Data Governance Act I: Weiterverwendung von Daten des öffentlichen Sektors
Der Data Governance Act ist einer der zahlreichen Rechtsakte, der die europäische Datenwirtschaft voranbringen soll. Die EU-Kommission hat ihn am 25. November 2020 vorgeschlagen. Seitdem wird er im Europäischen Parlament und im Rat verhandelt.
Erklärtes Ziel des Rechtsaktes ist es, die Verfügbarkeit von Daten zur Nutzung zu fördern. Hierfür sieht der Entwurf Regelungen in folgenden Bereichen vor:
- Bereitstellung von Daten des öffentlichen Sektors zur Weiterverwendung
- Gemeinsame Datennutzung durch Unternehmen gegen Entgelt
- Ermöglichung der Nutzung personenbezogener Daten mithilfe eines Mittlers
- Ermöglichung der Nutzung von Daten aus altruistischen Gründen
Es liegt nahe, dass all diese Regelungen in einem Spannungsverhältnis zur DSGVO stehen. Der Verordnungsentwurf will jedoch von einem solchen Spannungsverhältnis nichts wissen. Er postuliert,
- die Rechtsvorschriften der DSGVO blieben unberührt (EG 3 Satz 5 DGA-E),
- die Verarbeitung personenbezogener Daten müsse stets auf einem der Rechtsgründe des Art. 6 DSGVO beruhen (EG 6 Satz 5 DGA-E),
- die Verpflichtung der Anbieter von Diensten für die gemeinsame Datennutzung zur Einhaltung der DSGVO bliebe unberührt (EG 28 Satz 1 DGA-E),
- der Datenaltruismus stütze sich auf die Einwilligung gemäß Art. 6 I a, 7 und 9 II a DSGVO (EG 38 Satz 2 DGA-E),
- für die Prüfung der Einhaltung der DSGVO müsse eine Stellungnahme oder ein Beschluss der zuständigen Datenschutzaufsichtsbehörde herbeigeführt werden (Art. 20 III DGA-E),
- das europäische Einwilligungsformular für Datenaltruismus müsse es ermöglichen, dass Betroffene gemäß der DSGVO ihre Einwilligung erteilen und widerrufen könnten (Art. 22 III DGA-E).
Noch deutlicher wird der jüngste Ratsentwurf vom 7.9.2021. Nach Art. 1 III des Vorschlags der EU-Mitgliedstaaten gehen DSGVO und ePrivacy-Richtlinie über alles:
"Union and national law on the protection of personal data shall apply to any personal data processed in connection with this Regulation. In particular, this Regulation shall be without prejudice to Regulation (EU) 2016/679 and Directive 2002/58/EC, including the powers and competences of supervisory authorities. In the event of conflict between the provisions of this Regulation and Union or national law on the protection of personal data, the latter Union or national law prevails. This Regulation does not create a legal basis for the processing of personal data and does not alter any obligations and rights set out in Regulation (EU) 2016/679 or Directive 2002/58/EC. "
Demnach wäre das Verhältnis DSGVO-DGA scheinbar eindeutig zugunsten der DSGVO geregelt:
- Die Regelungen des DGA sollen unbeschadet der DSGVO gelten ("without prejudice").
- Datenschutzrecht soll immer vorgehen ("prevails").
- Der DGA soll keine Rechtsgrundlagen für die Datenverarbeitung enthalten ("does not create a legal basis").
- Und er soll Rechte und Pflichten der DSGVO nicht ändern ("does not alter").
Nun sieht Kapitel II des DGA-E aber Regelungen für die Weiterverwendung von Daten im Besitz öffentlicher Stellen vor. Dies sollen ausdrücklich auch Daten sein, die dem Schutz personenbezogener Daten unterliegen (Art. 3 I d DGA-E).
