Data Governance Act (DGA): Unterschied zwischen den Versionen

Langtitel: VO (EU) 2022/868 des Europäischen Parlaments und des Rates vom 30. Mai 2022 über europäische Daten-Governance und zur Änderung der Verordnung (EU) 2018/1724 (Daten-Governance-Rechtsakt)

Kurztitel: Daten-Governance-Rechtsakt; Data Governance Act (DGA)

Kurzübersicht

Einführung

Mit der Europäischen Datenstrategie^[1] verfolgt die EU das Ziel, einen Binnenmarkt für Daten zu schaffen, um eine EU-weite und branchenübergreifende Datenweitergabe zum Nutzen von Unternehmen, Forschenden und öffentlichen Verwaltungen zu ermöglichen. Dadurch soll die EU eine führende Rolle in der Datenwirtschaft übernehmen. Gleichzeitig sollen die hohen europäischen Datenschutz-, Sicherheits- und Ethik-Standards gewahrt bleiben. In Umsetzung dieser Version sollen Datenräume, etwa der Europäische Gesundheitsdatenraum, geschaffen werden.

Das Daten-Governance-Gesetz bietet gemeinsam mit dem Data Act den sektorübergreifenden Rahmen, die zentralen Säulen dieser Datennutzung im Binnenmarkt. Konkret soll der DGA den vertrauenswürdigen und sicheren Datenaustausch erleichtern.^[2]

Die nationale Begleitgesetzgebung zum DGA soll im Datenzugangsgesetz (DZG) erfolgen. Ein Ministerialentwurf^[3] ist seit Anfang Oktober 2024 in Begutachtung. Die Begutachtungsfrist endet am 11.11.2024.^[4]

Struktur

Der DGA regelt (Art 1 Abs 1 lit a bis d DGA):

• Bedingungen für die Weiterverwendung von Daten bestimmter Datenkategorien, die im Besitz öffentlicher Stellen sind, innerhalb der Union;
• einen Anmelde- und Aufsichtsrahmen für die Erbringung von Datenvermittlungsdiensten;
• einen Rahmen für die freiwillige Eintragung von Einrichtungen, die für altruistische Zwecke zur Verfügung gestellte Daten erheben und verarbeiten und
• einen Rahmen für die Einsetzung eines Europäischen Dateninnovationsrats.

Der DGA soll sicherstellen, dass der geschützte Charakter der Daten gewahrt bleibt, insbesondere im Hinblick auf die Rechte und Interessen Dritter. Er verpflichtet zur Einhaltung von Vertraulichkeitsvorgaben. Zudem schließt er die Vergabe exklusiver Rechte zur Nutzung der Daten ausdrücklich aus, um einen fairen und transparenten Zugang zu gewährleisten.

Zu beachten ist, dass der DGA keine Verpflichtungen für öffentliche Stellen vorsieht, die Datenweiterverwendung zu erlauben. Der DGA befreit öffentliche Stellen nicht von etwaigen Geheimhaltungspflichten (Art 1 Abs 2 DGA). Die Zugangsgewährung zu amtlichen Dokumenten richtet sich somit weiterhin nach besonderen Vorschriften des Unionsrechts und des nationalen Rechts.

Grundprinzipien

Die Grundprinzipien des Digital Governance Act orientieren sich am sog "FAIR"-Konzept (EG 2):

• Findable (auffindbar),
• Accessible (zugänglich),
• Interoperable (interoperabel)
• Reusable (wiederverwendbar)

Anwendungsbereich

Sachlich

Der sachliche Anwendungsbereich des DGA erstreckt sich ausschließlich auf digitale Daten (Art 2 Z 1 DGA), die im Besitz öffentlicher Stellen sind.

Der Begriff "Daten" ist weit zu verstehen und erfasst jegliche digitale Inhalte.^[5] Daten, die lediglich analog vorliegen, fallen somit nicht in den Anwendungsbereich. Beispiele sind Gesundheitsdaten, Mobilitätsdaten, Umweltdaten oder Agrardaten.^[6]

Der DGA enthält Bestimmungen über die Weiterverwendung von Daten, die

• im Besitz öffentlicher Stellen sind und
• aus den folgenden Gründen geschützt sind (Art 3 Abs 1 lit a bis d DGA):
  • geschäftliche Geheimhaltung, einschließlich Betriebsgeheimnisse, Berufsgeheimnisse, Unternehmensgeheimnisse,
  • statistische Geheimhaltung,
  • der Schutz geistigen Eigentums Dritter,
  • Datenschutz.

