Data Governance Act (DGA): Unterschied zwischen den Versionen

Langtitel: VO (EU) 2022/868 des Europäischen Parlaments und des Rates vom 30. Mai 2022 über europäische Daten-Governance und zur Änderung der Verordnung (EU) 2018/1724 (Daten-Governance-Rechtsakt)

Kurztitel: Daten-Governance-Rechtsakt; Data Governance Act (DGA)

Kurzübersicht

Einführung

Hintergrund

Mit der Europäischen Datenstrategie^[1] verfolgt die EU das Ziel, einen Binnenmarkt für Daten zu schaffen, um eine EU-weite und branchenübergreifende Datenweitergabe zum Nutzen von Unternehmen, Forschenden und öffentlichen Verwaltungen zu ermöglichen. Dadurch soll die EU eine führende Rolle in der Datenwirtschaft übernehmen. Gleichzeitig sollen die hohen europäischen Datenschutz-, Sicherheits- und Ethik-Standards gewahrt bleiben. In Umsetzung dieser Version sollen Datenräume, etwa der Europäische Gesundheitsdatenraum, geschaffen werden.

Österreich hat auf den Grundsätzen der Europäischen Datenstrategie aufbauend im Oktober 2024 eine österreichische Datenstrategie^[2] veröffentlicht.^[3] Sie verfolgt drei zentrale Ziele für Verwaltung und Datenwirtschaft, um eine proaktive Datennutzung und eine ausgeprägte Datenkultur zu stärken. Die Strategie soll eine strukturierte und verantwortungsvolle Datennutzung zur Unterstützung evidenzbasierter Entscheidungen in der öffentlichen Verwaltung fördern und zur Entwicklung neuer Dienstleistungen und Produkte beitragen. Ein erweiterter Datenzugang soll staatliche Prozesse effizienter und transparenter gestalten.

Das Daten-Governance-Gesetz bietet gemeinsam mit dem Data Act den sektorübergreifenden Rahmen, die zentralen Säulen dieser Datennutzung im Binnenmarkt. Konkret soll der DGA den vertrauenswürdigen und sicheren Datenaustausch erleichtern.^[4] Datenvermittlungsdiensten soll in der Datenwirtschaft eine Schlüsselrolle zukommen, insbesondere zur Erleichterung des Datenaustauschs. (EG 27 DGA)

Die nationale Begleitgesetzgebung zum DGA soll im Datenzugangsgesetz (DZG) erfolgen. Ein Ministerialentwurf^[5] ist seit Anfang Oktober 2024 in Begutachtung. Die Begutachtungsfrist endet am 11.11.2024.^[6]

Struktur

Der DGA regelt (Art 1 Abs 1 lit a bis d DGA):

• Bedingungen für die Weiterverwendung von Daten bestimmter Datenkategorien, die im Besitz öffentlicher Stellen sind, innerhalb der Union;
• einen Anmelde- und Aufsichtsrahmen für die Erbringung von Datenvermittlungsdiensten;
• einen Rahmen für die freiwillige Eintragung von Einrichtungen, die für altruistische Zwecke zur Verfügung gestellte Daten erheben und verarbeiten und
• einen Rahmen für die Einsetzung eines Europäischen Dateninnovationsrats.

Der DGA soll sicherstellen, dass der geschützte Charakter der Daten gewahrt bleibt, insbesondere im Hinblick auf die Rechte und Interessen Dritter. Er verpflichtet zur Einhaltung von Vertraulichkeitsvorgaben. Zudem schließt er die Vergabe exklusiver Rechte zur Nutzung der Daten ausdrücklich aus, um einen fairen und transparenten Zugang zu gewährleisten.

Zu beachten ist, dass der DGA keine Verpflichtungen für öffentliche Stellen vorsieht, die Datenweiterverwendung zu erlauben. Der DGA befreit öffentliche Stellen nicht von etwaigen Geheimhaltungspflichten (Art 1 Abs 2 DGA). Die Zugangsgewährung zu amtlichen Dokumenten richtet sich somit weiterhin nach besonderen Vorschriften des Unionsrechts und des nationalen Rechts.

Grundprinzipien

Die Grundprinzipien des Digital Governance Act orientieren sich am sog "FAIR"-Konzept (EG 2):

• Findable (auffindbar),
• Accessible (zugänglich),
• Interoperable (interoperabel)
• Reusable (wiederverwendbar)

Anwendungsbereich

Sachlich

Der sachliche Anwendungsbereich des DGA erstreckt sich ausschließlich auf digitale Daten (Art 2 Nr 1 DGA), die im Besitz öffentlicher Stellen sind.

Der Begriff "Daten" ist weit zu verstehen und erfasst jegliche digitale Inhalte.^[7] Daten, die lediglich analog vorliegen, fallen somit nicht in den Anwendungsbereich. Beispiele sind Gesundheitsdaten, Mobilitätsdaten, Umweltdaten oder Agrardaten.^[8]

Der DGA enthält Bestimmungen über die Weiterverwendung von Daten, die

• im Besitz öffentlicher Stellen sind und
• aus den folgenden Gründen geschützt sind (Art 3 Abs 1 lit a bis d DGA):
  • geschäftliche Geheimhaltung, einschließlich Betriebsgeheimnisse, Berufsgeheimnisse, Unternehmensgeheimnisse,
  • statistische Geheimhaltung,
  • der Schutz geistigen Eigentums Dritter,
  • Datenschutz.

