Risiko- und Empfehlungsliste

1. VERORDNUNG (EU) 2024/1689 - FREE FLOW OF DATA REGULATION (FFDR)

1.1 Datenlokalisierungsbeschränkungen

Betroffener Rechtsakt

FFDR Art. 4 - Verbot von Datenlokalisierungsanforderungen

Konsolidiert in

Data Act Art. 33 (neu)

Risiko

Verlust der Sichtbarkeit: FFDR als eigenständige Verordnung war prominent und eindeutig. Nach Konsolidierung in den Data Act könnte das Verbot von Datenlokalisierungsanforderungen in der Masse der Data Act-Bestimmungen untergehen. Nationale Behörden könnten versucht sein, indirekte Lokalisierungsanforderungen durch Compliance-Vorschriften einzuführen.

Empfehlung

Explizite Beibehaltung der Sichtbarkeit: Der konsolidierte Art. 33 Data Act sollte prominent bleiben und in nationalen Umsetzungsleitfäden hervorgehoben werden. Die Kommission sollte regelmäßige Monitoring-Berichte veröffentlichen, die Verstöße gegen das Lokalisierungsverbot dokumentieren.

 

Betroffener Rechtsakt

FFDR Art. 4(3) - Ausnahmen für öffentliche Sicherheit

Konsolidiert in

Data Act Art. 33(3) (neu)

Risiko

Missbrauch der Ausnahme: Die Ausnahme für "öffentliche Sicherheit" könnte von Mitgliedstaaten extensiv ausgelegt werden, um faktische Datenlokalisierung zu erzwingen. Beispiel: Ein Mitgliedstaat könnte argumentieren, dass Gesundheitsdaten aus "Sicherheitsgründen" national gespeichert werden müssen.

Empfehlung

Enge Auslegung kodifizieren: Die Kommission sollte durch Durchführungsrechtsakt klare Kriterien definieren, wann die Ausnahme greift. Inspiriert von Art. 45 AEUV (öffentliche Ordnung) sollten nur echte, nachweisbare Sicherheitsbedrohungen ausreichen. Nationale Lokalisierungsanforderungen sollten vorab der Kommission notifiziert werden müssen (ähnlich Art. 114(4) AEUV).

 

1.2 Portabilität von Nicht-Personenbezogenen Daten

Betroffener Rechtsakt

FFDR Art. 6 - Portabilität für professionelle Nutzer

Konsolidiert in

Data Act Art. 23-30 (erweitert)

Risiko

Überlappung und Inkonsistenz: FFDR Art. 6 regelte Portabilität für nicht-personenbezogene Daten eher allgemein. Der Data Act hat deutlich detailliertere Portabilitätsregeln (Art. 23-30). Risiko: Unklare Abgrenzung zwischen FFDR-Portabilität (alt) und Data Act-Portabilität (neu). Beispiel: Ein Unternehmen mit gemischten Daten (personenbezogen + nicht-personenbezogen) könnte unsicher sein, welche Regeln gelten.

Empfehlung

Klare Hierarchie: Der konsolidierte Data Act sollte explizit klarstellen: "Für Portabilität von nicht-personenbezogenen Daten gelten ausschließlich Art. 23-30 Data Act. FFDR Art. 6 ist vollständig in diese Artikel integriert." Die Kommission sollte eine Korrelationstabelle veröffentlichen, die zeigt, welche FFDR-Bestimmung welchem Data Act-Artikel entspricht.

 

1.3 Professionelle Nutzer und Vendor Lock-in

Betroffener Rechtsakt

FFDR Art. 6(1) - Erleichterung des Wechsels zwischen Diensteanbietern

Konsolidiert in

Data Act Art. 23-26 (Switching, Interoperabilität)

Risiko

Schwächung durch KMU-Ausnahmen: Der Data Act führt KMU/SMC-Ausnahmen ein (Art. 24(5a) neu durch Omnibus). Risiko: Kleinere Cloud-Anbieter sind von Portabilitätspflichten befreit, was paradoxerweise Vendor Lock-in bei KMU-Anbietern ermöglicht. Beispiel: Ein Start-up nutzt einen kleinen spezialisierten Cloud-Dienst. Dieser ist SMC → keine Portabilitätspflicht → Start-up gefangen.

