11.10.2021

Data Governance Act II: Datenmittler

Portrait von Winfried Veil
Winfried Veil

In Teil II dieser Blogserie geht es um "Dienste für die gemeinsame Datennutzung". Diese Kategorie von Datenmittlern erfindet Kapitel III des von der EU-Kommission im November 2020 vorgeschlagenen Data Governance Act (DGA). Diese Datenmittler adressieren mehrere Probleme (vgl. auch Richter, in: ZEuP 2021, 634, 646):

  • Förderungspostulat: Sie sollen den Datenaustausch erleichtern.
  • Marktmachtproblematik: Sie sollen die Entstehung datengetriebener Ökosysteme unterstützen, die unabhängig von anderen marktmächtigen Akteuren sind.
  • Vertrauensstärkung: Sie sollen das Vertrauen in die gemeinsame Datennutzung stärken.
  • PIMS: Sie sollen Betroffenen eine effektivere Durchsetzung ihrer DSGVO-Rechte ermöglichen.
  • Transaktionskosten: Sie sollen die Transaktionskosten der gemeinsamen Datennutzung senken.
I. Was ist ein Datenmittler?

Der DGA-E definiert nicht, was ein "Dienst für die gemeinsame Datennutzung" (= Datenmittler) sein soll. Er legt aber ein Anmeldeverfahren für solche Dienste fest (Art. 9 DGA-E) und bestimmt Bedingungen für die Diensteerbringung (Art. 11 DGA-E). Sucht man sich die maßgeblichen Regelungen in den Artikeln und Erwägungsgründen des DGA-E zusammen, ergibt sich ein ungefähres Bild des Datenmittlers, den die EU-Kommission bei ihrem Vorschlag offenbar vor Augen hatte. Es ist dennoch schwer herauszufinden, welche Dienste genau unter die Regulierung fallen sollen und welche nicht (ebenso Kerber, DGA - einige Bemerkungen aus ökonomischer Sicht).

Unter "Diensten für die gemeinsame Datennutzung" (= "data sharing services") sind verschiedene Arten von Datenmittlern (= "data intermediaries", EG 22 Satz 1 DGA-E) zu verstehen. Ein solcher Dienst ...

  • kann ein Vermittlungsdienst (= "intermediation service") zwischen Dateninhabern, die juristische Personen sind, und potentiellen Datennutzern sein (Art. 9 I a DGA-E),
  • kann ein Vermittlungsdienst (= "intermediation service") zwischen Betroffenen, die ihre personenbezogenen Daten zugänglich machen wollen, und potentiellen Datennutzern sein (Art. 9 I b DGA-E),
  • kann ein Anbieter sein, der die Handlungsfähigkeit und Kontrolle des Betroffenen verbessern will (EG 23 DGA-E),
  • kann eine Datengenossenschaft sein (= "data cooperative", Art. 9 I c und EG 24 DGA-E),
  • muss zwischen einer unbestimmten Zahl von Dateninhabern und -nutzern vermitteln (EG 22 Satz 5 DGA-E),
  • muss eine gesonderte Rechtsperson sein (Art. 11 Nr. 1 und EG 26 Satz 4 DGA-E) und
  • sollte in der Union niedergelassen sein oder zumindest einen Vertreter in der Union benennen (EG 27 DGA-E).
II. Was ist kein Datenmittler?

Kein "Dienst für die gemeinsame Datennutzung" im Sinne des DGA-E ist ein(e)