Daten, die im Besitz öffentlicher Stellen sind, sind vom Anwendungsbereich des DGA ausgenommen, wenn

• die Daten aus Gründen der öffentlichen Sicherheit, der Landesverteidigung oder der nationalen Sicherheit geschützt sind, oder
• die Bereitstellung der Daten nicht unter den öffentlichen Auftrag der betreffenden öffentlichen Stelle fällt.

Ausgenommen sind weiters Datenkategorien im Besitz folgender Einrichtungen (Art 3 Abs 2 DGA):

• öffentlicher Unternehmen,
• öffentlich-rechtlicher Rundfunkanstalten, sofern die Daten der Wahrnehmung eines öffentlichen Sendeauftrags dienen,
• Kultureinrichtungen^[9] und Bildungseinrichtungen.

Personell

Öffentliche Stellen

Die Regelungen zur Datenweiterverwendung adressieren alle in der EU tätigen öffentlichen Stellen. Das sind gem Art 2 Nr 17 DGA:

• Staat,
• Gebietskörperschaften,
• Einrichtungen des öffentlichen Rechts (zB Kammern, Universitäten, Religionsgemeinschaften, Anstalten oder Stiftungen des öffentlichen Rechts)^[10],
• Verbände, die aus einer oder mehreren dieser Körperschaften oder einer oder mehreren dieser Einrichtungen des öffentlichen Rechts bestehen.

Forschungseinrichtungen, die als öffentliche Stellen oder öffentlich-rechtliche Einrichtungen gegründet wurden, können erfasst sein (EG 12), nicht aber öffentliche Unternehmen.^[11]

Datenvermittlungsdienste

Unter Datenvermittlungsdienst ist gem Art 2 Nr 11 DGA ein Dienst zu verstehen, der eine unbestimmte Zahl von betroffenen Personen und Dateninhabern mit Datennutzern verbindet, um eine geschäftliche Beziehung zum Datenaustausch herzustellen. Nicht davon erfasst sind somit Dienste, die für geschlossene Nutzergruppen eingerichtet sind. Ist der Zugang zu den Daten etwa von der Zugehörigkeit zu einem Verein oder einem Unternehmen abhängig, liegt idR kein datenvermittlungsdienst iSd DGA vor.^[12]

• Dateninhaber (Art 2 Nr 8 DGA):
  • Eine juristische Person (inkl. öffentliche Stellen und internationale Organisationen) oder natürliche Person,
  • die selbst nicht die betroffene Person der Daten ist,
  • und nach EU- oder nationalem Recht befugt ist, Zugang zu den Daten (personenbezogen oder nicht-personenbezogen) zu gewähren oder diese weiterzugeben.

• Datennutzer (Art 2 Nr 9 DGA):
  • Eine natürliche oder juristische Person
  • die rechtmäßigen Zugang zu Daten (personenbezogen oder nicht-personenbezogen) hat,
  • und diese - bei personenbezogenen Daten unter Beachtung der DSGVO - für beliebige Zwecke (kommerziell oder nicht-kommerziell) nutzen darf.

Kategorien

Datenvermittlungsdienste lassen sich den folgenden 3 Kategorien zuordnen (Art 10 DGA):^[13]

a) Vermittlungsdienste zwischen Dateninhabern und potenziellen Datennutzern

Fallgruppen: Datenaustausch, Plattformen und Datenbanken, andere spezielle Infrastruktur

b) Vermittlungsdienste zwischen betroffenen und natürlichen Personen und Datennutzern

Fallgruppen: Datentreuhänder, Personal Information Management Systems (PIMS), Datenräume, Vermittlungsdienste zur Ausübung der DSGVO-Betroffenenrechte

c) Dienste von Datengenossenschaften:

Organisationen, die die kollektiven Datenrechte und -interessen ihrer Mitglieder verwalten und vertreten.

Datenaltruistische Organisationen

Datenaltruismus ist die freiwillige gemeinsame Nutzung von Daten ohne Gewinnerzielungsabsicht für Ziele von allgemeinem Interesse gem nationalem Recht, wie die Gesundheitsversorgung oder die wissenschaftliche Forschung (Art 2 Nr 16).

Räumlich

• Öffentliche Stellen sind vom DGA erfasst, wenn deren Zuständigkeitsbereich in der Europäischen Union liegt.

• Privatwirtschaftliche Akteure fallen in den Anwendungsbereich, wenn sie
  • ihren Sitz in der EU haben oder
  • ihre Dienste in der EU anbieten.

Zeitlich

Nach der Annahme am 16. Mai 2022 trat der DGA am 23. Juni 2022 in Kraft. Die Bestimmungen sind seit dem 24. September 2023 anwendbar.

Aufgrund mangelnder Umsetzung der nationalen Begleitgesetzgebung zur Durchführung des DGA in mehreren Mitgliedstaaten hat die Kommission bereits Vertragsverletzungsverfahren, unter anderem gegen Österreich und Deutschland, eingeleitet.^[14]

Zentrale Inhalte

Weiterverwendung geschützter Daten (Kap II)

Die Bestimmungen über die Weiterverwendung von Daten setzen zunächst voraus, dass die Daten die aufgrund einer nationalen oder unionsrechtlichen Rechtsgrundlage verarbeitet werden dürfen.