Daten, die im Besitz öffentlicher Stellen sind, sind vom Anwendungsbereich des DGA ausgenommen, wenn

• die Daten aus Gründen der öffentlichen Sicherheit, der Landesverteidigung oder der nationalen Sicherheit geschützt sind, oder
• die Bereitstellung der Daten nicht unter den öffentlichen Auftrag der betreffenden öffentlichen Stelle fällt.

Ausgenommen sind weiters Datenkategorien im Besitz folgender Einrichtungen (Art 3 Abs 2 DGA):

• öffentlicher Unternehmen,
• öffentlich-rechtlicher Rundfunkanstalten, sofern die Daten der Wahrnehmung eines öffentlichen Sendeauftrags dienen,
• Kultureinrichtungen^[7] und Bildungseinrichtungen.

Personell

Öffentliche Stellen

Die Regelungen zur Datenweiterverwendung adressieren alle in der EU tätigen öffentlichen Stellen. Das sind gem Art 2 Z 17 DGA:

• Staat,
• Gebietskörperschaften,
• Einrichtungen des öffentlichen Rechts (zB Kammern, Universitäten, Religionsgemeinschaften, Anstalten oder Stiftungen des öffentlichen Rechts)^[8],
• Verbände, die aus einer oder mehreren dieser Körperschaften oder einer oder mehreren dieser Einrichtungen des öffentlichen Rechts bestehen.

Forschungseinrichtungen, die als öffentliche Stellen oder öffentlich-rechtliche Einrichtungen gegründet wurden, können erfasst sein (EG 12), nicht aber öffentliche Unternehmen.^[9]

Datenvermittlungsdienste

Unter Datenvermittlungsdienst ist gem Art 2 Z 11 DGA ein Dienst zu verstehen, der eine unbestimmte Zahl von betroffenen Personen und Dateninhabern mit Datennutzern verbindet, um eine geschäftliche Beziehung zum Datenaustausch herzustellen. Nicht davon erfasst sind somit Dienste, die für geschlossene Nutzergruppen eingerichtet sind.

Datenaltruistische Organisationen

Datenaltruismus ist die freiwillige gemeinsame Nutzung von Daten ohne Gewinnerzielungsabsicht für Ziele von allgemeinem Interesse gem nationalem Recht, wie die Gesundheitsversorgung oder die wissenschaftliche Forschung (Art 2 Z 16).

Räumlich

• Öffentliche Stellen sind vom DGA erfasst, wenn deren Zuständigkeitsbereich in der Europäischen Union liegt.

• Privatwirtschaftliche Akteure fallen in den Anwendungsbereich, wenn sie
  • ihren Sitz in der EU haben oder
  • ihre Dienste in der EU anbieten.

Zeitlich

Nach der Annahme am 16. Mai 2022 trat der DGA am 23. Juni 2022 in Kraft. Die Bestimmungen sind seit dem 24. September 2023 anwendbar.

Aufgrund mangelnder Umsetzung der nationalen Begleitgesetzgebung zur Durchführung des DGA in mehreren Mitgliedstaaten hat die Kommission bereits Vertragsverletzungsverfahren, unter anderem gegen Österreich und Deutschland, eingeleitet.^[10]

Zentrale Inhalte

Weiterverwendung geschützter Daten (Kap II)

Die Bestimmungen über die Weiterverwendung von Daten setzen zunächst voraus, dass die Daten die aufgrund einer nationalen oder unionsrechtlichen Rechtsgrundlage verarbeitet werden dürfen.

Bedingungen für die Weiterverwendung

Es obliegt den öffentlichen Stellen, dafür zu sorgen, dass einerseits der Schutz der Daten erhalten bleibt und andererseits die Weiterverwendung nach nationalen oder runionsrechtlichen Voraussetzungen ermöglicht wird.^[11]

Zu diesem Zweck erstellen die öffentlichen Stellen Bedingungen für die Weiterverwendung (Art 5 Abs 1 DGA). Diese Bedingungen dürfen gem Art 5 Abs 2 DGA nicht diskriminierend sein, dh, zwischen Weiterverwendern darf nicht unsachlich unterschieden werden.^[12] Weiters müssen sie transparent, verhältnismäßig und objektiv gerechtfertigt ausgestaltet sein und dürfen den Wettbewerb nicht behindern. Ein besonderer Fokus liegt auf der Förderung des Datenzugangs für kleine und mittlere Unternehmen (KMU)^[13] sowie Start-ups, um Innovation und wirtschaftliches Wachstum zu fördern (EG 2 DGA).

