Data Governance Act (DGA): Unterschied zwischen den Versionen

Langtitel: VO (EU) 2022/868 des Europäischen Parlaments und des Rates vom 30. Mai 2022 über europäische Daten-Governance und zur Änderung der Verordnung (EU) 2018/1724 (Daten-Governance-Rechtsakt)

Kurztitel: Daten-Governance-Rechtsakt; Data Governance Act (DGA)

Kurzübersicht

Einführung

Hintergrund

Der Data Governance Act (DGA) und der Data Act (DA) bilden die erste Säule der Europäischen Datenstrategie.^[1] Sie schaffen den rechtlichen Rahmen für den vertrauenswürdigen und sicheren Datenaustausch im Binnenmarkt.^[2]

Die Europäische Datenstrategie verfolgt das Ziel, einen Binnenmarkt für Daten zu schaffen. Sie fördert den branchen- und länderübergreifenden Datenaustausch, um Europa als führende Datenwirtschaft zu positionieren – unter Wahrung hoher Datenschutz-, Sicherheits- und Ethikstandards.

Die nationale Begleitgesetzgebung zum DGA soll im Datenzugangsgesetz (DZG) erfolgen. Ein Ministerialentwurf^[3] (DZG-Entwurf) wurde Anfang Oktober 2024 zur Begutachtung veröffentlicht.

Struktur

Der DGA regelt (Art 1 Abs 1 lit a bis d DGA):

• Bedingungen für die Weiterverwendung von Daten bestimmter Datenkategorien, die im Besitz öffentlicher Stellen sind, innerhalb der Union;
• einen Anmelde- und Aufsichtsrahmen für die Erbringung von Datenvermittlungsdiensten;
• einen Rahmen für die freiwillige Eintragung von Einrichtungen, die für altruistische Zwecke zur Verfügung gestellte Daten erheben und verarbeiten und
• einen Rahmen für die Einsetzung eines Europäischen Dateninnovationsrats.

Der DGA soll sicherstellen, dass der geschützte Charakter der Daten gewahrt bleibt, insbesondere im Hinblick auf die Rechte und Interessen Dritter. Er verpflichtet zur Einhaltung von Vertraulichkeitsvorgaben. Zudem schließt er die Vergabe exklusiver Rechte zur Nutzung der Daten ausdrücklich aus, um einen fairen und transparenten Zugang zu gewährleisten.

Zu beachten ist, dass der DGA keine Verpflichtungen für öffentliche Stellen vorsieht, die Datenweiterverwendung zu erlauben. Der DGA befreit öffentliche Stellen nicht von etwaigen Geheimhaltungspflichten (Art 1 Abs 2 DGA). Die Zugangsgewährung zu amtlichen Dokumenten richtet sich somit weiterhin nach besonderen Vorschriften des Unionsrechts und des nationalen Rechts.

Grundprinzipien

Die Grundprinzipien des Digital Governance Act orientieren sich am sog "FAIR"-Konzept (ErwGr 2 DGA):

• Findable (auffindbar),
• Accessible (zugänglich),
• Interoperable (interoperabel)
• Reusable (wiederverwendbar)

Ziel

Daten, die mithilfe öffentlicher Gelder generiert oder erhoben wurden, sollen auch der Gesellschaft zugutekommen (ErwGr 6 DGA).

Anwendungsbereich

Sachlich

Der sachliche Anwendungsbereich des DGA erstreckt sich ausschließlich auf digitale Daten (Art 2 Z 1 DGA), die im Besitz öffentlicher Stellen sind.

Der Begriff "Daten" ist weit zu verstehen und erfasst jegliche digitale Inhalte.^[4] Daten, die lediglich analog vorliegen, fallen somit nicht in den Anwendungsbereich. Beispiele sind Gesundheitsdaten, Mobilitätsdaten, Umweltdaten oder Agrardaten.^[5] Der Datenbegriff entspricht somit Art 2 Z 24 DMA und Art 2 Z 1 DA.

Der DGA enthält Bestimmungen über die Weiterverwendung von Daten, die

• im Besitz öffentlicher Stellen sind und
• aus den folgenden Gründen geschützt sind (Art 3 Abs 1 lit a bis d DGA):
  • geschäftliche Geheimhaltung, einschließlich Betriebsgeheimnisse, Berufsgeheimnisse, Unternehmensgeheimnisse,
  • statistische Geheimhaltung,
  • der Schutz geistigen Eigentums Dritter,
  • Datenschutz.

Daten, die im Besitz öffentlicher Stellen sind, sind vom Anwendungsbereich des DGA ausgenommen, wenn

• die Daten aus Gründen der öffentlichen Sicherheit, der Landesverteidigung oder der nationalen Sicherheit geschützt sind, oder
• die Bereitstellung der Daten nicht unter den öffentlichen Auftrag der betreffenden öffentlichen Stelle fällt.

Ausgenommen sind weiters Datenkategorien im Besitz folgender Einrichtungen (Art 3 Abs 2 DGA):

• öffentlicher Unternehmen,
• öffentlich-rechtlicher Rundfunkanstalten, sofern die Daten der Wahrnehmung eines öffentlichen Sendeauftrags dienen,
• Kultureinrichtungen^[6] und Bildungseinrichtungen.

Personell

Öffentliche Stellen

Die Regelungen zur Datenweiterverwendung adressieren alle in der EU tätigen öffentlichen Stellen. Das sind gem Art 2 Z 17 DGA:

• Staat,
• Gebietskörperschaften,
• Einrichtungen des öffentlichen Rechts (zB Kammern, Universitäten, Religionsgemeinschaften, Anstalten oder Stiftungen des öffentlichen Rechts),^[7]
• Verbände, die aus einer oder mehreren dieser Körperschaften oder einer oder mehreren dieser Einrichtungen des öffentlichen Rechts bestehen.

