Beratung der Europäischen Daten-Governance

Am 25. November hatte die EU-Kommission den Vorschlag eines Daten-Governance Gesetzes vorgelegt, COM(2020)767. Hierzu hat die Deutsche Sozialversicherung mit konkreten Änderungsvorschlägen Position bezogen.

Nun sind der Rat und das Europäische Parlament an der Reihe. Dabei hat das Parlament bereits in seiner Stellungnahme vom 25. März zur Europäischen Datenstrategie einen europäischen Daten-Governance Rahmen befürwortet und in diesem Zusammenhang auch Fragen der Daten-Governance angesprochen. Bemerkenswert ist vor allem der Grundsatz, dass sich der freie Datenaustausch (nur) auf nicht-personenbezogene Daten beschränken soll. Ähnliches gilt für die Entwicklung künstlicher Intelligenz: Diese soll mit nicht-personenbezogenen Datensätzen trainiert werden. Dabei hat das Parlament eine klare Vorstellung davon, wann persönliche Daten den geschützten Bereich verlassen: erst dann, wenn sie „sicher, effektiv und irreversibel“ anonymisiert wurden – im Wissen, dass dies angesichts des technischen Fortschritts nicht immer gelingen wird. Mehr Forschung sei nötig, um die Risiken einer Re-Identifizierung aufzudecken. 

In diesen Grundsatz bettet sich die Erwartung ein, dass Gesundheitsdaten nicht ohne volle und aufgeklärte Einwilligung weitergeleitet werden sollten; damit geht das Parlament über die Standards der europäischen Datenschutzgrundverordnung hinaus. Gleichzeitig unterstützt das Parlament die Position der EU-Kommission, dass die künftig zu schaffenden neun „gemeinsamen europäischen Datenräume“, einschließlich dem Raum für den öffentlichen Sektor, auch kommerziellen Markteilnehmern zugänglich gemacht werden sollen – aber wie schon erwähnt mit der Beschränkung auf nicht personenbezogene Daten. Insbesondere sollen im Rahmen von „Daten-Altruismus“ Dritten zur Verfügung gestellte Daten Zwecken des Allgemeinwohls zugutekommen, nicht aber rein kommerziellen Interessen. Dessen ungeachtet solle aber die Schaffung eines Rechtsrahmens und eine klare Definition von horizontalen und bereichsübergreifenden Räumen für personenbezogene Daten neben anderen Datenräumen in Erwägung gezogen werden.

Startschuss für die Beratungen im Europäischen Parlament speziell zum „Daten-Governance-Gesetz“ war am 25. März eine Expertenanhörung im federführenden ITRE-Ausschuss (Ausschuss für Industrie, Forschung und Energie) des Europäischen Parlaments. Hier wurde von Abgeordneten die Frage aufgeworfen, ob sich persönliche Daten tatsächlich unumkehrbar anonymisieren ließen. Die Antwort seitens „Findata“, der finnischen Genehmigungsbehörde für den Einsatz von Gesundheits- und Sozialdaten, war eindeutig: dies sei praktisch unmöglich. Die einzige Alternative sei die Verarbeitung solcher Daten in einer „sicheren Umgebung.“

In Finnland sei das kein Problem, da die Bürger traditionell darauf vertrauen, dass die Behörden „das Richtige“ tun. Unter anderem aus Finnland kam schließlich auch die Frage, ob tatsächlich alle Bürger bereit seien, ihre persönlichen Daten mit Dritten zu teilen, oder ob es zusätzlicher Instrumente und Anreize bedürfe. Berichterstatterin Niebler griff die Frage auf und stellte in den Raum, dass man der Bereitwilligkeit der Bürger, im Rahmen von „Daten-Altruismus“ ihre Daten zur Verfügung zu stellen, mehr Aufmerksamkeit schenken und durchaus auch Alternativen untersuchen müsse. Mit Interesse nahm sie von den Experten/innen weitgehend geteilte Auffassung zur Kenntnis, dass jüngere Menschen weniger Probleme hätten, ihre Daten zu teilen.

Am folgenden Tag veröffentlichte dann die EVP-Abgeordnete Angelika Niebler ihren Berichtsentwurf. Die Abgeordnete Niebler versteht ihren Bericht u.a. als einen Versuch, die Verordnung „KMU-freundlich“ zu gestalten, die Voraussetzungen für das Tätigwerden der Daten-Händler („Data-Intermediäre) zu erleichtern und ihr Tätigkeitsfeld zu erweitern, und „Exklusivvereinbarungen“ für die Nutzung öffentlicher Daten auf ein Jahr zu begrenzen.

In der späteren Diskussion des Niebler-Berichts im ITRE-Ausschuss am 13. April wurde vor allem von den „Linken“ nicht nur das Thema des „Allgemeininteresses“ angesprochen, sondern auch ein Ausschluss persönlicher Daten im Besitz öffentlicher Einrichtungen vom Anwendungsbereich der Verordnung gefordert. Von Seite der GRÜNEN wurde angemerkt, die Rolle der „Daten-Händler“ solle sich vor allem auf industrielle und nicht so sehr auf persönliche Daten konzentrieren.