EU-Data Governance Act

Ende November hat die EU-Kommission in Brüssel den Gesetzvorschlag zum Data Governance Act vorgestellt. Damit liegt sie in ihrem eigenen Zeitplan, der im Februar 2020 in der EU-Datenstrategie vorgestellt wurde, europäische Datenräume für die verschiedenen Sektoren in der EU zu schaffen. Der Data Governance Act ist der erste Teil der Strategie und soll 2021 durch einen weiteren Vorschlag zu hochwertigen Datensätzen, dem Data Act, ergänzt werden.

Das Ziel des Data Governance Act ist es, die Hürden und rechtlichen Bedenken für das Teilen von sensiblen Daten zu beseitigen. Damit sensible Daten verarbeitet werden können, sollen diese durch eine staatliche Behörde in einer angemessenen Weise (z.B. pseudonymisiert, anonymisiert, generalisiert, unterdrückt oder randomisiert) und vor allem interoperabel aufgearbeitet werden. Es können auch einzelne Datensätze zurückgehalten werden, wenn eine der oben genannten Maßnahmen nicht zu einem gewünschten Maß an Datenschutz führt. Diese Daten sollen dann von neutralen Datenmittlern treuhändisch verwaltet werden. Diese Intermediären dürfen die Daten selbst nicht verarbeiten, sondern nur den Datenendnutzern zur Verfügung stellen. Ein solcher Intermediär muss seinen Sitz nicht in einem EU-Mitgliedstaat haben, aber mindestens einen rechtlichen Vertreter in einem Mitgliedstaat benennen und darf dann in der ganzen EU operieren. Auch die Speicherung der Daten durch den Intermediär muss nicht in der EU erfolgen. Allerdings muss sich dieser verpflichten, auch im Drittland die in der EU geltenden Datenschutzrichtlinien einzuhalten. Außerdem kann die EU-Kommission Drittstaaten als „sicher“ einstufen, wenn dort ein ähnliches Niveau in Bezug auf Datenschutz besteht.

Für die Kontrolle der Intermediären ist jeweils eine von den Mitgliedstaaten zu schaffende Aufsichtsbehörde im jeweiligen Hauptsitz des einzelnen Intermediären zuständig. Alle bei den nationalen Aufsichtsbehörden gemeldeten Intermediäre müssen ebenfalls an die EU-Kommission gemeldeten werden, die wiederum ein zentrales Register über alle in der EU zugelassenen Intermediären führt. Dadurch,dass die ausschließliche Zuständigkeit bei den Kontrollbehörden liegt, in dem der Intermediär seinen Hauptsitz angemeldet hat, führt es dazu, dass Aufsichtsbehörden aus anderen Mitgliedstaaten bei Verstößen des Intermediär diese nicht direkt ahnden können. Stattdessen muss der Verstoß an die Aufsichtsbehörden im Mitgliedstaat des Hauptsitzes gemeldet werden, die dann über eine Ahndung entscheiden.

Der Data Governance Act sieht außerdem vor, dass Daten auf freiwilliger Basis von natürlichen oder juristischen Personen für altruistische Zwecke gespendet werden können. Dazu können „anerkannte datenaltruistische Organisationen“ bei nationalen Aufsichtsbehörden angemeldet werden, die in ihrer Satzung den Zweck von allgemeinem Interesse, für den die gespendete Daten genutzt werden, angeben müssen. Außerdem müssen diese öffentlich zugänglich machen, welche Datenendnutzer auf die Daten zugegriffen haben und über welchen Zeitraum. Für die EU-weite Einheitlichkeit der gespendeten Daten will die EU-Kommission ein Einwilligungsformular zur Freigabe der eigenen Daten erstellen.

Zusammen mit dem Digital Services Act, dem Digital Markets Act, dem schon genannten Data Act und eben dem Data Governance Act soll die EU zum „most data empowered continent“ werden, so EU-Kommissar Thierry Breton bei der Vorstellung in Brüssel.

Bis zum 25. Januar 2021 können HIER noch Stellungnahmen zum Vorschlag des Data Governance Act eingereicht werden.