Übersicht
Fallen wir unter den Data Governance Act?
Der Data Governance Act richtet sich primär an 3 Adressaten:
- Öffentliche Stellen
- Datenvermittlungsdienste
- Datenaltruistische Organisationen
Für diese Regelungsgebiete bestimmt der DGA grundlegende materielle und formelle Handlungspflichten und einen entsprechenden behördlichen Aufsichtsrahmen. Sofern Sie keiner dieser drei Kategorien zuzuordnen sind, werden Sie vom Data Governance Act zumindest nicht direkt verpflichtet.
Was ist eine Öffentliche Stelle?
Eine öffentliche Stelle ist gem. Art. 2 Nr. 17 DGA
- der Staat,
- eine Gebietskörperschaft,
- eine Einrichtung öffentlichen Rechts und
- ein Verband, der eine Kombination aus den vorherigen drei bildet.
Was ist eine „Einrichtung Öffentlichen Rechts“?
Eine Einrichtung öffentlichen Rechts ist gem. Art. 2 Nr. 18 DGA:
- zu dem besonderen Zweck gegründet im Allgemeinen Interesse liegende Aufgaben zu erfüllen,
- ohne gewerblichen oder kommerziellen Charakter,
- mit eigener Rechtspersönlichkeit und
- überwiegender Finanzierung durch den Staat, Gebietskörperschaften oder von anderen Einrichtungen des öffentlichen Rechts.
Was ist ein Datenvermittlungsdienst?
Datenvermittlungsdienste sind gem. Art. 2 Nr. 11 DGA solche Dienste, die
- durch technische, rechtliche oder sonstige Mittel
- Geschäftsbeziehungen zwischen einer unbestimmten Anzahl von betroffenen Personen oder Dateninhabern einerseits und Datennutzern andererseits herstellen,
- um die gemeinsame Datennutzung zu ermöglichen.
Was meint Vermittlung von Geschäftsbeziehungen?
- Es gilt ein weiter Begriff:
- Jede Form der Hilfestellung bei dem Zustandekommen einer Geschäftsbeziehung zum Zwecke der Datennutzung
- unabhängig ob rechtlicher, technischer oder sonstiger Natur
- Dienste, die keine Geschäftsbeziehungen herstellen sollen, sind von einer Einordnung als Datenvermittlungsdienst im Sinne des Art. 2 Nr. 11 DGA ausgenommen
Wann handelt es sich um eine unbestimmte Anzahl von Personen?
- Ausschlaggebend ist die „Offenheit“ des Vermittlungsdienstes und die Möglichkeit von Akteuren, auf den Dienst zuzugreifen.
- Ausnahmetatbestand des Art. 2 Nr. 11 lit. c DGA bildet mit dem Begriff der „geschlossenen Gruppe“ den Gegenpol.
- Abstrakte, objektive Kriterien, von denen Nutzung des Datenvermittlungsdienstes abhängig gemacht wird, sind nicht ausreichend, um „Offenheit“ des Vermittlungsdienstes zu beeinträchtigen.
- Solange diese Kriterien von einer unbestimmten Anzahl potentieller Dateninhabern erfüllt werden können, richtet sich der Dienst an eine unbestimmte Anzahl von Personen.
- Was wird dann durch Art. 2 Nr. 11 lit. c DGA („geschlossene Gruppe„) ausgeschlossen?
- Geschlossene Datenpools für einen festen Personenkreis
- z.B. Vermittlungsdienste, die ausschließlich innerhalb einer Konzern- oder Unternehmensstruktur operiere
Was sind Beispiele für einen Datenvermittlungsdienst?
Datenmarktplätze wie:
- Dawex (https://www.dawex.com/de/)
- Data Intelligence Hub von der Telekom (https://dih.telekom.com/en)
- Der landwirtschaftliche Datenaustauschhub API-AGRO (https://agdatahub.eu/en/)
- Austausch von Connected Car Data: Otonomo (https://otonomo.io/)
- Austausch von e-Commerce Daten: Salesforce Data Studio
- Austausch von Daten klinischer Studien: CSDR (https://www.clinicalstudydatarequest.com/)
- Sektorübergreifende Daten: databroker (https://www.databroker.global/)
Was ist kein Datenvermittlungsdienst?