Forschungseinrichtungen, die als öffentliche Stellen oder öffentlich-rechtliche Einrichtungen gegründet wurden, können erfasst sein (ErwGr 12), nicht aber öffentliche Unternehmen.^[8]

Datenvermittlungsdienste

Unter Datenvermittlungsdienst ist gem Art 2 Z 11 DGA ein Dienst zu verstehen, der eine unbestimmte Zahl von betroffenen Personen und Dateninhabern mit Datennutzern verbindet, um eine geschäftliche Beziehung zum Datenaustausch herzustellen. Nicht davon erfasst sind somit Dienste, die für geschlossene Nutzergruppen eingerichtet sind. Ist der Zugang zu den Daten etwa von der Zugehörigkeit zu einem Verein oder einem Unternehmen abhängig, liegt idR kein Datenvermittlungsdienst iSd DGA vor.^[9]

• Dateninhaber (Art 2 Z 8 DGA):
  • Eine juristische Person (inkl. öffentliche Stellen und internationale Organisationen) oder natürliche Person,
  • die selbst nicht die betroffene Person der Daten ist,
  • und nach EU- oder nationalem Recht befugt ist, Zugang zu den Daten (personenbezogen oder nicht-personenbezogen) zu gewähren oder diese weiterzugeben.

• Datennutzer (Art 2 Z 9 DGA):^[10]
  • Eine natürliche oder juristische Person
  • die rechtmäßigen Zugang zu Daten (personenbezogen oder nicht-personenbezogen) hat,
  • und diese - bei personenbezogenen Daten unter Beachtung der DSGVO - für beliebige Zwecke (kommerziell oder nicht-kommerziell) nutzen darf.

Kategorien

Datenvermittlungsdienste lassen sich gem Art 10 DGA den folgenden 3 Kategorien zuordnen:^[11]

Datenaltruistische Organisationen

Datenaltruismus ist die freiwillige gemeinsame Nutzung von Daten ohne Gewinnerzielungsabsicht für Ziele von allgemeinem Interesse gem nationalem Recht, wie die Gesundheitsversorgung oder die wissenschaftliche Forschung (Art 2 Z 16).

Räumlich

• Öffentliche Stellen sind vom DGA erfasst, wenn deren Zuständigkeitsbereich in der Europäischen Union liegt.

• Privatwirtschaftliche Akteure fallen in den Anwendungsbereich, wenn sie
  • ihren Sitz in der EU haben oder
  • ihre Dienste in der EU anbieten.

Zeitlich

Nach der Annahme am 16. Mai 2022 trat der DGA am 23. Juni 2022 in Kraft. Die Bestimmungen sind seit dem 24. September 2023 anwendbar.^[12]

Aufgrund mangelnder Umsetzung der nationalen Begleitgesetzgebung zur Durchführung des DGA in mehreren Mitgliedstaaten hat die Kommission bereits Vertragsverletzungsverfahren, unter anderem gegen Österreich und Deutschland, eingeleitet.^[13]

Zentrale Inhalte

Weiterverwendung geschützter Daten (Kap II)

Der DGA ermöglicht es, wertvolle Erkenntnisse aus geschützten Daten zu gewinnen. Er sieht klare Regeln und Schutzmaßnahmen vor, um die Weiterverwendung zu erleichtern, soweit dies durch andere Rechtsvorschriften erlaubt ist.

Bedingungen für die Weiterverwendung

Den öffentlichen Stellen wird die heikle Aufgabe auferlegt, einerseits den Schutz der Daten zu wahren und andererseits die Weiterverwendung im Einklang mit nationalen oder unionsrechtlichen Vorgaben zu ermöglichen.^[14]

Zu diesem Zweck müssen die öffentlichen Stellen Bedingungen für die Weiterverwendung aufstellen (Art 5 Abs 1 DGA). Diese Bedingungen dürfen gem Art 5 Abs 2 DGA nicht diskriminierend sein, dh, zwischen Weiterverwendern darf nicht unsachlich unterschieden werden.^[15] Weiters müssen sie transparent, verhältnismäßig und objektiv gerechtfertigt ausgestaltet sein und dürfen den Wettbewerb nicht behindern. Ein besonderer Fokus liegt auf der Förderung des Datenzugangs für kleine und mittlere Unternehmen (KMU)^[16] sowie Start-ups, um Innovation und wirtschaftliches Wachstum zu fördern (ErwGr 2 DGA).

Folgende Maßnahmen können die öffentlichen Stellen zum Schutz der Daten ergreifen:

• Der Zugang zur Weiterverwendung kann davon abhängig gemacht werden, dass
  • personenbezogene Daten anonymisiert wurden,
  • vertrauliche Geschäftsinformationen verändert, aggregiert oder aufbereitet wurden.
• Der Zugang kann durch Fernzugriff oder in einer sicheren Verarbeitungsumgebung^[17] (zB in Datenräumen)^[18] gewährt werden.
• Der Zugang kann innerhalb bestimmter Räumlichkeiten unter Einhaltung hoher Sicherheitsstandards erfolgen.

Die Bedingungen sind von den öffentlichen Stellen den nationalen Zentralen Informationsstellen zur Verfügung zu stellen, über welche diese zugänglich gemacht werden.