Empfehlung

Asymmetrische Regelung: KMU-Ausnahmen sollten nur für Verpflichtungen gelten, nicht für Rechte. D.h.: Kleine Cloud-Anbieter müssen Portabilität nicht aktiv anbieten, aber wenn ein Kunde wechseln will, müssen sie nicht blockieren dürfen. Alternative: Freiwillige Zertifizierung für KMU ("Data Act Compliant SMC"), die als Qualitätsmerkmal dient.

 

2. VERORDNUNG (EU) 2022/868 - DATA GOVERNANCE ACT (DGA)

2.1 Datenintermediärsdienste

Betroffener Rechtsakt

DGA Art. 10-15 - Anmeldepflicht für Datenintermediärsdienste

Konsolidiert in

Data Act Art. 40-45 (neu, freiwilliges Regime)

Risiko

Regulierungsarbitrage: Der Omnibus macht das DGA-Anmelderegime freiwillig statt verpflichtend. Risiko: Unseriöse Datenintermediäre umgehen die Anmeldung, um Neutralitätspflichten zu vermeiden. Beispiel: Ein Intermediär behauptet, kein "Datenintermediärsdienst" zu sein, sondern nur "Beratungsdienst", um Pflichten zu entgehen. Der Markt verliert Vertrauen in nicht-angemeldete Intermediäre.

Empfehlung

Zweistufiges Modell: (1) Basisregime: Alle Datenintermediäre unterliegen minimalen Transparenzpflichten (Offenlegung von Geschäftsmodell, Einnahmequellen). (2) Premium-Zertifizierung (freiwillig): Intermediäre, die sich anmelden und DGA-Pflichten erfüllen, erhalten EU-Gütesiegel "Certified Data Intermediary". Nur diese dürfen sich in B2G-Datenteilung (Art. 15a Data Act) einbringen oder öffentliche Förderung erhalten.

 

Betroffener Rechtsakt

DGA Art. 12 - Neutralitätspflicht für Datenintermediäre

Konsolidiert in

Data Act Art. 42 (neu)

Risiko

Schwache Durchsetzung: Die Neutralitätspflicht (keine Nutzung von Daten für eigene Zwecke) ist schwer zu überwachen. Risiko: Intermediäre nutzen heimlich Metadaten oder Insights aus vermittelten Daten für eigene KI-Modelle. Beispiel: Ein Intermediär vermittelt Gesundheitsdaten zwischen Krankenhäusern und trainiert nebenbei ein proprietäres medizinisches KI-Modell.

Empfehlung

Technische Safeguards + Audits: (1) Verpflichtende technische Trennung (Air Gap) zwischen Vermittlungs-Infrastruktur und eigenen Systemen. (2) Jährliche externe Audits mit Zugang zu Logs und Code. (3) Whistleblower-Schutz für Mitarbeiter, die Neutralitätsverstöße melden. (4) Drakonische Strafen: Bei Verstoß → sofortiger Entzug der Zertifizierung + 6% des Jahresumsatzes (analog DMA).

 

2.2 Datenaltruismus-Organisationen

Betroffener Rechtsakt

DGA Art. 16-24 - Registerführung für Datenaltruismus-Organisationen

Konsolidiert in

Data Act Art. 46-52 (neu)

Risiko

Zu strenge Anforderungen = keine Teilnahme: Die DGA-Anforderungen an Datenaltruismus-Organisationen waren bereits komplex (gemeinnützig, Transparenzpflichten, Governance-Struktur). Nach Konsolidierung bleibt die Komplexität. Risiko: Echte gemeinnützige Initiativen (z.B. Citizen Science) schreckt der bürokratische Aufwand ab. Beispiel: Ein Patientenverband will Gesundheitsdaten für Forschung sammeln, scheitert aber an Compliance-Kosten.

Empfehlung

Gestaffelte Anforderungen: (1) Micro-Altruismus (< 1.000 betroffene Personen): Vereinfachtes Register, nur Basispflichten. (2) Standard-Altruismus (1.000-100.000 Personen): Volle DGA-Anforderungen. (3) Large-Scale-Altruismus (> 100.000 Personen): Zusätzliche Aufsicht + verpflichtender externer Datenschutzbeauftragter. Die Kommission sollte Musterdokumente (Statuten, Governance-Regeln) kostenfrei bereitstellen.

