D. DGA-Anforderungen an die Datentreuhand
I. Hintergrund und Rahmen des DGA
Neben den datenschutzrechtlichen Vorgaben sind im Grundlagen- und Funktions-Layer der Datentreuhand auch die Anforderungen des Data Governance Acts (DGA) zu beachten. Der DGA ist wie die DSGVO eine unionsrechtliche Verordnung, die im Mai 2022 verabschiedet wurde und ab dem 24. September 2023 unmittelbare Geltung in allen Mitgliedsstaaten der Union findet. Eine Übergangsregelung gilt für Einrichtungen, die zum Stichtag des 23. Juni 2022 bereits Datenvermittlungsdienste i.S.d. Art. 10 DGA erbracht haben: Diese müssen den Verpflichtungen des Kapitel 3 DGA erst zum 24. September 2025 nachkommen, Art. 37 DGA.
Übergeordnetes Ziel des DGA ist der Abbau von Hemmnissen für das freiwillige Datenteilen, um hierdurch die Entwicklung eines echten digitalen Binnenmarktes für Daten zu fördern.1 Hierzu werden zu unterschiedlichen Teilaspekten harmonisierte Regelungen getroffen: Kapitel 2 DGA adressiert in Ergänzung bestehender Open Data-Vorschriften die Weiterverwendung besonders geschützter Daten in der technisch-faktischen Herrschaft öffentlicher Stellen, Kapitel 4 DGA enthält einen Rahmen für die freiwillige Eintragung sogenannter datenaltruistischer Organisationen und Kapitel 5 DGA enthält Vorschriften für die Einrichtung einer neuen unionsweiten Koordinierungsstelle, dem Dateninnovationsrat. Für die Datentreuhand von besonderer Relevanz sind die Vorgaben des Kapitel 3 DGA, in dem ein Anmelde- und Aufsichtsrahmen für sogenannte Datenvermittlungsdienste bestimmt wird. Normiert werden neben einer Anmeldeverpflichtung und einem behördlichen Aufsichtsregime umfassende Verpflichtungen, die bei der Erbringung solcher Datenvermittlungsdienste zu beachten sind.
II. Anforderungen aus dem DGA an die Datentreuhand
Im Folgenden werden zunächst Regelungen aus dem DGA, die einen Bezug zu Datenvermittlungsdiensten aufweisen, im Überblick dargestellt (I.). Anschließend wird der sachliche und räumliche Anwendungsbereich des DGA im Einzelnen dargestellt und geprüft, für welche Datentreuhandmodelle das Gesetz Anwendung findet (II.). Zu den Begriffen der Datentreuhand sowie der einzelnen Modelle wird auf die datenschutzrechtlichen Anforderungen verwiesen (s. Dokument „Datenschutzrechtliche Anforderungen an die Datentreuhand“, unter C.).
Darauf folgt die Darstellung der Pflichten, die für Datenvermittlungsdienste gelten und von Anbietern zu beachten sind, damit sie aufsichtsrechtlich nicht sanktioniert sowie zivilrechtlich nicht belangt werden (III.).
1. Überblick über DGA-Regelungen mit Bezug zu Datenvermittlungsdiensten
Der DGA soll einen harmonisierten Rahmen für den Datenaustausch innerhalb der EU schaffen und die Bedingungen für die gemeinsame Nutzung von Daten im Binnenmarkt verbessern, insbesondere soll er Vertrauen der Akteure bei der Datenteilung schaffen.2 Das Gesetz zielt auf Datenteilung ab, die die Datenvermittlungsdienste ermöglichen sollen.3 Mit dem DGA hat der europäische Gesetzgeber neben weiteren Regelungszielen und -gegenständen4 ein aufsichtsrechtliches Regelungsregime für sog. Datenvermittlungsdienste eingeführt, Art. 1 Abs. 1 lit. b) DGA. Der Begriff des Datentreuhänders ist im DGA gesetzlich nicht definiert, insbesondere enthält das Gesetz keine ausdrücklichen Regelungen zur Datentreuhand. Daher ist zunächst zu überprüfen, ob und ggf. wann es sich bei der Datentreuhand um einen Datenvermittlungsdienst handelt und welche Regelungen des DGA auf Datentreuhänder Anwendung finden und welche Anforderungen der Datentreuhänder daher zu erfüllen hat.
Datenvermittlungsdienste, die die in Art. 2 Nr. 11 und Art. 10 DGA genannten Voraussetzungen erfüllen, haben bestimmte Anforderungen zu erfüllen, damit sie ihre Dienste erbringen dürfen. Diese Anforderungen sind in Kapitel III in den Art. 11 ff. des DGA geregelt. Die Regelungen sollen u.a. gewährleisten, dass Dateninhaber, betroffene Personen und Datennutzer den Zugang und die Nutzung von Daten besser kontrollieren können.5 Darüber hinaus soll sichergestellt werden, dass die Anbieter von Datenvermittlungsdiensten ausschließlich als neutrale Mittler agieren, um – in Kombination mit der Anmeldeverpflichtung (Art. 11 DGA) und dem Aufsichtsregime (Art. 13 und Art. 14 DGA) – Vertrauen in die Anbieter zu stärken und Anreize für deren Nutzung zu schaffen und so Hindernisse für die gemeinsame Datennutzung abzubauen.6
2. Anwendungsbereich des DGA
Wie die DSGVO hat der DGA einen räumlichen und sachlichen Anwendungsbereich. Im Folgenden wird zunächst die Anwendbarkeit des DGA in sachlicher Hinsicht in Bezug auf Datentreuhänder geprüft (unter B. II. a). Im Anschluss folgt die Prüfung des räumlichen Anwendungsbereiches für Datentreuhandangebote (unter B. II. b).
a. Sachlicher Anwendungsbereich: Voraussetzungen von Datenvermittlungsdiensten, Art. 2 Nr. 11 DGA
Den sachlichen Anwendungsbereich des DGA regelt Art. 1 Abs. 1 DGA. Zum Anwendungsbereich mit Bezug zu Datenvermittlungsdiensten heißt es in Art. 1 Abs. 1 lit. b) DGA:
„In dieser Verordnung wird Folgendes festgelegt: […] b) ein Anmelde- und Aufsichtsrahmen für die Erbringung von Datenvermittlungsdiensten; […]“.
Damit also der sachliche Anwendungsbereich des DGA eröffnet ist, muss geprüft werden, ob die Datentreuhand ein Datenvermittlungsdienst i.S.d. Art. 2 Nr. 11 DGA ist. Diese Frage wird im Folgenden hier zunächst erörtert:
Der Begriff des Datenvermittlungsdienstes ist legaldefiniert. In Art. 2 Nr. 11 DGA heißt es:
„Für die Zwecke dieser Verordnung bezeichnet der Ausdruck […]
11. „Datenvermittlungsdienst“ einen Dienst, mit dem durch technische, rechtliche oder sonstige Mittel Geschäftsbeziehungen zwischen einer unbestimmten Anzahl von betroffenen Personen oder Dateninhabern einerseits und Datennutzern andererseits hergestellt werden sollen, um die gemeinsame Datennutzung, auch für die Zwecke der Ausübung der Rechte betroffener Personen in Bezug auf personenbezogene Daten, zu ermöglichen, und die zumindest folgendes nicht umfassen:
_ a. Dienste, in deren Rahmen Daten von Dateninhabern eingeholt und aggregiert, angereichert oder umgewandelt werden, um deren Wert erheblich zu steigern, und Lizenzen für die Nutzung der resultierenden Daten an die Datennutzer vergeben werden, ohne eine Geschäftsbeziehung zwischen Dateninhabern und Datennutzern herzustellen;
_ b. Dienste, deren Schwerpunkt auf der Vermittlung urheberrechtlich geschützter Inhalte liegt;_
_ c. Dienste, die ausschließlich von einem Dateninhaber genutzt werden, um die Verwendung von im Besitz dieses Dateninhabers befindlichen Daten zu ermöglichen, oder die von mehreren juristischen Personen in einer geschlossenen Gruppe, einschließlich Lieferanten- oder Kundenbeziehungen oder vertraglich festgelegter Kooperationen, genutzt werden, insbesondere wenn deren Hauptziel darin besteht, Funktionen von Gegenständen und Geräten im Zusammenhang mit dem Internet der Dinge sicherzustellen;_
_ d. Datenvermittlungsdienste, die von öffentlichen Stellen ohne die Absicht der Herstellung von Geschäftsbeziehungen angeboten werden_ […]“
Diese Definition enthält positive Komponenten, also Voraussetzungen, die vorliegen müssen, und negative Komponenten, also Voraussetzungen, die nicht vorliegen dürfen, damit der konkrete Dienst als Datenvermittlungsdienst i.S.d. DGA verstanden werden kann. Positiv setzt der Begriff des Datenvermittlungsdienstes zunächst voraus, dass mit dem Dienst zwischen einer unbestimmten Zahl von betroffenen Personen und Dateninhabern einerseits (unter a)) und Datennutzern andererseits (unter b)) eine Geschäftsbeziehung (unter c)) über die gemeinsame Datennutzung (unter d)) durch technische, rechtliche oder sonstige Mittel (unter e)) hergestellt werden soll. Negativ abzugrenzen sind erfasste Datenvermittlungsdienste von den vier in Art. 2 Nr. 11 DGA genannten Mehrwertdiensten (unter f)), Diensten, deren Schwerpunkt auf der Vermittlung urheberrechtlich geschützten Inhalts liegt (unter g)), Diensten für geschlossene Benutzergruppen (unter h)) und Diensten, die von staatlichen Stellen ohne die Absicht der Herstellung einer Geschäftsbeziehung angeboten werden (unter i)).
1) Unbestimmte Anzahl von betroffenen Personen und Dateninhabern
Eine positiv aufgezählte Voraussetzung ist die unbestimmte Anzahl von betroffenen Personen und Dateninhabern, die auf der einen Seite der (potenziellen) Geschäftsbeziehung stehen. Der Begriff der betroffenen Person entspricht dem in der DSGVO verwendeten Begriff aus Art. 4 Nr. 1 DSGVO. Nach Art. 2 Nr. 7 DGA handelt es sich um diejenige Person, auf die sich die betreffenden Daten beziehen.7 Dateninhaber ist nach der gesetzlichen Definition des Art. 2 Nr. 8 DGA:
„[…] eine juristische Person, einschließlich öffentlichen Stellen und internationalen Organisationen oder natürlichen Person, die in Bezug auf die betreffenden Daten keine betroffene Person ist, welche nach geltendem Unionsrecht oder geltendem nationalen Recht berechtigt ist, Zugang zu bestimmten personenbezogenen Daten oder nicht personenbezogenen Daten zu gewähren oder diese Daten weiterzugeben […]“.
Zudem muss die Stelle, um Dateninhaber zu sein, nach geltendem Recht auch berechtigt sein, Zugang zu personenbezogenen oder nicht personenbezogenen Daten zu gewähren. Diese Formulierung legt eine rechtsbasierte, nicht faktische Betrachtung der Inhaberschaft nahe.8 Ein Dateninhaber muss rechtlich und tatsächlich in der Lage sein, Zugang zu den Daten zu gewähren oder die Daten weiterzugeben.9 Der Begriff des Zugangs ist gesetzlich definiert und bedeutet nach Art. 2 Nr. 13 DGA:
„[…] die Datennutzung im Einklang mit bestimmten technischen, rechtlichen oder organisatorischen Anforderungen, ohne dass Daten hierzu zwingend übertragen oder heruntergeladen werden müssen […]“.