Es gilt grundsätzlich ein Verbot von Ausschließlichkeitsvereinbarungen. Nur in Ausnahmefällen kann bei allgemeinem Interesse eine öffentliche Stelle einem Unternehmen ein solches ausschließliches Recht unter sehr restriktiven Bedingungen gewähren (Art 4 DGA).^[19]

Antragsverfahren für die Weiterverwendung (Art 9 DGA)

Alle verfügbaren Datenressourcen und einschlägige Informationen sollen nach dem DZG-Entwurf in einer öffentlichen Bestandsliste einsehbar sein. Diese wird von der zentralen Informationsstelle zur Verfügung gestellt. Das Europäische Register für geschützte Daten im Besitz des öffentlichen Sektors (ERPD) bei der Kommission stellt darauf aufbauend ein durchsuchbares Register dieser Informationen bereit. Damit wird gewährleistet, dass die Weiterverwendung von Daten im Binnenmarkt und darüber hinaus erleichtert wird.

Antrag: Nach dem DZG-Entwurf ist vorgesehen, dass Anträge zur Weiterverwendung von Daten über data.gv.at eingebracht werden können.^[20] Die Zentrale Informationsstelle veranlasst dann die Weiterleitung die Zuständigen Stellen oder Öffentlichen Stellen, die den Antrag abwickeln. Die zuständige öffentliche Stelle hat grds zwei Monate Zeit, um über den Antrag zu entscheiden. Gegen die Entscheidung der öffentlichen Stelle besteht ein wirksamer Rechtsbehelfsanspruch jeder Person, die davon direkt betroffen ist.

Gebühren: Öffentliche Stellen können für die Genehmigung der Weiterverwendung angemessene Gebühren erheben, die die erforderlichen Kosten nicht übersteigen dürfen, und sollten Anreize durch Gebührensenkungen oder -befreiungen für Forschung, nicht-kommerzielle Zwecke, KMU und Start-ups schaffen.

Internationaler Datentransfer (Art 5 und Art 31 DGA)

Werden personenbezogene Daten in Drittländer übermittelt, so kommt Kapitel V der DSGVO zur Anwendung. Um das hohe Schutzniveau der EU auch bei der Übermittlung von nicht personenbezogenen Daten an Drittländer zu wahren, sieht der DGA gewisse Schutzmaßnahmen und Voraussetzungen vor. Einen Vergleich über die beiden Rechtsakte bietet die folgende Tabelle, woraus erkennbar ist, dass der Tatbestand des DGA enger ist:^[21]

Diese richten sich an sämtliche Akteure des DGA, also sowohl an Anbieter von Datenvermittlungsdiensten, an anerkannte datenaltruistische Organisationen, an öffentliche Stellen, als auch an die natürliche oder juristische Person, der das Recht auf Weiterverwendung von Daten gewährt wurde.

verpflichten den Weiterverwender im Drittland, ein dem EU-Recht äquivalentes Schutzniveau für die betreffenden Daten sicherzustellen. Zudem muss er die Gerichtsbarkeit der EU in relevanten Fällen akzeptieren. Analog zur DSGVO sieht der DGA Instrumente wie Angemessenheitsbeschlüsse und Mustervertragsklauseln vor. Diese ermöglichen eine standardisierte und rechtssichere Übermittlung von Daten in Drittländer. Angemessenheitsbeschlüsse attestieren einem Drittland ein angemessenes Schutzniveau, während Mustervertragsklauseln vertragliche Garantien zwischen Datenexporteur und -importeur festlegen.

Der DA sieht ähnliche Bestimmungen vor.

Datenvermittlungsdienste (Kap III)

Datenvermittlungsdienste fungieren als neutrale Organisatoren für die Nutzung und Zusammenführung von Daten. Dabei zeichnen sie sich durch Neutralität und Transparenz aus. Es erfolgt keine Monetarisierung der Daten. Einzelpersonen und Unternehmen behalten die volle Kontrolle über ihre Daten.

Anmeldung (Art 11 DGA)

Die Tätigkeit kann erst aufgenommen werden, nachdem eine Anmeldung erfolgt ist.

Die Kommission führt ein aktuelles Register aller angemeldeten Anbieter von Datenvermittlungsdiensten.

Behördenzuständigkeit

• Dienst mit Niederlassung in der EU: Zuständig ist die Behörde in dem Mitgliedstaat, in dem der Dienst seine Hauptniederlassung hat.
• Dienst ohne Niederlassung in der EU: Hat ein Anbieter keine Niederlassung in der EU, bietet seine Dienste aber in einem oder mehreren Mitgliedstaaten an, so ist ein gesetzlicher Vertreter in einem dieser Mitgliedstaaten zu benennen. Zuständig ist dann der Mitgliedstaat, in dem sich der gesetzliche Vertreter befindet.

Erforderliche Informationen

Folgende Informationen sind zwingend bei der Anmeldung zu übermitteln:

• der Rechtsstatus, die Rechtsform, die Eigentümerstruktur, die relevanten Tochtergesellschaften und, sofern gegeben, die Registernummer,
• die Anschrift der Hauptniederlassung in der Union, falls zutreffend, und die Anschrift einer etwaigen Zweigniederlassung in einem anderen Mitgliedstaat oder des gesetzlichen Vertreters,
• eine öffentliche Website mit vollständigen und aktuellen Informationen über den Anbieter und seine Tätigkeiten,
• die Kontaktpersonen und Kontaktangaben,
• eine Beschreibung des Datenvermittlungsdienstes und Angaben dazu, unter welche Kategorie dieser Datenvermittlungsdienst fällt,
• den voraussichtlichen Tag der Aufnahme der Tätigkeit, falls dies ein anderer als der Tag der Anmeldung ist.

Führen des Logos

Die Kommission hat gemeinsame Logos für anerkannte Anbieter von Datenvermittlungsdiensten eingeführt. Diese Logos sollen es den Interessenträgern erleichtern, vertrauenswürdige Akteure im Datenmarkt der EU zu identifizieren. Anbieter, die die im DGA festgelegten Anforderungen erfüllen und sich für die Nutzung der Logos entscheiden, müssen diese gut sichtbar auf allen Veröffentlichungen anbringen. Die Logos sind durch eine Verordnung geregelt und als Marken geschützt.