Bedingungen für die Weiterverwendung

Es obliegt den öffentlichen Stellen, dafür zu sorgen, dass einerseits der Schutz der Daten erhalten bleibt und andererseits die Weiterverwendung nach nationalen oder runionsrechtlichen Voraussetzungen ermöglicht wird.^[15]

Zu diesem Zweck erstellen die öffentlichen Stellen Bedingungen für die Weiterverwendung (Art 5 Abs 1 DGA). Diese Bedingungen dürfen gem Art 5 Abs 2 DGA nicht diskriminierend sein, dh, zwischen Weiterverwendern darf nicht unsachlich unterschieden werden.^[16] Weiters müssen sie transparent, verhältnismäßig und objektiv gerechtfertigt ausgestaltet sein und dürfen den Wettbewerb nicht behindern. Ein besonderer Fokus liegt auf der Förderung des Datenzugangs für kleine und mittlere Unternehmen (KMU)^[17] sowie Start-ups, um Innovation und wirtschaftliches Wachstum zu fördern (EG 2 DGA).

Folgende Maßnahmen können die öffentlichen Stellen gem Art 5 Abs 3 DGA zum Schutz der Daten ergreifen:

• Der Zugang zur Weiterverwendung kann davon abhängig gemacht werden, dass
  • personenbezogene Daten anonymisiert wurden,
  • vertrauliche Geschäftsinformationen verändert, aggregiert oder aufbereitet wurden.
• Der Zugang kann durch Fernzugriff oder in einer sicheren Verarbeitungsumgebung^[18] gewährt werden.
• Der Zugang kann innerhalb bestimmter Räumlichkeiten unter Einhaltung hoher Sicherheitsstandards erfolgen.

Die Bedingungen sind von den öffentlichen Stellen den nationalen Zentralen Informationsstellen zur Verfügung zu stellen, über welche diese zugänglich gemacht werden.

Es gilt grundsätzlich ein Verbot von Ausschließlichkeitsvereinbarungen. Nur in Ausnahmefällen kann bei allgemeinem Interesse eine öffentliche Stelle einem Unternehmen ein solches ausschließliches Recht unter sehr restriktiven Bedingungen gewähren (Art 4 DGA).^[19]

Antragsverfahren für die Weiterverwendung (Art 9 DGA)

Auf Antrag entscheidet zunächst die zuständige öffentliche Stelle über die Weiterverwendung der Daten. Hierfür hat sie grundsätzlich zwei Monate Zeit. Sollte der Antrag besonders umfangreich oder komplex sein, kann die Behörde diese Frist um maximal 30 Tage verlängern. In diesem Fall muss sie den Antragsteller schnellstmöglich informieren und die Gründe für die Verzögerung erläutern. Wenn es nach nationalem Recht kürzere Fristen gibt, gelten diese vorrangig.

Gegen die Entscheidung der öffentlichen Stelle besteht ein wirksamer Rechtsbehelfsanspruch jeder Person, die davon direkt betroffen ist. Die Ausgestaltung richtet sich nach nationalem Recht.

Datenvermittlungsdienste (Kap III)

Bei Datenvermittlungsdiensten handelt es sich um Organisatoren für die Nutzung oder Zusammenführung von Daten im Rahmen der gemeinsamen europäischen Datenräume. Sie bieten ein Alternativmodell zu den Datenverarbeitungspraktiken der Big-Tech-Plattformen. Bevor die Tätigkeit aufgenommen werden kann, ist eine Anmeldung durchzuführen.

• Neutralität und Transparenz - keine Monetarisierung der Daten
• Einzelpersonen und Unternehmen behalten die Kontrolle über ihre Daten

Anmeldung (Art 11 DGA)

Anbieter von Datenvermittlungsdiensten haben die zuständige nationale Behörde über ihre Absicht, einen derartigen Dienst zu betreiben, vorab zu informieren. Die Tätigkeit kann daher erst aufgenommen werden, nachem die Anmeldung erfolgt ist.

Die Kommission führt ein aktuelles Register aller angemeldeten Anbieter von Datenvermittlungsdiensten.

Behördenzuständigkeit

• Dienst mit Niederlassung in der EU: Zuständig ist die Behörde in dem Mitgliedstaat, in dem der Dienst seine Hauptniederlassung hat.
• Dienst ohne Niederlassung in der EU: Hat ein Anbieter keine Niederlassung in der EU, bietet seine Dienste aber in einem oder mehreren Mitgliedstaaten an, so ist ein gesetzlicher Vertreter in einem dieser Mitgliedstaaten zu benennen. Zuständig ist dann der Mitgliedstaat, in dem sich der gesetzliche Vertreter befindet.