Die Bereitstellung von
- Cloud-Speicher,
- Analysediensten,
- Software zur gemeinsamen Datennutzung,
- von Internetbrowsern oder Browser-Plug-ins oder
- von E-Mail-Diensten
gilt nicht als Datenvermittlungsdienst im Sinne des DGA, sofern
- mit diesen Diensten betroffenen Personen oder Dateninhabern ausschließlich technische Werkzeuge zur gemeinsamen Datennutzung mit anderen bereitgestellt werden,
- die Bereitstellung dieser Werkzeuge aber weder darauf abzielt,
- zwischen Dateninhabern und Datennutzern eine geschäftliche Beziehung herzustellen,
- noch dem Anbieter von Datenvermittlungsdiensten ermöglicht, Informationen über die Herstellung geschäftlicher Beziehungen zum Zwecke der gemeinsamen Datennutzung zu erlangen
Was bedeutet das?
Nur weil zwei Menschen über einen Cloud-Link Daten teilen, wird der Cloud-Anbieter nicht zu einem Datenvermittlungsdienst.
Was ist eine datenaltruistische Organisation?
Eine datenaltruistische Organisation gem. Art. 18 DGA
- führt datenaltruistische Tätigkeiten durch,
- hat nach nationalem Recht eine Rechtspersönlichkeit, um ggf. gem. dem nationalen Recht Ziele von allgemeinem Interesse zu erreichen,
- ist selbst ohne Erwerbszweck tätig und rechtlich unabhängig von anderen Organisationen handelnd, die Erwerbszwecke verfolgen und
- übt ihre Datenaltruismus-Tätigkeiten über eine Struktur aus, die von ihren anderen Tätigkeiten funktionell getrennt ist.
Was sind datenaltruistische Tätigkeiten?
Datenaltruismus ist gem. Art. 2 Nr. 16 DGA
- Die freiwillige gemeinsame Nutzung von Daten
- auf der Grundlage der Einwilligung betroffener Personen zur Verarbeitung der sie betreffenden personenbezogenen Daten oder
- einer Erlaubnis anderer Dateninhaber zu Nutzung ihrer nicht personenbezogenen Daten,
- ohne hierfür ein Entgelt zu fordern oder zu erhalten, das über die Entschädigung für die ihnen durch die Bereitstellung ihrer Daten entstandenen Kosten hinausgeht,
- für Ziele von allgemeinem Interesse gem. dem nationalen Recht wie:
- Gesundheitsversorgung,
- Bekämpfung des Klimawandels,
- Verbesserung der Mobilität,
- einfachere Entwicklung, Erstellung und Verbreitung amtlicher Statistiken,
- Verbesserung der Erbringung öffentlicher Dienstleistungen,
- staatliche Entscheidungsfindung oder
- wissenschaftliche Forschung im allgemeinen Interesse
Gibt es Beispiele für datenaltruistische Organisationen?
- Corona-Datenspende-App (https://corona-datenspende.de/)
- Smart Citizen (https://smartcitizen.me/)
Was müssen wir tun?
Öffentliche Stelle
Der DGA stellt hinsichtlich der Weiterverwendung von Daten, die sich im Besitz öffentlicher Stellen befinden, Bedingungen auf. Der DGA selbst begründet keine Pflicht zur Weiterverwendung von Daten. Er regelt lediglich die Rahmenbedingungen für eine – als erlaubt vorausgesetzte – Weiterverwendung. Die Vorschriften des 2. Kapitels des DGA finden nur Anwendung, wenn sich eine Öffentliche Stelle willentlich entscheidet, die in ihrem Besitz befindlichen Daten zum Zwecke der Weiterverwendung bereitzustellen, oder wenn die Öffentliche Stelle durch den nationalen Gesetzgeber hierzu verpflichtet wird.