Die Bedingungen sind von den öffentlichen Stellen den nationalen Zentralen Informationsstellen zur Verfügung zu stellen, über welche diese zugänglich gemacht werden.

Es gilt grundsätzlich ein Verbot von Ausschließlichkeitsvereinbarungen. Nur in Ausnahmefällen kann bei allgemeinem Interesse eine öffentliche Stelle einem Unternehmen ein solches ausschließliches Recht unter sehr restriktiven Bedingungen gewähren (Art 4 DGA).^[14]

Antragsverfahren für die Weiterverwendung (Art 9 DGA)

Pflichten für öffentliche Stellen

Öffentliche Stellen sind gem Art 5 Abs 3 DGA verpflichtet, dafür zu sorgen, dass die Daten geschützt bleiben. Folgende Maßnahmen können sie zu diesem Zweck ergreifen:

• Der Zugang zur Weiterverwendung kann davon abhängig gemacht werden, dass
  • personenbezogene Daten anonymisiert wurden,
  • vertrauliche Geschäftsinformationen verändert, aggregiert oder aufbereitet wurden.
• Der Zugang kann durch Fernzugriff oder in einer sicheren Verarbeitungsumgebung^[15] gewährt werden.
• Der Zugang kann innerhalb bestimmter Räumlichkeiten unter Einhaltung hoher Sicherheitsstandards erfolgen.

##^[16]

Pflichten für Weiterverwender

-durch Fernzugriff in einer von der öffentlichen Stelle bereitgestellten oder kontrollierten sicheren Verarbeitungsumgebung oder

-unter Einhaltung hoher Sicherheitsstandards innerhalb der physischen Räumlichkeiten, in denen sich die sichere Verarbeitungsumgebung befindet, sofern ein Fernzugriff nicht erlaubt werden kann, ohne die Rechte und Interessen Dritter zu gefährden

Datenvermittlungsdienste (Kap III)

Bei Datenvermittlungsdiensten handelt es sich um Organisatoren für die Nutzung oder Zusammenführung von Daten im Rahmen der gemeinsamen europäischen Datenräume. Sie bieten ein Alternativmodell zu den Datenverarbeitungspraktiken der Big-Tech-Plattformen. Bevor die Tätigkeit aufgenommen werden kann, ist eine Anmeldung durchzuführen.

• Neutralität und Transparenz - keine Monetarisierung der Daten
• Einzelpersonen und Unternehmen behalten die Kontrolle über ihre Daten

Anmeldung (Art 11 DGA)

Anbieter von Datenvermittlungsdiensten habe die zuständige nationale Behörde über ihre Absicht, einen derartigen Dienst zu betreiben, zu informieren. Zuständig ist die Behörde in dem Mitgliedstaat, in dem der Dienst seine Hauptniederlassung hat. Hat ein Anbieter keine Niederlassung in der EU, bietet seine Dienste aber einem oder mehreren Mitgliedstaaten an, so ist ein gesetzlicher Vertreter in einem dieser Mitgliedstaaten zu benennen.

Die Kommission führt ein aktuelles Register aller Anbieter von Datenvermittlungsdiensten.

Folgende Informationen sind bei der Anmeldung zu übermitteln:

b) den Rechtsstatus, die Rechtsform, die Eigentümerstruktur, die relevanten Tochtergesellschaften und, sofern der Anbieter

von Datenvermittlungsdiensten in einem Handelsregister oder einem anderen vergleichbaren öffentlichen nationalen