Erforderliche Informationen

Folgende Informationen sind zwingend bei der Anmeldung zu übermitteln:

• den Rechtsstatus, die Rechtsform, die Eigentümerstruktur, die relevanten Tochtergesellschaften und, sofern gegeben, die Registernummer,
• die Anschrift der Hauptniederlassung in der Union, falls zutreffend, und die Anschrift einer etwaigen Zweigniederlassung in einem anderen Mitgliedstaat oder des gesetzlichen Vertreters,
• eine öffentliche Website mit vollständigen und aktuellen Informationen über den Anbieter und seine Tätigkeiten,
• die Kontaktpersonen und Kontaktangaben,
• eine Beschreibung des Datenvermittlungsdienstes und Angaben dazu, unter welche Kategorie dieser Datenvermittlungsdienst fällt,
• den voraussichtlichen Tag der Aufnahme der Tätigkeit, falls dies ein anderer als der Tag der Anmeldung ist.

Führen des Logos

Die Kommission hat gemeinsame Logos für anerkannte Anbieter von Datenvermittlungsdiensten eingeführt. Diese Logos sollen es den Interessenträgern erleichtern, vertrauenswürdige Akteure im Datenmarkt der EU zu identifizieren. Anbieter, die die im DGA festgelegten Anforderungen erfüllen und sich für die Nutzung der Logos entscheiden, müssen diese gut sichtbar auf allen Veröffentlichungen anbringen. Die Logos sind durch eine Verordnung geregelt und als Marken geschützt.

Das Logo kann von der offiziellen Website der Europäischen Union in diversen Formaten heruntergeladen werden.

Pflichten

Die Erbringung von Datenvermittlungsdiensten setzt die Einhaltung folgender Bedingungen voraus (Art 12 DGA):

• Zweckbindungsgrundsatz: Die Daten dürfen ausschließlich zur Bereitstellung für Datennutzer verwendet werden.
• Unahängigkeit: Die Dienstleistung erfolgt über eine separate juristische Person.
• Kopplungsverbot: Kommerzielle Bedingungen werden nicht von der Nutzung weiterer Dienste desselben Anbieters abhängig gemacht.
  • Praxistipp: Das Verbot gilt nicht gegenüber Betroffenen. Anbieter können daher die Erbringung von Datenvermittlungsdiensten gegenüber Betroffenen davon abhängig machen, dass diese andere Dienstleistungen des Unternehmens in Anspruch nehmen.^[20]
• Verwendung von Daten zur Dienstentwicklung: Daten, die in Bezug auf Tätigkeiten einer Person zur Erbringung des Datenvermittlungsdienstes erhoben werden, wie Zeit- oder Standortangaben, werden nur zur Entwicklung des Dienstes verwendet.
• Zurverfügungstellung der Daten: Daten, die in Bezug auf Tätigkeiten einer Person zur Erbringung des Datenvermittlungsdienstes erhoben werden, können auf Anfrage den Dateninhabern zur Verfügung gestellt werden.
  • Synergie mit der DSGVO: Natürliche Personen haben in Bezug auf ihre personenbezogenen Daten bereits aufgrund von Art 15 DSGVO Anspruch auf Auskunft über ihre Daten.^[21]
• Datenformat und Umwandlung: Die Daten werden im Originalformat bereitgestellt; Umwandlungen erfolgen nur zur Verbesserung der Interoperabilität oder auf Wunsch des Datennutzers.
  • Praxistipp: Lock-in-Effekte sind zu vermeiden.^[22]
• Zusätzliche Werkzeuge: Zusätzliche Dienste und Werkzeuge zur Erleichterung des Datenaustauschs (zB Anonymisierung, vorübergehende Speicherung, Konvertierung) werden nur auf ausdrücklichen Antrag oder mit Zustimmung der betroffenen Personen oder des Dateninhabers angeboten.
  • Praxistipp: Auch konkludente Willenserklärungen, die auf Initiative des Datenmittlers hin erteilt werden, sind möglich.^[23]
• Transparenz und Fairness: Der Zugang zu den Datenvermittlungsdiensten ist fair, transparent und nichtdiskriminierend.
  • Praxistipp: Transparenz kann durch Angaben auf der Website, die nach Art 11 zwingend einzurichten ist, gewährleistet werden.^[24]
• Betrugs- und Missbrauchsprävention: Der Anbieter verfügt über Verfahren, um betrügerische oder missbräuchliche Nutzung seiner Datenvermittlungsdienste zu verhindern.
  • Praxistipp: Anbieter sollten ein Compliance-System implementieren, das betrügerische oder missbräuchliche Nutzung identifiziert und gezielte Maßnahmen wie den Ausschluss von Nutzern ermöglicht, die gegen AGB oder gesetzliche Vorschriften verstoßen.^[25]
• Weiterführung bei Insolvenz: Bei Insolvenz stellt der Anbieter die fortlaufende Datenbereitstellung sicher und ermöglicht den Zugang zu den Daten. Datenvermittlungsdienste nach Art 10 lit b und lit c müssen Betroffenen und Datennutzern die Ausübung von Rechten ermöglichen.
  • Synergie mit Insolvenzrecht: Die Regelung kann in einem Spannungsverhältnis zum Insolvenzrecht stehen.^[26]
  • Synergie mit der DSGVO: Betroffenenrechte nach der DSGVO stehen ohnehin unabhängig von einer etwaigen Insolvenz zu.^[27]
• Interoperabilität: Der Anbieter gewährleistet Interoperabilität mit anderen Datenvermittlungsdiensten.
• Schutzmaßnahmen: Der Anbieter ergreift Maßnahmen, um rechtswidrige Datenübertragungen und den rechtwidrigen Zugang zu nicht personenbezogenen Daten zu verhindern.
  • Praxistipp: Als angemessene Maßnahmen zählen etwa die Verschlüsselung der Daten oder innerbetriebliche Vorgaben. Einschlägige technische Standards, Verhaltenskodizes und Zertifizierungen auf Unionsebene sind einzuhalten.^[28]
• Unterrichtung bei Datenmissbrauch: Dateninhaber werden bei unbefugter Datenübertragung oder -nutzung unverzüglich informiert.
  • Synergie mit der DSGVO: Nach Art 34 DSGVO sind im Falle eines Data Breaches betroffene Personen nur zu informieren, wenn ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen besteht. Der DGA verpflichtet hingegen zu einer Information bei jeder Verletzung nicht personenbezogener Daten, die Risiken spielen keine Rolle.
• Sicherheitsniveau: Es werden Maßnahmen für einen angemessenen Schutz nicht personenbezogener Daten und den höchsten Schutz sensibler wettbewerbsrelevanter Informationen (wie Informationen über Kund*innen, Produktionskosten, Kapazitäten)^[29] ergriffen.
  • Synergie mit der DSGVO: Art 32 DSGVO enthält eine entsprechende Verpflichtung in Bezug auf personenbezogene Daten: demnach sind geeignete technische und organisatorische Maßnahmen zu treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.
• Interessenwahrung für betroffene Personen: Anbieter, die für betroffene Personen tätig sind, handeln im Interesse der Betroffenen und informieren sie vor Erteilung einer Einwilligung auf prägnante, transparente, verständliche und leicht zugängliche Weise über die beabsichtigte Datennutzung und die üblichen Geschäftsbedingungen für solche Nutzungen.
• Werkzeuge zur Einholung von Einwilligungen, Widerrufsrecht und Informationen über Drittländer: Der Anbieter stellt Werkzeuge für die Einwilligungs- und Erlaubniserteilung, sowie zum Widerruf bereit und gibt ggf das Drittland, in dem die Datennutzung stattfinden soll, an.
• Protokollierpflicht: Der Anbieter führt ein Protokoll über seine Datenvermittlungstätigkeiten.
  • Synergie mit der DSGVO: Werden personenbezogene Daten verarbeitet, so bestehen bei der Protokollierpflicht Überschneidungen mit Art 30 Abs 1 DSGVO, der die Pflicht zur Führung eines Verarbeitungsverzeichnisses vorsieht.^[30]