Das Logo kann von der offiziellen Website der Europäischen Union in diversen Formaten heruntergeladen werden.

Pflichten

Die Erbringung von Datenvermittlungsdiensten setzt die Einhaltung folgender Bedingungen voraus (Art 12 DGA):

• Zweckbindungsgrundsatz: Die Daten dürfen ausschließlich zur Bereitstellung für Datennutzer verwendet werden.
• Unabhängigkeit: Die Dienstleistung erfolgt über eine separate juristische Person.
• Kopplungsverbot: Kommerzielle Bedingungen werden nicht von der Nutzung weiterer Dienste desselben Anbieters abhängig gemacht.
  • Praxistipp: Das Verbot gilt nicht gegenüber Betroffenen. Anbieter können daher die Erbringung von Datenvermittlungsdiensten gegenüber Betroffenen davon abhängig machen, dass diese andere Dienstleistungen des Unternehmens in Anspruch nehmen.^[22]
• Verwendung von Daten zur Dienstentwicklung: Daten, die in Bezug auf Tätigkeiten einer Person zur Erbringung des Datenvermittlungsdienstes erhoben werden, wie Zeit- oder Standortangaben, werden nur zur Entwicklung des Dienstes verwendet.
• Zurverfügungstellung der Daten: Daten, die in Bezug auf Tätigkeiten einer Person zur Erbringung des Datenvermittlungsdienstes erhoben werden, können auf Anfrage den Dateninhabern zur Verfügung gestellt werden.
  • Synergie mit der DSGVO: Natürliche Personen haben in Bezug auf ihre personenbezogenen Daten bereits aufgrund von Art 15 DSGVO Anspruch auf Auskunft über ihre Daten.^[23]
• Datenformat und Umwandlung: Die Daten werden im Originalformat bereitgestellt; Umwandlungen erfolgen nur zur Verbesserung der Interoperabilität oder auf Wunsch des Datennutzers.
  • Praxistipp: Lock-in-Effekte sind zu vermeiden.^[24]
• Zusätzliche Werkzeuge: Zusätzliche Dienste und Werkzeuge zur Erleichterung des Datenaustauschs (zB Anonymisierung, vorübergehende Speicherung, Konvertierung) werden nur auf ausdrücklichen Antrag oder mit Zustimmung der betroffenen Personen oder des Dateninhabers angeboten.
  • Praxistipp: Auch konkludente Willenserklärungen, die auf Initiative des Datenmittlers hin erteilt werden, sind möglich.^[25]
• Transparenz und Fairness: Der Zugang zu den Datenvermittlungsdiensten ist fair, transparent und nichtdiskriminierend.^[26]
  • Praxistipp: Transparenz kann durch Angaben auf der Website, die nach Art 11 zwingend einzurichten ist, gewährleistet werden.^[27]
• Betrugs- und Missbrauchsprävention: Der Anbieter verfügt über Verfahren, um betrügerische oder missbräuchliche Nutzung seiner Datenvermittlungsdienste zu verhindern.
  • Praxistipp: Anbieter sollten ein Compliance-System implementieren, das betrügerische oder missbräuchliche Nutzung identifiziert und gezielte Maßnahmen wie den Ausschluss von Nutzern ermöglicht, die gegen AGB oder gesetzliche Vorschriften verstoßen.^[28]
• Weiterführung bei Insolvenz: Bei Insolvenz stellt der Anbieter die fortlaufende Datenbereitstellung sicher und ermöglicht den Zugang zu den Daten. Datenvermittlungsdienste nach Art 10 lit b und lit c müssen Betroffenen und Datennutzern die Ausübung von Rechten ermöglichen.
  • Synergie mit Insolvenzrecht: Die Regelung kann in einem Spannungsverhältnis zum Insolvenzrecht stehen.^[29]
  • Synergie mit der DSGVO: Betroffenenrechte nach der DSGVO stehen ohnehin unabhängig von einer etwaigen Insolvenz zu.^[30]
• Interoperabilität: Der Anbieter gewährleistet Interoperabilität mit anderen Datenvermittlungsdiensten.
• Schutzmaßnahmen: Der Anbieter ergreift Maßnahmen, um rechtswidrige Datenübertragungen und den rechtwidrigen Zugang zu nicht personenbezogenen Daten zu verhindern.
  • Praxistipp: Als angemessene Maßnahmen zählen etwa die Verschlüsselung der Daten oder innerbetriebliche Vorgaben. Einschlägige technische Standards, Verhaltenskodizes und Zertifizierungen auf Unionsebene sind einzuhalten.^[31]
• Unterrichtung bei Datenmissbrauch: Dateninhaber werden bei unbefugter Datenübertragung oder -nutzung unverzüglich informiert.
  • Synergie mit der DSGVO: Nach Art 34 DSGVO sind im Falle eines Data Breaches betroffene Personen nur zu informieren, wenn ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen besteht. Der DGA verpflichtet hingegen zu einer Information bei jeder Verletzung nicht personenbezogener Daten, die Risiken spielen keine Rolle.
• Sicherheitsniveau: Es werden Maßnahmen für einen angemessenen Schutz nicht personenbezogener Daten und den höchsten Schutz sensibler wettbewerbsrelevanter Informationen (wie Informationen über Kund*innen, Produktionskosten, Kapazitäten)^[32] ergriffen.
  • Synergie mit der DSGVO: Art 32 DSGVO enthält eine entsprechende Verpflichtung in Bezug auf personenbezogene Daten: demnach sind geeignete technische und organisatorische Maßnahmen zu treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.
• Interessenwahrung für betroffene Personen: Anbieter, die für betroffene Personen tätig sind, handeln im Interesse der Betroffenen und informieren sie vor Erteilung einer Einwilligung auf prägnante, transparente, verständliche und leicht zugängliche Weise über die beabsichtigte Datennutzung und die üblichen Geschäftsbedingungen für solche Nutzungen.
• Werkzeuge zur Einholung von Einwilligungen, Widerrufsrecht und Informationen über Drittländer: Der Anbieter stellt Werkzeuge für die Einwilligungs- und Erlaubniserteilung, sowie zum Widerruf bereit und gibt ggf das Drittland, in dem die Datennutzung stattfinden soll, an.
• Protokollierungspflicht: Der Anbieter führt ein Protokoll über seine Datenvermittlungstätigkeiten.
  • Synergie mit der DSGVO: Werden personenbezogene Daten verarbeitet, so bestehen bei der Protokollierungspflicht Überschneidungen mit Art 30 Abs 1 DSGVO, der die Pflicht zur Führung eines Verarbeitungsverzeichnisses vorsieht.^[33]

