Direkt zum Inhalt wechseln
Beitrag

Der Rechtsrahmen des Data Governance Act für Datentreuhänder

Datenschutzrecht IT-Recht Data-Compliance IT-Projekte

Der Data Governance Act (DGA) bildet einen der zentralen regulatorischen Pfeiler der europäischen Datenstrategie, um die Schaffung eines sicheren und transparenten Datenökosystems zu fördern. Datentreuhänder spielen aus Sicht der EU-Kommission hierbei eine wichtige Rolle: Sie sollen als vertrauenswürdige Intermediäre agieren, die eine sichere Bereitstellung und Nutzung von Daten ermöglichen und dabei die Interessen aller Beteiligten wahren. Doch welche rechtlichen Anforderungen stellt der DGA konkret an Datentreuhänder?

Definition und Kernaufgaben eines Datentreuhänders

Der DGA definiert Datenvermittlungsdienste in Art. 2 Nr. 11 DGA als Instanzen, die Daten im Auftrag und im Interesse anderer verwalten und weitergeben. Sie fungieren als Mittler zwischen Datengebenden (wie Unternehmen oder der öffentlichen Hand) und Datenempfängern. Die zentrale Aufgabe des Datentreuhänders besteht dabei darin, den Austausch von Daten unter Einhaltung der geltenden rechtlichen Vorgaben zu erleichtern und Vertrauen zwischen den beteiligten Akteuren zu schaffen. Hierbei kann es sich sowohl um personenbezogene als auch um nicht-personenbezogene Daten handeln. Die Verpflichtung, personenbezogene Daten im Einklang mit der DSGVO zu verarbeiten, bleibt unberührt, was vor allem in der Umsetzung viele weitere Fragen aufwirft.

Regulatorische Anforderungen des DGA

Um als Datentreuhänder im Sinne des DGA tätig zu werden, müssen bestimmte Voraussetzungen erfüllt werden. Hierzu gehören unter anderem:

  1. Registrierungspflicht: Datentreuhänder müssen sich nach Art. 11 Abs. 1 DGA bei den zuständigen Behörden registrieren lassen. In Deutschland wird dies die Bundesnetzagentur (BNetzA) sein. Dies soll sicherstellen, dass nur vertrauenswürdige Anbieter als Intermediäre fungieren.
  2. Zweckbindung und Transparenzanforderungen: Der DGA verlangt eine klare Zweckbindung der Datenverarbeitung. Datentreuhänder dürfen Daten nur für die explizit vereinbarten Zwecke nutzen und müssen sicherstellen, dass die Daten nicht für eigene kommerzielle Zwecke verwendet werden (Art. 12 lit. a DGA). Über die Verwendung der Daten muss stets Transparenz herrschen.
  3. Technische und organisatorische Maßnahmen: Datentreuhänder sind verpflichtet, geeignete technische und organisatorische Maßnahmen zu treffen, um den Schutz der ihnen anvertrauten Daten zu gewährleisten (vgl. Art. 12 lit. j DGA). Hierzu gehören unter anderem Pseudonymisierung oder Anonymisierung, um die Privatsphäre der Betroffenen zu schützen.
  4. Vermeidung von Interessenkonflikten: Datentreuhänder müssen sicherstellen, dass keine Interessenkonflikte entstehen, insbesondere dürfen sie die Daten nicht für eigene Zwecke verwenden oder in eine Abhängigkeit zu bestimmten Nutzenden geraten.
  5. Weitere Pflichten: Der Katalog der Vorgaben an Datentreuhänder aus Art. 12 DGA ist lang. Diese umfassen unter anderem, dass die Anbieter den Austausch der Daten in dem Format ermöglichen, in dem sie diese erhalten, oder die Daten nur dann umwandeln, wenn dies zur Verbesserung der Interoperabilität erforderlich ist oder gesetzlich vorgeschrieben wird. Zudem müssen Datentreuhänder betroffenen Personen oder Dateninhabern die Möglichkeit bieten, auf solche Umwandlungen zu verzichten (Opt-out). Anbieter können spezifische Werkzeuge wie temporäre Speicherung oder Anonymisierung auf ausdrücklichen Wunsch bereitstellen, um den Datenaustausch zu erleichtern. Darüber hinaus müssen Verfahren etabliert werden, um fairen und transparenten Zugang zu gewährleisten und betrügerische Praktiken zu verhindern. Im Falle einer Insolvenz müssen Mechanismen zur Weiterführung der Dienste eingerichtet werden, sodass alle betroffenen Parteien weiterhin Zugang zu ihren Daten haben. Schließlich sind geeignete Maßnahmen zu treffen, um ein hohes Maß an Sicherheit und Interoperabilität der angebotenen Dienste sicherzustellen.