Sowohl die betroffenen Personen als auch die Dateninhaber müssen in einer unbestimmten Anzahl bestehen. Was jedoch genau unter der Voraussetzung zu verstehen ist, wird nicht näher geregelt.10 Nach allgemeinem Begriffsverständnis ist davon auszugehen, dass Datenvermittlungsdienste, die individualisierten, einzelnen betroffenen Personen und Dateninhabern oder nur einem begrenzten Personenkreis angeboten werden, hiervon nicht umfasst sein sollen.11
Der Dateninhaber muss nach Unionsrecht oder nationalem Recht „berechtigt“ sein, den Zugang zu den Daten zu verschaffen. Unter Zugrundelegung eines rechtsbasierten Verständnisses der Inhaberschaft, muss der Dateninhaber nicht faktisch über die personenbezogenen und nicht personenbezogenen Daten verfügen, um Dateninhaber i.S.d. Art. 2 Nr. 8 DGA zu sein.12 Er sollte aber dennoch in der Lage sein, tatsächlich Zugang zu Daten zu gewähren oder diese weiterzugeben, z.B. durch seinerseits bestehende, etwa vertraglich definierte Zugangsansprüche. Die Berechtigung zur Verschaffung des Zugangs aus Unionsrecht kann sich künftig z.B. aus dem Data-Act-E (DA-E) ergeben, der in seinem Regelungsbereich den Zugang zu personenbezogenen und nicht personenbezogenen Daten umfasst, Art. 1 Abs. 1 DA-E, Art. 4, 5 und Art. 14 DA-E. Weitere Berechtigungen können sich aus dem Datenschutzrecht ergeben, z.B. aus Art. 6 Abs. 1 DSGVO oder aus Art. 9 Abs. 2 DSGVO.13 Eine Berechtigung kann zur Verschaffung des Zugangs aber auch durch wirksame vertragliche Regelung geschaffen werden.14 In Frage kommen auch weitere sektorspezifische Regelungen, sofern sie einen ausdrücklichen Bezug zur Berechtigung der Datenzugangsverschaffung aufweisen, z.B. Art. 4, 33, 34 EHDS-E, § 2 GDNG-E15 oder § 363 SGB V. Eine Berechtigung zur Zugangsverschaffung durch den Dateninhaber kann sich auch aus nationalem Datenschutzrecht, etwa aus § 22 Abs. 1 BDSG oder aber für den Bereich der Forschung aus § 27 Abs. 1 BDSG ergeben.
Wie bereits dargestellt, kann die betroffene Person im Datentreuhandverhältnis Datentreugeber sein.16 Sie wird hier ausdrücklich als Partei des Datenvermittlungsverhältnisses aufgezählt, sodass jedenfalls diese Voraussetzung hier erfüllt ist. Im Datentreuhandverhältnis können daneben Datentreugeber Personengesellschaften, juristische Personen des Privatrechts oder des öffentlichen Rechts sein.17 Auch fallen natürliche Personen, die selbst nicht betroffene Person sind, unter den Begriff den Dateninhabers nach DGA.18 Insoweit decken sich hier die Datentreugeber mit den Parteien der potenziellen Geschäftsbeziehung im Datenvermittlungsverhältnis, hier die betroffenen Personen und Dateninhaber nach DGA.
Liegen zudem die Voraussetzungen der Rechtfertigung der Datenverarbeitung im Grundlagen-Layer sowie im Funktions-Layer vor, so ist zugleich eine Berechtigung zur Zugangsverschaffung des Dateninhabers nach DGA gegeben.19 Solche Regelungen sind je nach Anwendungskontext zu bestimmen und können daher hier nicht abschließend benannt werden. Zur Verschaffung des Zugangs durch den Dateninhaber bedarf es aber nicht zwingend einer Datenübertragung für die Datennutzung an den Datennutzer.20 Insoweit können hierunter insbesondere mit Blick auf den Grundlagen- und Funktions-Layer sämtliche Verarbeitungsvorgänge fallen, wie die Übermittlung oder aber auch die Offenlegung durch Bereitstellung der Daten durch den Datentreugeber, die ebenfalls eine Zugangsverschaffung darstellen.
Bei der Voraussetzung der unbestimmten Anzahl von betroffenen Personen und Dateninhabern ist zu differenzieren. Ein Datentreuhänder kann und wird in den meisten Fällen seinen Dienst einer unbestimmten Anzahl von Personen anbieten. Allerdings gibt es auch Fälle, in denen eine Datentreuhand durchaus nur einem begrenzten Personenkreis oder nur einzelnen Personen angeboten werden kann, z.B. wenn ein Unternehmen zur Selbstbeschränkung und Einhaltung des Datenschutzrechts einen individuellen Vertrag, passend auf die konkreten Bedürfnisse, vereinbaren möchte. In solchen Fällen besteht dann zwar ein Datentreuhandverhältnis, aber kein Datenvermittlungsdienst, sodass die Regelungen des DGA dann – jedenfalls in diesem Verhältnis – keine Anwendung finden.
2) Datennehmer als Datennutzer
Das Treuhandverhältnis ist dadurch geprägt, dass auf der anderen Seite grundsätzlich ein Datennehmer steht. Der DGA sieht auf der anderen Seite der Datenvermittlung ebenfalls eine Stelle vor, die er als „Datennutzer“ bezeichnet, Art. 2 Nr. 11 DGA. Während der Wortlaut ausdrücklich besagt, dass die Anzahl der betroffenen Personen und Dateninhaber, an die sich ein Datenvermittlungsdienst richtet, unbestimmt sein muss, ist dies bei den potenziellen Datennutzern nicht der Fall.21 Unter Datennutzer versteht Art. 2 Nr. 9 DGA:
„[…] eine natürliche oder juristische Person, die rechtmäßig Zugang zu bestimmten personenbezogenen oder nicht personenbezogenen Daten hat und im Fall personenbezogener Daten, unter anderem nach der Verordnung (EU) 2016/679, berechtigt ist, diese Daten für kommerzielle oder nichtkommerzielle Zwecke zu nutzen […]“.
Die Person muss rechtmäßig Zugang zu bestimmten personenbezogenen oder nicht personenbezogenen Daten haben. Dabei richtet sich der Zugangsbegriff hier ebenso nach Art. 2 Nr. 13 DGA.22 Die Rechtmäßigkeit des Zugangs richtet sich danach, ob es sich um den Zugang zu personenbezogenen oder nicht personenbezogenen Daten handelt.23 Zu personenbezogenen Daten kann sich die Berechtigung auch nach den oben dargestellten Anforderungen aus der DSGVO, dem DA-E, dem BDSG oder weiteren bereichs- oder sektorspezifischen Regelungen ergeben.24 Die Berechtigung des Zugangs zu nicht personenbezogenen Daten kann eine Erlaubnis i.S.d. Art. 2 Nr. 6 DGA darstellen oder aber sich aus anderen Gesetzen ergeben, etwa aus dem DA-E.
Der Datennehmer im Datentreuhandverhältnis kann eine natürliche oder juristische Person sein.25 Er erhält dann berechtigten Zugang zu personenbezogenen oder nicht personenbezogenen Daten, wenn dieser nach der DSGVO, dem BDSG oder anderen Vorschriften26 oder aufgrund eines Vertrags mit den Datentreugebern rechtmäßig ist. Auch diese Voraussetzung ist damit bei der Datentreuhand erfüllt.
3) Abzielen auf Herstellen einer Geschäftsbeziehung
Der Wortlaut des Art. 2 Nr. 11 DGA formuliert, dass eine Geschäftsbeziehung durch den Dienst „hergestellt werden soll“. Wann dies der Fall ist, geht aus dem DGA nicht unmittelbar hervor. Angesichts der Offenheit der Formulierung sowie aufgrund von Hinweisen aus den Erwägungsgründen reicht bereits ein bloßes Abzielen auf die Herstellung der Geschäftsbeziehung aus.27 Für dieses weite Verständnis spricht auch, dass der DGA verschiedene Wege der Herstellung der Geschäftsbeziehung nennt, nämlich das Bereitstellen der technischen, rechtlichen oder sonstigen Mittel zum Austausch der Daten zwischen Dateninhaber und Datennutzer.28 Für dieses Abzielen auf die Herstellung einer Geschäftsbeziehung reicht damit jede geeignete zielgerichtete Art der Hilfestellung bei der Anbahnung von geschäftlichen Datentransaktionen aus.29 Allerdings muss der Hauptzweck der hergestellten oder noch herzustellenden Geschäftsbeziehung die Bereitstellung und Nutzung von Daten sein.30 Hierunter fallen Datenvermittlungsdienste, die als „Matchmaker“ die Rolle eines Initiators beim Datenaustausch haben.31 Ein weiteres Beispiel für einen solchen Datenvermittlungsdienst stellen Datenmarktplätze dar, die allen interessierten Seiten in Form einer Lizenz einen Zugang zu Daten ermöglichen.32 Hierunter fallen jedoch keine datenaltruistischen Dienste i.S.d. Art. 18 DGA, die keine Geschäftsbeziehung zwischen Dateninhabern oder betroffenen Personen und Datennutzern herstellen, vgl. Art. 15 DGA.33 Datenaltruistische Dienste können insbesondere solche sein, die als Vereine organisiert bestimmte Zwecke im Sinne des Gemeinwohls erbringen, z.B. um Auswertungs- und Verwaltungsdienste als Vertrauensstelle für Forschungseinrichtungen zu erbringen. Für datenaltruistische Organisationen gelten die besonderen, grundsätzlich gegenüber Datenvermittlungsdiensten privilegierenden Anforderungen der Art. 16 ff. DGA.
Unter Berücksichtigung der Datentreugeber auf der einen Seite sowie der Datennehmer auf der anderen Seite, besteht bei der Datentreuhand typischerweise mindestens ein Drei-Personenverhältnis, in dem der Datentreuhänder durch seine geschäftliche Handlung darauf abzielt, dass der Datennehmer Zugang zu durch Datentreuhänder bereitgestellten Daten erhält. Einem solchen Drei-Personenverhältnis liegen typischerweise vertragliche Regelungen zugrunde, die damit die Voraussetzung der Geschäftsbeziehung zu beiden Seiten erfüllen. Der Geschäftsbeziehung muss aber nicht zwingend ein Vertrag zugrunde liegen, vielmehr können auch gesetzliche Vorgaben hier die Grundlage sein. Für die Qualifikation eines Datentreuhänders als Datenvermittlungsdienst ist die Herstellung oder das Abzielen auf die Herstellung einer solchen direkten Geschäftsbeziehung zwischen Dateninhaber oder betroffenen Personen zu Datennutzern maßgeblich.34 Dies wird in Drei-Personenverhältnissen der Datentreuhand typischerweise der Fall sein. Allerdings kann bei Berücksichtigung weiterer Funktionen der Datentreuhand, insbesondere bei der Verwaltungstreuhand, auch nur ein Zwei-Personenverhältnis bestehen.35 Eine Verwaltungstreuhand kann nämlich in Form einer Selbstbeschränkungstreuhand gegeben sein, bei der Daten in die Datentreuhand gegeben werden, um etwa gesetzliche Vorgaben, wie solche des Datenschutzrechts, zu erfüllen, so z.B. bei der Microsoft Cloud. Eine solche Datentreuhand stellt keinen Datenvermittlungsdienst i.S.d. Art. 2 Nr. 11 DGA dar, da sie von vorneherein nicht darauf abzielt, eine Geschäftsbeziehung zu einer anderen Seite herzustellen.
4) Ermöglichen gemeinsamer Datennutzung
Zudem muss die Herstellung einer (potenziellen) Geschäftsbeziehung erfolgen,
„um die gemeinsame Datennutzung […] zu ermöglichen“.
Der DGA definiert die gemeinsame Datennutzung in Art. 2 Nr. 10 DGA als
„[…] die entgeltliche oder unentgeltliche Bereitstellung von Daten durch eine betroffene Person oder einen Dateninhaber an einen Datennutzer für die gemeinschaftliche oder individuelle Nutzung dieser Daten auf der Grundlage freiwilliger Vereinbarungen, des Unionsrechts oder des nationalen Rechts, sowohl direkt als auch über einen Mittler, etwa im Rahmen von gebührenpflichtigen oder gebührenfreien offenen oder kommerziellen Lizenzen […]“.
Daten definiert Art. 2 Nr. 1 DGA als
„[…] jede digitale Darstellung von Handlungen, Tatsachen oder Informationen sowie jede Zusammenstellung solcher Handlungen, Tatsachen oder Informationen auch in Form von Ton-, Bild- oder audiovisuellem Material […]“.