Datenaltruistische Organisationen (Kap IV)

Datenaltruismus stellt ein innovatives Konzept in der europäischen Datenstrategie dar. Es ermöglicht die freiwillige gemeinsame Nutzung von Daten für Ziele von allgemeinem Interesse, ohne dass dafür ein Entgelt fließt. Grundlage ist die Einwilligung der betroffenen Personen oder die Erlaubnis der Dateninhaber. Die Ziele, die damit verfolgt werden, sind vielfältig und im nationalen Recht verankert - sie reichen von der Verbesserung der Gesundheitsversorgung über die Bekämpfung des Klimawandels bis hin zur wissenschaftlichen Forschung im allgemeinen Interesse. Daten können direkt bei natürlichen oder juristischen Personen gesammelt oder von Dritten, einschließlich öffentlicher Stellen, erhoben und weiterverarbeitet werden. Um den Prozess zu vereinfachen und zu harmonisieren, wurde ein europäisches Einwilligungsformular für Datenaltruismus eingeführt. Dieses Instrument fördert die transparente und ethische Nutzung von Daten für gesellschaftlich relevante Zwecke und stärkt gleichzeitig das Vertrauen der Bürgerinnen und Bürger in den Datenaustausch.

Eintragungsvoraussetzungen

Folgende Voraussetzungen müssen erfüllt sein, damit eine Organisation eingetragen werden kann:

Die Einrichtung muss

• datenaltruistische Tätigkeiten durchführen;
• gemäß nationalem Recht Rechtspersönlichkeit haben, um ggf gemäß dem nationalen Recht Ziele von allgemeinem Interesse zu erreichen;
• selbst ohne Erwerbszweck tätig sein und rechtlich unabhängig von jeder Organisation, die Erwerbszwecke verfolgt, handeln;
• die Datenaltruismus-Tätigkeiten über eine Struktur ausüben, die von ihren anderen Tätigkeiten funktionell getrennt ist;
• dem Regelwerk gem Art 22 Abs 1 DGA entsprechen, das von der Kommission zu erlassen ist.

Antragstellung

Die Einrichtung kann dann einen Antrag auf Eintragung in das nationale öffentliche Register der anerkannten datenaltruistischen Organisationen stellen. Dafür sind die folgenden Informationen zu übermitteln:

• Name, Rechtsstatus, Rechtsform und ggf. Registernummer der Einrichtung;
• Satzung, Einnahmequellen und Adressen der Haupt- und Zweigniederlassungen oder des gesetzlichen Vertreters;
• öffentliche Website mit aktuellen Informationen über die Einrichtung und ihre Tätigkeiten;
• Kontaktpersonen und -angaben;
• Ziele von allgemeinem Interesse, die sie mit der Erhebung der Daten fördern will;
• Art der zu verarbeitenden Daten (einschließlich Kategorien personenbezogener Daten);
• Nachweise zur Erfüllung der Eintragungsvoraussetzungen.

Die für die Registrierung zuständige Behörde teilt die Registrierung der Kommission mit, welche diese in das öffentliche Unionsregister der anerkannten datenaltruistischen Organisationen aufnimmt.

Behördenzuständigkeit

• Einrichtung mit Niederlassung in der EU: Zuständig ist die Behörde in dem Mitgliedstaat, in dem die Organisation ihre Hauptniederlassung hat.
• Einrichtung ohne Niederlassung in der EU: Hat eine Einrichtung keine Niederlassung in der EU, bietet ihre Dienste aber in einem oder mehreren Mitgliedstaaten an, so ist ein gesetzlicher Vertreter in einem dieser Mitgliedstaaten zu benennen. Zuständig ist dann der Mitgliedstaat, in dem sich der gesetzliche Vertreter befindet.

Führen des Logos

Anerkannte datenaltruistische Organisationen können das entsprechende Logo der Europäischen Kommission. Zusätzlich muss ein QR-Code zum öffentlichen EU-Register beigefügt werden. Diese Maßnahme soll Transparenz und Vertrauen auf dem Datenmarkt stärken.

Transparenzanforderungen

Anerkannte datenaltruistische Organisationen müssen vollständige Aufzeichnungen über Folgendes führen:

• Datenzugriffsberechtigte,
• Verarbeitungszwecke,
• Zeiträume der Datenverarbeitung,
• Gebühren

Außerdem müssen sie jährliche Tätigkeitsberichte führen, die Folgendes transparent dokumentieren:

• ihre Aktivitäten,
• Einnahmen und Ausgaben,
• die Förderung von Zwecken von allgemeinem Interesse,
• Beschreibung der technischen Mittel,
• Ergebnisse der Datenverarbeitung.

