Jetzt Mitglied werden!
eRecht24.de

Data Governance Act (DGA)

Welche Pflichten ergeben sich aus dem DGA für Unternehmer, Webseiten- und Online-Shop-Betreiber?

Fachlich geprüft von: Rechtsanwalt Sören Siebert Rechtsanwalt Sören Siebert
(3 Bewertungen, 5.00 von 5)

Das Wichtigste in Kürze

  • Der Data Governance Act ist Teil der Europäischen Datenstrategie und regelt den Datenaustausch mit öffentlichen Daten im europäischen Binnenmarkt.
  • Er erlegt vor allem Anbietern von Datenmarktplätzen strenge Pflichten auf, um die Daten zu schützen, aber den Datenfluss gleichzeitig zu erleichtern.
  • Nutzen Sie als Unternehmen, Websitebetreiber oder Onlineshopinhaber Daten von öffentlichen Stellen, müssen Sie die Regeln des DGA kennen.
Ich möchte mich umfassend informieren Ich möchte meine Website absichern

Worum geht's?

Sie nutzen auf Ihrer Website oder in Ihrem Onlineshop Daten aus dem Besitz öffentlicher Stellen oder sind Anbieter eines Datenmarktplatzes? Dann sollten Sie den Data Governance Act kennen. Denn dieser legt Regeln für die Nutzung solcher Daten fest und gilt bereits seit einiger Zeit. Lesen Sie bei uns, was genau der DGA regelt und was für Sie wichtig ist.

 

1. Was ist der Data Governance Act?

Der Daten Governance Rechtsakt (kurz: DGA) ist eine Verordnung der Europäischen Union und eine Säule der Europäischen Datenstrategie, die aus insgesamt fünf Verordnungen besteht. Er ist bereits am 23. Juni 2022 in Kraft getreten.

Ziel und Hintergrund der sogenannten Europäischen Datenstrategie in Form des DGA ist die Schaffung eines Rahmens dafür, den Datenaustausch im europäischen Binnenmarkt zu verbessern, um die Werte aus den Daten optimal zu schöpfen (“Förderung der Wertschöpfung”).

Das soll erreicht werden, indem die EU die Bedingungen für die Verfügbarkeit, Nutzung und gemeinsame Verwendung von Daten - und das insbesondere für Zwecke der Forschung - verbessert. Dabei soll der DGA den europäischen Markt im Bereich datengestützter Innovationen wettbewerbsfähiger machen. Gleichzeitig will die EU das Vertrauen in den Datenaustausch stärken.

2. Was regelt der DGA genau?

Das sind die zentralen Inhalte des DGA, um diese Ziele konkret umzusetzen:

Weiterverwendung bestimmter Kategorien von Daten im Besitz öffentlicher Stellen

Öffentliche Stellen besitzen zahlreiche geschützte Daten, die sie nicht weitergeben dürfen. Dazu gehören geschäftliche Daten, nach geistigem Eigentum geschützte Daten und personenbezogene Daten. Der Zugang zu diesen Daten öffentlicher Stellen soll erleichtert werden.

WICHTIG

Zwar enthält der DGA Rahmenbedingungen, aber er begründet keinen rechtlichen Anspruch auf Zugang zu solchen geschützten Daten im Besitz öffentlicher Stellen. Die konkrete Umsetzung in Form eines Anspruchs ist Sache der Mitgliedstaaten.