Wann befinden sich die Daten im Besitz einer öffentlichen Stelle?
- Besitz erfordert eine technisch-faktische Datenherrschaft und tatsächliche Einwirkungsgewalt auf die Daten.
- Es reicht daher nicht aus, wenn die öffentliche Stelle die Daten erstellen oder von Dritten beschaffen müsste.
Wann liegt eine Weiterverwendung vor?
„Weiterverwendung“ bezeichnet die Nutzung von Daten,
- die im Besitz öffentlicher Stellen sind, durch natürliche oder juristische Personen
- für kommerzielle oder nichtkommerzielle Zwecke,
- die sich von dem ursprünglichen Zweck im Rahmen des öffentlichen Auftrags, für den die Daten erstellt wurden, unterscheiden,
- abgesehen vom Austausch von Daten zwischen öffentlichen Stellen ausschließlich im Rahmen der Erfüllung ihres öffentlichen Auftrags.
Der Begriff der Nutzung ist dabei wettbewerbsbezogen auszulegen:
- Nutzt die Behörde die Daten selbst, liegt grundsätzlich keine Weiterverwendung vor
- Nutzung in Erfüllung des öffentlichen Auftrages
- Nur dann eine Weiterverwendung, sofern die öffentlichen Aufgaben auf kommerzielle Weise erfüllt werden
- Werden Daten unter öffentlichen Stellen ausgetauscht, liegt nur eine Weiterverwendung vor, sofern
- die andere Stelle die Aufgabe auf kommerzielle Weise erfüllt
- Nutzt ein Akteur, der keine öffentliche Stelle ist, die Daten, handelt es sich um eine Weiterverwendung, sofern
- kein Bezug zur öffentlichen Aufgabe besteht
- unabhängig davon, ob kommerzielle oder nicht kommerzielle Zwecke verfolgt werden
- der Akteur in die öffentliche Aufgabenerfüllung einbezogen wird und er die öffentliche Aufgabe auf kommerziellem Wege erbringt, insbesonders wenn er Gewinn erwirtschaftet.
Gibt es Daten, die vom Anwendungsbereich des DGA befreit sind?
- Ja, diese sind in Art. 3 Abs. 2 DGA aufgelistet: Daten
- im Besitz öffentlicher Unternehmen
- im Besitz öffentlich-rechtlicher Rundfunkanstalten und ihrer Zweigstellen oder anderer Stellen und deren Zweigstellen sind und der Wahrnehmung eines öffentlichen Sendeauftrags dienen
- im Besitz von Kultur- und Bildungseinrichtungen
- im Besitz öffentlicher Stellen, die aus Gründen der öffentlichen Sicherheit, der Landesverteidigung oder der nationalen Sicherheit geschützt sind
- deren Bereitstellung nicht unter den im betreffenden Mitgliedstaat gesetzlich oder anderweitig verbindlich festgelegten öffentlichen Auftrag der betreffenden öffentlichen Stellen fällt oder, in Ermangelung solcher Rechtsvorschriften, nicht unter den durch allgemeine Verwaltungspraxis in dem Mitgliedstaat festgelegten öffentlichen Auftrag fällt, vorausgesetzt, dass der Umfang der öffentlichen Aufträge transparent ist und regelmäßig überprüft wird
Besonderheit: Forschungseinrichtungen
- Forschungseinrichtungen und Forschungsfördereinrichtungen könnten auch als öffentliche Stellen oder Einrichtungen des öffentlichen Rechts aufgestellt werden.
- Für solche (hybriden) Einrichtungen gilt der DGA nur in Bezug auf ihre Funktion als Forschungseinrichtung
- Befinden sich Daten im Besitz einer Forschungseinrichtung, die sowohl als öffentliche Stelle als auch als öffentliches Unternehmen aufgestellt ist, mit dem Hauptzweck der Forschung, so sollten diese Daten ebenfalls nicht unter den DGA fallen.
