Unternehmen können über Daten verfügen, die zur Erfüllung von öffentlichen Aufgaben erforderlich sind. Die Regelungen in Kapitel V des Data Act erlauben staatlichen Stellen und Einrichtungen der Union den Zugang zu solchen Daten, wenn eine außergewöhnliche Notwendigkeit zur Nutzung dieser Daten gegeben ist. Damit sollen staatliche Stellen in die Lage versetzt sein, Entscheidungen auf einer soliden Datengrundlage treffen zu können. Gleichzeitig sollen die Unternehmen durch solche Datenverlangen nicht unnötig belastet werden.
Das Datenverlangen muss entsprechend den Vorgaben des Kapitel V des Data Act begründet sein. Sind diese Voraussetzungen erfüllt, ist der Dateninhaber verpflichtet, die Daten unverzüglich bereitzustellen. Damit soll sichergestellt werden, dass öffentliche Stellen rechtzeitig Zugang zu den erforderlichen Daten auf einer verlässlichen Grundlage bekommen können. Eine außergewöhnliche Notwendigkeit der Datennutzung kann in zwei Situationen vorliegen: Im Fall eines öffentlichen Notstands oder zur Erfüllung einer gesetzlich vorgegebenen Aufgabe. Die Bedingungen für den Datenzugang unterscheiden sich, je nachdem welcher der beiden Fälle gegeben ist.
Bewältigung eines öffentlichen Notstands
Zugang zu nicht-personenbezogenen Daten und unter bestimmten Bedingungen auch zu personenbezogenen Daten kann zur Bewältigung eines öffentlichen Notstands verlangt werden (Artikel 15 Absatz 1 a) Data Act). Damit sind Situationen gemeint, in denen nach nationalem Recht oder Unionsrecht ein öffentlicher Notstand festgestellt wurde. Ein solcher Notstand kann beispielsweise im Bereich der öffentlichen Gesundheit, aufgrund von Naturkatastrophen oder von Menschen verursachten Katastrophen wie Cybersicherheitsvorfällen auftreten. Die Bereitstellung der Daten erfolgt grundsätzlich unentgeltlich. Kleinst- und Kleinunternehmen haben jedoch einen Anspruch auf eine faire Gegenleistung für die Bereitstellung von Daten.
Erfüllung einer sonstigen gesetzlich vorgesehen Aufgabe
Liegt kein öffentlicher Notstand vor, kann Zugang ausschließlich zu nicht-personenbezogenen Daten verlangt werden, die zur Erfüllung einer gesetzlich vorgesehen Aufgabe erforderlich sind (Artikel 15 Absatz 1 b) Data Act). Die staatlichen Stellen und Einrichtungen der Union müssen zuvor alle anderen zur Verfügung stehenden Mittel ausgeschöpft haben, um solche Daten zu erlangen. Kleinst- und Kleinunternehmen sind nicht verpflichtet, Daten zur Verfügung zu stellen. Dateninhaber haben grundsätzlich einen Anspruch auf eine faire Gegenleistung für die Bereitstellung der Daten.
Gegenüberstellung der beiden Fälle für ein Datenverlangen nach Kapitel V Data Act| Bewältigung eines öffentlichen Notstands | Erfüllung einer sonstigen gesetzlich vorgesehenen Aufgabe |
|---|
| Nicht-personenbezogene Daten und personenbezogene Daten | Nicht-personenbezogene Daten |
| Dateninhaber | Dateninhaber mit Ausnahme Kleinst- und Kleinunternehmen |
| Grundsätzlich keine Gegenleistung mit Ausnahme für Kleinst- und Kleinunternehmen | Angemessene Gegenleistung |
Auf der Grundlage des Data Acts können öffentliche Stellen jedoch nicht Daten verlangen, die sie für die Zwecke der Strafverfolgung, Zoll- und Steuerverwaltung benötigen.
Um unnötigen bürokratischen Aufwand für die Unternehmen zu vermeiden, müssen Unternehmen dieselben Daten grundsätzlich nur einmal einer öffentlichen Stelle oder Einrichtung der Europäischen Union zur Verfügung stellen (Once-only-Prinzip). Aus diesem Grund müssen alle Datenverlangen von öffentlichen Stellen von dem jeweiligen Datenkoordinator oder der für die Anwendung des Data Acts zuständigen Behörde, in dem die anfragende öffentliche Stelle niedergelassen ist, veröffentlicht werden. Datenverlangen von der Kommission, der Europäischen Zentralbank oder einer anderen Einrichtung der Union werden demnächst hier veröffentlicht.
In Deutschland werden Datenverlangen von öffentlichen Stellen, die in Deutschland niedergelassen sind, vorbehaltlich der Übertragung der Zuständigkeit für die Anwendung und Durchsetzung des Data Act auf die Bundesnetzagentur durch den Gesetzgeber demnächst hier veröffentlicht.
