und Unternehmen behalten die volle Kontrolle über ihre Daten.
+Datenvermittlungsdienste agieren als Vermittler für die Nutzung und Zusammenführung von Daten und unterliegen dabei strengen Anforderungen an Neutralität und Transparenz.
 ==== Anmeldung (Art 11 DGA) ====
-Die Tätigkeit kann erst aufgenommen werden, nachdem eine Anmeldung erfolgt ist.
+[[Datei:DE EU-Recognised Data Intermediary POSITIVE HORIZONTAL (RGB).jpg|mini|Geschütztes Logo für Datenvermittlungsdienste, die in der EU anerkannt sind - Europäische Kommission]]
+Die Tätigkeit als Datenvermittlungsdienst kann erst aufgenommen werden, nachdem eine Anmeldung durchgeführt wurde. Sämtliche Anbieter sind in einem [https://digital-strategy.ec.europa.eu/de/policies/data-intermediary-services Register der Kommission] abrufbar.
-Die Kommission führt ein aktuelles [https://digital-strategy.ec.europa.eu/de/policies/data-intermediary-services Register] aller angemeldeten Anbieter von Datenvermittlungsdiensten.
 ===== Behördenzuständigkeit =====
@@ Zeile 211: / Zeile 232: @@
 Folgende Informationen sind zwingend bei der Anmeldung zu übermitteln:
-* den Rechtsstatus, die Rechtsform, die Eigentümerstruktur, die relevanten Tochtergesellschaften und, sofern gegeben, die Registernummer,
+* der Rechtsstatus, die Rechtsform, die Eigentümerstruktur, die relevanten Tochtergesellschaften und, sofern gegeben, die Registernummer,
 * die Anschrift der Hauptniederlassung in der Union, falls zutreffend, und die Anschrift einer etwaigen Zweigniederlassung in einem anderen Mitgliedstaat oder des gesetzlichen Vertreters,
 * eine '''öffentliche Website''' mit vollständigen und aktuellen Informationen über den Anbieter und seine Tätigkeiten,
@@ Zeile 219: / Zeile 240: @@
 ==== Führen des Logos ====
-Die Kommission hat gemeinsame Logos für anerkannte Anbieter von Datenvermittlungsdiensten eingeführt. Diese Logos sollen es den Interessenträgern erleichtern, vertrauenswürdige Akteure im Datenmarkt der EU zu identifizieren. Anbieter, die die im DGA festgelegten Anforderungen erfüllen und sich für die Nutzung der Logos entscheiden, müssen diese gut sichtbar auf allen Veröffentlichungen anbringen. Die Logos sind durch eine Verordnung geregelt und als Marken geschützt.
+Die Kommission hat gemeinsame Logos für anerkannte Anbieter von Datenvermittlungsdiensten eingeführt.<ref name=":1">Die Logos wurden durch die Durchführungsverordnung (EU) 2023/1622 der Kommission vom 9. August 2023 über die Ausgestaltung gemeinsamer Logos für die in der Union anerkannten Anbieter von Datenvermittlungsdiensten und datenaltruistischen Organisationen, ABl L 2023/200, 1, angenommen und als Marken eingetragen.</ref> Diese Logos sollen es den Interessenträgern erleichtern, vertrauenswürdige Akteure im Datenmarkt der EU zu identifizieren. Anbieter, die die im DGA festgelegten Anforderungen erfüllen und sich für die Nutzung der Logos entscheiden, müssen diese gut sichtbar auf allen Veröffentlichungen anbringen. Die Logos sind durch eine Verordnung geregelt und als Marken geschützt.
-Das Logo kann von der [https://digital-strategy.ec.europa.eu/en/library/logos-data-intermediaries-and-data-altruism-organisations-recognised-union offiziellen Website] der Europäischen Union in diversen Formaten heruntergeladen werden.
+Das Logo kann von der [https://digital-strategy.ec.europa.eu/en/library/logos-data-intermediaries-and-data-altruism-organisations-recognised-union offiziellen Website] der Europäischen Kommission in diversen Formaten heruntergeladen werden.
 ==== Pflichten ====
 Die Erbringung von Datenvermittlungsdiensten setzt die Einhaltung folgender Bedingungen voraus (Art 12 DGA):
+{| class="wikitable"
-* '''Zweckbindungsgrundsatz:''' Die Daten dürfen ausschließlich zur Bereitstellung für Datennutzer verwendet werden.
+|+
-* '''Unahängigkeit''': Die Dienstleistung erfolgt über eine separate juristische Person.
+!Verpflichtung
-* '''Kopplungsverbot''': Kommerzielle Bedingungen werden nicht von der Nutzung weiterer Dienste desselben Anbieters abhängig gemacht.
+!Erklärung
-** Praxistipp: Das Verbot gilt nicht gegenüber Betroffenen. Anbieter können daher die Erbringung von Datenvermittlungsdiensten gegenüber Betroffenen davon abhängig machen, dass diese andere Dienstleistungen des Unternehmens in Anspruch nehmen.<ref>''Schumacher/Lück'' in ''Paschke/Rücker'' Art 12 Rz 11.</ref>
+!Praxishinweise/Synergien
-* '''Verwendung von Daten zur Dienstentwicklung''': Daten, die in Bezug auf Tätigkeiten einer Person zur Erbringung des Datenvermittlungsdienstes erhoben werden, wie Zeit- oder Standortangaben, werden nur zur Entwicklung des Dienstes verwendet.
+|-
-* '''Zurverfügungstellung der Daten''': Daten, die in Bezug auf Tätigkeiten einer Person zur Erbringung des Datenvermittlungsdienstes erhoben werden, können auf Anfrage den Dateninhabern zur Verfügung gestellt werden.
+|'''Zweckbindungsgrundsatz'''
-** Synergie mit der DSGVO: Natürliche Personen haben in Bezug auf ihre personenbezogenen Daten bereits aufgrund von Art 15 DSGVO Anspruch auf Auskunft über ihre Daten.<ref>''Schumacher/Lück'' in ''Paschke/Rücker'' Art 12 Rz 15.</ref>
+|Die Daten dürfen ausschließlich zur Bereitstellung für Datennutzer verwendet werden.
-* '''Datenformat und Umwandlung''': Die Daten werden im Originalformat bereitgestellt; Umwandlungen erfolgen nur zur Verbesserung der Interoperabilität oder auf Wunsch des Datennutzers.
+|Die Daten dürfen zB nicht für KI-gestützte Datenanalysen verwendet werden.<ref>''Straub/Bogenstahl'' in ''Gabriel/Wischmann'' (Hrsg) Die aktuelle EU-Gesetzgebung: Die Regulierung von Künstlicher Intelligenz und Datenwirtschaft (2024) 24.</ref>
-** Praxistipp: Lock-in-Effekte sind zu vermeiden.<ref>''Schumacher/Lück'' in ''Paschke/Rücker'' Art 12 Rz 17.</ref>
+|-
-* '''Zusätzliche Werkzeuge''': Zusätzliche Dienste und Werkzeuge zur Erleichterung des Datenaustauschs (zB Anonymisierung, vorübergehende Speicherung, Konvertierung) werden nur auf ausdrücklichen Antrag oder mit Zustimmung der betroffenen Personen oder des Dateninhabers angeboten.
+|'''Unabhängigkeit'''
-** Praxistipp: Auch '''konkludente''' Willenserklärungen, die auf Initiative des Datenmittlers hin erteilt werden, sind möglich.<ref>''Schumacher/Lück'' in ''Paschke/Rücker'' Art 12 Rz 25.</ref>
+|Der Dienst muss von einer getrennten juristischen Person erbracht werden.
-* '''Transparenz und Fairness''': Der Zugang zu den Datenvermittlungsdiensten ist fair, transparent und nichtdiskriminierend.<ref>Eine ähnliche Regelung enthält Art 8 Abs 1 Data Act, wonach Vereinbarungen über die Datenbereitstellung nur faire, angemessene und nichtdiskriminierende Bedingungen vorsehen dürfen (sog [[Data Act (DA)#Bedingungen zur Datenbereitstellung: FRAND-Grundsätze|FRAND-Bedingungen).]]</ref>
+|
-** Praxistipp: Transparenz kann durch Angaben auf der [[Data Governance Act (DGA)#Erforderliche Informationen|Website]], die nach Art 11 zwingend einzurichten ist, gewährleistet werden.<ref>''Schumacher/Lück'' in ''Paschke/Rücker'' Art 12 Rz 32.</ref>
+|-
-* '''Betrugs- und Missbrauchsprävention''': Der Anbieter verfügt über Verfahren, um betrügerische oder missbräuchliche Nutzung seiner Datenvermittlungsdienste zu verhindern.
+|'''Monetarisierungsverbot'''
-** Praxistipp: Anbieter sollten ein Compliance-System implementieren, das betrügerische oder missbräuchliche Nutzung identifiziert und gezielte Maßnahmen wie den Ausschluss von Nutzern ermöglicht, die gegen AGB oder gesetzliche Vorschriften verstoßen.<ref>Vgl EG 36 DGA.</ref>
+|Es darf keine Monetarisierung der Daten erfolgen.
-* '''Weiterführung bei Insolvenz''': Bei Insolvenz stellt der Anbieter die fortlaufende Datenbereitstellung sicher und ermöglicht den Zugang zu den Daten. Datenvermittlungsdienste nach [[Data Governance Act (DGA)#b) Vermittlungsdienste zwischen betroffenen und natürlichen Personen und Datennutzern|Art 10 lit b]] und [[Data Governance Act (DGA)#c) Dienste von Datengenossenschaften:|lit c]] müssen Betroffenen und Datennutzern die Ausübung von Rechten ermöglichen.
+|
-** Synergie mit Insolvenzrecht: Die Regelung kann in einem Spannungsverhältnis zum Insolvenzrecht stehen.<ref>''Schumacher/Lück'' in ''Paschke/Rücker'' Art 12 Rz 35.</ref>
+|-
-** Synergie mit der DSGVO: Betroffenenrechte nach der DSGVO stehen ohnehin unabhängig von einer etwaigen Insolvenz zu.<ref>''Schumacher/Lück'' in ''Paschke/Rücker'' Art 12 Rz 37.
+|'''Kopplungsverbot'''
+|Kommerzielle Bedingungen dürfen nicht von der Nutzung weiterer Dienste desselben Anbieters abhängig gemacht werden.