Schutz der Rechte und Interessen Betroffener und Dateninhaber bei der Datenverarbeitung

Anerkannte datenaltruistische Organisationen müssen betroffene Personen und Dateninhaber ua klar über die Zwecke der Datenverarbeitung informieren. Sie sind verpflichtet, die Einwilligung der Betroffenen einzuholen und einfache Möglichkeiten zum Widerruf dieser Einwilligung bereitzustellen. Außerdem müssen sie ein hohes Sicherheitsniveau für die Datenverarbeitung gewährleisten. Bei Datenschutzverletzungen sind die Betroffenen unverzüglich zu informieren. Die Nutzung der Daten darf ausschließlich für die Ziele von allgemeinem Interesse erfolgen.

Einwilligungsformular

Um die Datenerhebung zu erleichtern und sicherzustellen, dass betroffene Personen ihre Einwilligung gem der DSGVO erteilen und widerrufen können, wird ein europäisches Einwilligungsformular entwickelt.^[34] Es soll modular aufgebaut, sowie sektor- und zweckbezogen anpassbar sein.

Europäischer Dateninnovationsrat (EDIB, Kap VI)

Der Europäische Dateninnovationsrat^[35] spielt eine zentrale Rolle bei der Gestaltung der europäischen Datenwirtschaft. Seine Hauptaufgaben umfassen den Austausch bewährter Praktiken, insbesondere im Bereich der Datenvermittlung, des Datenaltruismus und der Nutzung nicht-offener öffentlicher Daten. Dabei liegt ein besonderer Fokus auf der Förderung sektorübergreifender Interoperabilitätsstandards. In seiner beratenden Funktion tauscht der EDIB Informationen aus und bietet Expertise zu datenrelevanten Themen. Zudem besitzt er die Befugnis, Leitlinien für gemeinsame europäische Datenräume vorzuschlagen. Dies schließt Empfehlungen zum angemessenen Schutz von Datenübermittlungen außerhalb der Union ein, was angesichts der globalen Datenströme von großer Bedeutung ist. Durch diese vielfältigen Aufgaben trägt der EDIB maßgeblich dazu bei, ein kohärentes und innovationsfreundliches Datenökosystem in Europa zu schaffen (ErwGr 53 f).

Zusammensetzung (Art 29 Abs 1 DGA)

• Vertreter*innen der für Datenvermittlungsdienste zuständigen nationalen Behörden,^[36]
• Vertreter*innen der für die Registrierung von datenaltruistischen Organisationen zuständigen nationalen Behörden,^[37]
• Vertreter*innen des Europäischen Datenschutzausschusses,
• Vertreter*innen des Europäischen Datenschutzbeauftragten,
• Vertreter*innen der Agentur der Europäischen Union für Cybersicherheit (ENISA),
• Vertreter*innen der Europäischen Kommission,
• Der/die KMU-Beauftragte der EU oder ein*e vom Netz der KMU-Beauftragten benannte*r Vertreter*in,
• Andere Vertreter*innen von maßgeblichen Stellen in bestimmten Sektoren und von Stellen mit spezifischen Fachkenntnissen.

Die Expert*innengruppe wird in thematische Untergruppen untergliedert (Art 29 Abs 2 DGA).

Aufgaben (Art 30 DGA)

In Art 30 lit a bis m DGA werden 13 Aufgaben des Dateninnovationsrates genannt. Diese lassen sich folgendermaßen zusammenfassen:^[38]

• Entwicklung einer einheitlichen Praxis bei der Umsetzung des DGA (Art 30 lit a bis c),
• Entwicklung einheitlicher Leitlinien zum Schutz von Daten und zur Cybersicherheit (Art 30 lit d und e),
• Beratung und Unterstützung der Kommission bei der Normentwicklung und -verbesserung (Art 30 lit f und g),
• Unterbreitung von Leitlinien zu gemeinsamen europäischen Datenräumen (Art 30 lit h),
• Erleichterung der Zusammenarbeit zwischen den Mitgliedstaaten und zwischen den nationalen Behörden (Art 30 lit i und j),
• Prüfung des Erlasses von Durchführungsrechtsakten gem Art 5 Abs 11 (Mustervertragsklauseln) und 12 DGA (Anerkennung eines angemessenen Schutzniveaus in Drittstaaten) (Art 30 lit k),
• Entwicklung eines europäischen Einwilligungsformulars für Datenaltruismus gem Art 25 Abs 1 (Art 30 lit l),
• Verbesserung des internationalen Regelungsumfelds, einschließlich der Normung (Art 30 lit m).

Auch nach dem Data Act kommen dem EDIB gewisse Aufgaben zu.

Fallbeispiele

Exemplarisch lassen sich einige Plattformen nennen:

Daten-Vermittlungsdienste

• Die Deutsche Telekom bietet mit dem Data Intelligence Hub eine Plattform an, auf der Unternehmen Informationen, wie Produktionsdaten, verwalten, bereitstellen und verwerten können.
• Agdatahub bietet basierend auf der Dawex-Technologie eine Plattform für landwirtschaftliche Daten. Sie ermöglicht den Datenaustausch in der Agrarbranche.

Organisationen für Datenaltruismus

• Die Smart Citizen-Plattform ermöglicht es Bürger*innen, Daten über Lärm und Luftverschmutzung in ihrer Umgebung zu teilen, die sie mit Sensoren erfassen. Behörden oder Wissenschafter*innen können diese Daten dann nutzen, um Lösungen zu entwickeln.
• Die deutsche Corona-Datenspende-App sammelte Daten wie Herzfrequenz, Körpertemperatur, Blutdruck und Schlafmuster, die freiwillig von Nutzenden von Fitness-Armbändern und Smartwatches übermittelt wurden. Diese Daten wurden Wissenschafter*innen zur Verfügung gestellt, um Corona-Hotspots rascher zu erkennen.