  • Vermittler zwischen geschlossenen Gruppen von Dateninhabern und -nutzern (EG 22 Satz 5 DGA-E),
  • Anbieter von Cloud-Diensten (EG 22 Satz 6 DGA-E),
  • Anbieter, der Daten von Dateninhabern einholt, aggregiert, anreichert, umwandelt und Nutzungslizenzen vergibt (EG 22 Satz 6 DGA-E),
  • Anbieter, der keine direkte Beziehung zwischen Dateninhaber und -nutzer herstellt, z.B. Werbe- oder Datenmakler, Datenberatungsunternehmen, Anbieter von Datenprodukten (EG 22 Satz 6 DGA-E),
  • Plattform für den Datenaustausch, die ausschließlich von einem einzigen Dateninhaber genutzt wird, um die Nutzung der in seinem Besitz befindlichen Daten zu ermöglichen (EG 22 Satz 9 DGA-E),
  • Plattform im Internet der Dinge, die die Funktionen verbundener Objekte/Geräte sicherstellt und Mehrwertdienste ermöglicht (EG 22 Satz 9 DGA-E),
  • "Bereitsteller konsolidierter Datenträger" im Sinne von Art. 4 Nr. 19 der Richtlinie 2014/65 (EG 22 Satz 10 DGA-E),
  • "Kontoinformationsdienstleister" im Sinne von Art. 4 Nr. 19 der Richtlinie 2015/2366 (EG 22 Satz 10 DGA-E),
  • datenaltruistische Organisation (EG 22 Satz 11 DGA-E).
III. Was kann ein Datenmittler allgemein?

Mögliche Tätigkeiten eines Dienstes für die gemeinsame Datennutzung sind:

  1. Datenaggregation (EG 22 Sätze 1 und 5 DGA-E)
  2. Datenanreicherung (EG 22 Satz 6 DGA-E)
  3. Datenumwandlung (EG 22 Satz 6 DGA-E)
  4. Vergabe von Datennutzungslizenzen (EG 22 Satz 6 DGA-E)
  5. Datenanpassung zur Verbesserung der Nutzbarkeit (EG 22 Satz 7 DGA-E)
  6. Datenumwandlung in bestimmte Formate (EG 22 Satz 7 DGA-E)
  7. Effiziente Datenbündelung (EG 22 Satz 1 DGA-E)
  8. Datenaustausch (EG 22 Satz 1 DGA-E)
  9. Herstellung einer geschäftlichen, rechtlichen und/oder technischen Beziehung zwischen Dateninhaber und -nutzer (EG 22 Sätze 1 und 4 DGA-E)
  10. Unterstützung bei der Transaktion von Datenbeständen (EG 22 Satz 4 DGA-E)

Wichtig aber ist, dass die unter 1. bis 4 genannten Tätigkeiten für einen nach dem DGA anerkennungswürdigen Dienst ausscheiden sollen. Das bedeutet, ein Dienst im Sinne des DGA soll nicht selbst zur Veredelung der Daten beitragen, sondern nur die Vermittlung bestehender Datensätze übernehmen dürfen. Lediglich die Umwandlung in ein anderes Datenformat scheint dem Dienst erlaubt zu sein.

Schon die Beschränkung des DGA auf bestimmte Modelle der gemeinsamen Datennutzung könnte dazu führen, dass die Regelungen ins Leere gehen. Denn, wer sich als Datenmittler qualifiziert, steht womöglich in Konkurrenz mit anderen Modellen des Datenhandels, der Datenteilung und der gemeinsame Datennutzung, die nicht unter die Regulierung fallen, und folglich keinen zusätzlichen Anforderungen (dazu sogleich) unterliegen.

IV. Was darf ein Datenmittler im Sinne des DGA-E?

Ein "Dienst für die gemeinsame Datennutzung" im Sinne des DGA-E ...