Maßnahmen im Detail: Do's und Don'ts für öffentliche Stellen
  • Öffentliche Stellen müssen geschützte Daten sichern, z. B. durch Anonymisierung, Aggregation und sichere Bereitstellungsverfahren.
  • Sie dürfen die Daten nicht ausschließlich an ausgewählte Akteure weitergeben und so den Wettbewerb verhindern. Zwar gibt es hiervon Ausnahmen, wenn ein öffentliches Interesse besteht. Der DGA benennt diese aber konkret und abschließend.
  • Sie müssen die Weiterverwendung von Daten transparent machen und dürfen dabei nicht diskriminieren.
  • Sie müssen technisch-organisatorische Maßnahmen ergreifen, um eine Wiedererkennung der Personen zu verhindern, die Inhaber der personenbezogenen Daten sind.
  • Sie müssen diese bei Datenpannen über den Verlust der personenbezogenen Daten informieren. Auch juristische Personen müssen sie über die missbräuchliche Nutzung von nicht-personenbezogenen Daten in Kenntnis setzen.
  • Sie müssen mit denjenigen Verträge schließen, die die Daten weiterverwenden. Diese müssen sich darin verpflichten, die Daten zu schützen, sofern sie sie in Drittstaaten übermitteln möchten. Das betrifft vertrauliche Daten und Daten mit Rechten am geistigen Eigentum.
  • Sie müssen ihre Daten an eine “Zentrale Informationsstelle” geben. Diese Stellen müssen die Mitgliedstaaten extra dafür einrichten, dass Interessenten einen leichteren Zugang zu den Daten haben. Die Kommission hat zu dem Zweck das durchsuchbare europäische Register für geschützte Daten im Besitz des öffentlichen Sektors (ERPD) eingerichtet.
  • Sie haben für Anträge auf Wiederverwendung bis zu zwei Monate Zeit.
  • Sie dürfen angemessene Gebühren verlangen, wenn Sie die Weiterverwendung genehmigen. Sie können die Gebühren senken oder ausschließen, wenn es um die Weiterverwendung von Daten für die wissenschaftliche Forschung (und weitere nichtkommerzielle Zwecke) oder für KMUs und Start-Ups geht.

ÜBRIGENS

Bisher hat Deutschland noch keine zentrale Informationsstelle für das ERPD benannt.

Datenvermittlungsdienste

Das DGA legt Regeln für die gemeinsame Datennutzung durch sogenannte Datenvermittlungsdienste (auch: “Datenintermediäre”) fest, um die Datenweitergabe für den Wettbewerb zu optimieren. Das sind solche Dienste, die Dateninhaber mit Datennutzern zusammenbringen, um gemeinsam geschäftlich Daten zu teilen, z. B. Datenpools oder Marktplätze für Daten.

Maßnahmen im Detail: Do's und Don'ts für Datenvermittlungsdienste
  • Datenvermittlungsdienste müssen neutral sein, dürfen die Daten also nicht zu eigenen anderen Zwecken nutzen.
  • Sie müssen faire Preise aushandeln.
  • Sie müssen sich in der EU anmelden bzw. einen Vertreter benennen, wenn sie nicht in der EU sitzen. Die EU-Kommission führt zu diesem Zweck ein zentrales Register anerkannter Datenvermittler, in dem alle anerkannten Datenintermediäre aufgeführt sind. Die Mitgliedstaaten müssen eine Behörde benennen, die für die Anmeldung zuständig ist.

Übrigens: Deutschland hat diese Vorgabe umgesetzt und als zuständige Behörde für die Anmeldung von Datenintermediären die Bundesnetzagentur benannt. Im zentralen Register ist aktuell ein anerkannter Datenvermittler aus Deutschland aufgeführt.

Zum Artikel

LESESTOFF

Die Bundesnetzagentur ist auch die Aufsichtsstelle für die Regeln des DSA und des DDG. Mehr Infos zum Digitale Dienste Gesetz finden Sie in unserem Artikel “Was müssen Webseitenbetreiber laut dem neuen DDG rechtlich beachten?”.

Zum Artikel

Datenaltruismus

Durch “Datenaltruismus” sollen Einzelpersonen und Unternehmen ihre Daten einfacher für bestimmte Zwecke im allgemeinen Interesse teilen können. Diese Zwecke sind z. B.

  • Forschung
  • Bekämpfung des Klimawandels
  • Verbesserung öffentlicher Dienstleistungen

Der DGA soll in erster Linie gewährleisten, dass die Personen und Unternehmen sicher sein können, dass ihre Daten nach den Werten und Grundsätzen der EU behandelt werden.

ACHTUNG

Die Personen oder Unternehmen erteilen hierzu eine Einwilligung nach DSGVO bzw. bei nicht-personenbezogenen Daten eine Erlaubnis. Zur Erleichterung sieht der DGA entsprechende Tools sowie ein europäisches Einwilligungsformular vor.