Bereits der Begriff "Weiterverwendung" (= "re-use") lässt Kenner der DSGVO aufhorchen. Die Ähnlichkeit mit dem in Art. 5 I b DSGVO verwendeten Begriff der "Weiterverarbeitung" (= "further processing") ist allzu deutlich:
Eine "Weiterverarbeitung" im Sinne der DSGVO ist gemäß Art. 6 IV DSGVO eine
"Verarbeitung zu einem anderen Zweck als zu demjenigen, zu dem die personenbezogenen Daten erhoben wurden."
Eine "Weiterverwendung" im Sinne des DGA ist gemäß Art. 2 Nr. 2 DGA-E eine
"Nutzung von Daten, die im Besitz öffentlicher Stellen sind, durch natürliche oder juristische Personen für kommerzielle oder nichtkommerzielle Zwecke, die sich von dem ursprünglichen Zweck im Rahmen des öffentlichen Auftrags, für den die Daten erstellt wurden, unterscheiden, abgesehen vom Austausch von Daten zwischen öffentlichen Stellen ausschließlich im Rahmen der Erfüllung ihres öffentlichen Auftrags."
Die Gegenüberstellung zeigt, dass die Weiterverwendung im Sinne des DGA - sofern es personenbezogene Daten betrifft - ein Unterfall der Weiterverarbeitung im Sinne der DSGVO sein muss. Hauptunterschied ist lediglich, dass nach der DSGVO die Daten für den ursprünglichen Zweck "erhoben" (= "collected") worden sein müssen, während sie nach dem DGA für den ursprünglichen Zweck im Rahmen eines öffentlichen Auftrags "erstellt" (= "produced") worden sein müssen. Es ist angesichts des weiten Verarbeitungsbegriff des Art. 4 Nr. 2 DSGVO aber kaum vorstellbar, dass mit dem "Erstellen" ein Vorgang gemeint sein soll, der nicht unter die DSGVO fällt.
Wenn der DGA also die Weiterverwendung personenbezogener Daten "regelt", ist es kaum möglich, dass damit nicht auch Regelungen der DSGVO betroffen sind. Und in der Tat: Zahlreiche Regelungen des DGA stellen sich als Vorschriften dar, die die Weiterverarbeitung im Sinne der Art. 5 I b und 6 IV DSGVO näher ausgestalten:
Die Weiterverwendungsbedingungen müssen öffentlich zugänglich sein (Art. 5 I DGA-E). Da nach deutschem Verständnis die Weitergabe personenbezogener Daten an Dritte ohnehin gesetzlich geregelt sein muss und Gesetze öffentlich zugänglich sind, ist diese Publikationspflicht wohl nur deklaratorischer Natur. Dass eine nicht-kompatible Weiterverarbeitung gemäß Art. 6 IV DSGVO durch "Rechtsvorschrift der Mitgliedstaaten" geregelt sein muss, bestätigt dieses Ergebnis.
Die Weiterverwendungsbedingungen müssen vier Anforderungen genügen: Sie dürfen (1) nicht diskriminierend und (2) nicht wettbewerbsbehindernd sein und müssen (3) verhältnismäßig und (4) objektiv gerechtfertigt sein (Art. 5 II DGA-E). Mit dieser Regelung ergänzt der DGA ziemlich offensichtlich den Art. 6 IV DSGVO:
Nach Art. 6 IV DSGVO muss eine "Rechtsvorschrift der Mitgliedstaaten", die die Weiterverarbeitung erlaubt, eine in einer demokratischen Gesellschaft notwendige und verhältnismäßige Maßnahme zum Schutz der in Art. 23 I DSGVO genannten Ziele darstellen. Diese Öffnungsklausel wird nunmehr um die genannten vier Bedingungen ergänzt. Art. 5 II DGA-E begrenzt somit die Handlungsfreiheit der Mitgliedstaaten - allerdings wohl nicht in materiell-rechtlicher Hinsicht, denn diskriminierende, wettbewerbsbehindernde, unverhältnismäßige und objektiv nicht gerechtfertigte Weiterverwendungsbedingungen wären wohl auch ohne Art. 5 II DGA-E jedenfalls nach deutschen Recht nicht zulässig.