Vertrauen durch Standardisierung und Haftungsregelungen

Standardisierte Datennutzungsverträge sind von großer Bedeutung für den Aufbau eines Datentreuhänders. Diese sollten aus Sicht des Diensteanbieters nicht nur die Rechte und Pflichten der beteiligten Akteure klar regeln, sondern auch seine Haftungsrisiken minimieren. Ziel muss es sein, eine klare und rechtssichere Grundlage für die Datenbereitstellung und -nutzung zu schaffen, die sowohl den Datengebern als auch den Nutzenden Sicherheit bietet.

Ein weiterer wichtiger Aspekt ist die Sicherstellung, dass die Datengeber die Kontrolle über ihre Daten behalten. Der Datentreuhänder fungiert hierbei als neutraler Vermittler, der durch organisatorische und technische Maßnahmen garantiert, dass Daten nur im vereinbarten Rahmen verwendet werden.

Perspektiven und Herausforderungen

Die Einrichtung von Datentreuhändern im Sinne des DGA bietet große Chancen, insbesondere für die Wissenschaft, die öffentliche Verwaltung und die Wirtschaft. Durch das Schaffen von Vertrauen und die Möglichkeit zur rechtssicheren Datennutzung können innovative Datenökosysteme entstehen, die eine bessere Nutzung vorhandener Datenbestände ermöglichen. Gleichzeitig stehen Datentreuhänder vor der Herausforderung, den hohen Anforderungen des DGA gerecht zu werden, insbesondere im Hinblick auf die Einhaltung der Datenschutzbestimmungen und die Implementierung der notwendigen technischen Maßnahmen.

Die Wahl der geeigneten Organisationsform spielt ebenfalls eine wichtige Rolle. Nach Art. 12 lit. a DGA muss der Anbieter eines Datenvermittlungsdienstes seine Dienste über eine eigenständige juristische Person bereitstellen. Mögliche Modelle umfassen hier unter anderem die GmbH, die gGmbH oder die Stiftung. Die Wahl der passenden Rechtsform muss immer unter Berücksichtigung der rechtlichen, steuerlichen und organisatorischen Anforderungen erfolgen, um eine maximale Flexibilität und Rechtssicherheit zu gewährleisten.

Fazit

Der Data Governance Act schafft die Grundlagen für eine faire und transparente Datenwirtschaft in Europa. Datentreuhänder können durch ihre Rolle als vertrauenswürdige Intermediäre wesentlich dazu beitragen, Daten zugänglicher zu machen und gleichzeitig den Datenschutz sicherzustellen. Die Schaffung eines solchen Vertrauensrahmens ist ein zentraler Schritt auf dem Weg zu einer innovationsfreundlichen und verantwortungsvollen Datenökonomie. Die Umsetzung in der Praxis ist indes komplex. Von der richtigen Organisationsform und geeigneten Standardverträgen bis zu gängigen Formaten und technisch organisatorischen Maßnahmen gilt es einiges zu beachten. Sofern – wie häufig – auch personenbezogene Daten betroffen sind, müssen die Vorgaben der DSGVO beachtet werden.

Spielen Sie mit dem Gedanken des Aufbaus eines Treuhanddienstes für Daten? Sprechen Sie uns an.