Data Governance Act IV: Dataismus
Mit dem Data Governance Act (DGA) erklimmt die EU eine neue Kunststufe gesetzgeberischer Hybris. Der DGA erfindet Pflichten in einer Maßlosigkeit, die eigentlich nur den Schluss zulässt, dass es sich hier um eine satirische Übertreibung handelt. Man könnte auch sagen: Dada trifft Kafka. Heraus kommt eine bürokratische Unsinns-Ansammlung, für die Aline Blankertz den Begriff "Dataismus" vorschlägt. Sollte die EU das alles tatsächlich ernst meinen?
Der ursprüngliche Kommissionsentwurf stammt vom November 2020. Im sogenannten Trilog zwischen EU-Kommission, Europäischen Parlament und Rat hat man sich nun am 30. November 2021 geeinigt. Der finale Entwurf findet sich in der vierten Spalte des 4-Spalten-Dokuments. Dem Vernehmen nach soll diese Fassung im Februar/März 2022 verabschiedet werden. Änderungen an einem im Trilog geeinigten Text gibt es in der Regel nicht mehr.
Wir erinnern uns: Erklärtes Ziel des DGA ist es, Daten verfügbar zu machen, um die Datennutzung zu fördern. Der DGA hebt aber nicht etwa Regelungen auf, die der Datenverfügbarkeit entgegenstehen.
Insbesondere die Regelungen der DSGVO bleiben unangetastet. Die Angst, die DSGVO könne "aufgeweicht" werden, ist so groß, dass der neue Text in Art. 1 Abs. 2a gleich eine vierfache Sicherung einbaut:
- DGA "shall be without prejudice to" GDPR
- "in the event of conflict between the provisions" data protection law "should prevail"
- DGA "does not create a legal basis for the processing of personal data"
- DGA "does not alter any obligations and rights set out in" GDPR
Damit weist die finale Version des DGA jegliche Änderung der DSGVO noch eindeutiger zurück als der ursprüngliche Kommissionsentwurf, der sich mit einem "without prejudice" in EG 3 begnügt hatte.
Bemerkenswert ist, dass die EU die DSGVO als trust-enabler offenbar nicht mehr für ausreichend hält (EG 4):
"Action at Union level is necessary to increase trust in data sharing by establishing proper mechanisms for control by data subjects and data holders over the data that relates to them [...]."
Man fragt sich wirklich, was die ganze Sache mit der DSGVO eigentlich gebracht hat, wenn jetzt für die Vertrauensbildung weitere
"proper mechanisms for data subjects to know and meaningfully exercise their rights, as well as regarding the re-use of certain types of data"
und
"in particular, more transparency regarding the purpose of data use and conditions under which data is stored by businesses"
für erforderlich gehalten werden. Zur Erinnerung:
- Die DSGVO enthält 68 Pflichten für Verantwortliche.
- Sie enthält 16 Betroffenenrechte.
- Und sie sieht 22 Transparenzpflichten vor.
Diese Pflichten bleiben - wie gesehen - unangetastet. Wenn man bei der EU der Auffassung ist, dass die DSGVO-Pflichten nicht ausreichen, dann hat man dort entweder die DSGVO nicht verstanden oder man hat das Vertrauen in sie verloren. Regeln, die für Google, Facebook, das Finanzamt und die Schufa ausreichen, sollen für gemeinwohldienliche Datenverarbeitungen nicht ausreichen?
Es gibt noch eine dritte, eben die dataistische Erklärung: Man versucht das eigene Regelwerk durch grandiose Übertreibung zu dekonstruieren, damit alles implodiert und einer großen Neuregelung Platz macht. Aber, ach, der Normgeber als Künstler? Wahrscheinlicher ist, dass der Dataismus des DGA unfreiwilliger Natur ist.
Der DGA möchte die Weiterverwendung von Daten des öffentlichen Sektors fördern. Daten, die auf Kosten des Steuerzahlers erzeugt oder gesammelt wurden, sollen dem Gemeinwohl zugute kommen. Der DGA beschreibt eine "underutilisation" dieser Daten (EG 5 Satz 6). Daher bedürfe es "access to and use of such data" (EG 5 Satz 7).
Dies klingt plausibel. Das Anliegen ist legitim.
Wenn Daten aber nicht weiterverwendet werden, weil der Zugang zu ihnen aus rechtlichen Gründen erschwert ist, könnte man meinen, dass man diese rechtlichen Gründe beseitigt. Nicht so der DGA. Anstatt das Einfachste zu tun und rechtliche Zugangsansprüche zu etablieren oder Schutzansprüche zu reduzieren, legt der DGA fest (Art. 3 Abs. 3):
"This Chapter does not create any obligation on public sector bodies to allow re-use of data nor do they does it release public sector bodies from their confidentiality obligations under Union or national law."