Register eingetragen ist, die Registernummer des Anbieters von Datenvermittlungsdiensten,

c) die Anschrift der Hauptniederlassung des Anbieters von Datenvermittlungsdiensten in der Union, falls zutreffend, und

die Anschrift einer etwaigen Zweigniederlassung in einem anderen Mitgliedstaat oder des gesetzlichen Vertreters,

d) eine öffentliche Website mit vollständigen und aktuellen Informationen über den Anbieter von Datenvermittlungs

diensten und seine Tätigkeiten, einschließlich mindestens der Informationen gemäß den Buchstaben a, b, c und f,

e) die Kontaktpersonen und Kontaktangaben des Anbieters von Datenvermittlungsdiensten,

f) eine Beschreibung des Datenvermittlungsdienstes, den der Anbieter von Datenvermittlungsdiensten zu erbringen

beabsichtigt, und Angaben dazu, unter welche der in Artikel 10 genannten Kategorien dieser Datenvermittlungsdienst

fällt,

g) den voraussichtlichen Tag der Aufnahme der Tätigkeit, falls dies ein anderer als der Tag der Anmeldung ist.

Führen des Logos

Im Rahmen der Umsetzung des Daten-Governance-Gesetzes (DGA) hat die Europäische Kommission gemeinsame Logos für anerkannte Anbieter von Datenvermittlungsdiensten und datenaltruistischen Organisationen eingeführt. Diese Logos sollen es den Interessenträgern erleichtern, vertrauenswürdige Akteure im Datenmarkt der EU zu identifizieren. Anbieter, die die im DGA festgelegten Anforderungen erfüllen und sich für die Nutzung der Logos entscheiden, müssen diese gut sichtbar auf allen Veröffentlichungen anbringen. Die Logos sind durch eine Verordnung geregelt und als Marken geschützt.

Das Logo kann von der offiziellen Website der Europäischen Union in diversen Formaten heruntergeladen werden.

Datenaltruismus

Datenaltruismus stellt ein innovatives Konzept in der europäischen Datenstrategie dar. Es ermöglicht die freiwillige gemeinsame Nutzung von Daten für Ziele von allgemeinem Interesse, ohne dass dafür ein Entgelt fließt. Grundlage ist die Einwilligung der betroffenen Personen oder die Erlaubnis der Dateninhaber. Die Ziele, die damit verfolgt werden, sind vielfältig und im nationalen Recht verankert - sie reichen von der Verbesserung der Gesundheitsversorgung über die Bekämpfung des Klimawandels bis hin zur wissenschaftlichen Forschung im allgemeinen Interesse. Daten können direkt bei natürlichen oder juristischen Personen gesammelt oder von Dritten, einschließlich öffentlicher Stellen, erhoben und weiterverarbeitet werden. Um den Prozess zu vereinfachen und zu harmonisieren, wurde ein europäisches Einwilligungsformular für Datenaltruismus eingeführt. Dieses Instrument fördert die transparente und ethische Nutzung von Daten für gesellschaftlich relevante Zwecke und stärkt gleichzeitig das Vertrauen der Bürgerinnen und Bürger in den Datenaustausch.

Führen des Logos

Anerkannte datenaltruistische Organisationen können das entsprechende Logo der Europäischen Kommission. Zusätzlich muss ein QR-Code zum öffentlichen EU-Register beigefügt werden. Diese Maßnahme soll Transparenz und Vertrauen auf dem Datenmarkt stärken.

Datenweitergabe in Drittländer

Um das hohe Schutzniveau der EU auch bei der Übermittlung von nicht personenbezogenen Daten an Drittländer zu wahren, wurden spezifische Garantien entwickelt. Diese verpflichten den Weiterverwender im Drittland, ein dem EU-Recht äquivalentes Schutzniveau für die betreffenden Daten sicherzustellen. Zudem muss er die Gerichtsbarkeit der EU in relevanten Fällen akzeptieren. Analog zur DSGVO sieht der Rechtsrahmen Instrumente wie Angemessenheitsbeschlüsse und Mustervertragsklauseln vor. Diese ermöglichen eine standardisierte und rechtssichere Übermittlung von Daten in Drittländer. Angemessenheitsbeschlüsse attestieren einem Drittland ein angemessenes Schutzniveau, während Mustervertragsklauseln vertragliche Garantien zwischen Datenexporteur und -importeur festlegen. Dieser Ansatz zielt darauf ab, den freien Datenverkehr zu fördern und gleichzeitig die europäischen Datenschutzstandards auch über die Grenzen der EU hinaus zu wahren.

Zentrale Informationsstellen

Die Mitgliedstaaten richten zentrale Informationsstellen ein, die potentiellen Datennutzer*innen Informationen darüber zur Verfügung stellen, welche Daten von welchen Behörden gespeichert werden.

