Blick nach Brüssel und Berlin Der Data Governance Act und der Datenschutz

Autor / Redakteur: Dipl.-Phys. Oliver Schonschek / Peter Schmitz

Der Data Governance Act (DGA) der EU soll die Grundlage für einen sicheren und souveränen Datenaustausch zwischen Unternehmen, Privatpersonen und der öffentlichen Hand bilden. Wirtschaftsverbände hoffen, dass dadurch Innovationshemmnisse aufgrund bisheriger Datenschutzregulierungen abgebaut werden. Doch was sagt der DGA zum Datenschutz und was sagen Datenschützer zum DGA?

Firma zum Thema

Die EU-Kommission hat Maßnahmen zur Förderung der gemeinsamen Datennutzung und zur Unterstützung europäischer Datenräume vorgeschlagen. Doch was bedeutet das für den Datenschutz?
Die EU-Kommission hat Maßnahmen zur Förderung der gemeinsamen Datennutzung und zur Unterstützung europäischer Datenräume vorgeschlagen. Doch was bedeutet das für den Datenschutz?
(© sonne_fleckl - stock.adobe.com)

Laut einer Bitkom-Umfrage sind in Deutschland bei mehr als jedem zweiten Unternehmen (56 Prozent) neue, innovative Projekte aufgrund der Datenschutz-Grundverordnung (DSGVO) gescheitert, entweder wegen direkter Vorgaben oder wegen Unklarheiten in der Auslegung der DSGVO. Vier von zehn (41 Prozent) gaben an, dass sie deswegen keine Datenpools aufbauen konnten, um etwa Daten mit Geschäftspartnern teilen zu können. Bei drei von zehn (31 Prozent) scheiterte dadurch der Einsatz neuer Technologien wie Big Data oder Künstliche Intelligenz.

„Der Data Governance Act muss die weitverbreiteten Unsicherheiten bei der Nutzung von Daten dringend abbauen“, so Bitkom-Präsident Achim Berg im November 2020. Die EU müsse sich von dem zu engen Verständnis der Datensparsamkeit lösen und Datenzugänge verbessern. Ziel müsse es sein, gemeinsame Regeln für eine Datennutzung und Datensorgfalt zu schaffen und diese mit Leben zu füllen.

„Der Data Governance Act kann der Schlüssel zu einem datensouveränen Europa sein, das eine funktionierende Balance zwischen dem Einsatz und dem Schutz von Daten schafft“, erklärte der Bitkom-Präsident. „Gerade die Corona-Krise führt uns täglich vor Augen, welch herausragende Bedeutung Daten zum Beispiel für den Gesundheitsschutz und die Eindämmung einer lebensbedrohlichen Pandemie haben können. Dieser Bedeutung von Daten als Grundlage eines funktionierenden und krisenresilienten Gemeinwesens werden wir in Europa bislang nicht gerecht.“

Wie der DGA personenbezogene Daten schützen will

Die Exekutiv-Vizepräsidentin in der EU-Kommission für „Ein Europa für das digitale Zeitalter“, Margrethe Vestager, erklärte bei der Veröffentlichung des DGA-Entwurfs: „Sie müssen nicht alle Daten teilen. Aber wenn Sie Daten teilen und diese sensibel sind, sollten Sie die Möglichkeit haben, dies in einer Weise zu tun, in der die Vertrauenswürdigkeit und der Schutz der Daten gewährleistet werden. Wir wollen Unternehmen, aber auch Bürgerinnen und Bürgern die Instrumente an die Hand geben, mit denen sie die Kontrolle über ihre Daten behalten. Auch wollen wir das Vertrauen schaffen, dass Daten im Einklang mit den europäischen Werten und Grundrechten behandelt werden.“

Der GDA selbst verweist ausdrücklich auf die Datenschutz-Grundverordnung (DSGVO) und sagt hierzu: „Da einige Elemente der Verordnung personenbezogene Daten betreffen, wurden die Maßnahmen so konzipiert, dass sie den Datenschutzvorschriften in vollem Umfang entsprechen und in der Praxis die Kontrolle natürlicher Personen über die von ihnen erzeugten Daten tatsächlich stärken.“

Und weiter: „Die vorliegende Initiative umfasst verschiedene Arten von Datenmittlern, die sowohl personenbezogene als auch nicht personenbezogene Daten verarbeiten. Daher ist das Zusammenspiel mit den Rechtsvorschriften über personenbezogenen Daten besonders wichtig. Mit der Datenschutz-Grundverordnung (DSGVO) und der ePrivacy Directive hat die EU einen soliden und vertrauenswürdigen Rechtsrahmen für den Schutz personenbezogener Daten und einen weltweiten Standard geschaffen.“

Zu den Zielen des GDA zählt die „Ermöglichung der Nutzung personenbezogener Daten mithilfe eines „Mittlers für die gemeinsame Nutzung personenbezogener Daten“, der Einzelpersonen bei der Ausübung ihrer Rechte gemäß der Datenschutz-Grundverordnung (DSGVO) unterstützen soll“.