 

Betroffener Rechtsakt

DGA Art. 22 - Europäisches Register für Datenaltruismus-Organisationen

Konsolidiert in

Data Act Art. 50 (neu)

Risiko

Zersplitterung trotz EU-Register: Obwohl ein EU-Register existiert, könnten Mitgliedstaaten zusätzliche nationale Anforderungen stellen. Risiko: Eine in Deutschland registrierte Datenaltruismus-Organisation muss sich in Frankreich erneut registrieren. Cross-border Datenaltruismus wird unmöglich.

Empfehlung

Mutual Recognition verpflichtend: Art. 50 Data Act sollte explizit festlegen: "Eine in einem Mitgliedstaat registrierte Datenaltruismus-Organisation ist automatisch in allen Mitgliedstaaten anerkannt. Nationale Zusatzanforderungen sind unzulässig." Notifikationspflicht für Mitgliedstaaten: Wenn ein MS glaubt, zusätzliche Anforderungen zu benötigen, muss er dies der Kommission begründen (analog Art. 114(4) AEUV).

 

2.3 Business-to-Government (B2G) Datenteilung

Betroffener Rechtsakt

DGA Art. 5-9 - Datenteilung für Zwecke öffentlichen Interesses

Konsolidiert in

Data Act Art. 15a (neu durch Omnibus)

Risiko

KRITISCH: Drastische Abschwächung: Der Omnibus schwächt B2G erheblich ab. Alter DGA Art. 5: "außergewöhnlicher Bedarf" + breite öffentliche Interessen (Klimaschutz, Gesundheit, Mobilität). Neuer Art. 15a: NUR "öffentlicher Notfall" (Naturkatastrophen, schwere Gesundheitskrisen). Risiko: Wichtige Anwendungsfälle fallen weg. Beispiel 1: Mobilitätsdaten für Verkehrsplanung (kein "Notfall"). Beispiel 2: Landwirtschaftsdaten für Klimapolitik (kein "Notfall"). Beispiel 3: Energieverbrauchsdaten für Energiewende (kein "Notfall"). → Öffentliche Stellen verlieren Zugriff auf essenzielle Daten.

Empfehlung

AMENDMENT PRIORITÄT 1: Art. 15a(1) erweitern um "ODER eines erheblichen öffentlichen Interesses, einschließlich: (a) Klimaschutz und Umweltpolitik; (b) Öffentliche Gesundheit (auch nicht-akut); (c) Verkehrssicherheit und Mobilität; (d) Energieversorgung und -effizienz; (e) Bildung und Forschung; (f) Soziale Sicherheit." Alternative: Wiederherstellung des DGA Art. 5-Wortlauts. Dies ist DER kritischste Punkt der gesamten Konsolidierung.

 

Betroffener Rechtsakt

DGA Art. 5(11) - Unterstützung durch Datenintermediäre bei B2G

Konsolidiert in

Data Act Art. 15a(8) (neu)

Risiko

Fehlende Verknüpfung: DGA Art. 5(11) erlaubte Datenintermediären, B2G-Datenteilung zu unterstützen. Nach Konsolidierung unklar, ob zertifizierte Intermediäre (Art. 40-45 Data Act) automatisch B2G-Vermittlung übernehmen dürfen. Risiko: Öffentliche Stellen müssen Daten direkt bei Unternehmen anfragen (komplex), anstatt über vertrauenswürdige Intermediäre.

Empfehlung

Explizite Brücke: Art. 15a(8) Data Act sollte erweitern: "Öffentliche Stellen können die Unterstützung von zertifizierten Datenintermediären gemäß Art. 40-45 in Anspruch nehmen. Zertifizierte Intermediäre sind verpflichtet, B2G-Anfragen zu unterstützen, sofern dies mit ihrer Neutralitätspflicht vereinbar ist."

 

2.4 Weiterverwendung bestimmter Kategorien geschützter Daten des öffentlichen Sektors

Betroffener Rechtsakt

DGA Art. 3-4 - Weiterverwendung geschützter Daten (Geschäftsgeheimnisse, geistiges Eigentum, personenbezogene Daten)

Konsolidiert in

Data Act Art. 8 (erweitert)

Risiko

Overlap mit Trade Secret Protection: Der neue Data Act Art. 4(8) (Trade Secret Protection gegen Drittländer) könnte mit den DGA-Bestimmungen zur Weiterverwendung geschützter Daten kollidieren. Risiko: Ein Unternehmen aus Drittland beantragt Zugang zu öffentlichen Forschungsdaten (geschützt durch IP). Art. 8 sagt "möglich unter Bedingungen", Art. 4(8) sagt "kann abgelehnt werden bei hohem Risiko". → Rechtsunsicherheit.