Das Europäische Register für geschützte Daten im Besitz des öffentlichen Sektors (ERPD) bei der Kommission stellt darauf aufbauend ein durchsuchbares Register dieser Informationen bereit. Damit wird gewährleistet, dass die Weiterverwendung von Daten im Binnenmarkt und darüber hinaus erleichtert wird.

Europäischer Dateninnovationsrat (Art 29 f)

Der Europäische Dateninnovationsrat spielt eine zentrale Rolle bei der Gestaltung der europäischen Datenwirtschaft. Seine Hauptaufgaben umfassen den Austausch bewährter Praktiken, insbesondere im Bereich der Datenvermittlung, des Datenaltruismus und der Nutzung nicht-offener öffentlicher Daten. Dabei liegt ein besonderer Fokus auf der Förderung sektorübergreifender Interoperabilitätsstandards. In seiner beratenden Funktion tauscht der Rat Informationen aus und bietet Expertise zu datenrelevanten Themen. Zudem besitzt er die Befugnis, Leitlinien für gemeinsame europäische Datenräume vorzuschlagen. Dies schließt Empfehlungen zum angemessenen Schutz von Datenübermittlungen außerhalb der Union ein, was angesichts der globalen Datenströme von großer Bedeutung ist. Durch diese vielfältigen Aufgaben trägt der Rat maßgeblich dazu bei, ein kohärentes und innovationsfreundliches Datenökosystem in Europa zu schaffen.

(EG 53 f)

Zusammensetzung (Art 29 Abs 1 DGA)

• Vertreter der für Datenvermittlungsdienste zuständigen nationalen Behörden,^[17]
• Vertreter der für die Registrierung von datenaltruistischen Organisationen zuständigen nationalen Behörden,^[18]
• Vertreter des Europäischen Datenschutzausschusses,
• Vertreter des Europäischen Datenschutzbeauftragten,
• Vertreter der Agentur der Europäischen Union für Cybersicherheit (ENISA),
• Vertreter der Europäischen Kommission,
• Der KMU-Beauftragte der EU oder ein vom Netz der KMU-Beauftragten benannter Vertreter,
• Andere Vertreter von maßgeblichen Stellen in bestimmten Sektoren und von Stellen mit spezifischen Fachkenntnissen.

Die Expertengruppe wird in thematische Untergruppen untergliedert (Art 29 Abs 2 DGA).

Aufgaben (Art 30 DGA)

In Art 30 lit a bis m DGA werden 13 Aufgaben des Dateninnovationsrates genannt. Diese lassen sich grob folgendermaßen zusammenfassen:^[19]

• Entwicklung einer einheitlichen Praxis bei der Umsetzung des DGA (Art 30 lit a bis c),
• Entwicklung einheitlicher Leitlinien zum Schutz von Daten und zur Cybersicherheit (Art 30 lit d und e),
• Beratung und Unterstützung der Kommission bei der Normentwicklung und -verbesserung (Art 30 lit f und g),
• Unterbreitung von Leitlinien zu gemeinsamen europäischen Datenräumen (Art 30 lit h),
• Erleichterung der Zusammenarbeit zwischen den Mitgliedstaaten und zwischen den nationalen Behörden (Art 30 lit i und j),
• Prüfung des Erlasses von Durchführungsrechtsakten gem Art 5 Abs 11 (Mustervertrtagsklauseln) und 12 DGA (Anerkennung eines angemessenen Schutzniveaus in Drittstaaten) (Art 30 lit k),
• Entwicklung eines europäischen Einwilligungsformulars für Datenaltruismus gem Art 25 Abs 1 (Art 30 lit l),
• Verbesserung des internationalen Regelungsumfelds, einschließlich der Normung (Art 30 lit m).

Fallbeispiele

Exemplarisch lassen sich einige Plattformen nennen:

Daten-Vermittlungsdienste

• Die Deutsche Telekom bietet mit dem Data Intelligence Hub eine Plattform an, auf der Unternehmen Informationen, wie Produktionsdaten, verwalten, bereitstellen und verwerten können.
• Agdatahub bietet basierend auf der Dawex-Technologie eine Plattform für landwirtschaftliche Daten. Sie ermöglicht den Datenaustausch in der Agrarbranche.