+|
+|-
+|'''Verwendung von Daten zur Dienstentwicklung'''
+|Daten, die in Bezug auf Tätigkeiten einer Person zur Erbringung des Datenvermittlungsdienstes erhoben werden, wie Zeit- oder Standortangaben, dürfen nur zur Entwicklung des Dienstes verwendet werden.
+|
+|-
+|'''Zurverfügungstellung der Daten'''
+|Daten, die in Bezug auf Tätigkeiten einer Person zur Erbringung des Datenvermittlungsdienstes erhoben werden, sind auf Anfrage den Dateninhabern zur Verfügung zu stellen.
+|Synergie mit der DSGVO: Natürliche Personen haben in Bezug auf ihre personenbezogenen Daten bereits aufgrund von Art 15 DSGVO Anspruch auf Auskunft über ihre Daten.<ref>''Schumacher/Lück'' in ''Paschke/Rücker'' Art 12 Rz 15.</ref>
+|-
+|'''Datenformat und Umwandlung'''
+|Die Daten müssen im Originalformat bereitgestellt werden; Umwandlungen erfolgen nur zur Verbesserung der Interoperabilität oder auf Wunsch des Datennutzers oder wenn das Unionsrecht dies vorschreibt oder wenn dies der Harmonisierung mit internationalen oder europäischen Datennormen dient. Betroffene Personen oder Dateninhaber haben die Möglichkeit, auf diese Umwandlungen zu verzichten („opt out“), sofern sie nicht durch das Unionsrecht vorgeschrieben sind.
+|Lock-in-Effekte sind zu vermeiden.<ref>''Schumacher/Lück'' in ''Paschke/Rücker'' Art 12 Rz 17.</ref>
+|-
+|'''Zusätzliche Werkzeuge'''
+|Zusätzliche Dienste und Werkzeuge zur Erleichterung des Datenaustauschs (zB Anonymisierung, Pseudonymisierung, vorübergehende Speicherung, Konvertierung) dürfen nur auf '''ausdrücklichen Antrag oder mit Zustimmung''' der betroffenen Personen oder des Dateninhabers angeboten werden.
+|Auch konkludente Willenserklärungen, die auf Initiative des Anbieters hin erteilt werden, sind wirksam.<ref>''Schumacher/Lück'' in ''Paschke/Rücker'' Art 12 Rz 25.</ref>
+|-
+|'''Transparenz und Fairness'''
+|Der Zugang zu den Datenvermittlungsdiensten muss fair, transparent und nichtdiskriminierend erfolgen.<ref>Eine ähnliche Regelung enthält Art 8 Abs 1 Data Act, wonach Vereinbarungen über die Datenbereitstellung nur faire, angemessene und nichtdiskriminierende Bedingungen vorsehen dürfen (sog [[Data Act (DA)#Bedingungen zur Datenbereitstellung: FRAND-Grundsätze|FRAND-Bedingungen).]]</ref>
+|Transparenz kann durch Angaben auf der [[Data Governance Act (DGA)#Erforderliche Informationen|Website]], die nach Art 11 DGA ohnehin zwingend einzurichten ist, gewährleistet werden.<ref>''Schumacher/Lück'' in ''Paschke/Rücker'' Art 12 Rz 32.</ref>
+|-
+|'''Betrugs- und Missbrauchsprävention'''
+|Der Anbieter muss über Verfahren verfügen, um betrügerische oder missbräuchliche Nutzung seiner Datenvermittlungsdienste zu verhindern.
+|Anbieter sollten ein Compliance-System implementieren, das betrügerische oder missbräuchliche Nutzung identifiziert und gezielte Maßnahmen ermöglicht, zB den Ausschluss von Nutzern, die gegen AGB oder gesetzliche Vorschriften verstoßen.<ref>Vgl ErwGr 36 DGA.</ref>
+|-
+|'''Weiterführung bei Insolvenz'''
+|Bei Insolvenz muss der Anbieter die fortlaufende Datenbereitstellung sicherstellen und den Zugang zu den Daten ermöglichen. Datenvermittlungsdienste nach [[Data Governance Act (DGA)#b) Vermittlungsdienste zwischen betroffenen und natürlichen Personen und Datennutzern|Art 10 lit b]] und [[Data Governance Act (DGA)#c) Dienste von Datengenossenschaften:|lit c]] müssen Betroffenen und Datennutzern die Ausübung von Rechten ermöglichen.
+|
+* Synergie mit Insolvenzrecht: Die Regelung kann in einem Spannungsverhältnis zum Insolvenzrecht stehen.<ref>''Schumacher/Lück'' in ''Paschke/Rücker'' Art 12 Rz 35.</ref>
+* Synergie mit der DSGVO: Betroffenenrechte nach der DSGVO stehen unabhängig von einer etwaigen Insolvenz zu.<ref>''Schumacher/Lück'' in ''Paschke/Rücker'' Art 12 Rz 37.
 </ref>
-* '''Interoperabilität''': Der Anbieter gewährleistet Interoperabilität mit anderen Datenvermittlungsdiensten.
+|-
-* '''Schutzmaßnahmen:''' Der Anbieter ergreift Maßnahmen, um rechtswidrige Datenübertragungen und den rechtwidrigen Zugang zu nicht personenbezogenen Daten zu verhindern.
+|'''Interoperabilität'''
-** Praxistipp: Als angemessene Maßnahmen zählen etwa die Verschlüsselung der Daten oder innerbetriebliche Vorgaben. Einschlägige technische Standards, Verhaltenskodizes und Zertifizierungen auf Unionsebene sind einzuhalten.<ref>EG 23 DGA.</ref>
+|Der Anbieter muss Interoperabilität mit anderen Datenvermittlungsdiensten gewährleisten.
-* '''Unterrichtung bei Datenmissbrauch''': Dateninhaber werden bei unbefugter Datenübertragung oder -nutzung unverzüglich informiert.
+|
-** Synergie mit der DSGVO: Nach Art 34 DSGVO sind im Falle eines Data Breaches betroffene Personen nur zu informieren, wenn ein '''hohes Risiko für die Rechte und Freiheiten''' natürlicher Personen besteht. Der DGA verpflichtet hingegen zu einer Information bei '''jeder Verletzung''' nicht personenbezogener Daten, die Risiken spielen keine Rolle.
+|-
-* '''Sicherheitsniveau''': Es werden Maßnahmen für einen '''angemessenen Schutz nicht personenbezogener Daten''' und den '''höchsten Schutz sensibler wettbewerbsrelevanter Informationen''' (wie Informationen über Kund*innen, Produktionskosten, Kapazitäten)<ref>Siehe EG 37 DGA.</ref> ergriffen.
+|'''Schutzmaßnahmen'''
-** Synergie mit der DSGVO: Art 32 DSGVO enthält eine entsprechende Verpflichtung in Bezug auf personenbezogene Daten: demnach sind geeignete technische und organisatorische Maßnahmen zu treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.
+|Der Anbieter muss Maßnahmen ergreifen, um rechtswidrige Datenübertragungen und den rechtwidrigen Zugang zu nicht personenbezogenen Daten zu verhindern.
-* '''Interessenwahrung für betroffene Personen''': [[Data Governance Act (DGA)#b) Vermittlungsdienste zwischen betroffenen und natürlichen Personen und Datennutzern|Anbieter, die für betroffene Personen tätig sind]], handeln im Interesse der Betroffenen und informieren sie vor Erteilung einer Einwilligung auf prägnante, transparente, verständliche und leicht zugängliche Weise über die beabsichtigte Datennutzung und die üblichen Geschäftsbedingungen für solche Nutzungen.
+|Als angemessene Maßnahmen zählen etwa die Verschlüsselung der Daten oder innerbetriebliche Vorgaben. Einschlägige technische Standards, Verhaltenskodizes und Zertifizierungen auf Unionsebene sind einzuhalten.<ref>ErwGr 23 DGA.</ref>
-* '''Werkzeuge zur Einholung von Einwilligungen, Widerrufsrecht und Informationen über Drittländer:''' Der Anbieter stellt Werkzeuge für die Einwilligungs- und Erlaubniserteilung, sowie zum Widerruf bereit und gibt ggf das Drittland, in dem die Datennutzung stattfinden soll, an.
+|-
-* '''Protokollierpflicht''': Der Anbieter führt ein Protokoll über seine Datenvermittlungstätigkeiten.
+|'''Unterrichtung bei Datenmissbrauch'''
-** Synergie mit der DSGVO: Werden personenbezogene Daten verarbeitet, so bestehen bei der Protokollierpflicht Überschneidungen mit Art 30 Abs 1 DSGVO, der die Pflicht zur Führung eines Verarbeitungsverzeichnisses vorsieht.<ref>''Schumacher/Lück'' in ''Paschke/Rücker'' Art 12 Rz 67.</ref>
+|Dateninhaber müssen bei unbefugter Datenübertragung oder -nutzung unverzüglich informiert werden.
+|Synergie mit der DSGVO: Nach Art 34 DSGVO sind im Falle eines Data Breaches betroffene Personen zu informieren, wenn ein '''hohes Risiko für die Rechte und Freiheiten''' natürlicher Personen besteht. Der DGA verpflichtet hingegen zu einer Information bei '''jeder Verletzung''' nicht personenbezogener Daten, die Risiken spielen keine Rolle.
+|-
+|'''Sicherheitsniveau'''
+|Es bedarf Maßnahmen für einen '''angemessenen Schutz nicht personenbezogener Daten''' und den '''höchsten Schutz sensibler wettbewerbsrelevanter Informationen''' (wie Informationen über Kund*innen, Produktionskosten, Kapazitäten).<ref>Siehe ErwGr 37 DGA.</ref>
+|Synergie mit der DSGVO: Art 32 DSGVO enthält eine entsprechende Verpflichtung in Bezug auf personenbezogene Daten: demnach sind geeignete technische und organisatorische Maßnahmen zu treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.
+|-
+|'''Interessenwahrung für betroffene Personen'''
+|[[Data Governance Act (DGA)#b) Vermittlungsdienste zwischen betroffenen und natürlichen Personen und Datennutzern|Anbieter, die für betroffene Personen tätig sind]], müssen im Interesse der Betroffenen handeln und sie vor Erteilung einer Einwilligung auf prägnante, transparente, verständliche und leicht zugängliche Weise über die beabsichtigte Datennutzung und die üblichen Geschäftsbedingungen für solche Nutzungen informieren.