Empfehlung

Klare Hierarchie: Art. 8 Data Act sollte ergänzen: "Absätze 1-6 gelten unbeschadet des Art. 4(8). Bei Weiterverwendungsanfragen durch Drittland-Akteure hat Art. 4(8) Vorrang." Die Kommission muss durch Leitlinien klären: (1) Wann greift Trade Secret Protection? (2) Wie wird Abwägung durchgeführt? (3) Kann Drittland-Akteur durch EU-Niederlassung Art. 4(8) umgehen?

 

3. RICHTLINIE (EU) 2019/1024 - OPEN-DATA-RICHTLINIE

3.1 Hochwertige Datensätze (High-Value Datasets)

Betroffener Rechtsakt

Open Data Directive Art. 14 - Hochwertige Datensätze

Konsolidiert in

Data Act Art. 7 (erweitert)

Risiko

Verlangsamte Aktualisierung: Die Open Data Directive sah vor, dass die Kommission durch Durchführungsrechtsakte Listen hochwertiger Datensätze festlegt (z.B. Geoinformationen, Mobilität, Statistik). Nach Konsolidierung in den Data Act bleibt diese Befugnis bestehen. Risiko: Der Data Act wird seltener geändert als Durchführungsrechtsakte. Neue hochwertige Datenkategorien (z.B. KI-Trainingsdaten, Klimadaten) könnten später aufgenommen werden.

Empfehlung

Dynamische Liste + Stakeholder-Input: (1) Die Kommission sollte verpflichtet werden, die Liste hochwertiger Datensätze jährlich zu überprüfen (statt aktuell alle 3-5 Jahre). (2) Einrichtung eines High-Value Data Advisory Board aus Vertretern von Industrie, Zivilgesellschaft, Forschung → schlägt neue Datenkategorien vor. (3) Fast-Track-Verfahren: Wenn 5+ Mitgliedstaaten eine neue Kategorie vorschlagen, muss Kommission innerhalb 6 Monaten entscheiden.

 

3.2 Kostenlose Bereitstellung öffentlicher Daten

Betroffener Rechtsakt

Open Data Directive Art. 6 - Grundsatz der Kostenfreiheit

Konsolidiert in

Data Act Art. 6 (erweitert)

Risiko

Ausnahme für "erhebliche Kosten": Die Richtlinie erlaubte Gebühren, wenn Reproduktion/Bereitstellung "erhebliche Kosten" verursacht. Nach Konsolidierung bleibt diese Ausnahme. Risiko: Öffentliche Stellen missbrauchen die Ausnahme, um Einnahmen zu generieren. Beispiel: Ein Katasteramt verlangt EUR 10.000 für GIS-Daten, obwohl tatsächliche Kosten EUR 500 sind.

Empfehlung

Objektive Kostenkalkulation verpflichtend: Art. 6 Data Act sollte ergänzen: "Gebühren dürfen nur Grenzkosten (marginal costs) der Reproduktion abdecken. Öffentliche Stellen müssen Kostenkalkulationen veröffentlichen. Bei Streit entscheidet nationale Datenschutzbehörde oder Wettbewerbsbehörde." Alternative: Inspiriert von INSPIRE-Richtlinie → Gebühren nur bei "außergewöhnlich hohem Datenvolumen" (> 100 GB).

 

3.3 Maschinenlesbare Formate

Betroffener Rechtsakt

Open Data Directive Art. 5 - Maschinenlesbare und offene Formate

Konsolidiert in

Data Act Art. 6(2) (erweitert)

Risiko

Unklare Standards: Die Richtlinie forderte "offene Formate", definierte diese aber nicht präzise. Nach Konsolidierung bleibt das Problem. Risiko: Ein Mitgliedstaat stellt Daten als PDF bereit ("maschinenlesbar mit OCR"). Ein anderer nutzt strukturiertes XML. Inkonsistenz behindert grenzüberschreitende Datennutzung.