Als Datenschutzmaßnahmen nennt der GDA „Techniken, die datenschutzfreundliche Analysen ermöglichen, z. B. Anonymisierung, Pseudonymisierung, differentielle Privatsphäre, Generalisierung oder Datenunterdrückung und Randomisierung“. Mithilfe dieser dem Schutz der Privatsphäre dienenden Techniken im Verbund mit umfassenden Datenschutzkonzepten dürfte eine sichere Weiterverwendung personenbezogener Daten und vertraulicher Geschäftsdaten für Forschung, Innovation und statistische Zwecke gewährleistet werden können, so der GDA-Entwurf.

Offensichtlich bezieht sich der GDA auf die bestehenden Datenschutzgrundsätze und sieht deren Anwendung und nicht etwa eine Sonderregelung oder Abweichung vor, wie dies teilweise in den Diskussionen zum GDA gewünscht wird.

Der BDI (Bundesverband der Deutschen Industrie) hat sich ebenfalls zum Data Governance Act und dem Datenschutz geäußert: „Personenbezogene Daten sollen vor ihrer Übermittlung vollständig anonymisiert werden. Allerdings gibt der Vorschlag (für den DGA) keine Antwort auf konkrete Probleme und Rechtsunsicherheiten, wie beispielsweise personenbezogene Daten sicher im Sinne der Datenschutzgrundverordnung anonymisiert werden können“, so ein Hinweis des BDI.

Datenschützer empfehlen Verhaltensregeln und Zertifizierungen für Datenaustausch-Dienste

Der Europäische Datenschutzausschuss (EDSA) und der Europäische Datenschutzbeauftragte (EDSB) haben eine gemeinsame Stellungnahme zu dem Vorschlag für ein Data Governance Act (DGA) veröffentlicht.

Mit dieser gemeinsamen Stellungnahme fordern die Datenschützer die Gesetzgeber auf, dafür zu sorgen, dass die künftige DGA vollständig im Einklang mit den EU-Rechtsvorschriften zum Schutz personenbezogener Daten steht.

Andrea Jelinek, Vorsitzende des EDSA, sagte: „Der datenschutzrechtliche Rahmen der EU steht der Entwicklung der Datenwirtschaft nicht im Wege. Im Gegenteil, er ermöglicht es: Vertrauen in jede Art von Datenaustausch kann nur durch Einhaltung der bestehenden Datenschutzgesetze erreicht werden. Die DSGVO ist die Grundlage, auf der das europäische Data Governance-Modell aufbauen muss. Aus diesem Grund unterstreichen wir die Notwendigkeit, die Kohärenz mit der DSGVO in Bezug auf die Zuständigkeit der Aufsichtsbehörden, die Rollen der verschiedenen beteiligten Akteure, die Rechtsgrundlage für die Verarbeitung personenbezogener Daten, die erforderlichen Schutzmaßnahmen und die Ausübung der Rechte der betroffenen Personen sicherzustellen."

In der gemeinsamen Stellungnahme zu Anbietern von Datenaustauschdiensten wird die Notwendigkeit hervorgehoben, vorherige Informationen und Kontrollen für Einzelpersonen sicherzustellen, wobei die Grundsätze des Datenschutzes durch Design und standardmäßige Transparenz und Zweckbeschränkung zu berücksichtigen sind. Darüber hinaus sollten die Modalitäten geklärt werden, nach denen solche Dienstleister Einzelpersonen bei der Ausübung ihrer Rechte als betroffene Personen wirksam unterstützen würden.

Big Data, Big Responsibility

Angesichts der möglichen Risiken für betroffene Personen, wenn ihre personenbezogenen Daten von Anbietern von Datenaustauschdiensten verarbeitet werden könnten, sind die Datenschützer der Ansicht, dass die in der DGA festgelegten Registrierungsregelungen für diese Unternehmen kein ausreichend strenges Überprüfungsverfahren vorsehen. Daher empfehlen die Datenschützer, alternative Verfahren zu untersuchen, wie die Einhaltung eines Verhaltenskodex oder eines Zertifizierungsmechanismus.

Da der GDA ausdrücklich die Übereinstimmung mit der DSGVO sucht, werden sicherlich weitere Datenschutzmaßnahmen vorgesehen werden, nicht aber Ausnahmen vom Datenschutz, wie dies die Wirtschaft mitunter anregt. Dabei sollte nicht vergessen werden, dass der Datenschutz ausdrücklich immer nur einen angemessen Schutz fordert und nicht vorsieht, jeden Datenaustausch zu verhindern, vielmehr sollen die Voraussetzungen für einen vertrauensvollen, sicheren Datenaustausch mit den Datenschutzmaßnahmen geschaffen werden. Der DGA und der Datenschutz werden also gemeinsam für sicheren Datenaustausch und entsprechende Datenräume sorgen, ein lohnendes Ziel, wie auch die Datenschützer bekräftigen.

„Wir verstehen die wachsende Bedeutung von Daten für Wirtschaft und Gesellschaft, wie sie in der Europäischen Datenstrategie dargelegt sind“, so der Europäische Datenschutzbeauftragte Wojciech Wiewiórowski. Mit „Big Data geht große Verantwortung einher“, deshalb müssen angemessene Datenschutzmaßnahmen getroffen werden.“

(ID:47304909)