Welche Daten müssen bereitgestellt werden?
Grundsätzlich müssen nur die Daten bereitgestellt werden, die zur Bewältigung eines öffentlichen Notstands oder zur Erfüllung einer gesetzlich vorgegebenen Aufgabe erforderlich sind. Hiervon umfasst sind auch Metadaten, die für die Auslegung und Nutzung der Daten erforderlich sind.
Die Datenbereitstellungspflicht betrifft in erster Linie nicht-personenbezogene Daten. Personenbezogene Daten sind nur zur Bewältigung eines öffentlichen Notstands betroffen. Hier gelten strengere Anforderungen. Personenbezogene Daten können nur dann und nur in pseudonymisierter Form verlangt werden, wenn eine Anonymisierung nicht möglich ist und nicht-personenbezogene Daten zur Bewältigung des öffentlichen Notstands nicht ausreichen. Zusätzlich sind technische und organisatorische Maßnahmen zum Schutz der Daten zu ergreifen. Werden personenbezogene Daten verlangt, muss dies von der öffentlichen Stelle oder Einrichtung der Europäischen Union unverzüglich der zuständigen Datenschutzbehörde gemeldet werden. Für Datenverlangen von Bundesbehörden, ist dies die oder der Bundesbeauftrage für den Datenschutz und die Informationsfreiheit. Für Datenverlangen von kommunalen Stellen oder Landesbehörden ist dies die jeweils nach Landesrecht zuständige Datenschutzbehörde.
Wer ist zur Bereitstellung von Daten verpflichtet?
Zur Bereitstellung von Daten nach Kapitel V verpflichtet sind in der Regel private Unternehmen in ihrer Rolle als Dateninhaber. Staatliche Stellen sind in der Regel nicht verpflichtet. Etwas anderes kann für öffentliche Unternehmen gelten. Auch Forschungseinrichtungen können als öffentliche Stellen oder Einrichtungen des öffentlichen Rechts eingerichtet sein. Kleinst- und Kleinunternehmen sind nur zur Bereitstellung von Daten zur Bewältigung eines öffentlichen Notstands verpflichtet.
Wer kann die Bereitstellung von Daten verlangen?
Datenbereitstellungsverlangen können von öffentlichen Stellen, der Europäischen Kommission, der Europäischen Zentralbank oder Einrichtungen der Union im Rahmen der Wahrnehmung ihrer gesetzlichen Pflichten im öffentlichen Interesse gestellt werden. Diese Stellen und Einrichtungen können die Daten unter bestimmten Voraussetzungen an gemeinnützige Forschungseinrichtungen und statistische Ämter weitergeben.
Welche Anforderungen muss ein Datenbereitstellungsverlangen erfüllen?
Das Datenverlangen muss genau bestimmten Voraussetzungen und Bedingungen zum Schutz des Dateninhabers genügen. Zunächst muss der Dateninhaber nachweisen, dass eine außergewöhnliche Notwendigkeit für die Nutzung der angeforderten Daten besteht (siehe Artikel 15 Data Act). Das Datenverlangen muss insbesondere schriftlich, bestimmt, verständlich, verhältnismäßig und genau begründet sein. Im Datenverlangen muss unter anderem genau angegeben werden, welche Daten für welche Zwecke und welchen Zeitraum verlangt werden und warum sich das Verlangen an den Dateninhaber richtet. Betriebs- und Geschäftsgeheimnisse müssen gewahrt werden. Soweit die Bereitstellung personenbezogener Daten zur Bewältigung eines öffentlichen Notstands erforderlich ist und eine Anonymisierung nicht möglich ist, sind auch hier Schutzmaßnahmen in Form der Pseudonymisierung und durch technische und organisatorische Maßnahmen zu ergreifen.
Was mache ich, wenn ich der Ansicht bin, dass ein Datenverlangen unberechtigt ist oder Vorgaben über die Verwendung und den Schutz der Daten nicht eingehalten wurden?
Bei Streitigkeiten über ein Datenverlangen kann das Unternehmen, an das sich das Datenverlangen richtet, bei der zuständigen Behörde in dem Mitgliedstaat, in dem es seine Hauptniederlassung hat, Beschwerde einlegen. Für Unternehmen mit Hauptniederlassung in Deutschland ist geplant, die Bundesnetzagentur vorbehaltlich der Entscheidung durch den Gesetzgeber als die für die Anwendung und Durchsetzung des Data Act zuständige Behörde zu benennen.
Wenn die öffentliche Stelle der Ablehnung widersprechen möchte oder der Dateninhaber Einspruch gegen das Datenverlangen einlegen möchte, ist die zuständige Behörde in dem Mitgliedstaat, in dem der Dateninhaber niedergelassen ist, mit der Angelegenheit zu befassen. Für Dateninhaber, die ihre Hauptniederlassung in Deutschland haben, ist vorbehaltlich der Entscheidung durch den Gesetzgeber geplant, dass die Bundesnetzagentur zuständige Behörde werden soll.