Der DGA schiebt den schwarzen Peter somit komplett den Mitgliedstaaten zu. Diese sollen Zugangsansprüche schaffen und damit auch das heikle Problem eines Ausgleichs zwischen Zugangs- und Geheimhaltungsansprüchen lösen.
Stattdessen legt der DGA Bedingungen für die Weiterverwendung fest. Mitgliedstaaten bzw. öffentliche Stellen treffen unter anderem die folgenden Pflichten:
- Grundsätzlich keine exklusiven Weiterverwendungsvereinbarungen (Art. 4).
- Weiterverwendungsregelungen müssen nichtdiskriminierend, transparent, verhältnismäßig und objektiv gerechtfertigt sein (Art. 5 Abs. 2).
- Gewährleistung des Schutzes der Daten auch bei Weiterverwendung - etwa durch Anonymisierung oder eine sichere Verarbeitungsumgebung (Art. 5 Abs. 3).
- Recht zur Überprüfung der Verfahren, Mittel und Ergebnisse der Weiterverwendung (Art. 5 Abs. 5).
- Recht zum Verbot der Ergebnisse der Weiterverwendung (Art. 5 Abs. 5).
- Abschluss von Vertraulichkeitsvereinbarungen (Art. 5 Abs. 5a)
- ...
Der DGA schreibt den Behörden, die Daten zur Weiterverwendung freigeben oder freigeben wollen, 27 (siebenundzwanzig) zusätzliche Pflichten vor. Den "re-user" treffen neun weitere Pflichten. Die EU-Kommission hat vier Pflichten und die EU-Mitgliedstaaten haben fünf Pflichten zu erfüllen.
Wohlgemerkt: Dies sind zusätzliche Pflichten, die zu den Pflichten nach der DSGVO hinzutreten.
Die Bereitschaft öffentlicher Stellen, Daten zur Verfügung zu stellen ist ohnehin schwach ausgeprägt, denn sie ist - wie der DGA richtig feststellt - "time- and knowledge-intensive" (EG 5 Satz 5). Die Anforderungen des DGA erschweren es den Mitgliedstaaten nun zusätzlich, die Weiterverwendung von Daten zuzulassen. Die Bereitschaft öffentlicher Stellen, Daten zur Verfügung zu stellen, wird nicht gerade zunehmen.
Bedingungen für eine Weiterverwendung aufzustellen, die tatsächlich oder rechtlich gar nicht möglich ist oder jedenfalls faktisch kaum stattfindet, ist - um es mit einem der Gründungsväter des Dadaismus Hugo Ball zu sagen - aber ohnehin:
"Ein Narrenspiel aus dem Nichts."
Das zweite Feld, auf dem der DGA die Datennutzung voranbringen wollte, ist das der Datenmittler. Ein Datenmittler ist nach der neuen Definition des Art. 2 Abs. 2a ein Dienst, der darauf abzielt, Geschäftsbeziehungen zum Zwecke der gemeinsamen Nutzung von Daten zwischen einer unbestimmten Zahl von Betroffenen und Dateninhabern einerseits und Datennutzern andererseits herzustellen.
Auch hier gilt: Solche Vermittlungsdienste sind selbstverständlich schon heute auf der Grundlage der DSGVO zulässig.
Der DGA erfindet nunmehr weitere Anforderungen. Wer einen solchen Dienst anbieten will, muss (!) sich demnächst als Datenmittler registrieren lassen (Art. 10 Abs. 1). Erst nach der Registrierung darf der Datenmittler seine Tätigkeit aufnehmen (Art. 10 Abs. 4). Neben das Verbotsprinzip der DSGVO tritt somit ein weiteres Verbot mit Erlaubnisvorbehalt.
Zur Erinnerung: Art. 18 ff. Datenschutz-Richtlinie 95/46 sahen vor, dass automatisierte Verarbeitungen vor ihrer Durchführung der Datenschutzaufsichtsbehörde gemeldet werden mussten. Die Abschaffung der Meldepflicht durch die DSGVO wurde vom Normgeber als großer Fortschritt bezeichnet (vgl. EG 89 DSGVO). Von der EU-Kommission wurde sie als Paradigmenwechsel gefeiert (vgl. Communication 2018/43, S. 3):
"The Regulation moves away from a system of notification to the principle of accountability."
Wenn nunmehr eine Registrierungspflicht eingeführt wird und damit die althergebrachte Meldepflicht wieder auflebt, ist dies nicht nur mit einem bürokratischen und finanziellen Aufwand verbunden. Offenbar traut der Normgeber auch der DSGVO allein nicht zu, für das notwendige Nutzervertrauen zu sorgen.
Mehr noch: Die Meldepflicht soll offenbar auch für die Vermittlung nichtpersonenbezogener Daten gelten, denn die Definition des Begriffs "Datenmittler" sieht keine Einschränkung auf personenbezogene Daten vor. Ob die EU überhaupt die Rechtsetzungskompetenz für eine solch weitreichendes Verbot der Verarbeitung nichtpersonenbezogener Daten hat, ist sehr fraglich.