Dürfen Ausschließlichkeitsvereinbarungen geschlossen werden?
- Nein, mit Inkrafttreten des Data Governance Act dürfen Öffentliche Stellen mit Unternehmen grundsätzlich keine Ausschließlichkeitsvereinbarungen mehr abschließen
- Bestehende Ausschließlichkeitsvereinbarungen dürfen bis zum 24. Dezember 2024 bestehen bleiben
- Ausschließlichkeitsvereinbarungen dürfen abgeschlossen werden, soweit dies für die Erbringung eines Dienstes oder die Bereitstellung eines Produkts im allgemeinen Interesse erforderlich ist und keine anderweitigen Möglichkeiten bestehen
- Die Gewährung des Ausschließlichkeitsrechts und die Begründung hierfür sind im Internet öffentlich zugänglich zu machen.
Werden Öffentliche Stellen von ihren Geheimhaltungspflichten entbunden?
- Nein, Öffentliche Stellen sind nur dann von ihren Geheimhaltungspflichten entbunden, wenn das nationale Recht dies vorsieht. So unter anderem in:
Administratives
Müssen Öffentliche Stellen Zugang zu ihren Daten gewähren?
Nein, der DGA schafft keinen Anspruch auf die Weiterverwendung der Daten. Sofern die öffentliche Stelle nicht gesetzlich verpflichtet wird, obliegt der öffentlichen Stelle selbst zu entscheiden, ob sie ihre Daten zur Weiterverwendung zur Verfügung stellen möchte. Es ist jedoch möglich, dass die Behörde ihrem Ermessen aufgrund vergangener Zurverfügungsstellungen eingeschränkt ist.
Sofern diese Daten zur Verfügung gestellt werden muss der Zugang
- nicht diskriminierend,
- transparent,
- verhältnismäßig und
- objektiv gerechtfertigt sein und
- den Wettbewerb nicht einschränken (Art. 5 Abs. 2 DGA)
Welche Informationen müssen öffentlich zur Verfügung gestellt werden?
Die Bedingungen für das Erlauben einer Weiterverwendung und das Verfahren für die Beantragung der Weiterverwendung sind über die zentrale Informationsstelle nach Art. 8 DGA öffentlich zugänglich zu machen.
Sicherheitsvorkehrungen
Wie sollen die Daten zugänglich gemacht werden?
- Es muss eine von der öffentlichen Stelle bereitgestellten oder kontrollierten sicheren Verarbeitungsumgebung geschaffen werden, auf die per Fernzugriff auf die Daten zugegriffen werden kann.
- Sofern ein Fernzugriff nicht erlaubt werden kann, muss der Zugang zu den Daten und deren Weiterverwendung unter Einhaltung hoher Sicherheitsstandards innerhalb physischer Räumlichkeiten gewährleistet werden. Rechte und Interessen Dritter dürfen hierbei nicht gefährdet werden
- Die öffentliche Stelle muss Bedingungen aufstellen, mit welchen die Integrität betriebener technischer Systeme der sicheren Verarbeitungsumgebung gewahrt wird.
Wie sind die Daten aufzubereiten?
- Öffentliche Stellen müssen dafür sorgen, dass die Daten geschützt bleiben.
- Personenbezogene Daten müssen anonymisiert werden.
- Eine Re-Identifzierung der anonymisierten Daten ist Weiterverwendern untersagt und muss durch technische und operative Maßnahmen verhindert werden.
- Vertrauliche Geschäftsinformationen, einschließlich Geschäftsgeheimnisse oder durch Rechte des geistigen Eigentums geschützte Inhalte müssen verändert, aggregiert oder aufbereitet werden.
Compliance
Was ist mit den Rechten Dritter? Hat die Öffentliche Stelle Mittel, um diese zu schützen?
- Das geistige Eigentum Dritter muss gewahrt werden.