+|
+|-
+|'''Werkzeuge zur Einholung von Einwilligungen, Widerrufsrecht und Informationen über Drittländer'''
+|Der Anbieter muss Werkzeuge für die Einwilligungs- und Erlaubniserteilung, sowie zum Widerruf bereitstellen und ggf das Drittland anführen, in dem die Datennutzung stattfinden soll.
+|
+|-
+|'''Protokollierungspflicht'''
+|Der Anbieter muss ein Protokoll über seine Datenvermittlungstätigkeiten führen.
+|Synergie mit der DSGVO: Werden personenbezogene Daten verarbeitet, so bestehen bei der Protokollierungspflicht Überschneidungen mit Art 30 Abs 1 DSGVO, der die Pflicht zur Führung eines Verarbeitungsverzeichnisses vorsieht.<ref>''Schumacher/Lück'' in ''Paschke/Rücker'' Art 12 Rz 67.</ref>
+|}
-=== Datenaltruistische Organisationen (Kap IV) ===
+=== Datenaltruistische Organisationen (Kapitel IV) ===
-Datenaltruismus stellt ein innovatives Konzept in der europäischen Datenstrategie dar. Es ermöglicht die freiwillige gemeinsame Nutzung von Daten für Ziele von allgemeinem Interesse, ohne dass dafür ein Entgelt fließt. Grundlage ist die Einwilligung der betroffenen Personen oder die Erlaubnis der Dateninhaber. Die Ziele, die damit verfolgt werden, sind vielfältig und im nationalen Recht verankert - sie reichen von der Verbesserung der Gesundheitsversorgung über die Bekämpfung des Klimawandels bis hin zur wissenschaftlichen Forschung im allgemeinen Interesse. Daten können direkt bei natürlichen oder juristischen Personen gesammelt oder von Dritten, einschließlich öffentlicher Stellen, erhoben und weiterverarbeitet werden. Um den Prozess zu vereinfachen und zu harmonisieren, wurde ein europäisches Einwilligungsformular für Datenaltruismus eingeführt. Dieses Instrument fördert die transparente und ethische Nutzung von Daten für gesellschaftlich relevante Zwecke und stärkt gleichzeitig das Vertrauen der Bürgerinnen und Bürger in den Datenaustausch.
+Datenaltruismus stellt ein neues Konzept der europäischen Datenstrategie dar. Es ermöglicht die freiwillige gemeinsame Nutzung von Daten für Ziele von allgemeinem Interesse. Grundlage ist die Einwilligung der betroffenen Personen oder die Erlaubnis der Dateninhaber. Die Ziele, die damit verfolgt werden, sind vielfältig und im nationalen Recht verankert - sie reichen von der Verbesserung der Gesundheitsversorgung über die Bekämpfung des Klimawandels bis hin zur wissenschaftlichen Forschung im allgemeinen Interesse. Daten können direkt bei natürlichen oder juristischen Personen gesammelt oder von Dritten, einschließlich öffentlicher Stellen, erhoben und weiterverarbeitet werden. Um den Prozess zu vereinfachen und zu harmonisieren, wurde ein europäisches Einwilligungsformular für Datenaltruismus eingeführt. Dieses Instrument fördert die transparente und ethische Nutzung von Daten für gesellschaftlich relevante Zwecke und stärkt gleichzeitig das Vertrauen in den Datenaustausch.
-==== Eintragung ====
+==== Eintragungsvoraussetzungen ====
+[[Datei:EU-Recognised Data Altruism POSITIVE HORIZONTAL (RGB).jpg|mini|Geschütztes Logo für datenaltruistische Organisationen, die in der EU anerkannt sind - Europäische Kommission]]
 Folgende Voraussetzungen müssen erfüllt sein, damit eine Organisation eingetragen werden kann:
@@ Zeile 269: / Zeile 341: @@
 * selbst '''ohne Erwerbszweck''' tätig sein und rechtlich unabhängig von jeder Organisation, die Erwerbszwecke verfolgt, handeln;
 * die Datenaltruismus-Tätigkeiten über eine Struktur ausüben, die von ihren anderen Tätigkeiten '''funktionell getrennt''' ist;
-* dem Regelwerk gem Art 22 Abs 1 DGA entsprechen.
+* dem "Regelwerk" gem Art 22 Abs 1 DGA entsprechen, das von der Kommission zu erlassen ist.
+===== Antragstellung =====
+Die Einrichtung kann dann einen Antrag auf Eintragung in das nationale öffentliche Register der anerkannten datenaltruistischen Organisationen stellen. Dafür sind die folgenden Informationen zu übermitteln:
+* Name, Rechtsstatus, Rechtsform und ggf. Registernummer der Einrichtung;
+* Satzung, Einnahmequellen und Adressen der Haupt- und Zweigniederlassungen oder der gesetzlichen Vertretung;
+* öffentliche Website mit aktuellen Informationen über die Einrichtung und ihre Tätigkeiten;
+* Kontaktpersonen und -angaben;
+* Ziele von allgemeinem Interesse, die mit der Erhebung der Daten gefördert werden sollen;
+* Art der zu verarbeitenden Daten (einschließlich Kategorien personenbezogener Daten);
+* Nachweise zur Erfüllung der Eintragungsvoraussetzungen.
+Die für die Registrierung zuständige Behörde teilt die Registrierung der Kommission mit, welche diese in das öffentliche [https://digital-strategy.ec.europa.eu/de/policies/data-altruism-organisations Unionsregister der anerkannten datenaltruistischen Organisationen] aufnimmt.
+===== Behördenzuständigkeit =====
+* '''Einrichtung mit Niederlassung in der EU''': Zuständig ist die Behörde in dem Mitgliedstaat, in dem die Organisation ihre Hauptniederlassung hat.
+* '''Einrichtung ohne Niederlassung in der EU''': Hat eine Einrichtung keine Niederlassung in der EU, bietet ihre Dienste aber in einem oder mehreren Mitgliedstaaten an, so ist eine '''gesetzliche Vertretung''' in einem dieser Mitgliedstaaten zu benennen. Zuständig ist dann der Mitgliedstaat, in dem sich die gesetzliche Vertretung befindet.
-==== Führen des Logos ====
+===== Führen des Logos =====
-Anerkannte datenaltruistische Organisationen können das entsprechende Logo der Europäischen Kommission. Zusätzlich muss ein QR-Code zum öffentlichen EU-Register beigefügt werden. Diese Maßnahme soll Transparenz und Vertrauen auf dem Datenmarkt stärken.
+Anerkannte datenaltruistische Organisationen können das entsprechende Logo der Europäischen Kommission verwenden.<ref name=":1" /> Zusätzlich muss ein QR-Code zum öffentlichen EU-Register beigefügt werden. Diese Maßnahme soll Transparenz und Vertrauen auf dem Datenmarkt stärken.
-==== Pflichten ====
+==== Transparenzanforderungen ====
+Anerkannte datenaltruistische Organisationen müssen vollständige Aufzeichnungen über Folgendes führen:
-Einheitliches europäisches elektronisches Einwilligungsformular (Art 25 DGA)
+* Datenzugriffsberechtigte,
+* Verarbeitungszwecke,
+* Zeiträume der Datenverarbeitung,
+* Gebühren
-=== Datenweitergabe in Drittländer ===
+Außerdem müssen sie jährliche Tätigkeitsberichte führen, die Folgendes transparent dokumentieren:
-Um das hohe Schutzniveau der EU auch bei der Übermittlung von nicht personenbezogenen Daten an Drittländer zu wahren, wurden spezifische Garantien entwickelt. Diese verpflichten den Weiterverwender im Drittland, ein dem EU-Recht äquivalentes Schutzniveau für die betreffenden Daten sicherzustellen. Zudem muss er die Gerichtsbarkeit der EU in relevanten Fällen akzeptieren. Analog zur DSGVO sieht der Rechtsrahmen Instrumente wie '''Angemessenheitsbeschlüsse''' und '''Mustervertragsklauseln''' vor. Diese ermöglichen eine standardisierte und rechtssichere Übermittlung von Daten in Drittländer. Angemessenheitsbeschlüsse attestieren einem Drittland ein angemessenes Schutzniveau, während Mustervertragsklauseln vertragliche Garantien zwischen Datenexporteur und -importeur festlegen.
-=== Zentrale Informationsstellen ===
+* ihre Aktivitäten,
-Die Mitgliedstaaten richten zentrale Informationsstellen ein, die potentiellen Datennutzer*innen Informationen darüber zur Verfügung stellen, welche Daten von welchen Behörden gespeichert werden.
+* Einnahmen und Ausgaben,
+* die Förderung von Zwecken von allgemeinem Interesse,
+* Beschreibung der technischen Mittel,
+* Ergebnisse der Datenverarbeitung.
-Das [https://data.europa.eu/data/datasets?superCatalogue=erpd&locale=de Europäische Register für geschützte Daten im Besitz des öffentlichen Sektors (ERPD)] bei der Kommission stellt darauf aufbauend ein durchsuchbares Register dieser Informationen bereit. Damit wird gewährleistet, dass die Weiterverwendung von Daten im Binnenmarkt und darüber hinaus erleichtert wird.
+==== Schutz der Rechte und Interessen Betroffener und Dateninhaber bei der Datenverarbeitung ====
+Anerkannte datenaltruistische Organisationen müssen betroffene Personen und Dateninhaber ua klar über die Zwecke der Datenverarbeitung informieren. Sie sind verpflichtet, die Einwilligung der Betroffenen einzuholen und einfache Möglichkeiten zum Widerruf dieser Einwilligung bereitzustellen. Außerdem müssen sie ein hohes Sicherheitsniveau für die Datenverarbeitung gewährleisten. Bei Datenschutzverletzungen sind die Betroffenen unverzüglich zu informieren. Die Nutzung der Daten darf ausschließlich für die Ziele von allgemeinem Interesse erfolgen.