Kann man ein Datenverlangen ablehnen?
Der Dateninhaber kann ein Datenverlangen ablehnen oder dessen Änderung beantragen. Gründe für eine Ablehnung können sein:
- Der Dateninhaber hat keine Kontrolle über die verlangten Daten.
- Ein ähnliches Verlangen zu demselben Zweck wurde bereits von einer anderen öffentlichen Stelle oder von einer Einrichtung der Europäischen Union gestellt. Datenverlangen von der Europäischen Kommission, der Europäischen Zentralbank oder einer anderen Einrichtung der Union werden demnächst hier veröffentlicht. Sofern der Bundesnetzagentur die Zuständigkeit für die Anwendung und Durchsetzung des Data Act in Deutschland übertragen wird, werden Datenverlangen von öffentlichen Stellen, die in Deutschland niedergelassen sind, demnächst hier veröffentlicht.
In diesem Fall nennt der Dateninhaber die öffentliche Stelle oder die Kommission, die Europäische Zentralbank oder die Einrichtung der Union, die zuvor zu demselben Zweck Daten verlangt hat. - Das Datenverlangen erfüllt nicht die in Artikel 17 Absatz 1 und Absatz 2 Data Act genau angegebenen Anforderungen.
Bei der Ablehnung hat der Dateninhaber bestimmte Fristen zu beachten. Wurde das Datenverlangen zur Bewältigung eines öffentlichen Notstands gestellt, hat der Dateninhaber das Datenverlangen unverzüglich und in jedem Fall innerhalb von fünf Arbeitstagen nach Eingang des Datenverlangens abzulehnen. In anderen Fällen einer außergewöhnlichen Notwendigkeit ist das Datenverlangen unverzüglich und in jedem Fall innerhalb von 30 Arbeitstagen nach Eingang des Datenverlangens abzulehnen.
Wenn die öffentliche Stelle der Ablehnung widersprechen oder der Dateninhaber Einspruch gegen das Datenverlangen einlegen möchte, ist die zuständige Behörde in dem Mitgliedstaat, in dem der Dateninhaber niedergelassen ist, mit der Angelegenheit zu befassen. Für Dateninhaber, die ihre Hauptniederlassung in Deutschland haben, soll die Bundesnetzagentur vorbehaltlich der Entscheidung des Gesetzgebers zuständige Behörde werden.
Werden anfallende Kosten für die Datenweitergabe ersetzt?
Die Bereitstellung von Daten zur Bewältigung eines öffentlichen Notstands erfolgt grundsätzlich unentgeltlich. Kleinst- und Kleinunternehmen haben jedoch einen Anspruch auf eine faire Gegenleistung für die Bereitstellung von Daten.
Erfolgt die Datenbereitstellung zur Erfüllung einer im öffentlichen Interesse ausgeübten gesetzlich vorgesehenen Aufgabe, hat der Dateninhaber grundsätzlich einen Anspruch auf eine faire Gegenleistung, es sei denn, die besondere Aufgabe im öffentlichen Interesse liegt in der Erstellung amtlicher Statistiken und der Erwerb von Daten ist nach nationalem Recht nicht zulässig.
Die Gegenleistung deckt mindestens die für die Datenbereitstellung anfallenden technischen und organisatorischen Maßnahmen, einschließlich Kosten für Anonymisierung o.ä., zuzüglich einer einzelfallbezogenen angemessenen Marge ab.
Können die Daten an Dritte weitergegeben werden?
Öffentliche Stellen, die Kommission, die Europäische Zentralbank und Einrichtungen der Union können die erhaltenen Daten zu Forschungszwecken oder Analysen sowie zur Erstellung amtlicher Statistiken an gemeinnützige Forschungseinrichtungen und statistische Ämter weitergeben. Voraussetzungen sind unter anderem, dass die Datenweitergabe mit dem Zweck des Datenverlangens vereinbar ist und dem Dateninhaber die Absicht der Datenweitergabe unverzüglich unter Angabe der Kontaktdaten des Dritten, des Zwecks und des Zeitraums der Datenverwendung mitgeteilt wird. Dritte, die Daten erhalten, müssen die gleichen Verpflichtungen erfüllen, die für öffentliche Stellen, die Kommission, die Europäische Zentralbank und Einrichtungen der Union gelten (siehe Artikel 17 Absatz 3 und Artikel 19 Data Act).
Kann man die Datenweitergabe an Dritte ablehnen?
Ist der Dateninhaber mit der Übermittlung von Daten nicht einverstanden, kann er Beschwerde bei der zuständigen Behörde des Mitgliedstaats, in dem er niedergelassen ist, einreichen. Für Unternehmen mit Hauptniederlassung in Deutschland soll die Bundesnetzagentur vorbehaltlich der Entscheidung des Gesetzgebers zuständige Behörde werden.