Der Begriff der Datennutzung als solche ist gesetzlich nicht definiert. Jedoch kann angesichts der begrifflichen Weite hierunter jeder Umgang mit Daten verstanden werden, worunter auch die bloße Wahrnehmung fällt.36 Der Begriff „gemeinsam“ legt nahe, die Daten müssten durch die Datenbereitsteller und Datennutzer gemeinsam genutzt werden, allerdings ist auch die alleinige Nutzung durch den Datennutzer erfasst.37 Erforderlich ist insofern allein, dass neben dem Dateninhaber oder der betroffenen Person auch der Datennutzer Zugriff auf die Daten hat. Die Bereitstellung kann entgeltlich oder unentgeltlich erfolgen. „Freiwillige Vereinbarung“ meint - in den Fällen, in denen der Dateninhaber Daten zur Verfügung stellt - die Erlaubnis nach Art. 2 Nr. 6 DGA.38
Die Datennutzung muss sich aber auf die bereitgestellten Daten beziehen. Werden die Daten zunächst aufbereitet, wie z.B. bei der Mehrwert-Treuhand, und sodann die Auswertungsergebnisse zur Verfügung gestellt, liegt nach hier vertretener Ansicht schon keine gemeinsame Datennutzung vor. Dies folgt aus einem Umkehrschluss zum Mehrwertdienst. Dieser aggregiert Daten, reichert sie an oder wandelt sie um, vgl. Art. 2 Nr. 11 lit. a) DGA.39 Ein solcher Mehrwertdienst tritt gerade nicht „lediglich als Mittler“ bei den Transaktionen über die Daten auf, wie es Erwägungsgrund 33 S. 3 DGA erfordert, sondern eben auch als Dienstleister bei der Aufbereitung der Daten. ErwGr. 33 S. 3 DGA ist bei teleologischer Auslegung von Art. 2 und Art. 10 DGA zu berücksichtigen. Damit schließen sich die Tätigkeit eines Datenvermittlungsdienstes und einer Mehrwert-Treuhand aus. Auch sämtliche andere in ErwGr. 27 und 28 DGA genannte Beispiele für Datenvermittlungsdienste, wie z.B. Datenmarktplätze, dienen als Mittler zum Austausch der Ausgangsdaten, nicht von aufbereiteten Daten. Dies stützt das Argument, die Datennutzung müsse sich auf die Ausgangsdaten des Dateninhabers beziehen. Auch die Tatsache, dass Art. 12 lit. e) DGA ausdrücklich zwischen Datenaustausch und „zusätzlichen“ Diensten, wie die Pseudonymisierung oder Anonymisierung, unterscheidet, hebt die Intention des Gesetzgebers hervor, allein die Ausgangsdaten als Gegenstand der gemeinsamen Datennutzung erfassen zu wollen.40 Art. 2 Nr. 11 a) DGA ist insofern missverständlich, denn er ließe sich auch so verstehen, dass Mehrwertdienste so lange als Datenvermittlungsdienst agieren können, wie sie Geschäftsbeziehungen zwischen Dateninhabern und Datennutzern herstellen. Dies ist aber – wie die teleologische Auslegung zeigt – nicht der Fall.
5) Durch technische, rechtliche oder sonstige Mittel
Die Herstellung der Geschäftsbeziehung kann, wie der offene Wortlaut des Art. 2 Nr. 11 DGA zeigt, durch technische, rechtliche und sonstige Mittel des Dienstanbieters stattfinden. In Abgrenzung zu bloßen Anbietern von technischen und sonstigen Mitteln, die bei dem Datenvermittlungsdienst genutzt werden, ist aber das Abzielen auf die Herstellung der Geschäftsbeziehung durch die Mittel erforderlich.41 Keine Datenvermittlungsdienste sind dementsprechend Dienste, die allein die technischen Werkzeuge zur Verfügung stellen, um die gemeinsame Datennutzung zu ermöglichen, aber nicht darauf abzielen, Geschäftsbeziehungen über die Datennutzung herzustellen oder hierüber zu informieren.42 Dies umfasst etwa allgemeine Cloud-Speicher-Dienste, Internet-Browser oder sonstige Software-Dienste, die die gemeinsame Datennutzung ermöglichen.
Die Datentreuhand bringt die technischen Voraussetzungen mit, die einen Datenaustausch zwischen Datentreugeber und Datentreunehmer ermöglichen, z.B. durch die Schaffung der technischen Infrastruktur. Diese technischen Mittel werden auch gerade dazu eingesetzt, die Mittlerfunktion der Datentreuhand zwischen Dateninhaber und betroffenen Personen einerseits und Datennutzern anderseits zu ermöglichen. Das gilt für die Zugangs- sowie grundsätzlich für die Verwaltungs-Treuhand. Stellt der Anbieter der Datentreuhand auch die Vertragsunterlagen für den Datenaustausch zur Verfügung oder nimmt ähnliche Handlungen vor, die die Herstellung der Geschäftsbeziehung fördern, dann ist auch die Voraussetzung der „rechtlichen Mittel“ daneben erfüllt. Handelt es sich bei der Verwaltungs-Treuhand um den Spezialfall der Selbstbeschränkungstreuhand, dann bestehen zwar auch die technischen Mittel im Sinne des Art. 2 Nr. 11 DGA. Allerdings fehlt es dann an der Konnexität zwischen technischem Mittel und der Herstellung einer Geschäftsbeziehung zu einem Datennehmer, denn bei der Selbstbeschränkungstreuhand besteht in der Regel nur ein Zwei-Personenverhältnis zwischen Dateninhaber und Datentreuhänder. Bei der Selbstbeschränkungstreuhand handelt es sich also nicht um einen Datenvermittlungsdienst i.S.d. Art. 2 Nr. 11 DGA.
Die technische Gestaltung der Verwaltungs- oder Zugangstreuhand im Grundlagen-Layer als zentrales oder dezentrales System43 ist hierbei nicht entscheidend. Die technischen Ausgestaltungen im Grundlagen-Layer sind in dem offenen Begriff44 der technischen Mittel erfasst.
6) Keine Mehrwertdienste ohne Herstellung einer Geschäftsbeziehung
Keine Datenvermittlungsdienste sind nach Art. 2 Nr. 11 lit. a) DGA
„[…] Dienste, in deren Rahmen Daten von Dateninhabern eingeholt und aggregiert, angereichert oder umgewandelt werden, um deren Wert erheblich zu steigern, und Lizenzen für die Nutzung der resultierenden Daten an die Datennutzer vergeben werden, ohne eine Geschäftsbeziehung zwischen Dateninhabern und Datennutzern herzustellen […]“.
Holt der Diensteanbieter Daten von Dateninhabern ein und aggregiert er diese, reichert sie an oder wandelt diese um, um deren Wert erheblich zu steigern und Lizenzen für die Nutzung der resultierenden Daten an die Datennutzer zu vergeben, ohne eine Geschäftsbeziehung zwischen Dateninhabern und Datennutzern herzustellen, dann ist er kein Datenvermittlungsdienst. Art. 2 Nr. 11 lit. a) DGA ist damit inhaltlich vielmehr eine Klarstellung, dass eine gemeinsame Datennutzung nicht vorliegt und damit auch kein Datenvermittlungsdienst i.S.d. DGA, wenn die Ausgangsdaten nicht Gegenstand des Austauschs sind. Unter den Begriff des Mehrwertdienstes fallen beispielsweise sog. Datenbroker, die Daten von einer Vielzahl von Unternehmen ankaufen, um sie aufbereitet an andere Unternehmen weiterzuverkaufen.45 Der Begriff der Umwandlung ist weit gefasst, sodass jede Aufbereitung der Daten hierunter fallen dürfte. Wann eine erhebliche Steigerung des Werts der Daten besteht, geht nicht aus dem DGA hervor. Auszugehen sein dürfte jedoch von einer jedenfalls deutlichen Wertsteigerung, da der Begriff „erheblich“ eine solche im Wortlaut impliziert. Wobei unklar ist, ob der entgeltliche oder nutzungssteigernde Wert gemeint und, ob dieser Wert kontextabhängig zu bestimmen ist.
Die Datentreuhand kann unterschiedliche Funktionen erfüllen, daher ist hier eine nähere Betrachtung erforderlich. Bei dem Modell der Mehrwert-Treuhand erhält der Datentreuhänder von Treugebern Zugang zu Daten, die er anschließend aufbereitet, indem er sie beispielweise analysiert, pseudonymisiert oder anonymisiert. Nach dieser Aufbereitung übermittelt er dann erst die Daten an den Datennutzer, ohne die Rohdaten weiterzugeben. Der Datentreuhänder stellt also keine Geschäftsbeziehung zwischen Datentreugeber und Datennutzer in Bezug auf die Ausgangsdaten her.46 Die Mehrwert-Treuhand bezweckt gerade die Umsetzung spezieller Funktionen beim Umgang mit den Daten. Sie bezweckt aber nicht die Herstellung einer Geschäftsbeziehung in Bezug auf die Ausgangsdaten. In der Regel wird davon auszugehen sein, dass die Aufbereitung der Daten gegenüber dem Datennutzer einen höheren Wert haben: Zum einen kann durch die Aufbereitung entweder die Rechtskonformität und damit die Nutzbarkeit der Daten erhöht sein, z.B. durch die Anonymisierung oder Pseudonymisierung. Zum anderen kann der Datentreuhänder über besondere technische Mittel verfügen (z.B. eine besondere Analysesoftware), die die einzelnen Aufbereitungsvorgänge erst ermöglichen und damit ebenso den Wert der Daten steigern. Eine solche Aufbereitung führt, sofern keine entgegenstehenden Anhaltspunkte bestehen, grundsätzlich auch zu einer deutlichen Wertsteigerung der Daten. Regelmäßig werden solche Datentreuhänder insofern keine Datenvermittlungsdienste i.S.d Art. 2 Nr. 11 DGA darstellen, soweit sie erstens bereits nicht darauf abzielen, direkte Geschäftsbeziehungen zwischen betroffenen Personen, Dateninhabern und Datennutzern herzustellen, andererseits mit den genannten Mehrwertdienstleistungen Tätigkeiten vornehmen, die Datenvermittlungsdienste nach Art. 2 Nr. 11 lit. a) DGA nicht erbringen.
7) Datenvermittlung von urheberrechtlich geschützten Inhalten nicht erfasst
Wenn der Dienst im Schwerpunkt auf die Vermittlung von urheberrechtlich geschützten Inhalten abzielt, ist dieser kein Datenvermittlungsdienst i.S.d. DGA, vgl. Art. 2 Nr. 11 HS. 2 lit. b) DGA. Datentreuhänder, die ausschließlich urheberrechtliche Inhalte zwischen Datentreugebern und Datennehmern vermitteln, sind keine Datenvermittlungsdienste i.S.d. DGA, sodass auch die im DGA geregelten Pflichten für sie nicht gelten. Sofern sie dabei peripher personenbezogene Daten übermitteln, etwa die namentliche Nennung von Urhebern, die betroffene Personen i.S.d. Art. 2 Nr. 7 DGA sind, um Werke zuzuordnen oder die Urheberpersönlichkeitsrechte zu wahren, macht sie dieser Umstand nicht bereits zu Datenvermittlungsdiensten. Denn der Wortlaut sagt ausdrücklich, dass der „Schwerpunkt“ des Dienstes auf die Vermittlung von urheberrechtlich geschützten Inhalten gerichtet sein muss.