  • vermittelt zwischen Dateninhaber (Art. 2 Nr. 5 DGA-E) bzw. Betroffenem einerseits und Datennutzer (Art. 2 Nr. 6 DGA-E) andererseits;
  • vermittelt Datenaustausch, Datenverwertung, gemeinsame Datennutzung (Art. 9 I DGA-E);
  • darf das Datenformat umwandeln (z.B. in bestimmte Formate, die die Nutzbarkeit verbessern), aber wohl nur auf Verlangen des Datennutzers und bei unionsrechtlicher oder internationaler Verpflichtung (Art. 11 Nr. 4 DGA-E);
  • sieht eine Trennung zwischen Datenbereitstellung, -vermittlung und -nutzung vor (EG 25 Satz 3 DGA-E);
  • sieht eine strukturelle Trennung zwischen dem Dienst für die gemeinsame Datennutzung und anderen Diensten vor (EG 26 Sätze 3 und 4 DGA-E);
  • stellt die Mittel für Datenaustausch, -verwertung, -nutzung bereit: Plattform, Datenbank, spezifische technische Infrastruktur (Art. 9 I und EG 25 Satz 4 DGA-E);
  • ist neutral in Bezug auf die weitergegebenen Daten (EG 26 Satz 1 DGA-E),
  • unterliegt strikter Zweckbindung: zulässig sind Zurverfügungstellung der Daten (Art. 11 Nr. 1 DGA-E) und Weiterentwicklung des Dienstes (Art. 11 Nr. 2 DGA-E); unzulässig ist Datenverwendung für andere Zwecke (EG 26 Satz 2 DGA-E),
  • handelt im besten Interesse des Betroffenen (Art. 11 Nr. 10 DGA-E), hat also treuhänderische Pflichten gegenüber natürlichen Personen, die Dateninhaber sind (EG 26 Satz 5 DGA-E),
  • muss den Zugang fair, transparent und nichtdiskriminierend ausgestalten (Art. 11 Nr. 3 DGA-E);
  • muss Betrug und Missbrauch verhindern (Art. 11 Nr. 5 DGA-E),
  • muss Datenzugang über die Insolvenz hinaus sicherstellen (Art. 11 Nr. 6 DGA-E),
  • muss technische, rechtliche und organisatorische Maßnahmen ergreifen (Art. 11 Nr. 7 DGA-E),
  • hat ein hohes Sicherheitsniveau zu gewährleisten (Art. 11 Nr. 8 DGA-E),

Zusammenfassung: Ein Datenmittler im Sinne des DGA ist also ein reiner Vermittler. Er darf mit den Daten keine eigenen Interessen verfolgen, die über die Vermittlung hinausgehen. Dies wird durch eine Zweckbindung abgesichert. Der Datenmittler muss neutral sein. Er stellt die technischen Mittel zum Datenaustausch bereit.

V. Anmeldeverfahren

Die Erbringung eines Dienstes für die gemeinsame Datennutzung "unterliegt einem Anmeldeverfahren" (Art. 9 I DGA-E). Jeder Datenmittler, der beabsichtigt, einen solchen Dienst zu erbringen, muss sich anmelden (Art. 10 I DGA-E).

Damit lebt für Datenmittler die alte Pflicht zur Meldung von Datenverarbeitungen wieder auf.

Zur Erinnerung: Art. 18 ff. Datenschutz-Richtlinie 95/46 sahen vor, dass automatisierte Verarbeitungen vor ihrer Durchführung der Datenschutzaufsichtsbehörde gemeldet werden mussten. In Deutschland spielte diese Meldepflicht (umgesetzt in §§ 4d und 4e BDSG a.F.) zwar in der Praxis wohl keine große Rolle. Das ändert aber nichts daran, dass die Abschaffung der Meldepflicht durch die DSGVO vom Normgeber als großer Fortschritt bezeichnet wurde. So formuliert EG 89 DSGVO:

"Gemäß der Richtlinie 95/46/EG waren Verarbeitungen personenbezogener Daten bei den Aufsichtsbehörden generell meldepflichtig. Diese Meldepflicht ist mit einem bürokratischen und finanziellen Aufwand verbunden und hat dennoch nicht in allen Fällen zu einem besseren Schutz personenbezogener Daten geführt. Diese unterschiedslosen allgemeinen Meldepflichten sollten daher abgeschafft und durch wirksame Verfahren und Mechanismen ersetzt werden, die sich stattdessen vorrangig mit denjenigen Arten von Verarbeitungsvorgängen befassen, die aufgrund ihrer Art, ihres Umfangs, ihrer Umstände und ihrer Zwecke wahrscheinlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringen. [...]"

