Datenaustausch in der Praxis – Gutes bewirken, wenn der rechtliche Rahmen stimmt

Out-Law News | 13 Dec 2021 | 1:34 pm | Lesedauer: 3 Min.

Personenbezogene Daten sind ein sensibles Gut. Wer mit wem welche Daten austauschen und diese auswerten darf, muss klar geregelt sein. Es wäre jedoch falsch, den Austausch von Daten generell einzuschränken. Eine sinnvolle und Rechtssicherheit stiftende Regulierung ist von Nöten.

Es gibt Straftaten, die bereits per Definition nicht vor Grenzen Halt machen und daher die internationale Zusammenarbeit zwingend erfordern. Dazu gehört auch der Menschenhandel. Den niederländischen Strafverfolgungsbehörden ist jüngst ein großer Schlag gegen Menschenschleuser gelungen, dies unter tatkräftiger Unterstützung von sogenannten Nicht-Regierungs-Organisationen (NGOs). Letztere hatten wertvolle Daten übermittelt, welche den Ermittlern die entscheidenden Hinweise lieferten. Der Durchbruch gelang, weil sich die Strafverfolgungsbehörden und NGOs mit zahlreichen weiteren Beteiligten zu einer Data Sharing Coalition zusammenschließen konnten. Zu den Partnern zählte unter anderem auch die Sozietät Pinsent Masons. Die Data Sharing Coalition ist eine internationale Initiative, in der unterschiedliche Organisationen zusammenarbeiten, um sektorübergreifend Daten auszutauschen und diese so auf neue Weise nutzbar zu machen.

Nienke Kingma

Associate

Es ist bahnbrechend zu sehen, dass wir durch eine angemessene Zusammenarbeit zwischen wichtigen Akteuren in diesem Bereich nun in der Lage sind, bestimmte soziale Probleme auf eine neue, aber sichere Art und Weise anzugehen.

Der Austausch von Daten in solch einer Partnerschaft muss allerdings in rechtlich nicht zu beanstandender Weise erfolgen. Anderenfalls droht am Ende ein Beweisverwertungsverbot. Die Koalition nutzte Multi-Party-Computation (MPC) – eine kryptographische Technologie – für datenschutzgerechten Datenaustausch. So war es den NGOs möglich, Informationen über den Menschenhandel vor allem in der Sexindustrie mit den Strafverfolgungsbehörden auszutauschen, ohne dass die Behörden jemals Zugang zu den Quelldaten hatten.

„Statt die Daten zu teilen, erlauben die Behörden einem transparenten Algorithmus, ihre Datenquellen nach bestimmten Einträgen abzufragen, die durch innovative Kryptographie geteilt werden. Dies mindert die Risiken, da so keine persönlichen Daten preisgegeben werden und die Rechte gewahrt bleiben. Es werden nur die Erkenntnisse weitergegeben, nicht die zugrunde liegenden Daten“, erläutert die Data Sharing Coalition ihr Vorgehen.

Rechtliche Compliance muss also von Anfang an berücksichtigt werden, um ein Projekt zum Erfolg zu führen. Hierzu bedarf es Strukturen, Verschlüsselung und einer klaren Zuordnung von abgeschichteten Zugriffsrechten. Rechtliche und technische Aspekte müssen verzahnt und passende Lösungen gestaltet werden.

Andre Walter

Der Einsatz der MPC-Technologie trug dazu bei, dass die Strafverfolgungsbehörden auf neue Opfer von sexueller Ausbeutung und Menschenhandel aufmerksam wurden.

Die gemeinsame Nutzung von Daten und die Datensouveränität werden in Zukunft noch weiter an Bedeutung gewinnen. Die Tatsache, dass der europäische Data Governance Act kurz vor seiner Fertigstellung steht, wird die Entwicklungen in dieser Hinsicht in den kommenden Jahren nur noch verstärken.