Empfehlung

Verpflichtende Format-Standards: Die Kommission sollte durch Durchführungsrechtsakt verbindliche Format-Standards festlegen: (1) Tabellarische Daten: CSV, JSON, Parquet (nicht: Excel). (2) Geodaten: GeoJSON, GML (nicht: KML). (3) Textdokumente: XML, Markdown (nicht: PDF). (4) Metadaten: DCAT-AP (Data Catalog Vocabulary - Application Profile for Europe). Öffentliche Stellen haben 12 Monate Zeit zur Umsetzung.

 

3.4 APIs und Echtzeitzugang

Betroffener Rechtsakt

Open Data Directive Art. 5(7) - APIs für dynamische Daten

Konsolidiert in

Data Act Art. 6(3) (erweitert)

Risiko

Fehlende technische Kapazität: Die Richtlinie forderte APIs für dynamische Daten (z.B. Verkehrsdaten). Viele öffentliche Stellen (besonders Kommunen) haben nicht die technischen Ressourcen für API-Betrieb. Risiko: Große Städte (Berlin, Paris) bieten APIs, kleine Kommunen nicht → Datenlücken.

Empfehlung

EU-weite API-Plattform: (1) Die EU finanziert eine zentrale European Public Data API Gateway, betrieben durch DIGIT (Kommissionsdienst für Digitalisierung). (2) Kleine öffentliche Stellen können ihre Daten in die Plattform einspeisen (bulk upload), die Plattform stellt automatisch APIs bereit. (3) Große öffentliche Stellen betreiben eigene APIs, registrieren diese aber im Gateway (Single Point of Discovery). (4) Finanzierung: EUR 50 Mio. Startbudget, dann kostendeckend durch optionale Premium-Features für kommerzielle Nutzer.

 

3.5 Weiterverwendungsrechte

Betroffener Rechtsakt

Open Data Directive Art. 4 - Kommerzielle und nicht-kommerzielle Weiterverwendung

Konsolidiert in

Data Act Art. 6(1) (erweitert)

Risiko

Ungleiche Wettbewerbsbedingungen: Die Richtlinie erlaubte kommerzielle Weiterverwendung öffentlicher Daten. Risiko: Große Tech-Konzerne (Google, Microsoft, Meta) scrapen massiv öffentliche Daten für KI-Training, während KMU keinen Zugang haben (technische Hürden). Beispiel: Google trainiert Kartendienst mit öffentlichen Geodaten, lokale Start-ups können nicht mithalten.

Empfehlung

KMU-Priorisierung + Fair-Use-Regeln: (1) KMU-API-Kontingente: KMU erhalten priorisierte API-Zugänge (Rate Limits 10x höher als Großunternehmen). (2) Fair-Use-Policy für KI: Kommerzielle Nutzung öffentlicher Daten für KI-Training nur zulässig, wenn resultierende KI-Modelle als Open Source veröffentlicht werden ODER KMU vergünstigten Zugang (50% Rabatt) erhalten. (3) Transparenzpflicht: Unternehmen > 250 Mitarbeiter müssen vierteljährlich offenlegen, welche öffentlichen Datensätze sie für KI nutzen.

 

4. ÜBERGREIFENDE RISIKEN DER KONSOLIDIERUNG

4.1 Verlust der Sichtbarkeit einzelner Rechtsakte

Betroffenes Risiko

Konsolidierung führt zu Unübersichtlichkeit

Beschreibung

FFDR, DGA und Open Data Directive waren eigenständige Rechtsakte mit klarer Identität. Nach Konsolidierung in den Data Act (100+ Artikel) besteht das Risiko, dass Akteure spezifische Pflichten übersehen. Beispiel: Ein Datenintermediär kennt den Data Act, aber nicht, dass er früher DGA-Anmeldepflichten hatte.

Empfehlung

Multi-Level-Dokumentation: (1) Consolidated Data Act (offizielle Version mit allen Artikeln). (2) Thematische "Mini-Acts" (nicht-verbindlich, für Praktiker): "Data Sharing Rules" (ex-FFDR), "Data Intermediation Rules" (ex-DGA), "Open Data Rules" (ex-Open Data Directive). (3) Interaktive Online-Plattform der Kommission: Nutzer gibt Anwendungsfall ein ("Ich will Cloud-Dienst wechseln") → erhält relevante Artikel. (4) Farb-Kodierung im offiziellen Text: Ex-FFDR = blau, ex-DGA = grün, ex-Open Data = orange.