-=== Europäischer Dateninnovationsrat (EDIB, Kap VI) ===
+===== Einwilligungsformular =====
-Der Europäische Dateninnovationsrat<ref>https://ec.europa.eu/transparency/expert-groups-register/screen/expert-groups/consult?lang=en&groupID=3903. Eine eigene Website gibt es offenbar (noch) nicht. </ref> spielt eine zentrale Rolle bei der Gestaltung der europäischen Datenwirtschaft. Seine Hauptaufgaben umfassen den Austausch bewährter Praktiken, insbesondere im Bereich der Datenvermittlung, des Datenaltruismus und der Nutzung nicht-offener öffentlicher Daten. Dabei liegt ein besonderer Fokus auf der Förderung sektorübergreifender Interoperabilitätsstandards. In seiner beratenden Funktion tauscht der EDIB Informationen aus und bietet Expertise zu datenrelevanten Themen. Zudem besitzt er die Befugnis, Leitlinien für gemeinsame europäische Datenräume vorzuschlagen. Dies schließt Empfehlungen zum angemessenen Schutz von Datenübermittlungen außerhalb der Union ein, was angesichts der globalen Datenströme von großer Bedeutung ist. Durch diese vielfältigen Aufgaben trägt der EDIB maßgeblich dazu bei, ein kohärentes und innovationsfreundliches Datenökosystem in Europa zu schaffen. (EG 53 f)
+Um die Datenerhebung zu erleichtern und sicherzustellen, dass betroffene Personen ihre Einwilligung gem der DSGVO erteilen und widerrufen können, wird ein europäisches Einwilligungsformular entwickelt.<ref>Art 25 DGA.</ref> Dieses wird modular aufgebaut, sowie sektor- und zweckbezogen anpassbar sein.
-==== Zusammensetzung (Art 29 Abs 1 DGA) ====
+=== Europäischer Dateninnovationsrat (EDIB, Kapitel VI) ===
+[[Datei:Overview of the legislative initiative for the governance of data spaces.png|mini|453x453px|Übersicht Europäischer Dateninnovationsrat - Europäische Kommission.<ref>''Europäische Kommission'', Commission Staff Working Document, Impact Assessment Report Accompanying the document Proposal for a Regulation of the European Parliament and of the Council on European data governance (Data Governance Act), Brüssel, 25.11.2020, SWD(2020) 295 final, 53.</ref>]]Der Europäische Dateninnovationsrat<ref>https://ec.europa.eu/transparency/expert-groups-register/screen/expert-groups/consult?lang=en&groupID=3903 (abgerufen am 24.1.2025). Eine eigene Website gibt es offenbar (noch) nicht. </ref> spielt eine zentrale Rolle bei der Gestaltung der europäischen Datenwirtschaft. Seine Hauptaufgaben umfassen den Austausch bewährter Praktiken, insbesondere im Bereich der Datenvermittlung, des Datenaltruismus und der Nutzung nicht-offener öffentlicher Daten. Dabei liegt ein besonderer Fokus auf der Förderung sektorübergreifender Interoperabilitätsstandards. In seiner beratenden Funktion tauscht der EDIB Informationen aus und bietet Expertise zu datenrelevanten Themen. Zudem besitzt er die Befugnis, Leitlinien für gemeinsame europäische Datenräume vorzuschlagen. Dies schließt Empfehlungen zum angemessenen Schutz von Datenübermittlungen außerhalb der Union ein (ErwGr 53 f).
+==== Zusammensetzung ====
-* Vertreter*innen der für Datenvermittlungsdienste zuständigen nationalen Behörden,<ref>Eine Liste der zuständigen Stellen und Behörden sämtlicher Mitgliedstaaten ist auf der Website der Europäischen Kommission abrufbar und wird laufend aktualisiert, https://digital-strategy.ec.europa.eu/de/library/national-competent-bodies-and-authorities-under-data-governance-act</ref>
+* Vertreter*innen der für Datenvermittlungsdienste zuständigen nationalen Behörden,<ref name=":2">Eine Liste der zuständigen Stellen und Behörden sämtlicher Mitgliedstaaten ist auf der Website der Europäischen Kommission abrufbar und wird laufend aktualisiert, https://digital-strategy.ec.europa.eu/de/library/national-competent-bodies-and-authorities-under-data-governance-act (Stand 17.7.2024).</ref>
-* Vertreter*innen der für die Registrierung von datenaltruistischen Organisationen zuständigen nationalen Behörden,<ref>Eine Liste der zuständigen Stellen und Behörden sämtlicher Mitgliedstaaten ist auf der Website der Europäischen Kommission abrufbar und wird laufend aktualisiert, https://digital-strategy.ec.europa.eu/de/library/national-competent-bodies-and-authorities-under-data-governance-act</ref>
+* Vertreter*innen der für die Registrierung von datenaltruistischen Organisationen zuständigen nationalen Behörden,<ref name=":2" />
 * Vertreter*innen des [https://www.edpb.europa.eu/edpb_de Europäischen Datenschutzausschusses],
 * Vertreter*innen des [https://www.edps.europa.eu/_de Europäischen Datenschutzbeauftragten],
@@ Zeile 301: / Zeile 399: @@
 Die Expert*innengruppe wird in thematische Untergruppen untergliedert (Art 29 Abs 2 DGA).
-==== Aufgaben (Art 30 DGA) ====
+==== Aufgaben ====
 In Art 30 lit a bis m DGA werden 13 Aufgaben des Dateninnovationsrates genannt. Diese lassen sich folgendermaßen zusammenfassen:<ref>''Keppeler/Poncza'' in ''Paschke/Rücker'', Data Governance Act (2024) Art 30 Rz 4 ff.</ref>
@@ Zeile 309: / Zeile 407: @@
 * Unterbreitung von Leitlinien zu gemeinsamen europäischen Datenräumen (Art 30 lit h),
 * Erleichterung der Zusammenarbeit zwischen den Mitgliedstaaten und zwischen den nationalen Behörden (Art 30 lit i und j),
-* Prüfung des Erlasses von Durchführungsrechtsakten gem Art 5 Abs 11 (Mustervertrtagsklauseln) und 12 DGA (Anerkennung eines angemessenen Schutzniveaus in Drittstaaten) (Art 30 lit k),
+* Prüfung des Erlasses von Durchführungsrechtsakten gem Art 5 Abs 11 (Mustervertragsklauseln) und 12 DGA (Anerkennung eines angemessenen Schutzniveaus in Drittstaaten) (Art 30 lit k),
 * Entwicklung eines europäischen Einwilligungsformulars für Datenaltruismus gem Art 25 Abs 1 (Art 30 lit l),
 * Verbesserung des internationalen Regelungsumfelds, einschließlich der Normung (Art 30 lit m).
@@ Zeile 315: / Zeile 413: @@
 == Fallbeispiele ==
-Exemplarisch lassen sich einige Plattformen nennen:
 === Daten-Vermittlungsdienste ===
-* Die Deutsche Telekom bietet mit dem [https://dih.telekom.com/de Data Intelligence Hub] eine Plattform an, auf der Unternehmen Informationen, wie Produktionsdaten, verwalten, bereitstellen und verwerten können.
+* Die Deutsche Telekom bietet mit dem [https://dih.telekom.com/de Data Intelligence Hub] eine Plattform, auf der Unternehmen Informationen, wie Produktionsdaten, verwalten, bereitstellen und verwerten können.
 * [https://agdatahub.eu/en/entreprise/ Agdatahub] bietet basierend auf der [https://www.dawex.com/de/data-exchange-platform/ Dawex-Technologie] eine Plattform für landwirtschaftliche Daten. Sie ermöglicht den Datenaustausch in der Agrarbranche.
 === Organisationen für Datenaltruismus ===
-* Die [https://smartcitizen.me/ Smart Citizen-Plattform] ermöglicht es Bürger*innen, Daten über Lärm und Luftverschmutzung in ihrer Umgebung zu teilen, die sie mit Sensoren erfassen. Behörden oder Wissenschafter*innen können diese Daten dann nutzen, um Lösungen zu entwickeln.
+* Die [https://smartcitizen.me/ Smart Citizen-Plattform] ermöglicht es Privatpersonen, Daten über Lärm und Luftverschmutzung in ihrer Umgebung zu teilen, die sie mit Sensoren erfassen. Behörden oder Wissenschafter*innen können diese Daten in der Folge nutzen, um darauf basierend passende Lösungen zu entwickeln.
 * Die deutsche [https://corona-datenspende.github.io/ Corona-Datenspende-App] sammelte Daten wie Herzfrequenz, Körpertemperatur, Blutdruck und Schlafmuster, die freiwillig von Nutzenden von Fitness-Armbändern und Smartwatches übermittelt wurden. Diese Daten wurden Wissenschafter*innen zur Verfügung gestellt, um Corona-Hotspots rascher zu erkennen.
+=== Auswirkungen des DGA auf Forschungsprojekte ===
+Der DGA soll den Zugang zu Daten der öffentlichen Verwaltung für Forschungseinrichtungen erleichtern. Durch zentrale Informationsstellen und Bestandslisten wird das Auffinden relevanter Datenquellen vereinfacht. Die Förderung datenaltruistischer Organisationen könnte gemeinwohlorientierten Datenplattformen den Zugang zu neuen Datenquellen eröffnen. Agieren Forschungseinrichtungen selbst als Anbieter von Datenvermittlungsdiensten, dürfen sie die über die Plattform bereitgestellten Daten nicht monetarisieren. Dies kann die Möglichkeiten zur Entwicklung nachhaltiger Geschäftsmodelle nach Abschluss eines Projekts begrenzen.<ref>''Straub/Bogenstahl'' in ''Gabriel/Wischmann'' (Hrsg) Die aktuelle EU-Gesetzgebung: Die Regulierung von Künstlicher Intelligenz und Datenwirtschaft (2024) 26 ff.</ref>
