Auf dem Weg zu mehr digitaler Souveränität setzt die EU auf eine explizit europäische Datenstrategie. Entscheidende Bausteine sind die Förderung von Infrastrukturen und die Schaffung eines neuen Rechtsrahmens. Dieser zweite Teil beleuchtet die wesentlichen Regeln für Datenintermediäre im Data Governance Act.
Vor dem Hintergrund der Europäischen Datenstrategie arbeiten bereits verschiedene Projekte an dem Aufbau föderierter, europäischer Datenräume. Die neuen Infrastrukturen sollen einen souveränen Datenaustausch ermöglichen. In diesen Infrastrukturierungsprozess fügt sich der Data Governance Act (DGA) ein. Dieser wurde im November 2020 von der EU-Kommission als Entwurf vorgeschlagen und im Frühjahr 2022 nach Abschluss der Trilog-Verhandlungen vom europäischen Gesetzgeber verabschiedet. Der DGA setzt neue gesetzliche Regeln zum Zwecke der Erleichterung eines freiwilligen Austauschs von Daten zwischen deren Inhaberinnen und Inhabern und Nutzungsinteressentinnen und ‑inhabern.
Der DGA als europäischer Rechtsrahmen für den Datenaustausch
Die Verordnung ist unmittelbar anwendbares Recht in der gesamten EU und gilt für die meisten Anwendungsfälle seit Ende September 2023. Wesentliche Gegenstände des DGA sind Regeln zur Tätigkeit von Datenvermittlungsdiensten (Art. 10 ff. DGA) und organisatorische Rahmenbedingungen für die freiwillige Registereintragung von Datenaltruismus-Organisationen (Art. 16 ff. DGA). Daneben werden gewisse Vorgaben aufgestellt, die die Weiterverwendung von Daten öffentlicher Stellen, die aufgrund anderer Vorschriften (z. B. zu Forschungszwecken) weitergegeben werden mussten oder durften, erleichtern sollen (Art. 3 ff. DGA). Ausweislich des Erwägungsgrundes 3 des DGA bestehen die primären Ziele dieser Verordnung zum einen in der Entwicklung eines Binnenmarkts ohne Grenzen für Daten aller Art innerhalb der Europäischen Union und zum anderen in der Förderung einer Datengesellschaft und Datenwirtschaft, die den Grundsätzen der Personenzentrierung, Vertrauenswürdigkeit und Sicherheit entsprechen. Im Mittelpunkt des Zielbereichs dieser Verordnung steht aber die Verwirklichung des Binnenmarkts durch Rechtsangleichung (Art. 114 AEUV). Die Erreichung dieses Ziels entspricht laut Erwägungsgrund 1 des DGA wiederum der geopolitischen Hoffnung der EU, im globalen Wettbewerb eine offene strategische Autonomie im Bereich der digitalen Wirtschaft und somit eine digitale Souveränität auf überindividueller Ebene zu erzielen.
Der Bedarf nach harmonisierten Regeln für Datenvermittlungsdienste ergab sich für den EU-Gesetzgeber aus der Feststellung eines Marktversagens. Vielen Unternehmen, die grundsätzlich bereit wären, Daten mit anderen Personen auszutauschen, fehlte hinreichendes Vertrauen darin, dass die Empfänger der Daten diese nur vereinbarungsgerecht verarbeiten und nicht etwa auch an Dritte weitergeben oder gegen Datenschutzvorschriften verstoßen. Um die durch dieses Vertrauensdefizit bedingten Transaktionskosten (insbesondere Anbahnungs- und Vereinbarungskosten) zu reduzieren, sollen auf Datenaustausch spezialisierte Intermediäre auf den Plan treten – sogenannte Datenvermittlungsdienste. Vorgaben für die Tätigkeit von Intermediären, die einer Erhöhung des Vertrauens in deren Dienste dienen und damit die gemeinsame Datennutzung fördern, sollten wiederum einheitlich auf europäischer Ebene eingeführt werden, um zur Verwirklichung eines Binnenmarkts für Daten beizutragen.