 

4.2 Übergangsprobleme und Altverweise

Betroffenes Risiko

Verweise in anderen Rechtsakten veraltet

Beschreibung

Viele EU-Rechtsakte verweisen auf FFDR, DGA oder Open Data Directive. Beispiel: Die Platform Work Directive verweist auf DGA Art. 12. Nach Aufhebung sind diese Verweise "broken links". Risiko: Rechtsunsicherheit bei Auslegung.

Empfehlung

Omnibus II für technische Updates: Innerhalb 12 Monate nach Inkrafttreten des Omnibus sollte die Kommission ein "Technical Corrections Omnibus" vorlegen, das alle Querverweise in anderen Rechtsakten aktualisiert. Anhang sollte Korrelationstabelle enthalten: "DGA Art. 12 = Data Act Art. 42". Bis Inkrafttreten des Omnibus II: Übergangsregel → Verweise auf alte Rechtsakte gelten als Verweise auf entsprechende Data Act-Artikel gemäß Annex I des Omnibus.

 

4.3 Nationale Umsetzung der Richtlinie

Betroffenes Risiko

Open Data Directive war Richtlinie, Data Act ist Verordnung

Beschreibung

Die Open Data Directive musste von Mitgliedstaaten umgesetzt werden → 27 nationale Gesetze existieren. Der Data Act ist direkt anwendbar. Risiko: Alte nationale Open-Data-Gesetze bleiben bestehen und widersprechen teilweise dem Data Act. Beispiel: Deutschland hat nationales Open-Data-Gesetz mit strengeren Anforderungen. Nach Data Act unklar, welches Recht gilt.

Empfehlung

Explizite Aufhebungsklausel: Art. 10(4) Omnibus sollte ergänzen: "Mitgliedstaaten heben nationale Umsetzungsgesetze der Richtlinie (EU) 2019/1024 spätestens [12 Monate nach Inkrafttreten] auf. Ab diesem Zeitpunkt gelten ausschließlich die entsprechenden Bestimmungen des Data Act (Art. 6-7)." Die Kommission sollte eine Compliance-Datenbank führen: Welcher Mitgliedstaat hat nationale Gesetze bereits aufgehoben?

 

4.4 Fehlende Kohärenz mit anderen Rechtsakten

Betroffenes Risiko

Data Act, DSA, DMA, AI Act nicht harmonisiert

Beschreibung

Der Data Act regelt Datenzugang/-teilung. DSA regelt Online-Plattformen. DMA regelt Gatekeeper. AI Act regelt KI. Überschneidungen existieren: z.B. Plattformen (DSA) sind oft Dateninhaber (Data Act) und Gatekeeper (DMA). Risiko: Inkonsistente Pflichten. Beispiel: Google ist Gatekeeper (DMA) → muss Daten teilen. Ist auch Dateninhaber (Data Act) → muss Daten teilen. Aber Bedingungen unterschiedlich!

Empfehlung

Lex-Specialis-Hierarchie kodifizieren: Der Data Act sollte neuen Art. 2(5) erhalten: "Bei Überschneidungen mit anderen EU-Rechtsakten gilt: (1) AI Act hat Vorrang bei KI-spezifischen Fragen. (2) DMA hat Vorrang bei Gatekeeper-Verpflichtungen. (3) DSA hat Vorrang bei Plattform-Governance. (4) Data Act gilt subsidiär für alle anderen Datenfragen." Langfristig: Die Kommission sollte ein Digital Single Rulebook entwickeln (analog Financial Services Rulebook) → konsolidiert ALLE Digitalrechtsakte in ein kohärentes System (Ziel: 2030).

 

5. ZUSAMMENFASSENDE EMPFEHLUNGEN

5.1 Kritische Amendments (MUST)

Priorität

Rechtsakt

Artikel

Amendment

1

DGA → Data Act

Art. 15a

B2G wiederherstellen: "Öffentlicher Notfall ODER erhebliches öffentliches Interesse (Klima, Gesundheit, Mobilität, etc.)"