 == Synergien ==
-Der DGA umfasst '''sektorenübergreifende Regelungen''' über den Datenaustausch und grundlegende Anforderungen an die Daten-Governance (EG 3 DGA).
-Zum komplexen Verhältnis zu anderen Vorschriften enthält der DGA selbst einige Regelungen.
 === DSGVO ===
-Der DGA gilt für [[Data Governance Act (DGA)#Weiterverwendung geschützter Daten (Kap II)|geschützte Daten]], worunter sowohl personenbezogene, als auch nicht personenbezogene Daten fallen können. Werden '''personenbezogene Daten''' verarbeitet, so kommen die Regeln der [https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32016R0679&qid=1727782610873 '''DSGVO''']<ref>VO (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG, ABl L 2016/119, 1 (Datenschutz-Grundverordnung).</ref> und des [https://ris.bka.gv.at/GeltendeFassung.wxe?Abfrage=Bundesnormen&Gesetzesnummer=10001597 Datenschutzgesetzes]<ref>Bundesgesetz zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten (Datenschutzgesetz – DSG), BGBl I 1999/165 idF BGBl I 2024/70.</ref> '''vorrangig''' zur Anwendung (EG 4, Art 1 Abs 3 DGA).<ref>Siehe dazu im Detail ''Brink/v. Ungern-Sternberg'' in ''Wolff/Brink/v. Ungern-Sternberg,'' BeckOK Datenschutzrecht<sup>49</sup> Art 1 DGA Rz 52 ff.</ref> Zu beachten ist, dass der DGA keine eigene Rechtsgrundlage für die Verarbeitung personenbezogener Daten schafft.
+Der DGA gilt für [[Data Governance Act (DGA)#Weiterverwendung geschützter Daten (Kap II)|geschützte Daten]], worunter sowohl personenbezogene, als auch nicht personenbezogene Daten fallen können. Werden '''personenbezogene Daten''' verarbeitet, so kommen die Regeln der [https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32016R0679&qid=1727782610873 '''DSGVO''']<ref>VO (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl L 2016/119, 1. </ref> und des [https://ris.bka.gv.at/GeltendeFassung.wxe?Abfrage=Bundesnormen&Gesetzesnummer=10001597 Datenschutzgesetzes]<ref>Bundesgesetz zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten (Datenschutzgesetz – DSG), BGBl I 1999/165 idF BGBl I 2024/70.</ref> '''im Falle eines Konflikts ausdrücklich vorrangig''' zur Anwendung (ErwGr 4, Art 1 Abs 3 DGA).<ref>Siehe dazu im Detail ''Brink/Ungern-Sternberg'' in ''Wolff/Brink/Ungern-Sternberg,'' BeckOK Datenschutzrecht<sup>49</sup> Art 1 DGA Rz 52 ff.</ref> Zu beachten ist, dass der DGA gerade keine eigene Rechtsgrundlage für die Verarbeitung personenbezogener Daten schafft.
-Auch die Datenschutzverordnung für die Stellen der EU (VO (EU) 2018/1725), die ePrivacy-RL (RL 2002/58/EG) sowie die JI-RL (RL (EU) 2016/680) lässt der DGA ausdrücklich unberührt (Art 1 Abs 3 DGA).
+Auch die Datenschutzverordnung für die Stellen der EU (VO 2018/1725), die ePrivacy-RL (RL 2002/58/EG) sowie [[Data Governance Act (DGA)#Strafverfahren|die JI-RL]] (RL 2016/680) lässt der DGA "unbeschadet" (Art 1 Abs 3 DGA).
-Es ist zu befürchten, dass das unklare Verhältnis zwischen Datenschutzrecht und DGA zu einer eher zurückhaltenden Anwendung des DGA führen könnte. Auch werde dadurch kein Anreiz geschaffen, sich als datenaltruistische Organisation zu engagieren.<ref>''Schreiber/Pommerening/Schoel'', Der neue Data Act mit Data Governance Act<sup>2</sup> (2024) § 10 Rz 10, 14.</ref>
+Es ist zu befürchten, dass das unklare Verhältnis zwischen Datenschutzrecht und DGA zu einer eher zurückhaltenden Anwendung des DGA führen könnte. Auch wird dadurch uU nicht der erwünschte Anreiz geschaffen, sich als datenaltruistische Organisation zu engagieren.<ref>''Schreiber/Pommerening/Schoel'', Der neue Data Act mit Data Governance Act<sup>2</sup> (2024) § 10 Rz 10, 14.</ref>
 ==== Datenschutzrechtliche Rollenverteilung ====
-Der DGA enthält keine ausdrückliche Regelung zur Rollenverteilung zwischen der öffentlichen Stelle, die eine Weiterverwendung personenbezogener (nicht anonymisierte) Daten ermöglicht, und dem Datennutzer. Es wird vertreten, dass diese als '''gemeinsam Verantwortliche''' iSv Art 26 DSGVO anzusehen sind und konsequenterweise eine entsprechende Vereinbarung zur gemeinsamen Verantwortlichkeit abzuschließen haben.<ref>''Der Bayerische Landesbeauftragte für den Datenschutz'', Daten-Governance-Rechtsakt - Auf dem Weg zu einem europäischen Binnenmarkt für Daten - Orientierungshilfe, https://www.datenschutz-bayern.de/infothek/OH_DGA.pdf (Stand 1.5.2024) Rz 53.</ref>
+Der DGA enthält keine ausdrückliche Regelung zur [[Data Act (DA)#Exkurs: Rollendefinitionen nach der DSGVO|datenschutzrechtlichen Rollenverteilung]].
+Im DZG-Entwurf werden in Bezug auf die Wahrnehmung ihrer Befugnisse und Aufgaben nach dem DGA als datenschutzrechtlich Verantwortliche Art 4 Z 7 DSGVO genannt:<ref>§ 6 Abs 1 DZG-E.</ref> [[Data Governance Act (DGA)#Kontroll- und Aufsichtsbehörden|Die zuständige Behörde, die zentrale Informationsstelle und Zuständige Stellen.]] Es wird mitunter vertreten, dass die öffentliche Stelle, die eine Weiterverwendung personenbezogener (nicht anonymisierter) Daten ermöglicht, und der Datennutzer als '''gemeinsam Verantwortliche''' iSv Art 26 DSGVO anzusehen sind und konsequenterweise eine [[Data Act (DA)#Pflichten gemeinsam Verantwortlicher|entsprechende Vereinbarung]] zur gemeinsamen Verantwortlichkeit abzuschließen haben.<ref>''Der Bayerische Landesbeauftragte für den Datenschutz'', Daten-Governance-Rechtsakt - Auf dem Weg zu einem europäischen Binnenmarkt für Daten - Orientierungshilfe, Rz 53, https://www.datenschutz-bayern.de/infothek/OH_DGA.pdf (Stand 1.5.2024). </ref>
+Datenaltruistische Organisationen werden als Verantwortliche einzuordnen sein.
-Datenaltruistische Organisationen: Organisation ist Verantwortlicher iSd Art 4 Z 7 DSGVO.
+=== Strafverfahren ===
+Der normierte Vorrang datenschutzrechtlicher Bestimmungen erstreckt sich auch auf die Bestimmungen der RL (EU) 2016/680<ref>RL (EU) 2016/680 des Europäischen Parlaments und des Rates vom 27.4.2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates, ABl L 2016/119, 89.</ref>, die den Schutz personenbezogener Daten bei der Verarbeitung durch Strafverfolgungsbehörden regelt. Diese RL wurde in Österreich in der Strafprozessordnung (StPO)<ref>Strafprozeßordnung 1975 (StPO), BGBl 1975/631 idF BGBl I 2024/157.</ref> umgesetzt. Der DGA sollte keine Auswirkungen auf diesen Bereich haben, da die StPO aufgrund des Anwendungsvorrangs weiterhin maßgeblich ist. Konkret erfolgt die Verarbeitung iRd Übermittlung personenbezogener Daten aus einem Strafverfahren ausschließlich nach § 76 Abs 4 StPO und bleibt vom DGA unberührt.<ref name=":0">Siehe Stellungnahme des Bundesministeriums für Justiz zum DZG-E, 15/SN-352/ME 28. GP, 2.</ref> Daten der Gerichtsbarkeit, einschließlich staatsanwaltschaftlicher Daten, dürften gar vom Anwendungsbereich des DGA ausgeschlossen sein.<ref name=":0" />
 === Sektorspezifische Datenräume ===
@@ Zeile 347: / Zeile 448: @@
 === Open Data-Regulierung ===
-[[Datei:Verhältnis Anwendungsbereich DGA und IWG.jpg|mini|Daten im öffentlichen Sektor]]
+[[Datei:Verhältnis Anwendungsbereich DGA und IWG.jpg|mini|Daten im öffentlichen Sektor - Research Institute [https://creativecommons.org/licenses/by/4.0/deed.de CC BY 4.0]|208x208px]]
-Die [https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32019L1024 Open Data und PSI 2-RL]<ref>RL (EU) 2019/1024 des Europäischen Parlaments und des Rates vom 20. Juni 2019 über offene Daten und die Weiterverwendung von Informationen des öffentlichen Sektors, ABl L 2019/172, 56 (PSI-2-RL).</ref> regelt die Weiterverwendung nicht geschützter Daten, dh öffentlich zugänglicher Informationen (Open Data), die sich im Besitz des öffentlichen Sektors befinden (EG 8 Open Data und PSI 2-RL). Sie zielt darauf ab, den Wert öffentlicher Daten für Wirtschaft und Gesellschaft zu erhöhen, indem sie deren breite Zugänglichkeit und faire Nutzungsbedingungen fördert. Kernpunkte sind die kostenlose oder kostengünstige Bereitstellung von Daten, insbesondere für KMU und Start-ups, sowie die Einbeziehung von Daten öffentlicher Unternehmen und aus der Forschung. Die Richtlinie soll Innovation fördern, gesellschaftliche Herausforderungen adressieren und die Entwicklung neuer Technologien wie KI unterstützen. Die RL über offene Daten wurde in Österreich durch das Informationsweiterverwendungsgesetz 2022 (IWG 2022)<ref>Bundesgesetz über die Weiterverwendung von Informationen öffentlicher Stellen, öffentlicher Unternehmen und von Forschungsdaten, BGBl I 2022/116.</ref> umgesetzt.