Ein Datenmittler muss 20 formell- und materiell-rechtliche Anforderungen erfüllen. Der Registrierungsantrag enthält mindestens 11 Informationspflichten. Zu den materiell-rechtlichen Anforderungen an den Datenmittler gehört eine strenge Zweckbindung. All diese Pflichten treten zu 68 Pflichten der DSGVO hinzu.
Die Mitgliedstaaten müssen hier eine weitere Aufsichtsbehörde einrichten. Diese wiederum hat 14 Pflichten.
Auch beim Datenaltruismus kann sich der DGA nicht selbst zu Regelungen durchringen, die die Datennutzung erleichtern würden. Vielmehr wird auch hier die Verantwortung auf die Mitgliedstaaten abgeschoben (Art. 14a Abs. 1):
"Member States may have in place organisational and/or technical arrangements to facilitate data altruism. In support of this Member States may define national policies for data altruism."
Abgesehen davon, dass die Zurverfügungstellung von Daten gegenüber der DSGVO nicht erleichtert wird, treffen die datenaltruistische Organisation sage und schreibe 20 Pflichten, wobei die Dokumentationspflicht vier Gesichtspunkte, der "annual activity report" acht Informationsgesichtspunkte und die zusätzliche Informationspflicht vier Gesichtspunkte umfasst. Zählt man alle Pflichten einzeln, kommt man auf 33 Registrierungs-, Informations-, Gestaltungs-, Handlungs-, Dokumentations-, Kooperations-, Notifikations- und Unterlassungspflichten.
Auch diese Pflichten treten wohlgemerkt zu den genannten 68 Pflichten der DSGVO hinzu.
Auch der Aufwand für die Mitgliedstaaten ist nicht zu unterschätzen. Sie müssen eine Behörde einrichten, ein Register führen und Registrierungs-, Überwachungs-, Notifikations-, Veröffentlichungs- und Kooperationspflichten erfüllen. Zählt man diese Pflichten zusammen, kommt man auch hier auf die beachtliche Zahl von 15 staatlichen/behördlichen Pflichten.
Die EU-Kommission schließlich führt ebenfalls ein Register, muss ein "common logo", das "European data altruism consent form" und ein "rulebook" erstellen. Insbesondere Letzteres lässt erstaunen. Man hätte nicht für möglich gehalten, dass neben Datenschutzfolgenabschätzungen, Codes of Conduct, Zertifizierungen, Angemessenheitsbeschlüssen, Standard Contractual Clauses, Binding Corporate Rules, Auftragsverarbeitungs- und Joint Controller-Verträgen, Verzeichnissen von Verabeitungstätigkeiten noch Platz für die Erfindung eines "rulebooks" gewesen wäre.
Dem Vernehmen nach hatten die Verhandler in Brüssel bei ihren Überlegungen zum Datenaltruismus auch deutsche Sammlungsgesetze vor Augen, die die Sammlung von Geldspenden, Sachspenden oder geldwerten Leistungen regeln oder regelten (vgl. zum Beispiel das Thüringer Sammlungsgesetz). Datenspenden mit Sachspenden zu vergleichen, hat auch etwas von Dada. Interessanterweise sind die meisten Sammlungsgesetze in Deutschland übrigens mit Hinweis auf eine Reduzierung des Verwaltungsaufwandes und den Abbau behördlicher Kontrollen in den vergangenen Jahren ersatzlos aufgehoben worden.
In dieser Form wird der DGA das Gegenteil des Gewünschten bewirken, weil er allen, die die Datennutzung fördern wollen oder könnten, das Leben schwerer macht. Mitgliedstaaten werden in ihren Rechtsetzungsmöglichkeiten beschränkt. Öffentliche Stellen werden nicht wegen des DGA ihre Daten zur Weiterverwendung bereitstellen. Datenmittler werden ihre Dienste nicht wegen des DGA anbieten. Datenaltruistische Organisationen werden nicht wegen des DGA Daten zu Gemeinwohlzwecken verarbeiten.
Es bleibt nur die Hoffnung, dass die Ideen des Datenteilens, der Datentreuhand und der Datenspende trotz des DGA weitere Freunde finden werden.
Aus dem dadaistischen Manifest von 1918:
"Dada ist ein Club, [...] in den man eintreten kann, ohne Verbindlichkeiten zu übernehmen."
Der DGA ist Dada.
In dieser Blogserie sind bislang erschienen:
- Blogserie: In der datenschutzrechtlichen Todeszone
- Der Data Governance Act I: Weiterverwendung von Daten des öffentlichen Sektors
- Der Data Governance Act II: Datenmittler
- Der Data Governance Act III: Datenaltruismus
- Der Data Governance Act IV: Dataismus
Wird fortgesetzt ...
- Schritte zur europaweiten Datenwirtschaft - der Vorschlag einer Verordnung zur europäischen Data Governance (Spindler in CR 2021, 98 zum DGA-Entwurf)