Synergien

Der DGA umfasst sektorenübergreifende Regelungen über den Datenaustausch und grundlegende Anforderungen an die Daten-Governance (ErwGr 3 DGA).

Zum komplexen Verhältnis zu anderen Vorschriften enthält der DGA selbst einige Regelungen.

DSGVO

Der DGA gilt für geschützte Daten, worunter sowohl personenbezogene, als auch nicht personenbezogene Daten fallen können. Werden personenbezogene Daten verarbeitet, so kommen die Regeln der DSGVO^[39] und des Datenschutzgesetzes^[40] vorrangig zur Anwendung (ErwGr 4, Art 1 Abs 3 DGA).^[41] Zu beachten ist, dass der DGA keine eigene Rechtsgrundlage für die Verarbeitung personenbezogener Daten schafft.

Auch die Datenschutzverordnung für die Stellen der EU (VO 2018/1725), die ePrivacy-RL (RL 2002/58/EG) sowie die JI-RL (RL 2016/680) lässt der DGA ausdrücklich unberührt (Art 1 Abs 3 DGA).

Es ist zu befürchten, dass das unklare Verhältnis zwischen Datenschutzrecht und DGA zu einer eher zurückhaltenden Anwendung des DGA führen könnte. Auch werde dadurch kein Anreiz geschaffen, sich als datenaltruistische Organisation zu engagieren.^[42]

Datenschutzrechtliche Rollenverteilung

Der DGA enthält keine ausdrückliche Regelung zur datenschutzrechtlichen Rollenverteilung.

Im DZG-Entwurf werden in Bezug auf die Wahrnehmung ihrer Befugnisse und Aufgaben nach dem DGA als datenschutzrechtlich Verantwortliche Art 4 Z 7 DSGVO genannt:^[43] Die zuständige Behörde, die zentrale Informationsstelle und Zuständige Stellen.

Es wird vertreten, dass die öffentlichen Stelle, die eine Weiterverwendung personenbezogener (nicht anonymisierte) Daten ermöglicht, und der Datennutzer als gemeinsam Verantwortliche iSv Art 26 DSGVO anzusehen sind und konsequenterweise eine entsprechende Vereinbarung zur gemeinsamen Verantwortlichkeit abzuschließen haben.^[44]

Datenaltruistische Organisationen werden ebenfalls als Verantwortliche einzuordnen sein.

Strafverfahren

Der Vorrang datenschutzrechtlicher Bestimmungen nach Art 1 Abs 3 DGA umfasst auch die Bestimmungen der RL (EU) 2016/680, die den Schutz personenbezogener Daten bei der Verarbeitung durch Strafverfolgungsbehörden regelt. Diese wurde in der Strafprozessordnung (StPO) umgesetzt. Der DGA beeinflusst diesen Bereich nicht, da die StPO aufgrund des Anwendungsvorrangs maßgeblich bleibt. Konkret richtet sich die Verarbeitung bei der Übermittlung personenbezogener Daten aus einem Strafverfahren ausschließlich nach § 76 Abs 4 StPO und bleibt vom DGA unberührt.^[45]

Daten der Gerichtsbarkeit, einschließlich staatsanwaltschaftlicher Daten, sind vom Anwendungsbereich des DGA ausgeschlossen.^[45]

Sektorspezifische Datenräume

Sektorspezifische EU-Rechtsvorschriften für konkrete Datenräume, beispielsweise der EHDS^[46] für den Gesundheitsbereich, sollen die allgemeinen Bestimmungen ergänzen und Regelungen für spezifische Datenräume unter Berücksichtigung der jeweiligen Branchenanforderungen schaffen.

Open Data-Regulierung

Die Open Data und PSI 2-RL^[47] regelt die Weiterverwendung nicht geschützter Daten, dh öffentlich zugänglicher Informationen (Open Data), die sich im Besitz des öffentlichen Sektors befinden (ErwGr 8 Open Data und PSI 2-RL). Sie zielt darauf ab, den Wert öffentlicher Daten für Wirtschaft und Gesellschaft zu erhöhen, indem sie deren breite Zugänglichkeit und faire Nutzungsbedingungen fördert. Kernpunkte sind die kostenlose oder kostengünstige Bereitstellung von Daten, insbesondere für KMU und Start-ups, sowie die Einbeziehung von Daten öffentlicher Unternehmen und aus der Forschung. Die Richtlinie soll Innovation fördern, gesellschaftliche Herausforderungen adressieren und die Entwicklung neuer Technologien wie KI unterstützen. Die RL über offene Daten wurde in Österreich durch das Informationsweiterverwendungsgesetz 2022 (IWG 2022)^[48] umgesetzt.

Ua verpflichtet das IWG 2022 öffentliche Stellen sowie Öffentliche Unternehmen, Forscher, Forschungseinrichtungen und Forschungsförderungseinrichtungen dazu, Dokumente, die zur Weiterverwendung verfügbar sind, durch Bestandslisten und maschinenlesbare Formate zugänglich zu machen und mit dem Portal data.gv.at zu verknüpfen, sofern dies zumutbar ist (§ 11 IWG 2022).

Personenbezogene Daten und vertrauliche Geschäftsinformationen dürfen nach der Open Data und PSI 2-RL nur in anonymisierter oder aggregierter Form freigegeben werden. Der DGA ergänzt diese Richtlinie, indem Vorschriften für die Nutzung nicht-öffentlicher Daten vorgesehen werden, ohne den Schutz der Informationen zu beeinträchtigen.