Datenaltruistische Organisationen (Kap IV)

Datenaltruismus stellt ein innovatives Konzept in der europäischen Datenstrategie dar. Es ermöglicht die freiwillige gemeinsame Nutzung von Daten für Ziele von allgemeinem Interesse, ohne dass dafür ein Entgelt fließt. Grundlage ist die Einwilligung der betroffenen Personen oder die Erlaubnis der Dateninhaber. Die Ziele, die damit verfolgt werden, sind vielfältig und im nationalen Recht verankert - sie reichen von der Verbesserung der Gesundheitsversorgung über die Bekämpfung des Klimawandels bis hin zur wissenschaftlichen Forschung im allgemeinen Interesse. Daten können direkt bei natürlichen oder juristischen Personen gesammelt oder von Dritten, einschließlich öffentlicher Stellen, erhoben und weiterverarbeitet werden. Um den Prozess zu vereinfachen und zu harmonisieren, wurde ein europäisches Einwilligungsformular für Datenaltruismus eingeführt. Dieses Instrument fördert die transparente und ethische Nutzung von Daten für gesellschaftlich relevante Zwecke und stärkt gleichzeitig das Vertrauen der Bürgerinnen und Bürger in den Datenaustausch.

Eintragung

Folgende Voraussetzungen müssen erfüllt sein, damit eine Organisation eingetragen werden kann:

Die Einrichtung muss

• datenaltruistische Tätigkeiten durchführen;
• gemäß nationalem Recht Rechtspersönlichkeit haben, um ggf gemäß dem nationalen Recht Ziele von allgemeinem Interesse zu erreichen;
• selbst ohne Erwerbszweck tätig sein und rechtlich unabhängig von jeder Organisation, die Erwerbszwecke verfolgt, handeln;
• die Datenaltruismus-Tätigkeiten über eine Struktur ausüben, die von ihren anderen Tätigkeiten funktionell getrennt ist;
• dem Regelwerk gem Art 22 Abs 1 DGA entsprechen.

Führen des Logos

Anerkannte datenaltruistische Organisationen können das entsprechende Logo der Europäischen Kommission. Zusätzlich muss ein QR-Code zum öffentlichen EU-Register beigefügt werden. Diese Maßnahme soll Transparenz und Vertrauen auf dem Datenmarkt stärken.