Maßnahmen im Detail: To-Do's für Einrichtungen, die an solchen Daten interessiert sind
  • Einrichtungen, die an diese Daten gelangen möchten, müssen sich als “datenaltruistische Organisation” eintragen lassen.
  • Sie müssen immer transparent agieren und berichten.
  • Sie müssen Betroffene umfassend über Zwecke, Orte etc. der Datenverarbeitung informieren.
  • Sie müssen technische Sicherheitsmaßnahmen zum Schutz der Daten schaffen. Dazu erhalten sie ein entsprechendes Regelwerk zum Datenaltruismus.
  • Sie müssen sich in das Register anerkannter Datenaltruismus-Organisationen der Europäischen Kommission eintragen lassen, damit sich Interessierte darüber informieren können.
Zum Artikel

LESEEMPFEHLUNG

Umfangreiche Infos haben wir Ihnen in unserem Übersichtsartikel zum Thema Datenschutz unter “Datenschutz: Von der DSGVO über Betroffenenrechte bis hin zur rechtssicheren Datenschutzerklärung” zusammengefasst.

Zum Artikel

Europäischer Innovationsrat für Daten

Die EU hat den Europäischen Innovationsrat für Daten (European Data Innovation Board, EDIB) eingerichtet, um den Datenaustausch in Bezug auf die oben genannten Maßnahmen zu vereinfachen und Leitlinien für angemessenen Datenschutz vorzuschlagen. Mitglieder sind Vertreter verschiedener Einrichtungen. Beispiele:

  • in den Mitgliedstaaten zuständige Behörde für Datenübermittlung
  • in den Mitgliedstaaten zuständige Behörde für Datenaltruismus
  • Europäischer Datenschutzbeauftragter

Internationale Datenströme

Die Europäische Datenstrategie hat das Ziel eines offenen, durchsetzungsfähigen Ansatzes für den internationalen Datenfluss. Der DGA regelt dabei aber gleichzeitig den Schutz der Daten. Dafür gibt es auch Garantien im Zusammenhang mit nicht-personenbezogenen Daten.

Diese ähneln den Garantien für personenbezogene Daten nach der DSGVO: Hierzu gehören etwa, dass

  • bei Datenverwendungen im Drittland ein angemessenes Schutzniveau vergleichbar mit dem innerhalb der EU zu gewährleisten ist oder
  • die Kommission Angemessenheitsbeschlüsse und Mustervertragsklauseln erlassen kann.
Zum Artikel

LESETIPP

Mehr Infos zum Thema Data Privacy Framework erhalten Sie in unserem Artikel "Privacy Shield 2.0: Datentransfer in die USA”.

Zum Artikel

3. Welche neuen Pflichten ergeben sich für Unternehmer, Webseitenbetreiber und Online-Shops?

Wenn Sie als Unternehmen einen Marktplatz für Daten oder einen Datenpool betreiben, müssen Sie die Pflichten des Data Governance Act (DGA) beachten. Als sonstiger Unternehmer, Websitebetreiber und Online-Shop sind Sie vom DGA betroffen, sofern Sie Daten nutzen möchten, die dem öffentlichen Sektor angehören.

Sie müssen dann die oben genannten rechtlichen und technischen Vorgaben einhalten, um an die Daten zu gelangen. Nutzen Sie diese, müssen Sie Anforderungen an den Datenschutz und die Datensicherheit beachten. Dazu gehört insbesondere, dass Sie die Rechte Dritter, wie Geschäftsgeheimnisse, und die geistigen Eigentumsrechte der Betroffenen beachten.

Zum Artikel

LESEEMPFEHLUNG

Mehr Infos zum Thema Datenschutz im Internet finden Sie in unserem Artikel “Datenschutz im Internet - Das Internet-ABC zum Datenschutz: Darauf müssen Unternehmen achten”.

Zum Artikel

Als Betreiber eines Datenmarktplatzes müssen Sie sich zudem bei der zuständigen Behörde anmelden. Außerdem müssen Sie transparente Prozesse etablieren, aus denen deutlich wird, wie Sie mit den geschützten Daten umgehen.

4. Wann müssen Sie die neuen Pflichten umsetzen?

Die Pflichten des Data Governance Act DGA müssen Sie bereits seit dem 24. September 2023 beachten. Seitdem gilt die Verordnung unmittelbar, das heißt, es schadet nicht, wenn die Mitgliedstaaten sie noch nicht (vollständig) in nationales Recht umgesetzt haben. Wenn Sie am 23. Juni 2022 Datenvermittlungsdienste anbieten, müssen Sie die Verpflichtungen ab dem 24. September 2025 einhalten (Art. 37 DGA).