Da eine verstärkte Weiterverwendung von Daten des öffentlichen Sektors aber ein Ziel des DGA ist, könnte man auf die Idee kommen, dass die Weiterverwendung ein "sonstiges wichtiges Ziel des allgemeinen öffentlichen Interesses der Union oder eines Mitgliedstaates" im Sinne von Art. 23 I e DSGVO darstellt. Unter diesen Umständen würden die Möglichkeiten des Art. 6 IV DSGVO, die Weiterverwendung gesetzlich zuzulassen, gar nicht begrenzt, sondern über die Hintertür des Art. 23 DSGVO sogar doch erweitert.
Öffentliche Stellen können die Verpflichtung auferlegen, dass nur aufbereitete Daten weiterverwendet werden dürfen (Art. 5 III DGA-E). Diese Regelungsvorschlag zeigt, dass die EU-Kommission Bauchschmerzen damit hat, dass personenbezogene Daten "einfach so" weitergegeben werden könnten. Die Daten sollen deshalb zuvor "aufbereitet" werden. Dabei handelt es sich aber nur um eine Kann-Bestimmung. Die Mitgliedstaaten werden nicht zu einer Aufbereitung der Daten verpflichtet, auch wenn ihnen dies über EG 11 DGA-E doch deutlich nahegelegt wird.
Was der DGA-E mit "aufbereitet" meint, wird an keiner Stelle definiert. Die Norm lässt aber erkennen, dass unter einer Aufbereitung eine Anonymisierung oder Pseudonymisierung gemeint sein soll:
- Werden Daten nach einer Pseudonymisierung der Weiterverwendung zugeführt, unterliegen sie weiterhin dem Rechtsregime der DSGVO. Die Pseudonymisierung (Definition in Art. 4 Nr. 5 DSGVO) führt bekanntlich nicht aus dem Anwendungsbereich der DSGVO heraus.
- Werden Daten hingegen anonymisiert, gilt die DSGVO nicht mehr - weder für die öffentliche Stelle, die anonymisierte Daten herausgibt, noch für den Weiterverwender.
Für die Pseudonymisierung und - nach umstrittener Auffassung auch - für die Anonymisierung personenbezogener Daten bedarf es aber einer datenschutzrechtlichen Rechtsgrundlage, die im mitgliedstaatlichen Recht erst geschaffen werden müsste.
Öffentliche Stellen können die Weiterverwendung davon abhängig machen, dass sie nur in einer vom öffentlichen Sektor bereitgestellten und kontrollierten sicheren Verarbeitungsumgebung erfolgt (Art. 5 IV DGA-E). Dies können in Ermangelung eines Fernzugriffs auch bestimmte physische Räumlichkeiten sein. Interessant ist insofern erneut, dass es sich um eine Kann-Bestimmung handelt, die den Mitgliedstaaten bestimmte Bedingungen zwar nahelegt, sie aber nicht dazu zwingt.
Der Rückgriff auf eine sichere Verarbeitungsumgebung kann von der Unterzeichnung einer Vertraulichkeitsvereinbarung abhängig gemacht werden (EG 11 Satz 10 DGA-E). Wenn eine sichere Verarbeitungsumgebung zur Verfügung gestellt wird, muss die Integrität des Betriebs der technischen Systeme gewahrt sein (Art. 5 V 1 DGA-E).