Der DGA nimmt eine sektorübergreifende Steuerung von Datenaustauschprozessen in Datenräumen und mithilfe von Datenvermittlungsdiensten vor. Die Verordnung schafft jedoch keine umfassende horizontale Governance-Struktur, die für gewünschte Datenflüsse Anreize setzen, abwägungsbedürftigen Datenflüssen Bedingungen auferlegen und unerwünschten Datenflüssen Grenzen setzen würde. Vielmehr enthält sie nur einzelne Regelungsfragmente, bei denen die EU Handlungsbedarf gesehen hat und die erst im Zusammenwirken mit den weiteren allgemeinen europäischen Digitalrechtsakten (z. B. DA, DSGVO, PSI-RL, Geschäftsgeheimnis-RL) und den sektorspezifischen Digitalrechtsakten die gewünschte Steuerungswirkung entfalten.
Die Europäische Datenstrategie: Rechtssetzung und Infrastrukturierung
Um diesen europäischen Weg zu konkretisieren, hat die EU die Europäische Datenstrategie (2020) formuliert. Mit dem Data Governance Act (DGA) und dem Data Act (DA) wurden in diesem Kontext zwei bedeutende Gesetze auf den Weg gebracht, die der datenagilen Wirtschaft einen übergeordneten Rahmen geben sollen. Während durch den DA vor allem gesetzliche Verpflichtungen zum Datenzugang in bestimmten Situationen aufgestellt werden, werden mit dem DGA im Wesentlichen Rahmenbedingungen der freiwilligen Datenweitergabe geregelt. Neben der Schaffung eines Rechtsrahmens besteht der zweite wichtige Baustein der Europäischen Datenstrategie darin, Maßnahmen für den Aufbau und die Stärkung europäischer Infrastrukturen zur gemeinsamen Datennutzung zu fördern. Diese sollen schon durch die Gestaltung ihrer Architektur sicherstellen, dass datenbasierte Wertschöpfungen bei den jeweiligen Erzeugern bleiben und nicht von den nichteuropäischen Big-Tech-Plattformen abgeschöpft werden können. Derzeit decken die US-amerikanischen Unternehmen Amazon Web Services (AWS), Microsoft Azure und Google Cloud gemeinsam circa zwei Drittel des Cloudmarktes in der EU ab.
Anwendungsbereich und Anforderungen an Datenvermittlungsdienste im DGA
In der Literatur und in der Praxis existieren eine Vielzahl von Beschreibungen von Diensten, die den Datenaustausch zwischen anderen Akteurinnen und Akteuren vermitteln. Der Begriff Datenintermediär vereint als tauglicher Oberbegriff sehr unterschiedliche Konstrukte und Bezeichnungen zum Ermöglichen des Datenaustauschs. Hierzu gehört insbesondere auch der bekannte Begriff des Datentreuhänders (Data Trustee). Dieser wird zwar auch unterschiedlich gebraucht; unabhängig von der genauen rechtlichen und technischen Konstruktion impliziert der Begriff jedoch bereits die wesentliche Gemeinsamkeit der Untergruppe, nämlich die treuhänderische Pflicht, im Interesse der Dateninhaberinnen/Dateninhaber (und/oder der Datennutzenden) zu handeln.
Der DGA selbst adressiert nur einen Ausschnitt aus der Gruppe der Datenintermediäre, denn er richtet sich an Datenvermittlungsdienste (in der englischen Fassung Data Intermediation Services). In Art. 2 Abs. 11 DGA wird definiert, dass ein solcher Dienst durch seine Mittel Geschäftsbeziehungen für eine gemeinsame Datennutzung zwischen einer unbestimmten Anzahl an Dateninhaberinnen und ‑inhabern (betroffenen Personen) und Datennutzenden herstellt. Explizit ausgenommen werden insbesondere alle Dienste, durch die keine wirtschaftliche Tätigkeit angestrebt wird, wie etwa bei geschlossenen Datensystemen oder bei öffentlichen Stellen ohne Absicht der Herstellung von Geschäftsbeziehungen. Art. 10 des DGA konkretisiert den Anwendungsbereich der Regelungen zu Datenvermittlungsdiensten auf drei Kategorien von Diensten: Vermittlungsdienste zum Austausch von Daten zwischen Dateninhaberinnen und ‑inhabern und potenziellen Datennutzenden, Vermittlungsdienste für die Zugänglichmachung personenbezogener und nicht personenbezogener Daten durch natürliche Personen und Dienste von Datengenossenschaften.