5. Welche Strafen drohen, wenn Sie sich nicht an das neue DGA halten?

Die Mitgliedstaaten werden in Art. 34 DGA verpflichtet Vorschriften über Sanktionen zu erlassen, die sie bei Verstößen gegen den DGA verhängen. Nach Art. 14 Abs. 4 DGA sollen abschreckende Geldstrafen gegen Datenvermittlungsdienste möglich sein. Was das konkret bedeutet, ist unklar, denn die Mitgliedstaaten sind mit der Umsetzung im Verzug.

6. Fazit

Der DGA ist insbesondere für Datenintermediäre und öffentliche Stellen relevant. Das Ziel, den Zugang und Austausch von Daten zu erleichtern, kann durch die Pflichten erfüllt werden. Da sie sehr umfangreich sind, könnten die Regeln aber auch einen Abschreckungseffekt haben. Dafür spricht, dass sich zum Beispiel bisher fast keine interessierten Einrichtungen registriert haben.

Premium Mitglied werden

eRecht24 Premium für Websitebetreiber, Agenturen & Online-Shops

  • Generatoren, AGB, Muster & Verträge
  • Cookie Consent Tool, Premium Scanner & Projekt Planer
  • Live-Webinaren und Know-How für rechtssicheres Business
Premium Mitglied werden

 

Rechtsanwältin Annika Haucke
Annika Haucke
Rechtsanwältin & Legal Writerin

Annika Haucke ist Rechtsanwältin und absolvierte darüber hinaus ein Journalismus-Studium. Seit mehr als 10 Jahren ist sie als Legal Writerin und Online-Redakteurin tätig. Sie hat bereits Texte für Steuerberatungsgesellschaften, Medienrechtsanwälte sowie für den Tagesspiegel und die Stiftung Warentest geschrieben. Seit 2020 ist Annika Haucke Teil des Redaktionsteams von eRecht24. Ihre inhaltlichen Schwerpunkte liegen im Internet-, Urheber-, Steuer- und Datenschutzrecht.

Rechtsanwalt Sören Siebert
Sören Siebert
Rechtsanwalt und Gründer von eRecht24

Rechtsanwalt Sören Siebert ist Gründer von eRecht24 und Inhaber der Kanzlei Siebert Lexow. Mit 20 Jahren Erfahrung im Internetrecht, Datenschutz und ECommerce sowie mit mehr als 10.000 veröffentlichten Beiträgen und Artikeln weist Rechtsanwalt Sören Siebert nicht nur hervorragende Fach-Expertise vor, sondern hat auch das richtige Gespür für seine Leser, Mandanten, Kunden und Partner, wenn es um rechtssichere Lösungen im Online-Marketing und B2B / B2C Dienstleistungen sowie Online-Shops geht. Neben den zahlreichen Beiträgen auf eRecht24.de hat Sören Siebert u.a. auch diverse Ebooks und Ratgeber zum Thema Internetrecht publiziert und weiß ganz genau, worauf es Unternehmern, Agenturen und Webdesignern im täglichen Business mit Kunden ankommt: Komplexe rechtliche Vorgaben leicht verständlich und mit praktischer Handlungsanleitung für rechtssichere Webseiten umsetzen.

Ich möchte mit eRecht24 chatten!
Datenschutzhinweis: Ihre Daten und Ihre Chateingaben werden in unserem Chat-Tool Brevo verarbeitet, sobald Sie zustimmen, den Chat mit uns zu beginnen. Sie können Ihre Zustimmung jederzeit zurücknehmen. Details hierzu entnehmen Sie unserer Datenschutzerklärung.
eRecht24 - Unsere praktischen Tools und hilfreichen Tutorials

mitgliederbereich teaser

Exklusiv für unsere Mitglieder

Alles was Webseitenbetreiber, Agenturen und Selbständige wirklich brauchen: Tools, Wissen, Musterverträge, Erstberatung und Live-Webinare.

Mehr Informationen

dsgvo teaser

Jetzt eRecht24 Premium Affiliate werden

Als eRecht24 Premium Affiliate Partner empfehlen Sie eine Lösung, mit der bereits mehr als 370.000 Webseiten erfolgreich rechtlich abgesichert wurden und erhalten dafür eine 25% Lifetime Provision!

Jetzt Affiliate werden

webinar teaser

Online Schulung mit RA Siebert

Die 7 häufigsten Abmahnfallen auf Webseiten und wie Sie diese einfach und ohne teuren Anwalt vermeiden. So haben Abmahner keine Chance!

Mehr Details