Informationsfreiheit

Das IFG^[49] soll ab dem 1.9.2025 den Zugang zu staatlichen Informationen und staatsnaher unternehmerischer Informationen ermöglichen. Insbesondere schafft das IFG eine aktive verfassungsgesetzliche Informationsverpflichtung und ein verfassungsgesetzlich gewährleisteten Recht auf Zugang zu Informationen. Ausnahmen gelten bei bestimmten öffentlichen und überwiegenden privaten Interessen (insb aufgrund des Grundrechts auf Datenschutz).^[50]

Das Verhältnis zwischen DGA und IFG bleibt jedoch unklar, insbesondere ob und in welchem Umfang Stellen, die nach dem IFG zur Veröffentlichung von Informationen verpflichtet sind, zusätzliche Vorgaben nach dem DGA erfüllen müssen, vor allem in Bezug auf vertrauliche Daten im Bereich des öffentlichen Auftragswesen.^[45]

Konsequenzen/Sanktionen

Sanktionen

Die Höhe etwaiger Geldbußen richtet sich nach nationalem Recht. Die folgende Tabelle bietet einen Überblick über die Strafdrohungen nach dem DZG-Entwurf, beginnend mit der niedrigsten Strafdrohung:

Bei der Bemessung der Sanktion sind die folgenden Umstände zu berücksichtigen:^[52]

• Art, Schwere und Umfang des Verstoßes;
• Getroffene Maßnahmen zur Schadensminderung oder -behebung;
• frühere Verstöße
• finanzielle Auswirkungen des Verstoßes (Gewinne/Verluste, soweit feststellbar);
• sonstige erschwerende oder mildernde Umstände.

Beschwerderecht und Rechtsbehelfe

Auch private Rechtsdurchsetzung durch Mittbewerber oder Dateninhaber ist möglich. Gem Art 27 DGA besteht ein Beschwerderecht. Gegen Entscheidungen einer öffentlichen Stelle oder einer zuständigen Stelle steht ein Recht auf gerichtliche Überprüfung zu.

Kontroll- und Aufsichtsbehörden

Die Benennung von nationalen Behörden zur Überwachung von Datenvermittlungsdiensten und zur Errichtung eines Registers für datenaltruistische Organisationen obliegt den nationalen Gesetzgebern. Art 13 bis 26 DGA nennen konkrete Anforderungen, denen diese Stellen entsprechen müssen. In einigen Mitgliedstaaten wurden unter anderem Minister, aber auch Telekommunikations-Aufsichtsbehörden oder Datenschutzbehörden^[53] mit diesen Aufgaben betraut.^[54]

Der DZG-Entwurf sieht folgende Zuständigkeiten vor:

Zu beachten ist, dass die Aufgaben der Datenschutzbehörden unberührt bleiben. Es ist eine effektive Zusammenarbeit zwischen den ernannten Behörden mit den Datenschutzbehörden sicherzustellen (Art 13 Abs 3 DGA, Art 23 Abs 3 DGA, ErwGr 4). Dasselbe gilt laut Art 13 Abs 3 DGA für die Befugnisse der nationalen Wettbewerbsbehörden, der für Cybersicherheit zuständigen Behörden und anderer einschlägiger Fachbehörden.^[58]

Weiterführende Literatur

Einführungsbücher

• Knyrim, DGA - Data Governance Act (2023).
• Schreiber/Pommerening/Schoel, Der neue Data Act (DA) mit Data Governance Act (DGA) (2024, iE).
• Schreiber/Pommerening/Schoel, New Data Governance Act. A Practitioner's Guide (2023).
• Steinrötter (Hrsg), Europäische Plattformregulierung. DSA | DMA | P2B-VO | DGA | DA | AI Act | DSM-RL (2023).
• Steinrötter/Heinze/Denga (Hrsg), EU Platform Regulation. A Handbook (2025).

Kommentare

• Paschke/Rücker, Data Governance Act: DGA (2024).
• Specht/Hennemann, Data Governance Act (2023).
• Specht-Riemenschneider/Hennemann, Data Governance Act (2024, iE).
• Steinrötter, Europäische Plattformregulierung (2023).
• Wolff/Brink/v. Ungern-Sternberg, BeckOK Datenschutzrecht⁴⁹ (2024).

Weiterführende Links

• Europäische Kommission, Daten-Governance-Gesetz erläutert, https://digital-strategy.ec.europa.eu/de/policies/data-governance-act-explained.
• Bundeskanzleramt Österreich, Der europäische Weg für eine starke Datenwirtschaft, https://www.digitalaustria.gv.at/Themen/Daten.html.
• Europäische Kommission, Handbuch für Datenvermittlungsdienste, https://ec.europa.eu/newsroom/dae/redirection/document/97665.
• Europäische Kommission, Handbuch für datenaltruistische Organisationen, https://ec.europa.eu/newsroom/dae/redirection/document/97666.
• Europäische Kommission, Praktischer Leitfaden zum Daten-Governance-Gesetz, https://ec.europa.eu/newsroom/dae/redirection/document/108539.
• Europäische Kommission, Register der Datenvermittlungsdienste, https://digital-strategy.ec.europa.eu/de/policies/data-intermediary-services.
• Europäische Kommission, European data: Das offizielle Portal für Daten zu Europa, https://data.europa.eu/data/datasets?locale=en.
• Europäische Kommission, Liste der zuständigen nationalen Stellen und Behörden, https://ec.europa.eu/newsroom/dae/redirection/document/98966.
• International Data Spaces Association (IDSA), Data Spaces Radar, https://www.dataspaces-radar.org/radar/.

Nachweise