Gaia-X setzt nur einen technischen und normativen Regelungsrahmen, innerhalb dessen Akteure ihre Vermittlungsdienste aufbauen, gestalten und Teil eines „föderierten und interoperablen Gaia-X-Ökosystems“ werden können. Da Gaia-X also selbst keine Datenvermittlungsdienste anbietet, sondern ein Standardsetzungsprojekt ist, fällt es nicht unter den Anwendungsbereich der Art. 10 ff. DGA. Anders sieht es hingegen mit konkreten Datenräumen auf Grundlage des Gaia-X-Standards aus. Beispielsweise erfüllen die einzelnen Dienste der Föderation um EuroDaT (z. B. die Applikationen in den EuroDaT-App Stores) in ihrer derzeitigen Konzeption aller Wahrscheinlichkeit nach die Voraussetzungen eines Datenvermittlungsdienstes nach Art. 10 lit. a DGA, denn für das Finanzdatenökosystem will EuroDaT – als neutrale Vermittlungsstelle mit transaktionsbasierter Treuhandfunktion – Daten zwischen Datengebenden, Ergebnisnutzenden und Datendienstleistern teilbar, analysierbar und verwertbar machen.
Anbieter von Datenvermittlungsdiensten müssen sich bei der jeweils zuständigen nationalen Behörde (in Deutschland die Bundesnetzagentur) anmelden und werden dann in einem Register der EU-Kommission geführt (Art. 11 DGA). Die Erbringung der Dienste ist an eine ganze Liste von Bedingungen in Art. 12 DGA geknüpft, deren Einhaltung von den nationalen Behörden nach Art. 14 DGA überwacht wird. Die Anforderungen betreffen u. a. inhaltliche Vorgaben zur Verwendung der Daten (Zweck, Interessenvertretung), Konditionen der Diensterbringung (kommerzielle Bedingungen, Format, Standards), Sicherungsmechanismen für Risikofälle (rechtswidrige Verwendung, missbräuchliche Praktiken, Insolvenz, Sicherheitsniveau) sowie die verfahrensrechtliche Organisation (Protokollpflicht).
Fazit
Die EU möchte noch in diesem Jahrzehnt an die Spitze einer globalen datengesteuerten Gesellschaft. Das Aufsetzen eines neuen Rechtsrahmens und technischer Infrastrukturen für einen souveränen Datenaustausch sind wesentliche Mittel, um dieses in der Europäischen Datenstrategie gesetzte Ziel zu erreichen. Inwiefern die im Beitrag skizzierten Maßnahmen erfolgversprechend im Sinne eines wirksamen Beitrags zu digitaler Souveränität sind, ist schwer abzusehen. Zweifel am tatsächlichen Steuerungspotenzial des DGA ergeben sich unter anderem daraus, dass die Verordnung hohe Anforderungen an den Betrieb von Vermittlungsdiensten stellt, ohne zugleich aktiv Anreize für die Aufnahme eines solchen Dienstes zu setzen (wie z. B. datenschutzrechtliche Privilegien), die über die ohnehin bestehenden wirtschaftlichen Anreize hinausgehen. Auch Marktakzeptanz des Modells und das technische Zusammenwirken verschiedener Dienste zwischen den föderierten Datenräumen stellen Herausforderungen dar, denen sich die EU fortwährend widmen sollte, um sich im globalen Kontext tatsächlich behaupten zu können.
Dieser Blogbeitrag ist Teil 2 eines Zweiteilers zum Infrastrukturierungsprozess von europäischen Datenräumen.
Die vom bidt veröffentlichten Blogbeiträge geben die Ansichten der Autorinnen und Autoren wieder; sie spiegeln nicht die Haltung des Instituts als Ganzes wider.