Datenvermittlungsdienste sollen Datenschutz und Wirtschaft stärken

„Für einen erfolgreichen digitalen Wandel und die Verwirklichung unserer Klimaziele braucht es datengetriebene Innovationen, die auf der Verfügbarkeit von Daten aufbauen. Daher ist es von entscheidender Bedeutung, das Vertrauen in die gemeinsame Datennutzung zu stärken“, Boštjan Koritnik, slowenischer Minister für öffentliche Verwaltung, Präsident des Rates.

Mit dem Data Governance Act der EU wird ein Rahmen zur Förderung von Datenvermittlungsdiensten geschaffen, die eine sichere Umgebung bieten sollen, in der Unternehmen oder Einzelpersonen Daten austauschen können. Dadurch sollen Wirtschaft und Datenschutz profitieren. Doch was genau sollen die Datenvermittlungsdienste oder Data Trustees bieten, um das zu erreichen?

Regeln für das Teilen von Daten

„Der Data Governance Act schafft neue europaweit einheitliche Regeln für das Teilen von Daten zwischen Unternehmen, Privatpersonen und der öffentlichen Hand“, sagt Susanne Dehmel, Mitglied der Geschäftsleitung im Digitalverband Bitkom. „Mit dem Data Governance Act wird die Bedeutung von Daten der öffentlichen Hand betont und ihre Weiternutzung gefördert. Dies kann dringend notwendigen Schwung für die europäische Datenwirtschaft liefern.“

Insbesondere begrüßt Bitkom beim Data Governance Act, dass Datenvermittlungsdienste als wichtige Akteure für die europäische Digitalwirtschaft anerkannt werden.

„Datenvermittlungsdienste können nicht nur die Effizienz beim Teilen von und Handel mit Daten erhöhen, sondern sie schaffen auch das notwendige Vertrauen“, so Dehmel. „Mit dem Data Governance Act wird eine Balance zwischen dem Einsatz und dem Schutz von Daten geschaffen, die ein wichtiger Schritt auf dem Weg zu einem datensouveränen Europa sein kann.“

Dabei stellt sich die Frage, wie solche Datenvermittlungsdienste arbeiten sollen und wie sie den notwendigen Datenschutz gewährleisten werden.

Datenvermittler für mehr Vertrauen

Derzeit befürchten viele Unternehmen, dass sie durch eine Weitergabe ihrer Daten Wettbewerbsvorteile einbüßen könnten oder dass ihre Daten missbraucht werden könnten, so die EU-Kommission in ihrer Erläuterung zum Data Governance Act (DGA).

Um das Vertrauen zu stärken, sollen vertrauenswürdige Anbieter von Diensten für die gemeinsame Datennutzung (Datenmittler, Datenmarktplätze) solche Daten in neutraler Weise zusammenführen und organisieren. Um diese Neutralität zu garantieren, darf der Datenmittler die Daten nicht in seinem eigenen Interesse weitergeben, indem er sie zum Beispiel an ein anderes Unternehmen verkauft oder selbst verwendet, um mit diesen Daten ein eigenes Produkt zu entwickeln, wie die EU-Kommission  betont.

Datenvermittler müssen demnach strenge Anforderungen erfüllen, damit diese Neutralität gewahrt bleibt. Zulässig sein werden sowohl eigenständige Organisationen, die ausschließlich Dienste für die gemeinsame Datennutzung erbringen, als auch Unternehmen, die solche Dienste für die gemeinsame Datennutzung neben anderen Diensten anbieten.

In diesem Fall muss die gemeinsame Datennutzung jedoch streng von anderen Datendiensten getrennt sein. Die gesammelten Daten und die erfassten Metadaten dürfen nur zur Verbesserung des Dienstes für die gemeinsame Datennutzung verwendet werden. Für die Transaktionen könnten jedoch Gebühren erhoben werden.

Nach der geplanten Verordnung müssen Datenvermittler der zuständigen Behörde ihre Absicht mitteilen, solche Dienstleistungen zu erbringen. Die Behörden werden dann die Einhaltung der Anforderungen überwachen, und die EU-Kommission wird ein Register der Datenmittler führen.

Förderung der Weiterverwendung von Daten

Mit dem Daten-Governance-Gesetz wird ein Mechanismus geschaffen, durch den die sichere Weiterverwendung bestimmter Kategorien von Daten des öffentlichen Sektors, die den Rechten anderer unterliegen, ermöglicht wird, wie der Rat der Europäischen Union es erläutert. Dazu gehören beispielsweise durch Rechte am geistigen Eigentum geschützte Daten, Geschäftsgeheimnisse und personenbezogene Daten. Öffentliche Stellen, die diese Art der Weiterverwendung erlauben, müssen technisch so ausgestattet sein, dass Privatsphäre und Vertraulichkeit in vollem Umfang gewahrt bleiben.

„Mit diesem Gesetz wird niemand dazu verpflichtet, seine Daten zu teilen, aber für diejenigen, die ihre Daten für bestimmte Zwecke zur Verfügung stellen wollen, wird eine sichere und einfache Möglichkeit geschaffen, sie zu teilen und dabei die Kontrolle zu behalten“, so Boštjan Koritnik, slowenischer Minister für öffentliche Verwaltung, Präsident des Rates.