8) Datenvermittlung innerhalb geschlossener Dateninhabergruppen nicht erfasst
Dienste, die innerhalb von geschlossenen Dateninhabergruppen den Datenzugang verschaffen, sind keine Datenvermittlungsdienste nach dem DGA, Art. 2 Nr. 11 HS. 2 lit. c) DGA. Das sind solche Dienste, die Daten z.B. im Rahmen von Kooperationen oder Lieferanten- und Kundenbeziehungen zur Verfügung stellen. Sie sind vom DGA nicht als Datenvermittlungsdienste erfasst. In diesen Fällen fehlt das Kriterium der „Offenheit“ des Dienstes.47 Insoweit ist Art. 2 Nr. 11 HS. 2 lit. c) DGA inhaltlich eine Klarstellung und Konkretisierung der bereits gefassten Definition des Datenvermittlungsdienstes nach Art. 2 Nr. 11 DGA, denn das Anbieten des Dienstes gegenüber einer unbestimmten Zahl von betroffenen Personen oder Dateninhabern sowie Datennutzern („Offenheit“) ist bereits Bestandteil der Definition des Datenvermittlungsdienstes.48 Ausgenommen als Datenvermittlungsdienste sind daher auch Dienste, die den konzerninternen Austausch und die konzerninterne Nutzung von Daten ermöglichen. Hierunter fallen solche Treuhanddienste, die zwar den Datenaustausch ermöglichen, diese jedoch nur zwischen zwei Unternehmen innerhalb eines Konzerns oder einer sonst geschlossenen Gruppe durchführen, um etwa Geschäftsprozesse zu vereinfachen oder aber auch, um als Sicherungsinstrument zu fungieren.
9) Datenvermittlungsdienste staatlicher Stellen ohne Geschäftsbeziehung
Ebenfalls keine Datenvermittlungsdienste sind solche Dienste nach Art. 2 Nr. 11 HS. 2 lit. d) DGA. Keine Datenvermittlungsdienste sind hiernach von staatlichen Stellen betriebene Dienste, die zwar Zugang zu Daten gewähren, aber hierbei keine Geschäftsbeziehung zwischen betroffenen Personen und Dateninhabern einerseits und Datennutzern andererseits herstellen. Dies betrifft etwa Dienste, mit denen staatliche Stellen die Weiterverwendung von Daten nach den Vorgaben der Art. 3 und Art. 5 DGA oder sonstigen Open Data-Grundsätzen ermöglichen.49 In diesen Fällen fehlt das Kriterium der Herstellung einer Geschäftsbeziehung über die gemeinsame Datennutzung als wesentliches, qualifizierendes Merkmal zur Abgrenzung der vom DGA erfassten Datenvermittlungsdienste und anderen Dienstleistungen.50 Insoweit ist auch Art. 2 Nr. 11 HS. 2 lit. d) DGA eine Klarstellung der Definition des Datenvermittlungsdienstes. Hierdurch wird aber nicht grundsätzlich ausgeschlossen, dass auch staatliche Stellen Datenvermittlungsdienste i.S.d. DGA betreiben,51 solange diese auf die Herstellung einer Geschäftsbeziehung gerichtet sind.
b. Räumlicher Anwendungsbereich
Der DGA findet als europäische Verordnung in räumlicher Hinsicht unmittelbare Anwendung in jedem Mitgliedstaat der Union. Dies ist zwar nicht konkret positiv im DGA normiert, lässt sich aber aus der Schlussformel der Verordnung,52 allgemeinen Erwägungen des Unionsrechts sowie der Rechtsnatur einer Verordnung ableiten.53 Ergänzend formuliert Art. 11 Abs. 3 DGA speziell für die räumliche Anwendbarkeit der Regelungen zu Datenvermittlungsdiensten, vergleichbar zur DSGVO, ein Marktortprinzip, wonach solche Datenvermittlungsdienste in den Anwendungsbereich fallen, die zwar außerhalb der europäischen Union ihren Sitz haben, aber ihre Dienste auch innerhalb der europäischen Union anbieten.54 Im Verhältnis zwischen Mitgliedstaaten ist der Mitgliedstaat für einen Datenvermittlungsdienst zuständig, in dem dieser seine Hauptniederlassung hat, Art. 11 Abs. 2 DGA, bzw. für Dienste ohne Niederlassung in der Union, seinen gesetzlichen Vertreter angemeldet hat, Art. 11 Abs. 3 UAbs. 1 DGA.55
Grundsätzlich ist also davon auszugehen, dass der DGA für Datentreuhandanbieter, die ihre Niederlassung in der Union haben, gilt. Darüber hinaus gelten die Anforderungen des DGA auch für solche Anbieter der Datentreuhand, die zwar ihren Sitz außerhalb der Union haben, jedoch ihren Dienst innerhalb der Union anbieten.
c. Zwischenergebnis
Der sachliche Anwendungsbereich des DGA ist eröffnet und gilt damit für die Datentreuhand, wenn es sich hierbei um eine Zugangs-Treuhand handelt, denn diese ist ein Datenvermittlungsdienst i.S.d. Art. 2 Nr. 11 DGA. Gleiches gilt im Grundsatz für die Verwaltungstreuhand, es sei denn es handelt sich um den Spezialfall der Selbstbeschränkungstreuhand. Nicht eröffnet ist der Anwendungsbereich des DGA bei der Mehrwert-Treuhand, denn diese erfolgt bereits nicht zur gemeinsamen Datennutzung. Es handelt sich um einen nicht vom DGA erfassten Mehrwertdienst i.S.d. Art. 2 Nr. 11 DGA. Der räumliche Anwendungsbereich ist bei den hier genannten Datentreuhandmodellen im Grundsatz eröffnet.
Im Einzelnen:
Die Datentreugeber sind bei der Datentreuhand betroffene Personen und Dateninhaber. Sie decken sich mit den Parteien der potenziellen Geschäftsbeziehung im Datenvermittlungsverhältnis, hier die betroffenen Personen nach Art. 2 Nr. 7 DGA und Dateninhaber nach Art. 2 Nr. 8 DGA. Bei der Voraussetzung der unbestimmten Anzahl von betroffenen Personen und Dateninhabern ist zu differenzieren. Ein Datentreuhänder wird in den meisten Fällen seinen Dienst einer unbestimmten Anzahl von Personen anbieten. Allerdings gibt es auch Fälle, in denen eine Datentreuhand durchaus nur einem begrenzten Personenkreis oder nur einzelnen Personen angeboten werden kann. In solchen Fällen besteht dann ein zwar Datentreuhandverhältnis, aber kein Datenvermittlungsdienst, sodass die Regelungen des DGA dann, zumindest in diesem Verhältnis, keine Anwendung finden.
Der Datennehmer im Datentreuhandverhältnis kann eine natürliche oder juristische Person sein. Datennehmer sind im Grundsatz auch Datennutzer i.S.d. Art. 2 Nr. 9 DGA.
Unter Berücksichtigung der Datentreugeber auf der einen Seite sowie der Datennehmer auf der anderen Seite besteht bei der Datentreuhand im Grundsatz mindestens ein Drei-Personenverhältnis, in dem der Datentreuhänder durch seine geschäftliche Handlung darauf abzielen kann, dass der Datennehmer Zugang zu durch Datentreuhänder bereitgestellten Daten erhält. Eine Verwaltungs-Treuhand in der besonderen Form der Selbstbeschränkungstreuhand stellt jedoch keinen Datenvermittlungsdienst i.S.d. Art. 2 Nr. 11 DGA dar, da sie von vorneherein nicht darauf abzielt, eine Geschäftsbeziehung zu einer anderen Seite herzustellen. Vielmehr ist hier ein Zwei-Personenverhältnis gegeben.
Jede Zurverfügungstellung von Daten durch die Datentreugeber, mit der in irgendeiner Form durch den Datennutzer umgegangen wird, stellt eine gemeinsame Datennutzung i.S.d. Art. 2 Nr. 10 DGA dar. Nicht darunter gefasst sind Daten von Auswertungsergebnissen, weil nach dem DGA die Ausgangsdaten Gegenstand der gemeinsamen Nutzung sein müssen. Daher sind Auswertungsergebnisse, die durch eine Mehrwert-Treuhand zur Verfügung gestellt werden, bereits nicht von der Definition der gemeinsamen Datennutzung umfasst. Daraus folgt, dass die Mehrwert-Treuhand bereits keinen Datenvermittlungsdienst i.S.d. Art. 2 Nr. 11 DGA darstellt. Art. 2 Nr. 11 HS. 2 lit. a) DGA nimmt viel mehr eine Klarstellung von der Definition des Datenvermittlungsdienstes nicht erfasste Mehrwertdienste vor.
Im Übrigen aber bringen Datentreuhänder die technischen und je nach Umfang des Datentreuhandangebots auch die rechtlichen Voraussetzungen mit, die einen Datenaustausch zwischen betroffenen Personen und Dateninhaber einerseits und Datennutzern anderseits ermöglichen, sodass auch die Voraussetzung des Abzielens auf die Herstellung einer Geschäftsbeziehung nach Art. 2 Nr. 11 DGA gegeben ist.
Datentreuhänder, die im Schwerpunkt urheberrechtliche Inhalte zwischen Dateninhabern und Datennutzern vermitteln, sind keine Datenvermittlungsdienste, Art. 2 Nr. 11 HS. 2 lit. c) DGA. Für sie gelten die im DGA geregelten Pflichten nicht.
Datentreuhanddienste, die zwar den Datenaustausch ermöglichen, diese jedoch nur zwischen zwei Unternehmen innerhalb eines Konzerns oder einer sonst geschlossenen Gruppe durchführen, sind keine Datenvermittlungsdienste nach dem DGA, Art. 2 Nr. 11 HS. 2 lit. c) DGA. Denn solche Datentreuhänder bieten ihren Dienst nur einem begrenzten Personenkreis, nicht aber einer unbestimmten Zahl von Dateninhabern und betroffenen Personen einerseits und Datennutzern andererseits an.
Zudem sind von staatlichen Stellen angebotene Datentreuhandangebote keine Datenvermittlungsdienste, sofern sie nicht auf die Herstellung einer Geschäftsbeziehung zwischen betroffenen Personen und Dateninhabern einerseits und Datennutzern anderseits gerichtet sind, Art. 2 Nr. 11 HS. 2 lit. d) DGA.
3. Pflichten von Datenvermittlungsdiensten nach dem DGA
Die Pflichten für Anbieter von Datenvermittlungsdiensten nach Art. 11, 12 und 14 DGA (unter D.II.3.b) gelten für Datenvermittlungsdienste i.S.d. Art. 2 Nr. 11 DGA, die die in Art. 10 DGA genannten Voraussetzungen erfüllen (unter D.II.3.a):
a. Voraussetzungen von Datenvermittlungsdiensten nach Art. 10 DGA
Der DGA unterscheidet Datenvermittlungsdienste u.a. danach, ob ein Datenvermittlungsdienst zwischen Dateninhabern und potenziellen Datennutzern (Art. 10 lit. a) DGA) oder zwischen natürlichen oder betroffenen Personen und potenziellen Datennutzern (Art. 10 lit. b) DGA) besteht. Ebenfalls eigenständig kategorisiert werden Datenvermittlungsdienste, die Datengenossenschaften sind, Art. 10 lit. c und Art. 2 Nr. 15 DGA. Art. 10 DGA konkretisiert und kategorisiert insoweit den offeneren Begriff der Datenvermittlungsdienste nach Art. 2 Nr. 11 DGA. Nur für solche Datenvermittlungsdienste gelten die weiteren Verpflichtungen der Art. 11-14 DGA. Die zusätzliche Kategorisierung nach Art. 10 lit. a) und lit. c) DGA führt jedoch nicht zu einer relevanten Einschränkung des Anwendungsbereichs, vielmehr lassen sich alle unter Art. 2 Nr. 11 DGA erfassten Dienste in (mindestens) eine Kategorie nach Art. 10 DGA einordnen.56
Die obigen Ausführungen zur Zugangs- sowie Verwaltungs-Treuhand, die als Datenvermittlungsdienste einzuordnen sind, gelten damit weiterhin uneingeschränkt. Ergänzend können beide Modelle in einer der folgenden näher konkretisierten Datenvermittlungsdienste eingeordnet werden. Da dies im Einzelfall von der individuellen Gestaltung des Angebots durch den Datentreuhandanbieter abhängt, kann hier keine Subsumtion im Einzelnen erfolgen. Die folgenden Ausführungen dienen daher Orientierung an den rechtlichen Voraussetzungen des DGA.