Pflichten

Einheitliches europäisches elektronisches

Einwilligungsformular für datenaltruistische

Organisationen (Art 25 DGA)

Datenweitergabe in Drittländer

Um das hohe Schutzniveau der EU auch bei der Übermittlung von nicht personenbezogenen Daten an Drittländer zu wahren, wurden spezifische Garantien entwickelt. Diese verpflichten den Weiterverwender im Drittland, ein dem EU-Recht äquivalentes Schutzniveau für die betreffenden Daten sicherzustellen. Zudem muss er die Gerichtsbarkeit der EU in relevanten Fällen akzeptieren. Analog zur DSGVO sieht der Rechtsrahmen Instrumente wie Angemessenheitsbeschlüsse und Mustervertragsklauseln vor. Diese ermöglichen eine standardisierte und rechtssichere Übermittlung von Daten in Drittländer. Angemessenheitsbeschlüsse attestieren einem Drittland ein angemessenes Schutzniveau, während Mustervertragsklauseln vertragliche Garantien zwischen Datenexporteur und -importeur festlegen. Dieser Ansatz zielt darauf ab, den freien Datenverkehr zu fördern und gleichzeitig die europäischen Datenschutzstandards auch über die Grenzen der EU hinaus zu wahren.

Zentrale Informationsstellen

Die Mitgliedstaaten richten zentrale Informationsstellen ein, die potentiellen Datennutzer*innen Informationen darüber zur Verfügung stellen, welche Daten von welchen Behörden gespeichert werden.

Das Europäische Register für geschützte Daten im Besitz des öffentlichen Sektors (ERPD) bei der Kommission stellt darauf aufbauend ein durchsuchbares Register dieser Informationen bereit. Damit wird gewährleistet, dass die Weiterverwendung von Daten im Binnenmarkt und darüber hinaus erleichtert wird.

Europäischer Dateninnovationsrat (Kap VI)

Der Europäische Dateninnovationsrat spielt eine zentrale Rolle bei der Gestaltung der europäischen Datenwirtschaft. Seine Hauptaufgaben umfassen den Austausch bewährter Praktiken, insbesondere im Bereich der Datenvermittlung, des Datenaltruismus und der Nutzung nicht-offener öffentlicher Daten. Dabei liegt ein besonderer Fokus auf der Förderung sektorübergreifender Interoperabilitätsstandards. In seiner beratenden Funktion tauscht der Rat Informationen aus und bietet Expertise zu datenrelevanten Themen. Zudem besitzt er die Befugnis, Leitlinien für gemeinsame europäische Datenräume vorzuschlagen. Dies schließt Empfehlungen zum angemessenen Schutz von Datenübermittlungen außerhalb der Union ein, was angesichts der globalen Datenströme von großer Bedeutung ist. Durch diese vielfältigen Aufgaben trägt der Rat maßgeblich dazu bei, ein kohärentes und innovationsfreundliches Datenökosystem in Europa zu schaffen. (EG 53 f)

Zusammensetzung (Art 29 Abs 1 DGA)

• Vertreter*innen der für Datenvermittlungsdienste zuständigen nationalen Behörden,^[31]
• Vertreter*innen der für die Registrierung von datenaltruistischen Organisationen zuständigen nationalen Behörden,^[32]
• Vertreter*innen des Europäischen Datenschutzausschusses,
• Vertreter*innen des Europäischen Datenschutzbeauftragten,
• Vertreter*innen der Agentur der Europäischen Union für Cybersicherheit (ENISA),
• Vertreter*innen der Europäischen Kommission,
• Der/die KMU-Beauftragte der EU oder ein*e vom Netz der KMU-Beauftragten benannte*r Vertreter*in,
• Andere Vertreter*innen von maßgeblichen Stellen in bestimmten Sektoren und von Stellen mit spezifischen Fachkenntnissen.

Die Expert*innengruppe wird in thematische Untergruppen untergliedert (Art 29 Abs 2 DGA).

Aufgaben (Art 30 DGA)

In Art 30 lit a bis m DGA werden 13 Aufgaben des Dateninnovationsrates genannt. Diese lassen sich folgendermaßen zusammenfassen:^[33]

• Entwicklung einer einheitlichen Praxis bei der Umsetzung des DGA (Art 30 lit a bis c),
• Entwicklung einheitlicher Leitlinien zum Schutz von Daten und zur Cybersicherheit (Art 30 lit d und e),
• Beratung und Unterstützung der Kommission bei der Normentwicklung und -verbesserung (Art 30 lit f und g),
• Unterbreitung von Leitlinien zu gemeinsamen europäischen Datenräumen (Art 30 lit h),
• Erleichterung der Zusammenarbeit zwischen den Mitgliedstaaten und zwischen den nationalen Behörden (Art 30 lit i und j),
• Prüfung des Erlasses von Durchführungsrechtsakten gem Art 5 Abs 11 (Mustervertrtagsklauseln) und 12 DGA (Anerkennung eines angemessenen Schutzniveaus in Drittstaaten) (Art 30 lit k),
• Entwicklung eines europäischen Einwilligungsformulars für Datenaltruismus gem Art 25 Abs 1 (Art 30 lit l),
• Verbesserung des internationalen Regelungsumfelds, einschließlich der Normung (Art 30 lit m).