Von der EU-Kommission wurde dies als Paradigmenwechsel gefeiert (vgl. Communication 2018/43, S. 3):

"The Regulation moves away from a system of notification to the principle of accountability."

Wenn nunmehr wieder Meldeverfahren eingeführt werden, ist dies nicht nur mit einem bürokratischen und finanziellen Aufwand verbunden, der zum ohnehin großen Erfüllungsaufwand der DSGVO hinzutritt. Es zeigt auch, dass die EU-Kommission anscheinend der DSGVO, die sie als "trust-enabler" bezeichnet, doch nicht so sehr vertraut, dass sie ihre Garantien für ausreichend hielte.

VI. Datenschutzrechtliche Erlaubnistatbestände

Alle an einer gemeinsamen Datennutzung Beteiligten (Dateninhaber, Datenmittler, Datennutzer) müssen sich auf datenschutzrechtliche Erlaubnistatbestände stützen können:

  • Dateninhaber: Die Übermittlung personenbezogener Daten durch einen Dateninhaber an einen Datenmittler ist ein datenschutzrechtlich erheblicher Vorgang.
  • Datenmitter: Die Vermittlung eines Datenaustauschs bzw. einer gemeinsamen Datennutzung durch den Datenmittler ist datenschutzrechtlich relevant.
  • Datennutzer: Die Nutzung der personenbezogenen Daten durch den Datennutzer unterliegt dem Datenschutzrecht.

Die Erlaubnistatbestände sind jeweils in der DSGVO zu suchen. Der DGA-E leistet keine Hilfestellung:

  • Einwilligung: Die in vielerlei Hinsicht problematische Einwilligung stellt für die gemeinsame Datennutzung keine taugliche Rechtsgrundlage dar. Die nachträgliche Einholung der Einwilligung ist bei bestehenden großen Datensätzen kaum möglich. Sie ist jederzeit widerruflich. Das Damoklesschwert des Unwirksamwerdens der Einwilligung schwebt somit über jeder einwilligungsbasierten gemeinsamen Datennutzung. Und jede Zweckänderung erfordert eine neue Einwilligung.
  • Berechtigtes Interesse: Das berechtigte Interesse an der gemeinsamen Datennutzung müsste von jedem der Beteiligten (Dateninhaber, Datenmittler, Datennutzer) gegenüber dem Betroffenen individuell dargelegt werden. Dies ist bei Massendaten kaum möglich.
  • Zweckändernde Weiterverarbeitung: Die gemeinsame Datennutzung ist eine Abfolge von zweckändernden Weiterverarbeitungen, die ohne Einwilligung nur bei Vorliegen der Kompatibilitätsvoraussetzungen des Art. 6 IV DSGVO zulässig ist. Bei sensiblen Daten dürfte sie nach weit verbreiteter Auffassung mangels Anwendbarkeit des Art. 6 IV im Rahmen von Art. 9 DSGVO sogar ganz ausgeschlossen sein.

Ohne die Schaffung neuer gesetzlicher Erlaubnistatbestände wird die gemeinsame Datennutzung somit kaum rechtssicher möglich sein. Wenn der DGA die gemeinsame Datennutzung voranbringen will, müsste er dieses Problem lösen. Im Ratsentwurf des DGA heißt es aber:

"This Regulation does not create a legal basis for the processing of personal data [...]."
VII. Informationspflichten

Auch die Informationspflichten der Art. 13/14 DSGVO sind kaum zu erfüllen:

  • Dateninhaber: Der Dateninhaber müsste den Betroffenen darüber informieren, dass er die Daten einem Datenmittler übermittelt.
  • Datenmittler: Der Datenmittler müsste den Betroffenen darüber informieren, dass er "dessen" Daten vom Dateninhaber erhalten hat und zur Vermittlung bereithält.
  • Datennutzer: Der Datennutzer müsste den Betroffenen darüber informieren, dass er die Daten vom Datenmittler empfangen hat und dass er sie für diesen oder jenen Zweck nutzt.
VIII. Datenschutzrechtliche Einordnung des Datenmittlers

Die Frage, wie die Rolle der Datenmittler datenschutzrechtlich zu beurteilen ist, ist keineswegs trivial. EG 28 Satz 2 DGA-E deutet an, dass der Datenmittler Verantwortlicher oder Auftragsverarbeiter im Sinne der DSGVO sein könnte. Von gemeinsamer Verantwortlichkeit im Sinne von Art. 26 DSGVO ist an keiner Stelle des DGA die Rede, obwohl der Begriff "gemeinsame Datennutzung" es eigentlich nahelegt. Entschieden wird die Frage der Verantwortlichkeit vom DGA nicht:

  • Auftragsverarbeiter: Wenn der Datenmittler den Weisungen des Dateninhabers unterworfen ist, könnte er ein Auftragsverarbeiter im Sinne von Art. 28 DSGVO sein. Die vom DGA-E geforderte Neutralität des Datenmittlers spricht jedoch dagegen. Auch die geforderte Zweckbindung spricht dagegen. Beschränkt sich der Zweck der Verarbeitung des Datenmittlers auf die Zurverfügungstellung der Daten, ist es nicht der Dateninhaber, der die Zwecke und Mittel der Datenverarbeitung festlegt, sondern das Gesetz. Der Datenmittler ist dann nicht nur "verlängerter Arm" des Auftraggebers.
  • Verantwortlicher: Wenn der Datenmittler die ihm zugedachte Rolle eigenständig, unabhängig und neutral auszuführen hat, spricht dies eher für eine eigene Verantwortlichkeit im Sinne von Art. 4 Nr. 7 DSGVO. Dafür spricht auch, dass er fachlich, im Hinblick auf den Ablauf der Verfahren und bei den technischen und organisatorischen Maßnahmen zur Sicherstellung der Rechtmäßigkeit der Datenverarbeitung verantwortlich ist. Dagegen spricht, dass er die Daten nicht selbst für andere als Vermittlungszwecke nutzen darf.
  • Gemeinsam Verantwortlicher: Für gemeinsame Verantwortlichkeit spricht, dass der Datenmittler Mittel der Datenverarbeitung (etwa eine Infrastruktur) zur Verfügung stellt, während der Datennutzer die Zwecke bestimmt. Denkbar sind sogar noch wildere Konstruktionen: etwa eine gemeinsame Verantwortlichkeit zwischen allen drei Beteiligten (Dateninhaber, -mittler und -nutzer) oder eine Auftragsverarbeitung zwischen Dateninhaber und Datenmittler bei gleichzeitiger gemeinsamer Verantwortlichkeit von Datenmittler und Datennutzer.

In jedem Fall müssen die Beteiligten entsprechende Verträge (Auftragsverarbeitungsvertrag, Vertrag über die gemeinsame Verantwortlichkeit) schließen - und zwar für jeden Fall der Datenvermittlung. Auch dies dürfte nicht dazu beitragen, die Datenteilung beliebter zu machen. Auch hier wären gesetzliche Festlegungen der jeweiligen Rollen, Rechte und Pflichten wünschenswert.