1) Datenvermittlungsdienst zwischen Dateninhabern und potenziellen Datennutzern
Art. 10 lit. a) DGA umfasst zunächst Vermittlungsdienste zwischen Dateninhabern und potenziellen Datennutzern i.S.d. Art. 2 Nr. 11 DGA.57 Zum Begriff des Dateninhabers und Datennutzers wird auf die obigen Ausführungen verwiesen.58
a) Bereitstellung technischer oder sonstiger Mittel
Hierbei muss es nicht bereits zu einer Nutzung der Daten durch den Datennutzer gekommen sein, sondern die potenzielle Nutzung durch diesen ist ausreichend.59 Der Geltungsbereich schließt auch diejenigen Dienste ein, die die technischen oder sonstigen Mittel bereitstellen, die Voraussetzung des Datenvermittlungsdienstes sind. Damit sind Dienstanbieter gemeint, die nicht bloß die technischen und sonstigen Mittel zur Verfügung stellen, sondern eine Vorfeldtätigkeit ausüben, die objektiv auf die Förderung der Tätigkeit eines Datenvermittlungsdienstes abzielen, nämlich die potenzielle Herstellung der Geschäftsbeziehung zwischen Dateninhaber und Datennutzer.60
Der Begriff der technischen Mittel meint vor allem die Hard- und Software, die zur Ermöglichung der Geschäftsbeziehung zwischen Dateninhaber und Datennutzer benötigt werden und unmittelbar auf die Ermöglichung der Bereitstellung von Vermittlungsdiensten gerichtet sind. Ist die Tätigkeit der Bereitstellung der technischen Mittel nicht unmittelbar auf die Ermöglichung der Tätigkeit der Vermittlungsdienste gerichtet, ist diese Tätigkeit nicht vom Pflichtenkreis nach Art. 11 ff. DGA erfasst.61
Sonstige Mittel sind jedenfalls keine rechtlichen Mittel, allerdings im weiten Sinne jede organisatorische Vorkehrung, die unmittelbar auf die Ermöglichung der Herstellung der Geschäftsbeziehung durch einen Vermittlungsdienst gerichtet ist.62 Das bedeutet, dass die Bereitstellung dieser Mittel eine nicht hinwegzudenkende Bedingung für den Vermittlungsdienst als solchen sein muss, also im unmittelbaren Zusammenhang mit der Vermittlung stehen muss, damit die Pflichten auch für diesen Dienst gelten können.
b) Dienste, die den Austausch oder die gemeinsame Nutzung von Daten ermöglichen
Die Pflichten gelten insbesondere für Dienste, die darauf gerichtet sind, den Austausch von Daten zu ermöglichen. Das kann nach dem Wortlaut von Art. 10 lit. a) DGA ein einseitiger, zweiseitiger oder mehrseitiger Austausch sein. Der Begriff des Austauschs ist letztlich nur ein Unterfall des Begriffs der gemeinsamen Datennutzung. Zur Definition von Daten und des gemeinsamen Austauschs wird auf die obigen Ausführungen verwiesen.63
Auch gelten die Pflichten für die Errichtung von Plattformen oder Datenbanken, die die gemeinsame Datennutzung ermöglichen. Unter Heranziehung des bisherigen rechtlichen Verständnisses von Plattformen kann unter einer Plattform nach dem DGA ein Mittler verstanden werden, der unterschiedliche Gruppen, v.a. Dateninhaber und Datennutzer, zusammenbringt und zwischen ihnen geschäftliche Beziehungen zur gemeinsamen Datennutzung sowie den Datenaustausch vermittelt.64 Allerdings fällt die Tätigkeit der Plattformen, die unterschiedliche Dienste erbringen können, nur insoweit unter den Pflichtenkreis des DGA, wie sie unmittelbar die Erbringung eines Vermittlungsdienstes betrifft.65
Auch die Errichtung von Datenbanken, die den Austausch oder die gemeinsame Datennutzung ermöglichen, ist eine Tätigkeit, die den Pflichtenkatalog der Art. 11 ff. DGA erfüllen muss. Unter Datenbank ist hiernach die geordnete Sammlung von Daten zu verstehen, wobei auch hier die Errichtung unmittelbar auf die Erbringung eines Vermittlungsdienstes gerichtet muss.66
c) Einrichtung anderer spezieller Infrastrukturen zur Vernetzung von Dateninhabern mit Datennutzern
Ebenso ist die Einrichtung anderer spezieller Infrastrukturen zur Vernetzung von Dateninhabern mit Datennutzern von den Pflichten nach dem DGA betroffen, wobei hier ein Zusammenhang mit der Herstellung der Geschäftsbeziehung über die gemeinsame Datennutzung bestehen muss. Eine bloße Vernetzungsmöglichkeit reicht nicht aus. Auch sind andere Infrastrukturen, die keine Datenbanken oder Plattformen sind, erfasst, solange ein Zusammenhang mit der Herstellung einer Geschäftsbeziehung zwischen Dateninhabern und Datennutzern besteht.67 Hier ist das Gesetz hinsichtlich anderer technischer Möglichkeiten offen gestaltet.
2) Vermittlungsdienste zwischen betroffenen Personen und potenziellen Datennutzern
Die Pflichten nach Art. 11 ff. DGA gelten auch für Vermittlungsdienste zwischen potenziellen Datennutzern und betroffenen Personen, die die sie betreffenden personenbezogenen Daten zugänglich machen wollen, Art. 10 lit. b) DGA.68 Eine betroffene Person ist diejenige Person, auf die sich die Daten beziehen.69
Zugänglichmachen von personenbezogenen Daten bedeutet die Einräumung einer Zugangsmöglichkeit zu diesen. Auch die Bereitstellung der technischen und sonstigen Mittel, die Voraussetzung dieser Dienste sind, sind als Handlungen von Datenvermittlungsdiensten erfasst, sofern sie auf die Herstellung der Geschäftsbeziehung abzielen,70 und damit auch mit der Erfüllung der Pflichten aus Art. 11 ff. DGA adressiert.
3) Vermittlungsdienste zwischen natürlichen Personen und potenziellen Datennutzern
Erfasst sind nach Art. 10 lit. b) DGA auch Vermittlungsdienste zwischen natürlichen Personen, die nicht personenbezogene Daten zugänglich machen wollen, und potenziellen Datennutzern. Sie werden in diesem Zusammenhang als natürliche Personen und nicht als betroffene Personen bezeichnet, weil die in dem Zusammenhang potenziell zur Verfügung gestellten Daten keinen Personenbezug aufweisen. In der Praxis wird diese Voraussetzung insbesondere die Vermittlung zu Daten betreffen, die im Rahmen vom Internet der Dinge entstehen.71 Dabei ist die potenzielle Datennutzung ausreichend, d.h. zu einer tatsächlichen Datennutzung muss es nicht bereits gekommen sein.
b. Pflichten von Datenvermittlungsdiensten
Die im Folgenden dargestellten Pflichten gelten zum Teil für alle Kategorien von Datenvermittlungsdiensten, aber zum Teil gelten sie auch nur für bestimmte Kategorien von Datenvermittlungsdiensten oder nur für bestimmte Datenarten. Diese Besonderheiten werden im Folgenden dann jeweils innerhalb der einzelnen Pflichten aufgezeigt.
1) Anmeldeerfordernis, Art. 11 DGA
Erfüllt die Datentreuhand die oben geprüften Voraussetzungen des Datenvermittlungsdienstes, so gilt zunächst eine allgemeine Anmeldepflicht. Erforderlich ist allein die Anmeldung. Es handelt sich hierbei nicht um eine Genehmigung im rechtlichen Sinne, sondern um eine Anzeige des Datenvermittlungsdienstes (sog. Verbot mit Anmeldevorbehalt, Art. 11 Abs. 1, Abs. 5 DGA).72 Die Anmeldung bei der zuständigen Behörde muss die im Gesetz genannten Angaben enthalten, z.B. den Namen des Vermittlungsdienstes, die Rechtsform, die Anschrift der Hauptniederlassung etc., Art. 11 Abs. 1, Abs. 6 DGA. Die Einhaltung der Anforderungen des DGA wird dann ex post im Rahmen von etwaigen behördlichen Maßnahmen überprüft.73
2) Neutralitätspflichten: Enge Zweckbindung und Verbot vertikaler Integration
Der Anbieter eines Datenvermittlungsdienstes darf die Daten für keine anderen Zwecke verwenden, als sie den Datennutzern zur Verfügung zu stellen. Die Vorgaben hinsichtlich der Zurverfügungstellung der Daten gegenüber den Datennutzern richtet sich grundsätzlich nach dem Vertrag zwischen der betroffenen Person bzw. dem Dateninhaber und dem Datenvermittlungsdienst.74 Darüber hinaus bestehen keine weitergehenden Neutralitätspflichten des Anbieters des Datenvermittlungsdienstes, d.h. insbesondere ist es nicht erforderlich, dass er nur die Interessen einer Seite wahrnimmt, solange er die sonstigen Vorgaben beachtet.75 Aber auch sofern die Datentreuhand als Datenvermittlungsdienst einseitig die Interessen der betroffenen Personen oder Dateninhaber wahrnimmt, verletzt dies nicht die Neutralitätspflicht aus Art. 12 lit. a) DGA.76
Aufgrund der engen Zweckbindung ist den Anbietern von Datenvermittlungsdiensten grundsätzlich die Datenverarbeitung zu anderen Zwecken als der Zurverfügungstellung im Rahmen der Vermittlungstätigkeit untersagt.77 Jedoch kann nach den Erwägungsgründen des DGA die Nutzung der Daten zur Verbesserung der Dienste78 und die Anpassung der Daten zur Verbesserung ihrer Nutzbarkeit oder Interoperabilität unter Beachtung datenschutzrechtlicher Anforderungen grundsätzlich erfolgen.79 Weil die Erwägungsgründe nicht Teil des unmittelbaren Regelungsgehalts der Verordnung sind, sind dies aus rechtlicher Perspektive keine Ausnahmen von der engen Zweckbindung des Art. 12 lit. a DGA, sondern Verarbeitungsformen, in denen das Verarbeitungsverbot in teleologischer Auslegung nicht greift.80 Eingeschränkte Ausnahmen von der engen Zweckbindung sehen Art. 12 lit. d) und e) DGA vor (hierzu sogleich unter B. III. 2. 4) und 5)).
Erforderlich ist zudem eine gesonderte juristische Person, die die Datentreuhand betreibt (sog. Verbot vertikaler Integration), wobei die Etablierung eines Tochterunternehmens innerhalb eines Konzerns ausreichend ist, Art. 12 lit. a) DGA.81 Rechtlich ist nicht gänzlich klar, ob zusätzlich eine wirtschaftliche Unabhängigkeit erforderlich ist oder aber die strukturelle Ausgliederung ausreicht, um diese Vorgabe zu erfüllen. Die besseren Gründe, vor allem der Vergleich zum Diskriminierungsverbot des Art. 12 lit. b) DGA, der „verbundene Unternehmen“ ausdrücklich erfasst, spricht für letzteres.82
3) Diskriminierungsverbot
Art. 12 lit. b) DGA enthält ein Diskriminierungsverbot. Konkret dürfen die Nutzungsbedingungen und Kosten des Dienstes nicht davon abhängig gemacht werden, ob der Dateninhaber oder Datennutzer andere Dienste des Dienstanbieters oder eines Mutter- bzw. Tochterunternehmens nutzt, oder nicht.83 Hierdurch soll nach dem Zweck der Vorschrift verhindert werden, dass sich Datenvermittlungsdienste zu sog. Gatekeepern für den Zugang zu Daten entwickeln.84
4) Datenverarbeitungsverbot außerhalb der Neutralitätspflicht
Zudem ist es verboten, Daten über juristische oder natürliche Personen zu verarbeiten, die im Zusammenhang mit der Erbringung des Vermittlungsdienstes entstehen, z.B. das Datum, die Uhrzeit und Geolokalisierungsdaten, die Dauer der Tätigkeit sowie Verbindungen zu anderen natürlichen oder juristischen Personen, Art. 12 lit. c) DGA. Ausgenommen davon ist der Zweck der Entwicklung des Datenvermittlungsdienstes und die Verarbeitung zum Zwecke der Zugänglichmachung der Daten. Zu solchen zulässigen Zwecken gehören etwa die Bekämpfung von Cyberkriminalität oder Entwicklung von Funktionen, die den Nutzern unmittelbar zugutekommen. Zu diesen eng benannten Zwecken können die oben aufgezählten Daten dem Dateninhaber auf Anfrage zur Verfügung gestellt werden.