Fallbeispiele

Exemplarisch lassen sich einige Plattformen nennen:

Daten-Vermittlungsdienste

• Die Deutsche Telekom bietet mit dem Data Intelligence Hub eine Plattform an, auf der Unternehmen Informationen, wie Produktionsdaten, verwalten, bereitstellen und verwerten können.
• Agdatahub bietet basierend auf der Dawex-Technologie eine Plattform für landwirtschaftliche Daten. Sie ermöglicht den Datenaustausch in der Agrarbranche.

Organisationen für Datenaltruismus

• Die Smart Citizen-Plattform ermöglicht es Bürger*innen, Daten über Lärm und Luftverschmutzung in ihrer Umgebung zu teilen, die sie mit Sensoren erfassen. Behörden oder Wissenschafter*innen können diese Daten dann nutzen, um Lösungen zu entwickeln.
• Die deutsche Corona-Datenspende-App sammelte Daten wie Herzfrequenz, Körpertemperatur, Blutdruck und Schlafmuster, die freiwillig von Nutzenden von Fitness-Armbändern und Smartwatches übermittelt wurden. Diese Daten wurden Wissenschafter*innen zur Verfügung gestellt, um Corona-Hotspots rascher zu erkennen.

Synergien

Der DGA umfasst sektorenübergreifende Regelungen über den Datenaustausch und grundlegende Anforderungen an die Daten-Governance (EG 3 DGA).

Zum komplexen Verhältnis zu anderen Vorschriften enthält der DGA selbst einige Regelungen.

DSGVO

Der DGA gilt für geschützte Daten, worunter sowohl personenbezogene, als auch nicht personenbezogene Daten fallen können. Werden personenbezogene Daten verarbeitet, so kommen die Regeln der DSGVO^[34] und des Datenschutzgesetzes^[35] vorrangig zur Anwendung (EG 4, Art 1 Abs 3 DGA).^[36] Zu beachten ist, dass der DGA keine eigene Rechtsgrundlage für die Verarbeitung personenbezogener Daten schafft.

Auch die Datenschutzverordnung für die Stellen der EU (VO (EU) 2018/1725), die ePrivacy-RL (RL 2002/58/EG) sowie die JI-RL (RL (EU) 2016/680) lässt der DGA ausdrücklich unberührt (Art 1 Abs 3 DGA).

Datenschutzrechtliche Rollenverteilung

Der DGA enthält keine ausdrückliche Regelung zur Rollenverteilung zwischen der öffentlichen Stelle, die eine Weiterverwendung personenbezogener (nicht anonymisierte) Daten ermöglicht, und dem Datennutzer. Es wird vertreten, dass diese als gemeinsam Verantwortliche iSv Art 26 DSGVO anzusehen sind und konsequenterweise eine entsprechende Vereinbarung zur gemeinsamen Verantwortlichkeit abzuschließen haben.^[37]

Datenaltruistische Organisationen: Organisation ist Verantwortlicher iSd Art 4 Z 7 DSGVO.

Sektorspezifische Datenräume

Sektorspezifische EU-Rechtsvorschriften für konkrete Datenräume, beispielsweise der EHDS^[38] für den Gesundheitsbereich, sollen die allgemeinen Bestimmungen ergänzen und Regelungen für spezifische Datenräume unter Berücksichtigung der jeweiligen Branchenanforderungen schaffen.

Open Data-Regulierung

Die Open Data und PSI 2-RL^[39] regelt die Weiterverwendung nicht geschützter Daten, dh öffentlich zugänglicher Informationen (Open Data), die sich im Besitz des öffentlichen Sektors befinden (EG 8 Open Data und PSI 2-RL). Sie zielt darauf ab, den Wert öffentlicher Daten für Wirtschaft und Gesellschaft zu erhöhen, indem sie deren breite Zugänglichkeit und faire Nutzungsbedingungen fördert. Kernpunkte sind die kostenlose oder kostengünstige Bereitstellung von Daten, insbesondere für KMU und Start-ups, sowie die Einbeziehung von Daten öffentlicher Unternehmen und aus der Forschung. Die Richtlinie soll Innovation fördern, gesellschaftliche Herausforderungen adressieren und die Entwicklung neuer Technologien wie KI unterstützen. Die RL über offene Daten wurde in Österreich durch das Informationsweiterverwendungsgesetz 2022 (IWG 2022)^[40] umgesetzt.

Ua verpflichtet das IWG 2022 öffentliche Stellen sowie Öffentliche Unternehmen, Forscher, Forschungseinrichtungen und Forschungsförderungseinrichtungen dazu, Dokumente, die zur Weiterverwendung verfügbar sind, durch Bestandslisten und maschinenlesbare Formate zugänglich zu machen und mit dem Portal data.gv.at zu verknüpfen, sofern dies zumutbar ist (§ 11 IWG 2022).

Personenbezogene Daten und vertrauliche Geschäftsinformationen dürfen nach der Open Data und PSI 2-RL nur in anonymisierter oder aggregierter Form freigegeben werden. Der DGA ergänzt diese Richtlinie, indem Vorschriften für die Nutzung nicht-öffentlicher Daten vorgesehen werden, ohne den Schutz der Informationen zu beeinträchtigen.

