Data Governance Act in 2023 – Was muss ich wissen?
Mit dem Ziel, den digitalen Binnenmarkt in Europa zu stärken und auszubauen, hatte die Europäische Kommission Ende 2020 einige Gesetzentwürfe veröffentlicht. Diese waren unter anderem der Data Governance Act, der Digital Services Act und der Digital Markets Act. Damit sollen einheitliche Rahmenbedingungen für den Austausch und Umgang mit Daten geschaffen werden, um den höchstmöglichen Nutzen aus Daten innerhalb der EU zu erreichen. Am 30. November 2021 kam es durch eine politische Einigung des Europäischen Parlaments, des Rats und der Europäischen Kommission zum ersten Gesetz: dem Data Governance Act.
Weiterverwendung von Daten des öffentlichen Sektors
Hauptziel des Data Governance Act (DGA) ist es, Daten aus dem öffentlichen Sektor für die Weiterverwendung zur Verfügung zu stellen und die gemeinsame Nutzung zu ermöglichen. Der DGA findet hierbei, anders als die EU-DSGVO, auf alle Daten Anwendung. Dennoch werden sich Datenschutzbeauftragte zwangsweise mit dem DGA vertraut machen müssen, da ebenfalls personenbezogene Daten in den Anwendungsbereich fallen.
Als Perspektive können sich Möglichkeiten für neue Datenquellen aus dem öffentlichen Bereich ergeben, die jedoch datenschutzrechtlich bewertet werden müssen. Der DGA sieht beispielsweise Regeln für sogenannte „Datenmittler“ vor, also Anbietern von Diensten für die gemeinsame Datennutzung. Diese sollen zukünftig eine Schlüsselrolle in der Datenwirtschaft spielen.
Womit sollten Datenschutzbeauftragte rechnen?
Datenschutzbeauftragte werden sich voraussichtlich regelmäßig mit Fragen zur Datenminimierung und Speicherbegrenzung konfrontiert sehen, da personenbezogene Daten aus öffentlichen Quellen nicht zwangsweise mit Personenbezug weiterverarbeitet werden müssen. Hierbei sollte bewertet werden, inwiefern personenbezogene Daten aggregiert oder gelöscht werden müssen, um den Grundsätzen der EU-DSGVO gerecht zu werden. Problematisch ist dabei, dass es an einheitlichen Vorgaben zur Anonymisierung und Pseudonymisierung mangelt. Positiv ist festzustellen, dass der Europäische Datenschutzausschuss (EDSA) im Arbeitsprogramm 2021/2022 bereits entsprechende „Guidelines on Anonymisation and Pseudonymisation“ ankündigte. Die finalen Vorgaben sind jedoch weiterhin nicht vorhanden.
Fazit
In jedem Fall sollten Unternehmen als Konsequenz des DGA mit Möglichkeiten zusätzlicher Datenquellen rechnen. Datenschutzbeauftragte sollten den Datenaustausch bzgl. personenbezogener Daten im Blick behalten. Die politische Einigung zum DGA muss nun noch vom Europäischen Parlament und vom Rat förmlich verabschiedet werden, womit in den kommenden Monaten zu rechnen ist. Anschließend ist eine Übergangsfrist von 12 Monaten ab Inkrafttreten vorgesehen. Somit sollten Sie davon ausgehen, dass bereits 2023 der DGA Anwendung findet.