Rechtlich problematisch ist hierbei das Verhältnis zu den Vorgaben der DSGVO.85 Soweit Art. 12 lit. c) DGA die Zwecke der Ersterhebung und -verarbeitung (Primärzwecke) beschränkt, ist ein Nebeneinander der Bestimmung des DGA und der DSGVO ohne Konflikt möglich, sodass beide Vorgaben zur Anwendung kommen. Soweit Art. 12 lit. c) DGA jedoch zusätzlich ein Verbot der Zweckänderung in Bezug auf die genannten Daten zu anderen als den erfassten Zwecken normieren soll, fehlt es hierfür an einer Norm in der DSGVO, in der ein solches Verbot angeknüpft werden könnte. Es besteht insoweit ein Konfliktfall zwischen Art. 12 lit. c) DGA und Art. 6 Abs. 4 DSGVO, sodass nach Art. 1 Abs. 3 S. 3 DGA die DSGVO für personenbezogene Daten vorrangig Anwendung findet.86
5) Konvertierungsverbot
Die Daten müssen grundsätzlich in dem Format ausgetauscht werden, in dem sie zur Verfügung gestellt wurden, Art. 12 lit. d) DGA. Das heißt, der Anbieter eines Datenvermittlungsdienstes soll den Austausch der Daten in dem Format ermöglichen, in dem sie sie erhalten hat.
Gesetzliche Ausnahmen hiervon bestehen, wenn
· die Verbesserung der Interoperabilität innerhalb oder zwischen den Sektoren dient,
· die Konvertierung auf Verlangen des Datennutzers erfolgt,
· das Unionsrecht die Konvertierung vorschreibt, z.B. durch eine Vorschrift zur Konvertierung aus dem Data-Act-E, oder
· die Konvertierung der Harmonisierung mit europäischen Datenstandards dient.
Wenn die Konvertierung nicht gesetzlich vorgesehen ist, dann muss der Datenvermittlungsdiensteanbieter betroffenen Personen und Dateninhabern die Möglichkeit bieten, die Konvertierung ablehnen zu können („Opt-Out-Option“).87 Die Gestaltungsvorgaben können sich hier aus den Anforderungen der DSGVO ergeben, insbesondere aus dem Privacy-by-Design-Grundsatz aus Art. 25 DSGVO.
6) Angebot von Zusatzinstrumenten und Zusatzdiensten
Datenvermittlungsdiensten ist es gestattet, unter Einhaltung der gesetzlichen Vorgaben, zusätzliche Dienste und Instrumente anzubieten, Art. 12 lit. e) DGA. Zu solchen Diensten, die über die Herstellung der Geschäftsbeziehung hinausgehen, können datenbezogene Dienstleistungen, wie die vorübergehende Speicherung, die Pflege, Anonymisierung oder Pseudonymisierung und die Konvertierung der Daten gehören.88 Allerdings ist dies nur zulässig, wenn eine ausdrückliche Anfrage oder Zustimmung der betroffenen Person oder des Dateninhabers besteht.
Dabei können auch Dienste Dritter als Zusatzinstrument oder Zusatzdienst angeboten werden, sofern die gesetzlichen Vorgaben eingehalten werden. Diese Regelung ist insbesondere dann relevant, wenn die Zugangs- oder Verwaltungs-Treuhand neben der Datenvermittlung im Einzelnen noch weitere spezifische Funktionen anbietet, z.B. die Analyse oder die Anonymisierung. Die Regelung stellt klar, dass diese Zusatzfunktionen unter Einhaltung der genannten Voraussetzungen zulässig sind. Sie können der Erleichterung des Datenaustauschs dienen, müssen es aber nicht.89
7) Pflicht zur Schaffung von fairen Zugangsbedingungen
Der Anbieter des Datenvermittlungsdienstes muss sicherstellen, dass der Zugang zu seinem Dienst für die betroffene Person, den Dateninhaber und Datennutzer fair, transparent und diskriminierungsfrei ist, Art. 12 lit. f) DGA. Im Vordergrund steht hier der Zweck, kleinere und mittlere Unternehmen (KMU) nicht aufgrund ihrer Größe und anderer Faktoren hinsichtlich des Zuganges zu Daten zu beschränken.90
Hierbei ist zu beachten, dass die Fairness sich insbesondere auf die Geschäftsbedingungen und Preiskonditionen bezieht und dabei eine etwaige Anpassung an die Größe und finanzielle Leistungsfähigkeit von KMU erfolgen darf.91 Bei der Transparenzpflicht geht es im Wesentlichen um eine allgemeine Beschreibung des Zugangs zum Dienst als solchen und des Ablaufes der Datenvermittlung.
8) Schutzmaßnahmen gegen täuschendes und missbräuchliches Verhalten
Des Weiteren muss der Anbieter des Datenvermittlungsdienstes Maßnahmen ergreifen, um täuschendes oder missbräuchliches Verhalten in Bezug auf die Daten zu verhindern, Art. 12 lit. g) DGA. Die Norm adressiert den Schutz von personenbezogenen und nicht personenbezogenen Daten. Diese Regelung spiegelt zum Teil die Pflichten nach DSGVO hinsichtlich der Gewährleistung des Datensicherheitsniveaus, sofern es um personenbezogene Daten geht, Art. 32 DSGVO. Diese Pflichten gelten bei der Vermittlung personenbezogener Daten neben den verpflichtenden Maßnahmen aus der DSGVO, wobei hier aufgrund der umfassenden Schutzmaßnahmen nach der DSGVO viele Maßnahmen bereits ohnehin nach der DSGVO zu treffen sind, z.B. Vorkehrungen über die Datensicherheit nach Art. 32 DSGVO. Die Regelung zahlt vor allem auf den Schutz nicht personenbezogener Daten ein, deren Schutz durch diese Verpflichtung gehoben wird.
9) Absicherung bei Insolvenz im Fall der Speicherung von Daten
Datenvermittlungsdiensteanbieter haben Vorkehrungen zu treffen, die im Falle einer Insolvenz die angemessene Weiterführung des Dienstes gewährleisten, Art. 12 lit. h) DGA. Dann sind Mechanismen einzurichten, die auch im Falle der Insolvenz den Zugang des Dateninhabers und Datennutzers weiterhin gewährleisten. Diese Pflicht gilt gegenüber Dateninhabern und Datennutzern allerdings nur, wenn die Daten beim Datenvermittlungsdiensteanbieter gespeichert sind.92 Nach dem Wortlaut und Sinn und Zweck der Vorschrift dürfte die Norm jedoch eine dauerhafte Speicherung meinen,93 da bei einer Zwischenspeicherung die Gefahr eines dauerhaften Datenverlustes bei dem Dateninhaber, Datennutzer oder der betroffenen Person durchaus geringer sein dürfte. Eine Sicherung des Zugangs zu Daten, die kraft Natur der Zwischenspeicherung nur flüchtig oder kurzweilig besteht, kann wohl nicht gemeint sein. Die Vorschrift will mit Blick auf den Wert der Daten vielmehr die Fälle erfassen, in denen Dateninhaber und betroffene Personen oder Datennutzer Daten dem Datenvermittlungsdienst für eine gewisse übermittelt haben oder diese durch den Vermittler bereithalten lassen, da dann eine höhere Schutzbedürftigkeit der Parteien besteht. In Fällen der Übermittlung und Speicherung der Daten beim Anbieter, nicht dagegen beim bloßen Auslesen oder Abfragen oder sofortigen Übermittlung an Datennutzer, besteht nämlich eine höhere Wahrscheinlichkeit, dass die Dateninhaber und betroffenen Personen die Daten nicht mehr bei sich vorliegen haben.
Hiernach müssen auch eine Datenübertragung und ein Datenabruf weiterhin möglich sein. Zudem muss der Anbieter Maßnahmen einrichten, die im Falle der Insolvenz die Ausübung der Rechte betroffener Personen aus der DSGVO sowie aus dem Vertrag mit dem Anbieter des Datenvermittlungsdienstes weiterhin ermöglichen.94 Anforderungen an die technische, rechtliche oder organisatorische Gestaltung dieser Mechanismen stellt der DGA nicht. Insoweit hat der Anbieter hier einen eigenen Entscheidungsspielraum.95
Für die Zugangs- und Verwaltungstreuhand gilt die Vorschrift damit nur, sofern eine Speicherung der Daten in der Treuhand stattfindet (zentraler Ansatz im Grundlagen-Layer). Sie gilt aber nicht, wenn die Daten durch den Datentreuhänder bei den Treugebern nur ausgelesen und abgefragt werden, um anschließend eine Vermittlung an den Datennehmer einzuleiten (dezentraler Ansatz im Grundlagen-Layer).96
10) Interoperabilität mit anderen Datenvermittlungsdiensten
Des Weiteren müssen Datenvermittlungsdienste geeignete Maßnahmen treffen, die die Interoperabilität innerhalb eines Sektors sicherstellen, Art. 12 lit. i) DGA. Das kann beispielsweise das Befolgen existenter und üblicherweise in bestimmten Sektoren genutzter offener Datenstandards sein.97 Bei der Entwicklung eines sektorübergreifenden Frameworks für die Datentreuhand ist es daher wichtig zu wissen, welche möglichen Datenstandards in den jeweiligen Sektoren verwendet werden, damit es in den jeweiligen Sektoren ohne technische Hindernisse verwendet werden kann.98
11) Maßnahmen für Datensicherheit nicht personenbezogener Daten
Der Anbieter des Datenvermittlungsdienstes muss angemessene technische, rechtliche und organisatorische Maßnahmen ergreifen, um die Übertragung nicht personenbezogener Daten oder den Zugang zu diesen Daten zu verhindern, die nach Maßgabe des Unionsrechts oder des nationalen Rechts des jeweiligen Mitgliedstaats rechtswidrig sind, Art. 12 lit. j) DGA. Die Datenübertragung bedeutet hier die Übermittlung von Daten aus einem Speicher- und Verarbeitungssystem dergestalt, dass die technisch-faktische Herrschaft über diese erlangt wird und sie außerhalb des Systems genutzt werden können. Als solche Maßnahmen kommen etwa die Verschlüsselung und insbesondere Unternehmensvorgaben im Umgang mit den nicht personenbezogenen Daten in Betracht. Zu den Vorgaben des Unionsrechts, die hier einzuhalten sind, gehören vor allem die Einhaltung wettbewerbsrechtlicher Regelungen in Bezug auf beispielsweise Informationen über Kunden, künftige Preise oder Umsätze.99
12) Informationspflicht gegenüber Dateninhaber bei nicht personenbezogenen Daten
Der Anbieter des Datenvermittlungsdienstes muss den Dateninhaber im Falle einer unbefugten Übertragung, eines unberechtigten Zugriffs oder Nutzung von nicht personenbezogenen Daten unverzüglich informieren, Art. 12 lit. k) DGA. Diese Pflicht zahlt vor allem auf den Schutz von unternehmensbezogenen Daten ein, deren Gegenstand der Schutz von Geschäftsgeheimnissen oder geistigem Eigentum sein kann.
13) Angemessenes Sicherheitsniveau bei nicht personenbezogenen Daten
Der Anbieter des Datenvermittlungsdienstes muss notwendige Maßnahmen treffen, um ein angemessenes Sicherheitsniveau bei der Speicherung, Verarbeitung und Übermittlung von nicht personenbezogenen Daten zu gewährleisten, Art. 12 lit. l) DGA. Die „Speicherung“ bedeutet hier die Fixierung von Daten in einem geeigneten Medium für eine gewisse Dauer. „Übermittlung“ meint im Kontext des DGA die Bekanntgabe gespeicherter Daten an Dritte.100 Die Angemessenheit der Maßnahmen richtet sich nach den finanziellen und organisatorischen Möglichkeiten des Unternehmens und der drohenden Gefahr durch den Datenzugriff durch Dritte.101 Die Notwendigkeit der Maßnahmen richtet sich insbesondere nach der Art und Schutzbedürftigkeit der Daten, den Risiken eines unbefugten Zugriffs sowie potenziell möglichen materiellen und immateriellen Schäden eines solchen unberechtigten Zugriffs für Dateninhaber und Datennutzer.