+Die Open Data und PSI 2-RL<ref>RL (EU) 2019/1024 des Europäischen Parlaments und des Rates vom 20.6.2019 über offene Daten und die Weiterverwendung von Informationen des öffentlichen Sektors (Open Data und PSI 2-RL), ABl L 2019/172, 56.</ref> regelt die Weiterverwendung von nicht geschützten, öffentlich zugänglichen Informationen (sog Open Data), die sich im Besitz öffentlicher Stellen befinden (EG 8 Open Data und PSI 2-RL). Ziel ist es, den gesellschaftlichen und wirtschaftlichen Nutzen öffentlicher Daten zu erhöhen, indem deren Zugänglichkeit verbessert und faire Nutzungsbedingungen gewährleistet werden. Zentrale Aspekte der Richtlinie umfassen die unentgeltliche bzw kostengünstige Bereitstellung von Daten, insbesondere für KMU und Start-ups, sowie die Einbeziehung von Daten öffentlicher Unternehmen und von Forschungseinrichtungen. Die Richtlinie soll Innovation fördern, zur Bewältigung gesellschaftlicher Herausforderungen beitragen und die Entwicklung neuer Technologien wie der KI unterstützen. In Österreich wurde die Richtlinie durch das Informationsweiterverwendungsgesetz 2022 (IWG 2022)<ref>Bundesgesetz über die Weiterverwendung von Informationen öffentlicher Stellen, öffentlicher Unternehmen und von Forschungsdaten, BGBl I 2022/116.</ref> umgesetzt. Ua verpflichtet das IWG 2022 öffentliche Stellen sowie Öffentliche Unternehmen, Forscher, Forschungseinrichtungen und Forschungsförderungseinrichtungen dazu, Dokumente, die zur Weiterverwendung verfügbar sind, durch Bestandslisten und maschinenlesbare Formate zugänglich zu machen und '''mit dem Portal [https://www.data.gv.at/ data.gv.at] zu verknüpfen''', sofern dies zumutbar ist (§ 11 IWG 2022).
-Ua verpflichtet das IWG 2022 öffentliche Stellen sowie Öffentliche Unternehmen, Forscher, Forschungseinrichtungen und Forschungsförderungseinrichtungen dazu, Dokumente, die zur Weiterverwendung verfügbar sind, durch Bestandslisten und maschinenlesbare Formate zugänglich zu machen und '''mit dem Portal [https://www.data.gv.at/ data.gv.at] zu verknüpfen''', sofern dies zumutbar ist (§ 11 IWG 2022).
+Personenbezogene Daten und vertrauliche Geschäftsinformationen dürfen nach der Open Data und PSI 2-RL nur in anonymisierter oder aggregierter Form freigegeben werden.
-Personenbezogene Daten und vertrauliche Geschäftsinformationen dürfen nach der Open Data und PSI 2-RL nur in anonymisierter oder aggregierter Form freigegeben werden. Der DGA ergänzt diese Richtlinie, indem Vorschriften für die Nutzung nicht-öffentlicher Daten vorgesehen werden, ohne den Schutz der Informationen zu beeinträchtigen.
+Der DGA ergänzt die Open Data und PSI 2-RL, indem Vorschriften für die Nutzung nicht-öffentlicher Daten vorgesehen werden, ohne den Schutz der Informationen zu beeinträchtigen.
 === Informationsfreiheit ===
-IFG<ref>Bundesgesetz über den Zugang zu Informationen (Informationsfreiheitsgesetz – IFG), BGBl I 2024/5.</ref> ###
+Das Informationsfreiheitsgesetz (IFG)<ref>Bundesgesetz über den Zugang zu Informationen (Informationsfreiheitsgesetz – IFG), BGBl I 2024/5.</ref>  soll ab dem 1.9.2025 den Zugang zu staatlichen Informationen und staatsnaher unternehmerischer Informationen ermöglichen. Insbesondere schafft das IFG eine aktive verfassungsgesetzliche Informationsverpflichtung und ein verfassungsgesetzlich gewährleisteten Recht auf Zugang zu Informationen. Ausnahmen gelten bei bestimmten öffentlichen und überwiegenden privaten Interessen (insb aufgrund des Grundrechts auf Datenschutz).<ref>ErläutRV 2238 BlgNR 27.GP 1 f.</ref>
+Das Verhältnis zwischen DGA und IFG bleibt jedoch noch unklar, insbesondere ob und in welchem Umfang Stellen, die nach dem IFG zur Veröffentlichung von Informationen verpflichtet sind, zusätzliche Vorgaben nach dem DGA erfüllen müssen. Dies betrifft etwa vertrauliche Daten im Bereich des öffentlichen Auftragswesen.<ref name=":0" />
 == Konsequenzen/Sanktionen ==
 === Sanktionen ===
-Datenvermittlungsdienste: Verstöße gegen Art 11 ([[Data Governance Act (DGA)#Anmeldung (Art 11 DGA)|Anmeldung der Anbieter von Datenvermittlugnsdiensten]]) oder Art 12 ([[Data Governance Act (DGA)#Pflichten|Bedingungen für die Erbringung von Datenvermittlungsdiensten)]] können durch die zuständige Behörde geahndet werden. Die Höhe etwaiger Geldbußen ist durch nationales Recht vorzusehen (Art 34 Abs 1 DGA).
+Die Höhe etwaiger Geldbußen richtet sich nach nationalem Recht. Die folgende Tabelle bietet einen Überblick über die maßgeblichen Strafdrohungen nach dem DZG-Entwurf:
+{| class="wikitable sortable"
+!Verstoß
+!Adressat
+!Strafdrohung
+|-
+|Fehlende oder unvollständige Aufzeichnungen
+|Anerkannte datenaltruistische Organisation
+|Geldstrafe bis zu 10.000 EUR
+|-
+|Fehlender oder unvollständiger jährlicher Tätigkeitsbericht
+|Anerkannte datenaltruistische Organisation
+|Geldstrafe bis zu 10.000 EUR
+|-
+|Nichteinhaltung des "Regelwerks" gem Art 22 Abs 1 DGA
+|Anerkannte datenaltruistische Organisation
+|Geldstrafe bis zu 10.000 EUR
+|-
+|Nichteinhaltung von [[Data Governance Act (DGA)#Anmeldung (Art 11 DGA)|Mitteilungspflichten nach Art 11 DGA]], insb Benennung einer gesetzlichen Vertretung, wenn keine Niederlassung in der EU besteht
+|Anbieter von Datenvermittlungsdiensten
+|Geldstrafe bis zu 10.000 EUR
+|-
+|Nichteinhaltung der [[Data Governance Act (DGA)#Pflichten|Bedingungen für die Erbringung von Datenvermittlungsdiensten]]
+|Anbieter von Datenvermittlungsdiensten
+|Geldstrafe bis zu 20.000 EUR
+|-
+|Verstoß gegen die [[Data Governance Act (DGA)#Eintragungsvoraussetzungen|Allgemeinen Eintragungsanforderungen]]
+|Anerkannte datenaltruistische Organisation
+|Geldstrafe bis zu 20.000 EUR
+|-
+|Verletzung von Anforderungen an den Schutz der Rechte Betroffener und der Dateninhaber<ref>Das Verhältnis zu den Strafdrohungen nach der DSGVO bleibt unklar, siehe etwa die Stellungnahme der DSB zum DZG-Entwurf, 6/SN-352/ME, 5.</ref>
+|Anerkannte datenaltruistische Organisation
+|Geldstrafe bis zu 100.000 EUR
+|-
+|Übertragung nicht personenbezogener Daten in ungeeignete Drittländer
+|Natürliche oder juristische Personen mit Weiterverwendungsrecht
+|Geldstrafe bis zu 100.000 EUR
+|-
+|Verstöße gegen die Bestimmungen zum internationalen Zugang und zur internationalen Übertragung
+|Natürliche oder juristische Personen mit Weiterverwendungsrecht
+|Geldstrafe bis zu 100.000 EUR
+|}
+Bei der Bemessung der Sanktion sind die folgenden Umstände zu berücksichtigen:<ref>Art 34 Abs 2 DGA; 352/ME 27. GP Erläut 6.</ref>
-Auch private Rechtsdurchsetzung durch Mittbewerber oder Dateninhaber möglich
+* Art, Schwere und Umfang des Verstoßes;
+* Getroffene Maßnahmen zur Schadensminderung oder -behebung;
+* frühere Verstöße;
+* finanzielle Auswirkungen des Verstoßes (Gewinne/Verluste, soweit feststellbar);
+* sonstige erschwerende oder mildernde Umstände.
-Im DZG-Entwurf<ref>ME DZG, 352/ME 27. GP.</ref> ist vorgesehen...
+=== Beschwerderecht und Rechtsbehelfe ===
+Auch private Rechtsdurchsetzung durch Mittbewerber*innen oder Dateninhaber ist möglich.
-=== Rechtsbehelfe ===
+Gem Art 27 DGA besteht ein Beschwerderecht. Gegen Entscheidungen einer öffentlichen Stelle oder einer zuständigen Stelle steht ein Recht auf gerichtliche Überprüfung zu.
-Jede natürliche oder juristische Person, die von einer Entscheidung einer öffentlichen Stelle bzw. einer zuständigen Stelle betroffen ist, sollte ein wirksames Recht auf '''gerichtliche Überprüfung''' dieser Entscheidung vor den Gerichten des '''Mitgliedstaates''' haben, in dem diese Stelle ihren Sitz hat.
 === Kontroll- und Aufsichtsbehörden ===
-Die Benennung von nationalen Behörden zur Überwachung von Datenvermittlungsdiensten und zur Errichtung eines Registers für datenaltruistische Organisationen obliegt den nationalen Gesetzgebern. Art 13 bis 26 DGA nennen konkrete Anforderungen, denen diese Behörden entsprechen müssen. In einigen Mitgliedstaaten wurden unter anderem Minister, aber auch Telekommunikations-Aufsichtsbehörden oder Datenschutzbehörden<ref>Laut EG 4 DGA besteht ausdrücklich die Möglichkeit, nationale Datenschutzbehörden mit diesen Aufgaben zu betrauen.</ref> mit diesen Aufgaben betraut.<ref>Siehe die Liste der zuständigen Stellen und Behörden sämtlicher Mitgliedstaaten der Europäischen Kommission, https://digital-strategy.ec.europa.eu/de/library/national-competent-bodies-and-authorities-under-data-governance-act.</ref>