- Die öffentliche Stelle darf das Verfahren, die Mittel und die Ergebnisse der vom Weiterverwender durchgeführten Datenverarbeitung überprüfen, um die Integrität des Datenschutzes zu wahren.
- Die Verwendung von Ergebnissen darf durch die Öffentliche Stelle verboten werden, wenn Informationen enthalten sind, die die Rechte und Interessen Dritter gefährden. Die Entscheidung muss verständlich und transparent an den Weiterverarbeitenden kommuniziert werden
- Die öffentliche Stelle darf die Weiterverwendung von Daten davon abhängig machen, ob der Weiterverwender seiner Geheimhaltungspflicht nachkommt.
- Darf die Weiterverwendung nicht erlaubt werden und ist auch keine andere Rechtsgrundlage ersichtlich, muss die öffentliche Stelle mögliche Weiterverwender dabei unterstützen, die Zustimmung betroffener Personen einzuholen, deren Rechte und Interessen durch eine solche Weiterverwendung beeinträchtigt werden könnten, wenn dies ohne einen unverhältnismäßig hohen Aufwand der öffentlichen Stelle möglich ist.
Was müssen Öffentliche Stellen bei einer Übertragung in Drittländer beachten?
- Die Öffentliche Stelle muss dem Weiterverwender bei der Benachrichtigung betroffener juristischer Personen unterstützen, sofern der Weiterverwender beabsichtigt, die nicht personenbezogenen Daten in ein Drittland zu übertragen
- Gegenstand der Information muss
- die Absicht,
- der Zweck und
- die angemessenen Schutzvorkehrungen der Übertragung sein
- Die Öffentliche Stelle darf die Weiterverwendung nur gestatten, wenn die juristische Person die Erlaubnis für die Übertragung erteilt hat
- Gegenstand der Information muss
- Beabsichtigt der Weiterverwender nicht personenbezogene Daten oder durch Rechte des geistigen Eigentums geschützte Daten in ein Drittland, welches nicht Gegestand eines Durchführungsrechtsaktes der Kommission ist, zu übertragen darf die Öffentliche Stelle diese Daten nur dann an den Weiterverwender übermitteln, wenn
- Der Weiterverwender den Schutz des geistigen Eigentums und den Schutz vertraulicher Informationen vertraglich zusichert und
- die Zuständigkeit der Gerichte des Mitgliedsstaates der übermittelnden öffentlichen Stelle für alle Streitigkeiten aus diesen Schutzpflichten anerkennt
- Öffentliche Stellen müssen Weiterverwender im Rahmen ihrer Möglichkeiten bezüglich der Einhaltung ihrer Pflichten beraten und unterstützen
- Hierzu könnten seitens der Kommission Mustervertragsklauseln erlassen werden
- Bestimmte Daten können durch Rechtsakt der Union in ihrer Sensibilität hochgestuft werden oder eine Beschränkung der Übertragung in Drittländer umfassen
Was sind Durchführungsrechtsakte der Union i.S.d. Art. 5 Abs. 12 DGA?
Die Kommission kann, sofern das Volumen an Anfragen es rechtfertigt, einen Beschluss erlassen, mit dem anerkannt wird, dass die Rechts-, Aufsichts- und Durchsetzungsmechanismen eines Drittlandes
- den Schutz geistigen Eigentums und von Geschäftsgeheimnissen in einer Weise gewährleisten, die im Wesentlichen dem durch das Unionsrecht gewährleisteten Schutz gleichwertig ist
- wirksam angewendet und durchgesetzt werden und
- wirksame gerichtliche Rechtsbehelfe vorsehen.
Diese sind in ihrer Funktion vergleichbar mit Angemessenheitsbeschlüssen der EU i.S.d. Art. 45 DSGVO. Der Unterschied liegt primär darin, ob die Daten einen Personenbezug aufweisen.