Zugleich muss er das höchste Schutzniveau einhalten, wenn es um die Speicherung und Übermittlung wettbewerblich relevanter Daten geht. Der Begriff des „höchsten Sicherheitsniveaus“ setzt weitergehende finanzielle und organisatorische Maßnahmen voraus.102 In Betracht kommt etwa der BSI-Grundsatz nach ISO 24001.
14) Informations- und Beratungspflichten gegenüber betroffener Person
Datenvermittlungsdienste, die ihre Dienste betroffenen Personen anbieten, haben im besten Interesse der betroffenen Person zu handeln, wenn es um die Erleichterung der Rechtsausübung der betroffenen Person103 geht, Art. 12 lit. m) DGA.
Davon umfasst ist die Informationspflicht des Anbieters des Vermittlungsdienstes über die beabsichtigte Nutzung der Daten durch Datennutzer.104 Soweit erforderlich muss er auch die betroffene Person beraten. Diese Informations- und Beratungspflichten muss der Anbieter in prägnanter, transparenter, verständlicher und leicht zugänglicher Weise erfüllen. Diese Pflichten und die Pflicht, die üblichen Geschäftsbedingungen für die Nutzung der Daten zur Verfügung zu stellen, müssen bereits vor dem Zeitpunkt der Einwilligungserteilung durch die betroffene Person erfüllt werden. An dieser Stelle werden die Informationspflichten nach Art. 13 DSGVO um weitere konkrete Pflichten ausgeweitet, indem Beratungspflichten und die Zurverfügungstellung der Geschäftsbedingungen hinzutreten.
15) Schutzwerkzeuge bei Einwilligungs- und Erlaubnisverwaltung
Datenvermittlungsdienste, die Werkzeuge zur Verfügung stellen, die die Einwilligung der betroffenen Person oder die Erlaubnis des Dateninhabers einholen, müssen zum einen das Drittland angeben, soweit eine Nutzung in einem solchen stattfindet, Art. 12 Abs. 1 lit. n) DGA. Zum anderen muss der Anbieter auch Werkzeuge zur Verfügung stellen, die den Widerruf der Einwilligung und der Erlaubnis ermöglichen. Damit adressiert sind insbesondere PIMS, die als besondere Form der Zugangs-Treuhand auch die Verwaltung der Einwilligung der betroffenen Person zum Gegenstand haben.
16) Protokollführungspflicht
Der Anbieter des Datenvermittlungsdienstes muss ein Protokoll über seine Datenvermittlungstätigkeit führen, Art. 12 lit. o) DGA. Nähere Vorgaben an das Protokoll macht das Gesetz nicht, allerdings ist im Zweifel eine umfangreichere Protokollführung in Textform anzuraten, da ihr vor allem eine Beweisfunktion zukommt.105 Die Speicherdauer der Protokolldaten richtet sich bei personenbezogenen Daten nach der DSGVO, da ansonsten der Grundsatz der Speicherbegrenzung aus Art. 5 Abs. 1 lit. e) DSGVO umgangen würde, und ist nach den Umständen des Einzelfalls zu bestimmen.106
c. Aufsicht, Sanktionierung und private Rechtsdurchsetzung
Die Einhaltung der Pflichten der Datenvermittlungsdienste überwachen die Behörden der Mitgliedsstaaten, Art. 14 Abs. 1 DGA. Hierzu sind die Behörden befugt, alle Informationen von den Datenvermittlungsdiensten anzufordern, die sie in die Lage versetzen, ihre Aufsicht durchzuführen. Stellt die Behörde Verletzungen von Pflichten fest, ist sie befugt, die Beendigung der Pflichtverletzung zu verlangen und angemessene und verhältnismäßige Maßnahmen zur Herstellung der Rechtkonformität des Dienstes nach dem DGA zu ergreifen, Art. 14 Abs. 3 und Abs. 4 DGA. Zu solchen Maßnahmen gehören u.a. Geldstrafen und Zwangsgelder oder die Anordnung der Einstellung des Datenvermittlungsdienstes.
Art. 34 DGA sieht zudem vor, dass die Mitgliedstaaten einen Sanktionsrahmen für die Verletzung von Mitteilungsverpflichtungen nach Art. 11 DGA oder die Anforderungen an die Erbringung von Datenvermittlungsdiensten nach Art. 12 DGA schaffen. Dieser Sanktionsrahmen muss „wirksam, verhältnismäßig und abschreckend“ sein, Art. 34 Abs. 1 S. 2 DGA, und unterschiedliche indikative Kriterien, wie etwa die Art, die Schwere und den Umfang des Verstoßes, berücksichtigen. In Deutschland steht die Umsetzung dieser Anforderungen durch ein DGA-Durchsetzungsgesetz noch aus.
Die private Rechtsdurchsetzung durch Dateninhaber, betroffene Personen, natürliche Personen und Datennutzer richtet sich primär nach den jeweiligen Verträgen. Hierzu macht der DGA keine Vorgaben, vielmehr richtet sich die Haftung und private Rechtsdurchsetzung nach dem deutschen Zivilrecht.107 Zu beachten ist, dass die in Art. 12 lit. a) und lit. b) DGA aufgeführten Vorgaben als Verbotsgesetze im Sinne des § 134 BGB einzustufen sind, sodass eine Verletzung dieser Pflichten zur Nichtigkeit der einschlägigen Klauseln bzw. des Vertrages führen kann. Im Übrigen werden in der Praxis den Verträgen regelmäßig AGB zugrunde liegen, deren Wirksamkeit sich nach den §§ 307 ff. BGB richtet.108
Wettbewerber und Dritte können grundsätzlich bei der Verletzung bestimmter Pflichten aus Art. 12 DGA, z.B. lit. a), c) oder d), die grundsätzlich als Marktverhaltensregeln nach § 3a UWG einzustufen sind, Beseitigungs-, Unterlassungs- und Schadensersatzansprüche geltend machen, § 8 ff. UWG.109 Hier ist jedoch die sich mit der Zeit ergebende einschlägige Rechtsprechung abzuwarten. In diesem Zusammenhang kommen auch Unterlassungs- und Beseitigungsklagen von anspruchsberechtigten Stellen nach § 2 Abs. 1 UKlaG in Betracht, sofern verbraucherschützende Regelungen, wie Art. 12 lit. b), lit. m) und lit. n) DGA verletzt werden.
Fußnoten
-
ErwGr. 3 S. 2 DGA; ErwGr. 5 S. 1 DGA. ↩
-
ErwGr. 3 S. 1 DGA: „Es ist notwendig, die Bedingungen für die gemeinsame Datennutzung im Binnenmarkt zu verbessern und dazu einen harmonisierten Rahmen für den Datenaustausch zu schaffen sowie bestimmte grundlegende Anforderungen an die Daten-Governance festzulegen, wobei der Erleichterung der Kooperation besondere Aufmerksamkeit zu widmen ist.“, ErwGr. 5 S. 1, 3 DGA: „Es muss auf Unionsebene gehandelt werden, um das Vertrauen in die gemeinsame Datennutzung zu stärken, indem geeignete Mechanismen geschaffen werden, die es den betroffenen Personen und Dateninhabern ermöglichen, Kontrolle über die sie betreffenden Daten auszuüben, und sonstige Hemmnisse für eine gut funktionierende und wettbewerbsfähige datengesteuerte Wirtschaft abzubauen. […] Ein unionsweiter Governance-Rahmen sollte zum Ziel haben, das Vertrauen unter Einzelpersonen und Unternehmen in Bezug auf den Zugang zu Daten, deren Kontrolle, gemeinsame Nutzung, Verwendung und Weiterverwendung zu stärken, und zwar insbesondere durch die Schaffung geeigneter Mechanismen, die es den betroffenen Personen ermöglichen, ihre Rechte zu kennen und effektiv wahrzunehmen, sowie mit Blick auf die Weiterverwendung bestimmter Arten von Daten, die im Besitz des öffentlichen Sektors sind, auf die Erbringung von Diensten durch Anbieter von Datenvermittlungsdiensten für betroffene Personen, Dateninhaber und Datennutzer sowie auf die Erhebung und Verarbeitung von Daten, die von natürlichen und juristischen Personen für altruistische Zwecke zur Verfügung gestellt werden.“; S. hierzu: Richter, ZEuP 2021, 634, 643; Hennemann/v. Ditfurth, NJW 2022, 1905, 1907. ↩
-
Vgl. ErwGr. 5 S. 3 DGA. ↩
-
Daneben regelt der DGA nach Art. 1 DGA auch: „(…) a) Bedingungen für die Weiterverwendung von Daten bestimmter Datenkategorien, die im Besitz öffentlicher Stellen sind, innerhalb der Union; (…) c) ein Rahmen für die freiwillige Eintragung von Einrichtungen, die für altruistische Zwecke zur Verfügung gestellte Daten erheben und verarbeiten und d) ein Rahmen für die Einsetzung eines Europäischen Dateninnovationsrats.“ ↩
-
ErwGr. 5 S. 1, 3 DGA; ErwGr. 32 Abs. 1 S. 2 DGA. ↩
-
ErwGr. 5 S. 1, 3 DGA; ErwGr. 32 Abs. 1 S. 1, 3 DGA; ErwGr. 33 S. 1-3 DGA. ↩
-
S. dazu umfassend: „Datenschutzrechtliche Anforderungen an die Datentreuhand“ unter C. ↩
-
Specht-Riemenschneider, in: Specht/Hennemann, DGA, 2023, Art. 2 Rn. 51. ↩
-
Specht-Riemenschneider, in: Specht/Hennemann, DGA, 2023, Art. 2 Rn. 51. ↩
-
Vgl. ErwGr. 28 S. 1 DGA wiederholt i.E. nur Teile der Definition des Art. 2 Nr. 11 DGA. ↩
-
Vgl. auch unter Heranziehung des Art. 2 Nr. 11 lit. c) DGA, der geschlossene Gruppen ausschließt; vgl. auch: Hennemann/v. Ditfurth, NJW 2022, 1905, 1908 Rn. 15. ↩
-
Specht-Riemenschneider, in: Specht/Hennemann, DGA, 2023, Art. 2 Rn. 51. ↩
-
Vgl. Baloup et al., CiTiP Working Paper Series, White Paper on the Data Governance Act, v. 23.06.2021, S. 11 ff.; Specht-Riemenschneider, in: Specht/Hennemann, DGA, 2023, Art. 2 Rn. 53, 57. ↩
-
Specht-Riemenschneider, in: Specht/Hennemann, DGA, 2023, Art. 2 Rn. 53. ↩
-
Entwürfe der genannten Gesetze zum Zeitpunkt des 20.07.2023. ↩
-
S. Dokument „Datenschutzrechtliche Anforderungen an die Datentreuhand“ unter C. ↩