Eine Muss-Bestimmung ist, dass die öffentliche Stelle in der Lage sein muss, die Ergebnisse der vom Weiterverwender durchgeführten Datenverarbeitung zu überprüfen und die Verwendung der Ergebnisse zu verbieten (Art. 5 V 2 DGA-E). Dies ist in zweierlei Hinsicht eine interessante Norm:
Zum einen unterscheidet sie zwischen der Datenverarbeitung und den Ergebnissen der Datenverarbeitung. Eine solche Unterscheidung ist dem Datenschutzrecht weitgehend fremd. Lediglich in Art. 22 I DSGVO wird zwischen der Datenverarbeitung und der Entscheidung, die auf der Datenverarbeitung beruht, unterschieden. Indem den Mitgliedstaaten nunmehr die Befugnis (bzw. sogar die Pflicht) zugesprochen werden soll, die Verwendung der Ergebnisse der Datenverarbeitung zu verbieten, wird eine Verbotsmöglichkeit eröffnet, die über Art. 22 I DSGVO hinausgeht.
Zum anderen bewegt sich diese Verbotsbefugnis in einem Bereich, für den ansonsten die Datenschutzaufsichtsbehörden zuständig sind. Nach Art. 58 II f DSGVO sind die Datenschutzaufsichtsbehörden befugt, "eine vorübergehende oder endgültige Beschränkung der Verarbeitung, einschließlich eines Verbots, zu verhängen". Nach dem DGA soll nun jede öffentliche Stelle, die die Weiterverwendung erlaubt, zur Verhängung eines Verbotes der Ergebnisse der Datenverarbeitung befugt sein müssen. Hier sind Zuständigkeitskonflikte vorprogrammiert.
Wenn die Mitgliedstaaten keine gesetzlichen Grundlagen für die Weiterverwendung personenbezogener Daten schaffen und es auch an einer Rechtsgrundlage in der DSGVO fehlt, sind sie zumindest gehalten, den potentiellen Weiterverwender bei der Einholung der Einwilligung zu unterstützen (Art. 5 VI DGA-E). Die Unterstützung kann in technischen Maßnahmen bestehen, die die Weiterleitung von Einwilligungsanfragen der Weiterverwender an die Betroffenen ermöglichen (EG 11 Satz 12 DGA-E). Eine direkte Kontaktaufnahme des potentiellen Weiterverwenders mit dem Betroffenen soll aber ausgeschlossen sein (EG 11 Satz 13 DGA-E).
Unklar ist, wie streng diese Unterstützungspflicht ist, für welche Daten sie gilt und wie weit sie reicht. Die am weitesten denkbare Auslegung wäre, dass potentielle Weiterverwender nun einen Anspruch gegen alle öffentlichen Stellen haben, die sich im Besitz personenbezogener Daten befinden. Der Anspruch wäre darauf gerichtet, dass Einwilligungsanfragen potentieller Weiterverwender an alle Betroffenen zumindest weitergeleitet werden müssen.
Beispiel: Ein Forschungsinstitut möchte die Daten aller Gesundheitsbehörden zur Weiterverwendung haben und schreibt alle Gesundheitsbehörden an. Die Gesundheitsbehörden sind verpflichtet, alle Betroffenen zu fragen, ob sie dem Forschungsinstitut die Einwilligung zur Weiterverwendung der Daten erteilen wollen.
Auch die Weiterleitung einer Einwilligungsanfrage ist ein datenschutzrechtlich erheblicher Vorgang. Fraglich ist, ob Art. 5 VI DGA-E der hierfür erforderliche Erlaubnistatbestand ist oder ob ein solcher erst noch im jeweiligen nationalen Recht geschaffen werden müsste.
Datenschutzrechtlich völlig unklar bleibt, in welchem Verhältnis die öffentliche Stelle, die die Weiterverwendung personenbezogener Daten ermöglicht, und der Weiterverwender stehen. Wenn die Daten nicht als "echte" Open Data allgemein zugänglich werden, dürfte der öffentlichen Stelle noch eine Restverantwortung verbleiben. Dies gilt vor allem, wenn die öffentliche Stelle den Zugang nur in einer sicheren Verarbeitungsumgebung zur Verfügung stellt (Art. 5 IV DGA-E). Auch die Idee, dass die öffentliche Stelle den Weiterverwender eine Vertraulichkeitsvereinbarung unterzeichnen lassen soll, spricht für eine fortbestehende Verantwortung der öffentlichen Stelle.