Datenvermittlungsdienste
Wenn Ihr Unternehmen als Datenvermittlungsdienst qualifiziert wird, oder Sie eine Datenvermittlungstätigkeit aufnehmen möchten, werden Ihnen durch den DGA Pflichten auferlegt. Bestehende Datenvermittlungsdienste haben eine Schonfrist bis zum 24. September 2025, um die Vorschriften des Data Governance Acts umzusetzen.
Dabei fallen nur diejenigen Tätigkeiten eines Akteurs, der eine Vielzahl von datenbezogenen Diensten anbietet, unter das 3. Kapitel des DGA fallen, die unmittelbar die Bereitstellung von Datenvermittlungsdiensten betreffen.
Sicherungsvorkehrungen/ Compliance
Wie erbringe ich Datenvermittlungsdienste neutral?
- Datenvermittlungsdienste sind durch eine eigenständige juristische Person zu erbringen (Art. 12 lit. a DGA).
- Die Bedingungen für die Inanspruchnahme des Dienstes dürfen nicht von der Nutzung anderer Dienste des Anbieters des Datenvermittlungsdienstes abhängig gemacht werden.
- Der Datenvermittlungsdienst darf vermittelte Daten nicht zu eigenen Zwecken verwenden.
Stellen Sie einen diskriminierungsfreien Zugang sicher!
- Der Zugang zu Datenvermittlungsdiensten muss sowohl für betroffene Personen als auch für Dateninhaber und für Datennutzer – auch in Bezug auf die Preise und die Geschäftsbedingungen die folgenden Merkmale erfüllen:
- fair,
- transparent und
- nicht-diskriminierend.
Was sind die Anforderungen an das Sicherheitsniveau (Art. 12 lit. l)?
- Es muss ein angemessenes Sicherheitsniveau bei der Speicherung, Verarbeitung und Übermittlung nicht personenbezogener Daten gewährleistet werden.
- Bei der Speicherung und Übermittlung sensibler wettbewerbsrelevanter Informationen muss der Anbieter von Datenvermittlungsdiensten höchste Sicherheitsstandards gewährleisten.
Welche Anforderungen an die Sicherheit gelten noch?
- Einführung von Verfahren, um betrügerische oder missbräuchliche Praktiken zu verhindern, die versuchen Zugang zum Datenvermittlungsdienst zu erlangen (Art. 12 lit. g DGA).
- Im Falle der Insolvenz muss eine angemessene Weiterführung des Datenvermittlungsdienstes gewährleistet werden (Art. 12 lit. h DGA.)
- Dateninhabern und Datennutzern muss weiterhin Zugang zu gespeicherten Daten ermöglicht werden (inklusive Abrufung und Übertragung).
- Bei der Erbringung von Datenvermittlungsdiensten zwischen betroffenen Personen und Datennutzern müssen diese weiterhin ihre Rechte ausüben können.
Administrative Pflichten
Muss man sich registrieren? (Art. 11 DGA)
- Vor Aufnahme der Vermittlungstätigkeit muss sich der Anbieter bei der zuständigen Behörde anmelden
- Die Anmeldung muss folgende Angaben enthalten:
- Name des Anbieters von Datenvermittlungsdiensten
- Rechtsstatus und Rechtsform
- Eigentümerstruktur und relevante Tochtergesellschaften
- Handelsregisternummer oder vergleichbare Registernummern des Anbieters von Datenvermittlungsdiensten
- Anschrift der Hauptniederlassung des Anbieters von Datenvermittlungsdiensten in der Union (falls zutreffend)
- Anschrift einer etwaigen Zweigniederlassung in einem anderen Mitgliedsstaat oder des gesetzlichen Vertreters
- Kontaktperson und Kontaktangaben des Anbieters von Datenvermittlungsdiensten
- Voraussichtlicher Tag der Aufnahme der Tätigkeit, sofern dies ein anderer Tag als der der Anmeldung ist
- Mit der Vornahme der Anmeldung ist der Anbieter berechtigt, Datenvermittlungsdienste zu erbringen.
- Die Anmeldung muss folgende Angaben enthalten:
- Die zuständige Behörde wird gem. Art. 13 DGA von jedem Mitgliedsstaat selbst benannt.