-
S. Dokument „Datenschutzrechtliche Anforderungen an die Datentreuhand“ unter C. ↩
-
Specht-Riemenschneider, in: Specht/Hennemann, DGA, 2023, Art. 2 Rn. 51. ↩
-
S. „Datenschutzrechtliche Anforderungen an die Datentreuhand“ unter C. ↩
-
Vgl. Wortlaut Art. 2 Nr. 13 DGA. ↩
-
Schreiber/Pommerening/Schoel, Der neue DGA, 2023, § 3 Rn. 22; Richter, ZEuP 2021, 634, 650; a.A.: Specht-Riemenschneider, in: Specht/Hennemann, DGA, 2023, Art. 2 Rn. 73, Art. 10 Rn. 21. ↩
-
S. bereits D.II.2.a.1). ↩
-
S. eingehend zum entgegenstehenden Wortlaut und Übersetzungsfehler: Specht-Riemenschneider, in: Specht/Hennemann, DGA, 2023, Art. 2 Rn. 58. ↩
-
S. D.II.2.a.1). ↩
-
Siehe „Datenschutzrechtliche Anforderungen an die Datentreuhand“ unter C. ↩
-
Vgl. Baloup et al., CiTiP Working Paper Series, White Paper on the Data Governance Act, v. 23.06.2021, S. 11 ff.; Specht-Riemenschneider, in: Specht/Hennemann, DGA, 2023, Art. 2 Rn. 53, 57. ↩
-
S. ErwGr. 29 S. 1 DGA: „Diese Verordnung sollte für Dienste gelten, deren Ziel darin besteht, […] geschäftliche Beziehungen zur gemeinsamen Datennutzung […] herzustellen.“ Vgl. zum weiten Wortlaut und dem Verständnis: Hennemann/v. Ditfurth, NJW 2022, 1905, 1908 Rn. 14; Specht-Riemenschneider, in: Specht/Hennemann, DGA, 2023, Art. 2 Rn. 66. ↩
-
Art. 2 Nr. 11 DGA: „(…) dem durch technische, rechtliche oder sonstige Mittel Geschäftsbeziehungen zwischen einer unbestimmten Anzahl von betroffenen Personen oder Dateninhabern einerseits und Datennutzern andererseits hergestellt (…)“. ↩
-
Vgl. insoweit ErwGr. 28 S. 4 DGA; Hennemann/v. Ditfurth, NJW 2022, 1905, 1908 Rn. 14. ↩
-
Näher: Specht-Riemenschneider, in: Specht/Hennemann, DGA, 2023, Art. 2 Rn. 69. ↩
-
Specht-Riemenschneider, in: Specht/Hennemann, DGA, 2023, Art. 2 Rn. 69. ↩
-
Hennemann/v. Ditfurth, NJW 2022, 1905, 1908 Rn. 16. ↩
-
ErwGr. 29 S. 4 DGA; Specht-Riemenschneider, in: Specht/Hennemann, DGA, 2023, Art. 2 Rn. 68. ↩
-
Hennemann/v. Ditfurth, NJW 2022, 1905, 1908 Rn. 14. ↩
-
Siehe „Datenschutzrechtliche Anforderungen an die Datentreuhand“ unter C. ↩
-
Specht-Riemenschneider, in: Specht/Hennemann, DGA, 2023, Art. 2 Rn. 39. ↩
-
Specht-Riemenschneider, in: Specht/Hennemann, DGA, 2023, Art. 2 Rn. 60. ↩
-
Specht-Riemenschneider, in: Specht/Hennemann, DGA, 2023, Art. 2 Rn. 61. ↩
-
Specht-Riemenschneider, in: Specht/Hennemann, DGA, 2023, Art. 2 Rn. 63. ↩
-
Zusätzliche Dienste sind nach dem Wortlaut des Art. 12 lit. e) DGA „[…] z. B. vorübergehende Speicherung, Pflege, Konvertierung, Anonymisierung und Pseudonymisierung […]“. ↩
-
Vgl. ErwGr. 28 S. 3 DGA; siehe auch: Hennemann/v. Ditfurth, NJW 2022, 1905, 1908 Rn. 16. ↩
-
ErwGr. 28 S. 3 DGA. ↩
-
So auch: Schütrumpf, RDi 2023, 376, 376, Rn. 10. ↩
-
Vgl. auch: Schütrumpf, RDi 2023, 376, 376, Rn. 10. ↩
-
Hennemann/v. Ditfurth, NJW 2022, 1905, 1908 Rn. 14. ↩
-
Siehe bereits D.II.2.a.4). ↩
-
Specht-Riemenschneider, in: Specht/Hennemann, DGA, 2023, Art. 2 Rn. 73; wobei hier bereits der Begriff der „unbestimmten Zahl“ der positiv formulierten Voraussetzungen fehlen dürfte und die Vorschrift eher klarstellende Funktion hat. ↩
-
Siehe bereits D.II.2.a.2). ↩
-
ErwGr. 29 S. 3 DGA; allgemein zu Open Data-Grundsätzen: Specht-Riemenschneider, in: Specht/Hennemann, DGA, 2023, Art. 3 Rn. 12 ff. ↩
-
Siehe bereits D.II.2.a.3). ↩
-
ErwGr. 27 S. 2 DGA: „Sie [Datenvermittlungsdienste] könnten zu Akteuren werden, die den Austausch erheblicher Mengen einschlägiger Daten erleichtern. Anbieter von Datenvermittlungsdiensten, bei denen es sich auch um öffentliche Stellen handeln kann und die Dienste anbieten, die die verschiedenen Akteure miteinander verbinden, können zur effizienten Bündelung von Daten sowie zur Erleichterung des bilateralen Datenaustauschs beitragen.”. ↩
-
Die Schlussformel lautet: „Diese Verordnung ist in allen ihren Teilen verbindlich und gilt unmittelbar in jedem Mitgliedstaat. Geschehen zu Brüssel am 30. Mai 2022.“. ↩
-
Calliess/Ruffert/Ruffert, 6. Aufl. 2022, AEUV Art. 288 Rn. 21 f.; Schwarze/Becker/Hatje/Schoo, EU-Kommentar, AEUV Art. 288 Rn. 19 ff. ↩
-
Specht-Riemenschneider, in: Specht/Hennemann, DGA, 2023, Art. 11 Rn. 32; Hennemann/v. Ditfurth, NJW 2022, 1905, 1907; v. Ditfurth/Lienemann, CRNI 2022, 270, 281. ↩
-
Hierzu: Specht-Riemenschneider, in: Specht/Hennemann, DGA, 2023, Art. 11 Rn. 30 f. ↩
-
Schreiber/Pommerening/Schoel, Der neue DGA, 2023, § 3 Rn. 39. ↩
-
Siehe bereits D.II.2.a. ↩
-
Siehe D.II.2.a.1) sowie D.II.2.a.2). ↩
-
Specht-Riemenschneider, in: Specht/Hennemann, DGA, 2023, Art. 10 Rn. 20. ↩
-
Dahingehend auch: Marx, ZD 2023, 430, 432. ↩
-
Vgl. ErwGr. 28 S. 2, 3 DGA; siehe auch bereits unter D.II.2.a.5). ↩
-
Specht-Riemenschneider, in: Specht/Hennemann, DGA, 2023, Art. 10 Rn. 22. ↩
-
Siehe D.II.2.a.4). ↩
-
Specht-Riemenschneider, in: Specht/Hennemann, DGA, 2023, Art. 10 Rn. 26. ↩
-
Vgl. ErwGr. 28 S. 2 DGA. ↩
-
Specht-Riemenschneider, in: Specht/Hennemann, DGA, 2023, Art. 10 Rn. 20. ↩
-
Specht-Riemenschneider, in: Specht/Hennemann, DGA, 2023, Art. 10 Rn. 31. ↩
-
Siehe bereits D.II.2.a.2) zum Begriff des Datennutzers. ↩
-
Siehe dazu unter C.I.1.a.1). ↩
-
Siehe dazu D.II.2.a.3). ↩
-
Specht-Riemenschneider, in: Specht/Hennemann, DGA, 2023, Art. 10 Rn. 38. ↩
-
Specht-Riemenschneider, in: Specht/Hennemann, DGA, 2023, Art. 11 Rn. 17. ↩
-
Vgl. näher: Schütrumpf, RDi 2023, 376, 377 Rn. 17. ↩
-
Vgl. Specht-Riemenschneider, in: Specht/Hennemann, DGA, 2023, Art. 12 Rn. 33. ↩
-
Specht-Riemenschneider, in: Specht/Hennemann, DGA, 2023, Art. 12 Rn. 37. ↩
-
Specht-Riemenschneider, in: Specht/Hennemann, DGA, 2023, Art. 12 Rn. 37. ↩
-
Vgl. dazu: Marx, ZD 2023, 430, 432. ↩
-
Vgl. ErwGr. 33 S. 7 DGA. ↩
-
ErwGr. 32 S. 8, 33 S. 8 DGA. ↩
-
Specht-Riemenschneider, in: Specht/Hennemann, DGA, 2023, Art. 12 Rn. 34. ↩
-
Specht-Riemenschneider, in: Specht/Hennemann, DGA, 2023, Art. 12 Rn. 36; v. Ditfurth/Lienemann, CRNI 2022, 270, 284. ↩
-
Specht-Riemenschneider, in: Specht/Hennemann, DGA, 2023, Art. 12 Rn. 36; v. Ditfurth/Lienemann CRNI 2022, 270, 284; so auch: Schütrumpf, RDi 2023, 376, 376 Rn. 17. ↩
-
Hennemann/v. Ditfurth, NJW 2022, 1905, 1909 Rn. 21. ↩
-
Specht-Riemenschneider, in: Specht/Hennemann, DGA, 2023, Art. 12 Rn. 38. ↩
-
Vgl. Specht-Riemenschneider, in: Specht/Hennemann, DGA, 2023, Art. 12 Rn. 28, 47. ↩
-
Specht-Riemenschneider, in: Specht/Hennemann, DGA, 2023, Art. 12 Rn. 28; ebenso: Specht-Riemenschneider, ZEuP 2023, 638, 651 f. ↩
-
Specht-Riemenschneider, in: Specht/Hennemann, DGA, 2023, Art. 12 Rn. 53; Schreiber/Pommerening/Schoel, Der neue DGA, 2023, § 3 Rn. 98; Marx, ZD 2023, 430, 433. ↩
-
Specht-Riemenschneider, in: Specht/Hennemann, DGA, 2023, Art. 12 Rn. 55 ff. ↩
-
Vgl. Wortlaut Art. 12 lit. e) DGA mit einer nicht-abschließenden Aufzählung „insbesondere um den Datenaustausch zu erleichtern“. ↩
-
Specht-Riemenschneider, in: Specht/Hennemann, DGA, 2023, Art. 12 Rn. 65. ↩
-
Hennemann/v. Ditfurth, NJW 2022, 1905, 1909 Rn. 24. ↩
-
Vgl. Wortlaut Art. 12 lit. h) DGA „und richtet, sofern dieser Datenvermittlungsdienst die Speicherung von Daten sicherstellt, Mechanismen ein“. ↩
-
A.A.: Marx, ZD 2023, 430, 432. Nach Marx soll auch die Zwischenspeicherung erfasst sein. ↩
-
Specht-Riemenschneider, in: Specht/Hennemann, DGA, 2023, Art. 12 Rn. 77. ↩
-
Specht-Riemenschneider, in: Specht/Hennemann, DGA, 2023, Art. 12 Rn. 73. ↩
-
A.A.: Marx, ZD 2023, 430, 432. ↩
-
ErwGr. 34 S. 2 DGA. ↩
-
Specht-Riemenschneider, in: Specht/Hennemann, DGA, 2023, Art. 12 Rn. 78. ↩
-
Specht-Riemenschneider, in: Specht/Hennemann, DGA, 2023, Art. 12 Rn. 79. ↩
-
Specht-Riemenschneider, in: Specht/Hennemann, DGA, 2023, Art. 12 Rn. 85. ↩
-
Specht-Riemenschneider, in: Specht/Hennemann, DGA, 2023, Art. 12 Rn. 86; Marx, ZD 2023, 430, 433. ↩
-
Kritisch zur Unbestimmtheit des Merkmals: Schreiber/Pommerening/Schoel, Der neue DGA, 2023, § 3 Rn. 114. ↩
-
Siehe zu den Rechten der betroffenen Person nach der DSGVO oben unter C.I.3.a. ↩
-
Der DGA geht wohl davon aus, dass Datennutzer faktisch die Datennutzung vorgeben und sieht daher insoweit eine Schutzbedürftigkeit der betroffenen Person, vgl. dahingehend: Marx, ZD 2023, 430, 435. ↩
-
Specht-Riemenschneider, in: Specht/Hennemann, DGA, 2023, Art. 12 Rn. 104. ↩
-
Specht-Riemenschneider, in: Specht/Hennemann, DGA, 2023, Art. 12 Rn. 104. ↩
-
Vgl. zur Haftung: ErwGr. 33 S. 11 DGA; s.a. Richter, ZEuP 2021, 634, 658. ↩
-
Specht-Riemenschneider, in: Specht/Hennemann, DGA, 2023, Art. 12 Rn. 110 f. ↩
-
Specht-Riemenschneider, in: Specht/Hennemann, DGA, 2023, Art. 12 Rn. 112 f. ↩