2

FFDR → Data Act

Art. 33(3)

Ausnahmen begrenzen: Kommissions-Durchführungsrechtsakt definiert enge Kriterien für "öffentliche Sicherheit"; Notifikationspflicht für MS

3

DGA → Data Act

Art. 42

Neutralität durchsetzen: Technische Trennung + jährliche Audits + Whistleblower-Schutz + drakonische Strafen (6% Umsatz)

4

Open Data → Data Act

Art. 6(2)

Format-Standards: Kommission legt verbindliche Formate fest (CSV, JSON, GeoJSON, etc.) durch Durchführungsrechtsakt

5

Übergreifend

Art. 2(5) neu

Lex-Specialis-Hierarchie: Klare Regeln bei Überschneidung mit DSA/DMA/AI Act

Begründungen zu den kritischen Amendments:

AMENDMENT 1: B2G-Datenteilung wiederherstellen

Aktueller Text (Art. 15a):

"im Falle eines öffentlichen Notfalls..."

Geänderter Text:

"im Falle eines öffentlichen Notfalls ODER eines erheblichen öffentlichen Interesses, einschließlich aber nicht beschränkt auf: (a) Klimaschutz und Umweltpolitik; (b) öffentliche Gesundheit (auch nicht-akute Fälle); (c) Verkehrssicherheit und Mobilität; (d) Energieversorgung und -effizienz; (e) Bildung und Forschung; (f) soziale Sicherheit und Arbeitsmarktpolitik..."

Begründung:

• Aktueller Text zu restriktiv (nur Notfälle wie Naturkatastrophen, Pandemien)
• Wichtige Anwendungsfälle fallen raus: Verkehrsplanung, Klimapolitik, Energiewende
• Wiederherstellung des ursprünglichen DGA Art. 5-Umfangs

AMENDMENT 2: Ausnahmen für öffentliche Sicherheit begrenzen

Aktueller Text (Art. 33(3)):

"Diese Verordnung lässt unbeschadet der Befugnis der Mitgliedstaaten, Datenlokalisierungsanforderungen aus Gründen der öffentlichen Sicherheit festzulegen..."

Zusätzlicher Absatz:

"(4) Die Kommission erlässt innerhalb von 12 Monaten nach Inkrafttreten dieser Verordnung einen Durchführungsrechtsakt, der objektive Kriterien festlegt, wann eine Datenlokalisierungsanforderung aus Gründen der öffentlichen Sicherheit gemäß Absatz 3 gerechtfertigt ist. Diese Kriterien orientieren sich an der Rechtsprechung des Gerichtshofs zu Artikel 45 AEUV (öffentliche Ordnung und Sicherheit).

(5) Mitgliedstaaten müssen der Kommission jede beabsichtigte Datenlokalisierungsanforderung gemäß Absatz 3 mindestens 3 Monate vor Inkrafttreten notifizieren. Die Kommission veröffentlicht eine Stellungnahme zur Verhältnismäßigkeit innerhalb von 2 Monaten."

Begründung:

• Verhindert Missbrauch der "öffentlichen Sicherheit"-Ausnahme für protektionistische Zwecke
• Schafft Transparenz durch Notifikationspflicht
• Objektive Kriterien statt subjektive nationale Bewertung

AMENDMENT 3: Neutralitätspflicht für Datenintermediäre durchsetzen

Aktueller Text (Art. 42):

"Anbieter von Datenintermediärsdiensten dürfen die Daten nicht für andere Zwecke verwenden..."

Ergänzung:

"(3) Um die Einhaltung der Neutralitätspflicht sicherzustellen, müssen Anbieter von Datenintermediärsdiensten:

(a) Technische Trennung: Eine technische Trennung (Air Gap) zwischen der Infrastruktur für Datenvermittlung und eigenen Datenverarbeitungssystemen implementieren. Diese Trennung wird durch unabhängige technische Audits jährlich überprüft.

(b) Jährliche Audits: Externe, unabhängige Audits durch von der zuständigen Behörde akkreditierte Prüfer durchführen lassen. Die Prüfberichte sind der Behörde vorzulegen und in aggregierter Form zu veröffentlichen.

(c) Whistleblower-Schutz: Mechanismen zum Schutz von Mitarbeitern einrichten, die Neutralitätsverstöße melden (gemäß Richtlinie (EU) 2019/1937).

(d) Protokollierung: Alle Zugriffe auf vermittelte Daten protokollieren (Wer, Was, Wann, Warum). Logs werden 3 Jahre aufbewahrt und sind der Aufsichtsbehörde auf Anfrage vorzulegen.