- Deutschland hat noch keine zuständige Behörde öffentlich ernannt – obschon der DGA bereits in Kraft und wirksam ist.
Besteht eine Meldepflicht (Art. 12 lit. k)?
- Im Falle einer unbefugten Übertragung, dem unbefugten Zugriff oder der unbefugten Nutzung nicht personenbezogener Daten, muss der Anbieter des Datenvermittlungsdienstes unverzüglich den Dateninhaber unterrichten.
- Eine Meldepflicht gegenüber der zuständigen Behörde besteht nicht.
Müssen die Tätigkeiten von Datenvermittlungsdiensten protokolliert werden?
- Der Anbieter des Datenvermittlungsdienste muss seine Datenvermittlungstätigkeiten protokollieren (Art. 12 lit. o). Genauere Vorgaben zu Form, Umfang o.ä. macht der Data Governance Act nicht.
Pflichten im Umgang mit Daten
Dürften vermittelte Daten zu eigenen Zwecken verwendet werden?
- Nein, vermittelte Daten dürfen auch vom Anbieter des Datenvermittlungsdienstes nur zu den vereinbarten Zwecken verwendet werden (Art. 12 lit. a).
- Metadaten, die bei der Nutzung des Dienstes anfallen, dürfen durch den Anbieter nur für die folgende Zwecke verwendet werden:
- (Weiter)Entwicklung des Dienstes,
- Betrugsprävention und
- Stärkung der Cybersicherheit.
Diese Daten sind den Dateninhabern auf Anfrage zur Verfügung zu stellen (Art. 12 lit. c).
Gibt es Standards, die bei der Bereitstellung der Daten beachtet werden müssen?
- Verwendung standardisierter Formate für sämtliche Daten und Ermöglichung reibungsloser Übertragung von Daten zwischen verschiedenen Datenvermittlungsdiensten.
- Daten dürfen nicht eigenmächtig vom Datenvermittlungsdienst ohne Einwilligung des Dateninhabers in andere Formate umgewandelt werden.
Was ist mit der DSGVO?
- Datenschutz geht vor; der Data Governance Act lässt die DSGVO unberührt.
- Sind personenbezogene Daten betroffen, richtet sich die Rechtmäßigkeit der Verarbeitung nach Art. 6 Abs. 1 DSGVO.
Über was müssen betroffene Personen informiert werden?
- Der Anbieter hat stets im Interesse betroffener Personen zu handeln.
- Unterrichtung über folgende Informationen in transparenter, prägnanter, verständlicher und leicht zugänglicher Weise:
- Beabsichtigte Nutzung der Daten durch Datennutzer.
- Übliche Geschäftsbedingungen für solche Nutzungen.
Datenaltruistische Organisationen
Die Pflichten datenaltruistischer Organisationen sind mit denen von Datenvermittlungsdiensten vergleichbar.
Datenaltruistische Organisationen müssen, wie Datenvermittlungsdienste:
- sich bei der zuständigen Behörde registrieren,
- ein angemessenes Sicherheitsniveau für die Speicherung und Verarbeitung nicht personenbezogener Daten sicherstellen und
- betroffene Personen über unbefugte Zugriffe unterrichten.
Welche weiteren Pflichten werden werden datenaltruistischen Organisationen auferlegt?
Informationspflicht
- Betroffene Personen müssen über die Verarbeitung ihrer Daten auf klare und leicht verständliche Weise informiert werden über Folgendes:
- Ziele von allgemeinem Interesse und gegebenenfalls den angegebenen, ausdrücklichen und rechtmäßigen Zweck der Verarbeitung personenbezogener Daten, für die sie die Verarbeitung ihrer Daten durch einen Datennutzer erlaubt,
- den Standort und die Ziele von allgemeinem Interesse, für die sie eine etwaige Verarbeitung in einem Drittland erlaubt, sofern die Verarbeitung von der anerkannten datenaltruistischen Organisation vorgenommen wird
Einwilligungsmanagement
- Es müssen Werkzeuge zur Einholung der Einwilligung betroffener Personen oder der Erlaubnis zur Verarbeitung der von Dateninhabern zur Verfügung gestellten Daten bereitgestellt werden. Ferner müssen Werkzeuge zum einfachen Widerruf einer solchen Einwilligung oder Erlaubnis zur Verfügung gestellt werden.