IX. Rückwirkungen auf die DSGVO

Auch wenn der DGA-E dies nicht ausdrücklich sagt: Er schränkt die aufgrund der DSGVO bestehenden Datenverarbeitungsbefugnisse massiv ein. Jeder Datenverarbeiter, der die Voraussetzungen eines Datenmittlers erfüllt, wird zukünftig nur noch bei Erfüllung der Voraussetzungen der DSGVO und des DGA tätig werden dürfen. Zur DSGVO treten formelle und materielle Rechtmäßigkeitsvoraussetzungen hinzu:

  • Anmeldung vor Beginn der Datenverarbeitung
  • Neutralität
  • Strikte Zweckbindung
  • Treuhänderische Pflichten
  • Gewährleistung eines fairen, transparenten und nichtdiskriminierenden Datenzugangs
  • Sicherstellung des Datenzugangs in der Insolvenz

Ein Datenmittler hat auch nicht etwa ein Wahlrecht, ob er seine Tätigkeit als anmeldepflichtiger Datenmittler unter DSGVO und DGA oder als nicht gesetzlich verpflichteter Datenmittler nur unter der DSGVO erbringen möchte. Der DGA-E lässt keinen Zweifel daran, dass bereits die Tatsache entsprechender Diensteerbringung zu den zusätzlichen Pflichten führt:

  • Art. 9 I DGA-E: Diensteerbringung "unterliegt einem Anmeldeverfahren".
  • Art. 10 I DGA-E: "Jeder Anbieter [...] muss sich [...] anmelden."
  • Art. 11 DGA-E: Diensteerbringung "unterliegt folgenden Bedingungen".

Umgekehrt gelten für einen Datenmittler, der die oben genannten Bedingungen nicht erfüllt, die strengeren Voraussetzungen des DGA-E nicht. Auch dies führt zu einer Schieflage. Datenmittler, die "mehr machen" als nur Daten zu vermitteln, sind besser gestellt: Sie müssen "nur" die Voraussetzungen der DSGVO erfüllen, nicht aber die strengeren Voraussetzungen des DGA.

X. Vorläufiges Fazit

Die Begründung des DGA-Entwurfs meint, dass das "Zusammenspiel mit den Rechtsvorschriften über personenbezogene Daten besonders wichtig" sei (Ziffer 1. der Begründung). Dieses "Zusammenspiel" findet aber leider im DGA nicht statt. Vielmehr soll das Datenschutzrecht vollständig unangetastet bleiben.

Das "Zusammenspiel" wird somit dem Rechtsanwender überlassen, der erneut ratlos zurückgelassen wird:

Der DGA soll zwar den Datenaustausch fördern, Erleichterungen gegenüber der DSGVO erhält er aber nicht. Im Gegenteil: Wer sich dem Datenaustausch verschreibt, muss zusätzliche rechtliche Bedingungen erfüllen.

Die Kreation einer Rechtsfigur wie der des Datenmittlers wirft zahlreiche neue datenschutzrechtlichen Rechtsfragen auf. Zunächst ist unklar, welche Datenmittler als Datenmittler im Sinne des DGA gelten und welche nicht. Sodann ist unklar, wie die Datenmittler im Sinne des DGA datenschutzrechtlich zu qualifizieren sind.

Diese Rechtsfragen nicht zu klären, sondern der späteren Rechtspraxis zu überlassen, ist ein schweres Versäumnis des Normgebers. Denn es spricht viel dafür, dass schon die heutige Rechtsunsicherheit ein wesentlicher Grund dafür ist, dass gemeinsame Datennutzung kaum stattfindet (so etwa auch Specht/Blankertz et alMMR-Beil. 2021, 25, 47). Werden durch den DGA neue Rechtsunsicherheiten geschaffen, verbessert dies die Situation sicherlich nicht.

Dem Vernehmen nach soll es sich bei den Vorschlägen um "vorausschauende Plattformregulierung" und nicht um Datenschutzrecht handeln. Sollte die EU-Kommission wirklich eine Lösung für das Collingridge-Dilemma gefunden haben? Mit den zahlreichen Pflichten, die noch über die DSGVO-Pflichten hinausgehen, dürfte sie eher die Entstehung von nützlichen Technologien im Keim ersticken, noch bevor diese überhaupt entstehen konnten.

 

--- Blogserie: In der datenschutzrechtlichen Todeszone ---

In dieser Blogserie sind bislang erschienen:

Wird fortgesetzt ...

 

Zurück