In solchen Fällen spricht in datenschutzrechtlicher Hinsicht viel dafür, die öffentliche Stelle und den Weiterverwender als gemeinsame Verantwortliche im Sinne von Art. 26 DSGVO anzusehen. Der Weiterverwender bestimmt dann nämlich zwar die Zwecke der Verarbeitung, die öffentliche Stelle bestimmt aber (auch) die Mittel. Auch die Pflicht zur Durchführung einer Ergebniskontrolle (Art. 5 V 2 DGA-E) spricht dafür, dass die öffentliche Stelle zum gemeinsam Verantwortlichen wird. Dann müssten aber die öffentliche Stelle und der Weiterverwender ihre Verantwortlichkeiten in einer Vereinbarung gemäß Art. 26 I DSGVO regeln.
Es liegt auf der Hand, dass öffentliche Stellen wenig geneigt sein dürften, Daten zur Verfügung zu stellen, wenn sie diese zunächst "aufbereiten" müssen, dann eine "sichere Verarbeitungsumgebung" zur Verfügung stellen müssen, sie gleichwohl eine Restverantwortung behalten, die sie zum Abschluss einer Vereinbarung verpflichtet, wobei aber unklar bleibt, ob diese rechtliche Bewertung überhaupt richtig ist. Der DGA dürfte an dieser Stelle die Frage nicht offen lassen, wie das Verhältnis zu qualifizieren ist. Wenn ausgerechnet eines der umstrittensten Rechtsinstitute der DSGVO zum Ausgangspunkt für eine Weiterverwendung im Besitz öffentlicher Stellen befindlicher Daten gemacht wird, wird die Bereitschaft öffentlicher Stellen, diesen Weg zu gehen, gering bleiben.
Der DGA will mit seinem Kapitel II die Weiterverwendung von Daten des öffentlichen Sektors fördern. Dafür enthält er erstaunlich wenige die Mitgliedstaaten verpflichtende Regelungen. Art. 3 III 1 DGA-E stellt sogar ausdrücklich klar, dass öffentliche Stellen nicht
- verpflichtet werden sollen, die Weiterverwendung zu erlauben,
- von ihren Geheimhaltungspflichten befreit werden sollen.
Insofern kann man den DGA in weiten Teilen nur als Handlungsempfehlung für die Mitgliedstaaten lesen, die personenbezogene Daten zur Weiterverwendung freigeben wollen. Es ist daher höchst fraglich, ob das Ziel, die Weiterverwendung von Daten zu fördern, auf diesem Wege erreicht werden kann.
Entgegen der vom DGA selbst formulierten Annahme, dass die DSGVO unangetastet bliebe, können die Regelungen zur Weiterverwendung mehr oder weniger subtile Rückwirkungen auf die Auslegung der DSGVO haben.
Vor allem aber wird man die Regelungen zur Weiterverwendung personenbezogener Daten als Ausgestaltung der Weiterverarbeitungsregelung des Art. 6 IV DSGVO ansehen müssen, was noch ungeahnte Auslegungsfragen zwischen DSGVO, DGA und mitgliedstaatlichem Recht aufwerfen wird. Erstaunlich ist, dass dieses Spannungsverhältnis - obwohl schon terminologisch offenkundig (Weiterverwendung = Weiterverarbeitung) - vom Normgeber überhaupt nicht angesprochen wird.
In dieser Blogserie sind bislang erschienen:
- Blogserie: In der datenschutzrechtlichen Todeszone
- Der Data Governance Act I: Weiterverwendung von Daten des öffentlichen Sektors
- Der Data Governance Act II: Datenmittler
- Der Data Governance Act III: Datenaltruismus
- Der Data Governance Act IV: Dataismus
Wird fortgesetzt ...