Organisationen für Datenaltruismus

• Die Smart Citizen-Plattform ermöglicht es Bürger*innen, Daten über Lärm und Luftverschmutzung in ihrer Umgebung zu teilen, die sie mit Sensoren erfassen. Behörden oder Wissenschafter*innen können diese Daten dann nutzen, um Lösungen zu entwickeln.
• Die deutsche Corona-Datenspende-App sammelte Daten wie Herzfrequenz, Körpertemperatur, Blutdruck und Schlafmuster, die freiwillig von Nutzenden von Fitness-Armbändern und Smartwatches übermittelt wurden. Diese Daten wurden Wissenschafter*innen zur Verfügung gestellt, um Corona-Hotspots rascher zu erkennen.

Synergien

Der DGA umfasst sektorenübergreifende Regelungen über den Datenaustausch und grundlegende Anforderungen an die Daten-Governance (EG 3 DGA).

Zum Verhältnis zu anderen Vorschriften....^[20] Ob die Daten überhaupt verwendet werden dürfen, richtet sich aber nach anderen unionsrechtlichen oder nationalen Vorschriften.

DSGVO

Der DGA gilt für geschützte Daten, worunter sowohl personenbezogene, als auch nicht personenbezogene Daten fallen können. Werden personenbezogene Daten verarbeitet, so kommen die Regeln der DSGVO^[21] und des Datenschutzgesetzes^[22] vorrangig zur Anwendung (EG 4, Art 1 Abs 3 DGA).^[23] Zu beachten ist, dass der DGA keine eigene Rechtsgrundlage für die Verarbeitung personenbezogener Daten schafft.

Auch die Datenschutzverordnung für die Stellen der EU (VO (EU) 2018/1725), die ePrivacy-RL (RL 2002/58/EG) sowie die JI-RL (RL (EU) 2016/680) bleiben ausdrücklich unberührt (Art 1 Abs 3 DGA).

Sektorspezifische Datenräume

Sektorspezifische EU-Rechtsvorschriften für konkrete Datenräume, beispielsweise der EHDS^[24] für den Gesundheitsbereich, sollen die allgemeinen Bestimmungen ergänzen und Regelungen für spezifische Datenräume unter Berücksichtigung der jeweiligen Branchenanforderungen schaffen.

Open Data-Regulierung

Die Open Data und PSI 2-RL^[25] regelt die Weiterverwendung nicht geschützter Daten, dh öffentlich zugänglicher Informationen (Open Data), die sich im Besitz des öffentlichen Sektors befinden (EG 8 Open Data und PSI 2-RL). Sie zielt darauf ab, den Wert öffentlicher Daten für Wirtschaft und Gesellschaft zu erhöhen, indem sie deren breite Zugänglichkeit und faire Nutzungsbedingungen fördert. Kernpunkte sind die kostenlose oder kostengünstige Bereitstellung von Daten, insbesondere für KMU und Start-ups, sowie die Einbeziehung von Daten öffentlicher Unternehmen und aus der Forschung. Die Richtlinie soll Innovation fördern, gesellschaftliche Herausforderungen adressieren und die Entwicklung neuer Technologien wie KI unterstützen. Die RL über offene Daten wurde in Österreich durch das Informationsweiterverwendungsgesetz 2022 (IWG 2022)^[26] umgesetzt.

Personenbezogene Daten und vertrauliche Geschäftsinformationen dürfen nach der RL über offene Daten nur in anonymisierter oder aggregierter Form freigegeben werden. Der DGA ergänzt diese Richtlinie, indem er Vorschriften und Garantien für die Nutzung nicht-öffentlicher Datenbanken einführt, um wertvolles Wissen zu gewinnen, ohne den Schutz der Informationen zu beeinträchtigen.

Konsequenzen/Sanktionen

Sanktionen

...

Rechtsbehelfe

- Jede natürliche oder juristische Person, die von einer Entscheidung einer öffentlichen Stelle bzw. einer zuständigen Stelle betroffen ist, sollte ein wirksames Recht auf gerichtliche Überprüfung dieser Entscheidung vor den Gerichten des Mitgliedstaates haben, in dem diese Stelle ihren Sitz hat.

- Die Mitgliedstaaten müssen auch ein System von Sanktionen für Verstöße gegen die Bestimmungen der Verordnung vorsehen.