Datenvermittlung und Datenschutz

Für Unternehmen könnten diese Dienste die Form von digitalen Plattformen annehmen, auf denen die gemeinsame Datennutzung zwischen Unternehmen auf freiwilliger Basis unterstützt wird oder mit denen rechtliche Verpflichtungen in Bezug auf die gemeinsame Datennutzung erleichtert werden. Durch die Nutzung dieser Dienste könnten Unternehmen ihre Daten teilen, ohne eine missbräuchliche Verwendung oder den Verlust eines Wettbewerbsvorteils befürchten zu müssen, so die zentrale Idee der „Data Trustees“.

In Bezug auf personenbezogene Daten würden solche Dienste Einzelpersonen dabei helfen, ihre Rechte im Rahmen der Datenschutz-Grundverordnung (DSGVO) auszuüben. Damit würde es den Menschen ermöglicht, die volle Kontrolle über ihre Daten zu haben und sie mit einem Unternehmen ihres Vertrauens zu teilen, so der Rat der EU. Dies könnte beispielsweise mithilfe neuartiger Instrumente für die Verwaltung persönlicher Informationen geschehen, etwa mit persönlichen Datenräumen oder Daten-Wallets, bei denen es sich um Apps handelt, die nach Erteilung einer Einwilligung Daten an andere vermitteln.

Im geplanten DGA werden Schutzvorkehrungen für Datenvermittlungsdienste vorgesehen, um die unrechtmäßige internationale Übertragung nicht personenbezogener Daten oder den unrechtmäßigen internationalen Zugang von Regierungsorganisationen dazu zu vermeiden. Für personenbezogene Daten gibt es in der EU bereits ähnliche Schutzvorkehrungen im Rahmen der DSGVO.

Insbesondere kann die EU-Kommission demnach Angemessenheitsbeschlüsse erlassen, mit denen erklärt wird, dass bestimmte Drittländer angemessene Sicherheitsvorkehrungen für die Nutzung von aus der EU übertragenen nicht personenbezogenen Daten bieten. Diese Beschlüsse würden den Angemessenheitsbeschlüssen für personenbezogene Daten im Rahmen der DSGVO ähneln. Solche Sicherheitsvorkehrungen sollten als vorhanden gelten, wenn das betreffende Land über gleichwertige Maßnahmen verfügt, die ein Schutzniveau gewährleisten, das dem durch das EU-Recht oder das Recht der EU-Mitgliedstaaten gewährten Schutzniveau entspricht.

Die EU-Kommission kann auch Vorlagen für Vertragsklauseln annehmen, um öffentliche Stellen und Weiterverwender im Fall von Übertragungen von Daten des öffentlichen Sektors an Drittländer zu unterstützen.

Sämtliche Datenschutzprinzipien für Datenvermittler beachten

Der Europäische Datenschutzausschuss (EDSA) hat sich ebenfalls zu Wort gemeldet und auf weitere Datenschutzaspekte bei der Einführung und Nutzung von Datenvermittlungsdiensten hingewiesen.

Der EDSA und der Europäische Datenschutzbeauftragte (EDSB) erkennen demnach das legitime Ziel des Daten-Governance-Gesetzes an, die Bedingungen für die gemeinsame Nutzung von Daten im Binnenmarkt zu verbessern. Gleichzeitig ist der Schutz personenbezogener Daten aber ein wesentlicher und integraler Bestandteil für das Vertrauen in die digitale Wirtschaft.

In vielen Fällen ergebe sich die Rechtsgrundlage für die Verarbeitung personenbezogener Daten nicht aus dem Rechtstext der Vorschläge, so der EDSA. Ein Beispiel aus dem vorgeschlagenen DGA sei der Mangel an Klarheit über die Weiterverwendung von personenbezogene Daten im Besitz öffentlicher Stellen.

Datenschutzbedenken bei der vorgeschlagenen DGA bestehen nach EDSA auch darin, dass die Bestimmungen nicht hinreichend genau angeben, ob sie sich auf nicht-personenbezogene Daten, personenbezogene Daten oder beides beziehen, noch hinreichend angeben, dass im Falle von „gemischten Datensätzen“ die DSGVO gilt.

So sei es nicht klar genug, dass der Datenschutzrahmen immer dann anwendbar bleibt, wenn personenbezogene Daten verarbeitet werden und wenn besondere Risiken für die Wiederidentifizierung anonymisierter personenbezogener Daten berücksichtigt werden müssen.

Es zeigt sich: Damit Datenvermittlungsdienste Wirtschaft und Datenschutz stärken können, muss zuerst ein starker Datenschutz bei den Datenvermittlern sichergestellt sein. Der DGA sieht bereits verschiedene Maßnahmen für die Vertrauenswürdigkeit der Data Trustees vor, muss aber aus Sicht von Datenschützern die Einhaltung der Datenschutzprinzipien noch klarer machen.

Dann kann das Konzept der Datenvermittlungsdienste ein hilfreicher Weg sein, die gemeinsame Datennutzung zu vereinfachen, ohne den Datenschutz für die einzelnen Betroffenen zu gefährden.