Konsequenzen/Sanktionen

Sanktionen

Datenvermittlungsdienste: Verstöße gegen Art 11 (Anmeldung der Anbieter von Datenvermittlugnsdiensten) oder Art 12 (Bedingungen für die Erbringung von Datenvermittlungsdiensten) können durch die zuständige Behörde geahndet werden. Die Höhe etwaiger Geldbußen ist durch nationales Recht vorzusehen (Art 34 Abs 1 DGA).

oder abschreckende Geldstrafe (Art 14) verhängt werden: Auch private Rechtsdurchsetzung durch Mittbewerber oder Dateninhaber möglich

Rechtsbehelfe

- Jede natürliche oder juristische Person, die von einer Entscheidung einer öffentlichen Stelle bzw. einer zuständigen Stelle betroffen ist, sollte ein wirksames Recht auf gerichtliche Überprüfung dieser Entscheidung vor den Gerichten des Mitgliedstaates haben, in dem diese Stelle ihren Sitz hat.

- Die Mitgliedstaaten müssen auch ein System von Sanktionen für Verstöße gegen die Bestimmungen der Verordnung vorsehen.

Im DZG-Entwurf^[41] ist vorgesehen...

Kontroll- und Aufsichtsbehörden

Die Benennung von nationalen Behörden zur Überwachung von Datenvermittlungsdiensten und zur Errichtung eines Registers für datenaltruistische Organisationen obliegt den nationalen Gesetzgebern. Art 13 bis 26 DGA nennen konkrete Anforderungen, denen diese Behörden entsprechen müssen. In einigen Mitgliedstaaten wurden unter anderem Minister, aber auch Telekommunikations-Aufsichtsbehörden oder Datenschutzbehörden^[42] mit diesen Aufgaben betraut.^[43]

Der DZG-Entwurf^[44] sieht folgende Zuständigkeiten vor:

• Zentrale Informationsstelle (ZIS): die*der für Angelegenheiten der Digitalisierung zuständige Bundesminister*in (§ 4 Abs 1 DZG-Entwurf);
• Zuständige Behörde für Datenvermittlungsdienste und für die Registrierung von datenaltruistischen Organisationen: die*der für Angelegenheiten der Digitalisierung zuständige Bundesminister*in (§ 3 Abs 1 DZG-Entwurf);
• Zuständige Stellen: Werden erst durch VO des*der für Angelegenheiten der Digitalisierung zuständigen Bundesminister*in festgelegt (§ 5 Abs 2 DZG-Entwurf).

Wichtig ist, dass die Aufgaben der Datenschutzbehörden davon unberührt bleiben. Es ist eine effektive Zusammenarbeit zwischen den ernannten Behörden mit den Datenschutzbehörden sicherzustellen (Art 13 Abs 3 DGA, Art 23 Abs 3 DGA, EG 4). Dasselbe gilt laut Art 13 Abs 3 DGA für die Befugnisse der nationalen Wettbewerbsbehörden, der für Cybersicherheit zuständigen Behörden und anderer einschlägiger Fachbehörden.^[45]

Weiterführende Literatur

Einführungsbücher

• Knyrim, DGA - Data Governance Act (2023).
• Schreiber/Pommerening/Schoel, Der neue Data Act (DA) mit Data Governance Act (DGA) (2024, iE).
• Schreiber/Pommerening/Schoel, New Data Governance Act. A Practitioner's Guide (2023).
• Steinrötter (Hrsg), Europäische Plattformregulierung. DSA | DMA | P2B-VO | DGA | DA | AI Act | DSM-RL (2023).
• Steinrötter/Heinze/Denga (Hrsg), EU Platform Regulation. A Handbook (2025).

Kommentare

• Paschke/Rücker, Data Governance Act: DGA (2024).
• Specht/Hennemann, Data Governance Act (2023).
• Specht-Riemenschneider/Hennemann, Data Governance Act (2024, iE).
• Steinrötter, Europäische Plattformregulierung (2023).
• Wolff/Brink/v. Ungern-Sternberg, BeckOK Datenschutzrecht⁴⁹ (2024).

Weiterführende Links

• Europäische Kommission, Daten-Governance-Gesetz erläutert, https://digital-strategy.ec.europa.eu/de/policies/data-governance-act-explained.
• Bundeskanzleramt Österreich, Der europäische Weg für eine starke Datenwirtschaft, https://www.digitalaustria.gv.at/Themen/Daten.html.
• Europäische Kommssion, Handbuch für Datenvermittlungsdienste, https://ec.europa.eu/newsroom/dae/redirection/document/97665.
• Europäische Kommssion, Handbuch für datenaltruistische Organisationen, https://ec.europa.eu/newsroom/dae/redirection/document/97666.
• Europäische Kommission, Praktischer Leitfaden zum Daten-Governance-Gesetz, https://ec.europa.eu/newsroom/dae/redirection/document/108539.
• Europäische Kommision, Register der Datenvermittlungsdienste, https://digital-strategy.ec.europa.eu/de/policies/data-intermediary-services.
• Europäische Kommision, European data: Das offizielle Portal für Daten zu Europa, https://data.europa.eu/data/datasets?locale=en.
• Europäische Kommission, Liste der zuständigen nationalen Stellen und Behörden, https://ec.europa.eu/newsroom/dae/redirection/document/98966.
• International Data Spaces Association (IDSA), Data Spaces Radar, https://www.dataspaces-radar.org/radar/.

Nachweise