Zweckgebundenheit
- Für die erhobenen Daten gilt eine Zweckbindung. Daten dürfen nur für den Zweck verwendet werden, für den sie erhoben wurden.
Datenaquise
- Es dürfen keine irreführenden Vermarktungspraktiken verwendet werden, um Daten zu erhalten.
Sanktionen
Gibt es Bußgelder?
Wird gegen einer der durch den DGA auferlegten Pflichten verstoßen, kann dem Unternehmen ein Bußgeld auferlegt werden.
Die Festlegung der Bußgeldvorschriften obliegt dabei den Mitgliedstaaten. Die Bundesrepublik Deutschland hat bislang keine Sanktionsvorschriften erlassen.
Die Höhe des Bußgeldes sollte sich nach Vorgabe des Art. 34 Abs. 2 DGA nach den folgenden Faktoren bestimmen:
- Art, Schwere, Umfang und Dauer des Verstoßes,
- ergriffene Maßnahmen zur Minderung oder Behebung des durch den Verstoß bedingten Schadens,
- frühere Verstöße,
- durch den Verstoß bedingte finanzielle Gewinne oder Verluste und
- sonstige erschwerende oder mildernde Umstände des Einzelfalls
Verfügen die zuständigen Behörden über weitergehende Mittel?
Allgemein:
- Die Behörde, bei der die Datenvermittlungstätigkeit oder die datenaltruistische Organisation angemeldet wurde, überwacht und beaufsichtigt die Einhaltung der Vorschriften des DGA
- Wird ein Verstoß festgestellt, teilt die Behörde dies mit und räumt die Möglichkeit zur Stellungnahme innerhalb von 30 Tagen ein.
- Ist die Behörde dennoch von einem Verstoß der Pflichten überzeugt, so kann die Beendigung des Verstoßes verlangen und notwendige Maßnahmen ergreifen, um den Zuwiderhandlungen ein Ende zu setzen.
Bei Datenvermittlungsdiensten:
- Abhängig von den gesetzlich erteilten Befugnissen könnten die zuständige Behörde gem. Art. 14 Abs. 4 DGA, abhängig von der Schwere des Verstoßes, folgende Maßnahmen ergreifen:
- Verhängung von Geldstrafen, inklusive Zwangsgelder mit und ohne Rückwirkung sowie die Einleitung von Gerichtsverfahren zur Verhängung von Bußgeldern
- Verschiebung des Beginns oder eine Aussetzung der Erbringung des Datenvermittlungsdienstes
- Einstellung der Bereitstellung des Datenvermittlungsdienstes
Bei datenaltruistischen Organisationen:
- Erfüllt die datenaltruistische Organisation die rechtlichen Anforderungen des DGA nach Unterrichtung durch die zuständige Behörde nicht,
- verliert sie ihr Recht, in ihrer schriftlichen und mündlichen Kommunikation die Bezeichnung „in der Union anerkannte datenaltruistische Organisation“ zu führen und
- sie wird aus dem einschlägigen öffentlichen nationalen Register der anerkannten datenaltruistischen Organisationen und dem öffentlichen Unionsregister der anerkannten datenaltruistischen Organisationen gestrichen.
Fragen?
Sie sind sich unsicher, ob Sie Daten weiterverwenden oder ob Sie als Datenvermittlungsdienst zu qualifizieren sind? Oder Sie haben noch allgemeine Fragen zum Data Governance Act? Gerne helfen wir Ihnen weiter. Nehmen Sie einfach mit uns Kontakt auf.