Im DZG-Entwurf^[27] ist vorgesehen...

Kontroll- und Aufsichtsbehörden

Die Benennung von nationalen Behörden zur Überwachung von Datenvermittlungsdiensten und zur Errichtung eines Registers für datenaltruistische Organisationen obliegt den nationalen Gesetzgebern. Art 13 bis 26 DGA nennen konkrete Anforderungen, denen diese Behörden entsprechen müssen. In einigen Mitgliedstaaten wurden unter anderem Minister, aber auch Telekommunikations-Aufsichtsbehörden oder Datenschutzbehörden^[28] mit diesen Aufgaben betraut.^[29]

Der DZG-Entwurf^[30] sieht folgende Zuständigkeiten vor:

• Zentrale Informationsstelle (ZIS): die*der für Angelegenheiten der Digitalisierung zuständige Bundesminister*in (§ 4 Abs 1 DZG-Entwurf);
• Zuständige Behörde für Datenvermittlungsdienste und für die Registrierung von datenaltruistischen Organisationen: die*der für Angelegenheiten der Digitalisierung zuständige Bundesminister*in (§ 3 Abs 1 DZG-Entwurf);
• Zuständige Stellen: Werden erst durch VO des*der für Angelegenheiten der Digitalisierung zuständigen Bundesminister*in festgelegt (§ 5 Abs 2 DZG-Entwurf).

Wichtig ist, dass die Aufgaben der Datenschutzbehörden davon unberührt bleiben. Es ist eine effektive Zusammenarbeit zwischen den ernannten Behörden mit den Datenschutzbehörden sicherzustellen (Art 13 Abs 3 DGA, Art 23 Abs 3 DGA, EG 4). Dasselbe gilt laut Art 13 Abs 3 DGA für die Befugnisse der nationalen Wettbewerbsbehörden, der für Cybersicherheit zuständigen Behörden und anderer einschlägiger Fachbehörden.^[31]

Weiterführende Literatur

Einführungsbücher

• Knyrim, DGA - Data Governance Act (2023).
• Schreiber/Pommerening/Schoel, Der neue Data Act (DA) mit Data Governance Act (DGA) (2024, iE).
• Schreiber/Pommerening/Schoel, New Data Governance Act. A Practitioner's Guide (2023).
• Steinrötter (Hrsg), Europäische Plattformregulierung. DSA | DMA | P2B-VO | DGA | DA | AI Act | DSM-RL (2023).
• Steinrötter/Heinze/Denga (Hrsg), EU Platform Regulation. A Handbook (2025).

Kommentare

• Paschke/Rücker, Data Governance Act: DGA (2024).
• Specht/Hennemann, Data Governance Act (2023).
• Specht-Riemenschneider/Hennemann, Data Governance Act (2024, iE).
• Steinrötter, Europäische Plattformregulierung (2023).
• Wolff/Brink/v. Ungern-Sternberg, BeckOK Datenschutzrecht⁴⁹ (2024).

Weiterführende Links

• Europäische Kommission, Daten-Governance-Gesetz erläutert, https://digital-strategy.ec.europa.eu/de/policies/data-governance-act-explained.
• Bundeskanzleramt Österreich, Der europäische Weg für eine starke Datenwirtschaft, https://www.digitalaustria.gv.at/Themen/Daten.html.
• Europäische Kommssion, Handbuch für Datenvermittlungsdienste, https://ec.europa.eu/newsroom/dae/redirection/document/97665.
• Europäische Kommssion, Handbuch für datenaltruistische Organisationen, https://ec.europa.eu/newsroom/dae/redirection/document/97666.
• Europäische Kommission, Praktischer Leitfaden zum Daten-Governance-Gesetz, https://ec.europa.eu/newsroom/dae/redirection/document/108539.
• Europäische Kommision, Register der Datenvermittlungsdienste, https://digital-strategy.ec.europa.eu/de/policies/data-intermediary-services.
• Europäische Kommision, European data: Das offizielle Portal für Daten zu Europa, https://data.europa.eu/data/datasets?locale=en.
• Europäische Kommission, Liste der zuständigen nationalen Stellen und Behörden, https://ec.europa.eu/newsroom/dae/redirection/document/98966.
• International Data Spaces Association (IDSA), Data Spaces Radar, https://www.dataspaces-radar.org/radar/.

Nachweise