Der besagte Data Governance Act wurde letztes Jahr von der Europäischen Kommission vorgeschlagen und ist zentraler Bestandteil ihrer Daten- und Digitalstrategien, die unter anderem auf einen gemeinsamen Ordnungsrahmen abzielt. So sollen das Vertrauen in den Datenaustausch zwischen Organisationen gefördert und Anreize für die Entwicklung von EU-Datenräumen geschaffen werden. Der Aspekt einer adäquaten Sicherheit und Kontrollierbarkeit über in diesen Räumen zugänglichen Daten steht im Zentrum. Ein Kernaspekt ist dabei, dass der Zugang zu Daten über bestimmte Gatekeeper, sogenannte „Anbieter von Datenaustauschdiensten“, strukturiert wird. Diese Datenvermittler sollen zur Neutralität verpflichtet sein und strenge Anforderungen erfüllen, unter anderem dürfen sie die Daten nicht für ihre eigenen Interessen nutzen.

Damit der Data Governance Act in Kraft treten kann, müssen sich sowohl das Europäische Parlament als auch der Rat – das Gremium, in dem die Regierungen aller 27 EU-Mitgliedstaaten vertreten sind – auf den endgültigen Wortlaut des Textes einigen. Erst vor kurzem gaben der Rat und das Parlament bekannt, dass sie im Zuge des Trilogs eine vorläufige Einigung über den Text erzielt haben.

Neben einem neuen Rechtsrahmens für Datenmittler sieht die europäische Initiative auch größere Rechte für die Weiterverwendung von Daten vor, die sich im Besitz von öffentlichen Stellen befinden. Die Kommission wäre befugt, die internationale Übermittlung von nicht-personenbezogener Daten durch die Annahme von „Angemessenheitsbeschlüssen“ zu unterstützen, ähnlich wie im Rahmen der Datenschutz-Grundverordnung (DSGVO), und Modellklauseln zu entwickeln, um die Übermittlung von Daten des öffentlichen Sektors auch in Länder außerhalb des Europäischen Wirtschaftsraums zu unterstützen.

Der Data Governance Act fördert darüber hinaus die freiwillige gemeinsame Nutzung von Daten zum Wohle der Allgemeinheit, während im Rahmen des Gesetzes auch ein neuer Europäischer Dateninnovationsrat eingerichtet werden soll, um die Interoperabilität von Daten zu gewährleisten und bei der Entwicklung von europäischen Datenräumen zu beraten. Dies gilt auch für den Gesundheitsbereich, in dem traditioneller Weise Hindernisse für die gemeinsame Nutzung von Daten bestehen. Die Freigabe von Daten in diesem Gebiet wird jedoch als Möglichkeit angesehen, bestehende Arbeitsweisen effizienter zu gestalten, potenziell bahnbrechende Innovationen hervorzubringen und das Wirtschaftswachstum anzukurbeln.

Rauer Nils

Dr. Nils Rauer, MJI

Rechtsanwalt, Partner

Daten sind ein immer wichtiger werdendes Wirtschaftsgut. Es ist allerdings entscheidend, dass Rechtssicherheit darüber besteht, wie Daten verwendet werden dürfen, um potenzielle neue Geschäftsmodelle nicht zu untergraben.

Mit dem Data Governance Act will der europäische Gesetzgeber mehr Rechtssicherheit schaffen und Zugang zu Daten der öffentlichen Hand ermöglichen, an denen auch Dritte Rechte haben.

Der Act ist eine Erweiterung bestehender EU-Gesetze, welche die Nutzung von Daten betreffen, darunter die Richtlinie über offene Daten und die Weiterverwendung von Informationen des öffentlichen Sektors, die im Juli 2019 in Kraft getreten ist. Damals lag der Fokus auf Daten aus den Bereichen Umwelt, Geodaten, Unternehmen und Mobilität. Dieser Kreis wird nun erweitert. Der Data Governance Act schafft insbesondere einen Rahmen zur Förderung eines neuen Geschäftsmodells – das der Datenvermittlungsdienste. So soll eine sichere Umgebung entstehen, in der Unternehmen oder Einzelpersonen Daten austauschen können. Besagte Dienste müssen in einem Register eingetragen sein. Das Thema Transparenz wird dabei groß geschrieben.