+Die Benennung von nationalen Behörden zur Überwachung von Datenvermittlungsdiensten und zur Errichtung eines Registers für datenaltruistische Organisationen obliegt den nationalen Gesetzgebern. Art 13 bis 26 DGA nennen konkrete Anforderungen, denen diese Stellen entsprechen müssen. In einigen Mitgliedstaaten wurden unter anderem Minister*innen, aber auch Telekommunikations-Aufsichtsbehörden oder Datenschutzbehörden<ref>Laut ErwGr 4 DGA besteht ausdrücklich die Möglichkeit, nationale Datenschutzbehörden mit diesen Aufgaben zu betrauen.</ref> mit diesen Aufgaben betraut.<ref>Siehe die Liste der zuständigen Stellen und Behörden sämtlicher Mitgliedstaaten der Europäischen Kommission, https://digital-strategy.ec.europa.eu/de/library/national-competent-bodies-and-authorities-under-data-governance-act (Stand 17.7.2024).</ref>
-Der DZG-Entwurf<ref>352/ME 27. GP Erläut .</ref> sieht folgende Zuständigkeiten vor:
+Der DZG-Entwurf sieht folgende Zuständigkeiten vor:
-* '''Zentrale Informationsstelle (ZIS):''' die*der für Angelegenheiten der Digitalisierung zuständige Bundesminister*in (§ 4 Abs 1 DZG-Entwurf);
+{| class="wikitable"
-* '''Zuständige Behörde für Datenvermittlungsdienste und für die Registrierung von datenaltruistischen Organisationen''': die*der für Angelegenheiten der Digitalisierung zuständige Bundesminister*in (§ 3 Abs 1 DZG-Entwurf);
+|+
-* '''Zuständige Stellen:''' Werden erst durch VO des*der für Angelegenheiten der Digitalisierung zuständigen Bundesminister*in festgelegt (§ 5 Abs 2 DZG-Entwurf).
+!Stelle nach dem DGA
-Die Aufgaben der '''Datenschutzbehörden''' bleiben davon unberührt. Es ist eine effektive Zusammenarbeit zwischen den ernannten Behörden mit den Datenschutzbehörden sicherzustellen (Art 13 Abs 3 DGA, Art 23 Abs 3 DGA, EG 4). Dasselbe gilt laut Art 13 Abs 3 DGA für die Befugnisse der nationalen Wettbewerbsbehörden, der für Cybersicherheit zuständigen Behörden und anderer einschlägiger Fachbehörden.<ref>Einen Überblick über die Behörden in Deutschland bietet ''Paschke'' in ''Paschke/Rücker'', Data Governance Act (2024) Einleitung Rz 28 ff.</ref>
+!DZG-Entwurf
+!Aufgaben
+!Auftragsverarbeiter
+|-
+|'''Zentrale Informationsstelle (ZIS)'''
+|die*der für Angelegenheiten der Digitalisierung zuständige Bundesminister*in (§ 4 Abs 1 DZG-Entwurf)
+|
+* Entgegennahme von Anfragen oder Anträgen zur Weiterverwendung von Daten.
+* Weiterleitung von Anfragen an zuständige öffentliche Stellen, auch automatisiert.
+* Bereitstellung einer elektronisch durchsuchbaren '''Bestandsliste''' aller verfügbaren Datenressourcen.<ref>Die Bestandsliste soll eine Übersicht aller verfügbaren Datenressourcen darstellen und enthält grds ausschließlich Metadaten. Die Bestandsliste wird mit [https://www.data.gv.at/ data.gv.at] verknüpft und an das europäische Datenportal [https://data.europa.eu/en data.europa.eu] angebunden, 352/ME 27. GP Erläut 4.</ref>
+* Veröffentlichung relevanter Informationen zu Datenformat, -umfang und Nutzungsbedingungen.
+|Bundesanstalt Statistik Österreich; BRZ GmbH als Sub-Auftragsverarbeiter<ref>Siehe die Stellungnahme der DSB zum DZG-Entwurf, 6/SN-352/ME, 4.</ref>
+|-
+|'''Zuständige Behörde für Datenvermittlungsdienste und für die Registrierung von datenaltruistischen Organisationen'''
+|die*der für Angelegenheiten der Digitalisierung zuständige Bundesminister*in (§ 3 Abs 1 DZG-Entwurf)
+|
+* Anmeldeverfahren
+* Überwachung der Datenvermittlungsdienste und der datenaltruistischen Organisationen
+* Führung eines öffentlichen Registers der anerkannten datenaltruistischen Organisationen
+* Entscheidungen über Beschwerden
+* Verhängung von Bußgeldern
+|Bundesrechenzentrum GmbH (in Bezug auf die Führung eines Registers der anerkannten datenaltruistischen Organisationen)<ref>Siehe die Stellungnahme der DSB zum DZG-Entwurf, 6/SN-352/ME, 3.</ref>
+|-
+|'''Zuständige Stellen, welche die öffentlichen Stellen, die Zugang zur Weiterverwendung von Daten gewähren oder verweigern, unterstützen'''
+|Festlegung durch '''Verordnung''' des*der für Angelegenheiten der Digitalisierung zuständigen Bundesminister*in (§ 5 Abs 2 DZG-Entwurf)
+|Unterstützung der öffentlichen Stellen durch:
+* Bereitstellung sicherer Verarbeitungsumgebungen.
+* Beratung zur Datenstrukturierung und -speicherung.
+* Technische Unterstützung bei Pseudonymisierung und Datenschutzmaßnahmen.
+* Anonymisierung und Entfernung vertraulicher Informationen.
+* Unterstützung bei Einwilligungseinholung.
+* Bewertung von vertraglichen Zusagen der Weiterverwender.
+|
+|}
+Die '''Datenschutzbehörde''', die nationalen Wettbewerbsbehörden, die für Cybersicherheit zuständigen Behörden sowie andere relevante Fachbehörden<ref>Einen Überblick über die Behörden in Deutschland bietet ''Paschke'' in ''Paschke/Rücker'', Data Governance Act (2024) Einleitung Rz 28 ff.</ref> behalten ihre jeweiligen Aufgaben und Befugnisse, wobei eine effektive Zusammenarbeit mit diesen sicherzustellen ist.
 == Weiterführende Literatur ==
@@ Zeile 383: / Zeile 567: @@
 * ''Knyrim'', DGA - Data Governance Act (2023).
-* ''Schreiber/Pommerening/Schoel'', Der neue Data Act (DA) mit Data Governance Act (DGA) (2024, iE).
+* ''Schreiber/Pommerening/Schoel'', Der neue Data Act (DA) mit Data Governance Act (DGA)<sup>2</sup> (2024).
 * ''Schreiber/Pommerening/Schoel'', New Data Governance Act. A Practitioner's Guide (2023).
 * ''Steinrötter'' (Hrsg), Europäische Plattformregulierung. DSA | DMA | P2B-VO | DGA | DA | AI Act | DSM-RL (2023).
@@ Zeile 391: / Zeile 575: @@
 * ''Paschke/Rücker'', Data Governance Act: DGA (2024).
-* ''Specht/Hennemann'', Data Governance Act (2023).
+* ''Specht-Riemenschneider/Hennemann'', Data Governance Act (2025).
-* ''Specht-Riemenschneider/Hennemann'', Data Governance Act (2024, iE).
+* ''Specht/Hennemann'', Data Act. Data Governance Act² (2025, iE).
-* ''Steinrötter,'' Europäische Plattformregulierung (2023).
+* ''Wolff/Brink/Ungern-Sternberg'', BeckOK Datenschutzrecht<sup>49</sup> (2024).
-* ''Wolff/Brink/v. Ungern-Sternberg'', BeckOK Datenschutzrecht<sup>49</sup> (2024).
 == Weiterführende Links ==
-* ''Europäische Kommission,'' Daten-Governance-Gesetz erläutert, https://digital-strategy.ec.europa.eu/de/policies/data-governance-act-explained.
+* ''Europäische Kommission,'' Daten-Governance-Gesetz erläutert, https://digital-strategy.ec.europa.eu/de/policies/data-governance-act-explained (Stand 11.10.2024).
-* ''Bundeskanzleramt Österreich'', Der europäische Weg für eine starke Datenwirtschaft, https://www.digitalaustria.gv.at/Themen/Daten.html.
+* ''Europäische Kommission'', Europäisches Daten-Governance-Gesetz, https://digital-strategy.ec.europa.eu/de/policies/data-governance-act (abgerufen am 24.1.2025).
-* ''Europäische Kommssion,'' Handbuch für Datenvermittlungsdienste, https://ec.europa.eu/newsroom/dae/redirection/document/97665.
+* ''Bundeskanzleramt Österreich'', Der europäische Weg für eine starke Datenwirtschaft, https://www.digitalaustria.gv.at/Themen/Daten.html (abgerufen am 24.1.2025).
-* ''Europäische Kommssion,'' Handbuch für datenaltruistische Organisationen, https://ec.europa.eu/newsroom/dae/redirection/document/97666.
+* ''Europäische Kommission'', Praktischer Leitfaden zum Daten-Governance-Gesetz, https://ec.europa.eu/newsroom/dae/redirection/document/108539 (abgerufen am 24.1.2025).
-* ''Europäische Kommission'', Praktischer Leitfaden zum Daten-Governance-Gesetz, https://ec.europa.eu/newsroom/dae/redirection/document/108539.
+* ''Europäische Kommission'', Register der Datenvermittlungsdienste, https://digital-strategy.ec.europa.eu/de/policies/data-intermediary-services (abgerufen am 24.1.2025).
-* ''Europäische Kommision'', Register der Datenvermittlungsdienste, https://digital-strategy.ec.europa.eu/de/policies/data-intermediary-services.
+* ''Europäische Kommission,'' European data: Das offizielle Portal für Daten zu Europa, https://data.europa.eu/data/datasets?locale=en (abgerufen am 24.1.2025).
-* ''Europäische Kommision,'' European data: Das offizielle Portal für Daten zu Europa, https://data.europa.eu/data/datasets?locale=en.
+* ''Europäische Kommission'', Liste der zuständigen nationalen Stellen und Behörden, https://ec.europa.eu/newsroom/dae/redirection/document/98966 (Stand 8.1.2025).
-* ''Europäische Kommission'', Liste der zuständigen nationalen Stellen und Behörden, https://ec.europa.eu/newsroom/dae/redirection/document/98966.
+* ''International Data Spaces Association (IDSA)'', Data Spaces Radar, https://www.dataspaces-radar.org/radar/ (abgerufen am 24.1.2025).
-* ''International Data Spaces Association (IDSA)'', Data Spaces Radar, https://www.dataspaces-radar.org/radar/.
 == Nachweise ==

Data Governance Act (DGA): Unterschied zwischen den Versionen

Aktuelle Version vom 26. Februar 2025, 19:19 Uhr

Kurzübersicht

Einleitung und Hintergrund

Hintergrund

Struktur

Nationale Begleitgesetzgebung

Anwendungsbereich

Sachlich

Personell

Öffentliche Stellen

Datenvermittlungsdienste

Kategorien

Vermittlungsdienste zwischen Dateninhabern und potenziellen Datennutzern

Vermittlungsdienste zwischen betroffenen Personen, die ihre personenbezogenen Daten zugänglich machen wollen, oder natürlichen Personen, die nicht personenbezogene Daten zugänglich machen wollen, und potenziellen Datennutzern

Dienste von Datengenossenschaften

Datenaltruistische Organisationen

Räumlich

Zeitlich

Zentrale Inhalte

Weiterverwendung geschützter Daten (Kapitel II)

Bedingungen für die Weiterverwendung

Antragsverfahren für die Weiterverwendung (Art 9 DGA)

Internationaler Datentransfer (Art 5 und Art 31 DGA)

Datenvermittlungsdienste (Kapitel III)

Anmeldung (Art 11 DGA)

Behördenzuständigkeit

Erforderliche Informationen

Führen des Logos

Pflichten

Datenaltruistische Organisationen (Kapitel IV)

Eintragungsvoraussetzungen

Antragstellung

Behördenzuständigkeit

Führen des Logos

Transparenzanforderungen

Schutz der Rechte und Interessen Betroffener und Dateninhaber bei der Datenverarbeitung

Einwilligungsformular

Europäischer Dateninnovationsrat (EDIB, Kapitel VI)

Zusammensetzung

Aufgaben

Fallbeispiele

Daten-Vermittlungsdienste

Organisationen für Datenaltruismus

Auswirkungen des DGA auf Forschungsprojekte

Synergien

DSGVO

Datenschutzrechtliche Rollenverteilung

Strafverfahren

Sektorspezifische Datenräume

Open Data-Regulierung

Informationsfreiheit

Konsequenzen/Sanktionen

Sanktionen

Beschwerderecht und Rechtsbehelfe

Kontroll- und Aufsichtsbehörden

Weiterführende Literatur

Einführungsbücher

Kommentare

Weiterführende Links

Nachweise

Navigationsmenü

Suche