(4) Bei Verstoß gegen die Neutralitätspflicht:

• Sofortiger Entzug der Zertifizierung gemäß Artikel 43
• Bußgeld bis zu 6% des weltweiten Jahresumsatzes
• Verbot, für 5 Jahre Datenintermediärsdienste anzubieten"

Begründung:

• Neutralitätspflicht ohne Durchsetzungsmechanismen ist wirkungslos
• Technische Safeguards + Audits + Strafen schaffen Compliance-Anreiz
• 6% Umsatz (analog DMA) signalisiert Ernsthaftigkeit

AMENDMENT 4: Verbindliche Format-Standards für öffentliche Daten

Aktueller Text (Art. 6(2)):

"Öffentliche Stellen stellen Daten in maschinenlesbaren und offenen Formaten zur Verfügung..."

Ergänzung:

"(3) Die Kommission erlässt innerhalb von 12 Monaten nach Inkrafttreten dieser Verordnung einen Durchführungsrechtsakt, der verbindliche Format-Standards festlegt:

(a) Tabellarische Daten: CSV (Unicode UTF-8), JSON, Apache Parquet. NICHT zulässig: Excel-Formate (.xls, .xlsx), proprietäre Formate.

(b) Geodaten: GeoJSON, Geography Markup Language (GML), Shapefile. NICHT zulässig: KML (nur ergänzend), proprietäre GIS-Formate.

(c) Textdokumente: XML, Markdown, HTML5. NICHT zulässig: PDF (nur ergänzend für Archivierung), Word-Dokumente.

(d) Metadaten: DCAT-AP (Data Catalog Vocabulary - Application Profile for Europe) Version 3.0 oder höher.

(e) APIs: OpenAPI 3.0+ Spezifikation (Swagger), RESTful Design.

(4) Öffentliche Stellen haben 18 Monate nach Veröffentlichung des Durchführungsrechtsakts Zeit, ihre Systeme anzupassen. Für kleine Kommunen (< 50.000 Einwohner) gilt eine Frist von 24 Monaten."

Begründung:

• Aktueller "maschinenlesbar"-Begriff zu vage (ist PDF maschinenlesbar?)
• Fragmentierung behindert grenzüberschreitende Datennutzung
• Klarheit = Planungssicherheit für öffentliche Stellen UND Datennutzer

AMENDMENT 5: Lex-Specialis-Hierarchie kodifizieren

Neuer Artikel 2(5) Data Act:

"Artikel 2(5) - Verhältnis zu anderen Rechtsakten der Union

(1) Im Falle von Überschneidungen zwischen diesem Gesetz und anderen Rechtsakten der Union im Bereich der digitalen Regulierung gilt folgende Hierarchie:

(a) KI Act (Verordnung (EU) 2024/1689): Hat Vorrang bei Fragen der KI-Systementwicklung, -bereitstellung und -nutzung, insbesondere bei High-Risk- und verbotenen KI-Systemen.

(b) Digital Markets Act (Verordnung (EU) 2022/1925): Hat Vorrang bei Verpflichtungen von Gatekeepern, insbesondere bei Datenportabilität und Interoperabilität gemäß Artikeln 6 und 7 DMA.

(c) Digital Services Act (Verordnung (EU) 2022/2065): Hat Vorrang bei Pflichten von Vermittlungsdiensten, insbesondere bei Very Large Online Platforms (VLOPs) und Very Large Online Search Engines (VLOSEs).

(d) DSGVO (Verordnung (EU) 2016/679): Hat Vorrang bei Fragen des Schutzes personenbezogener Daten, soweit nicht ausdrücklich in diesem Gesetz (z.B. Artikel 88a-88c) geregelt.

(e) Sektorspezifische Regelungen: Für spezifische Sektoren (Finanzen: DORA; Gesundheit: EHDS; Mobilität: ITS-Richtlinie) haben die sektorspezifischen Regelungen Vorrang bei Detailfragen, während dieses Gesetz den allgemeinen Rahmen bildet.

(2) Bei Anwendung mehrerer Rechtsakte auf denselben Sachverhalt:

• Der Verantwortliche/Verpflichtete muss ALLE anwendbaren Rechtsakte einhalten (kumulative Anwendung).
• Im Falle von Widersprüchen zwischen den Rechtsakten hat der speziellere Rechtsakt Vorrang (lex specialis).
• Bei fortbestehenden Unklarheiten kann der Verantwortliche/Verpflichtete bei der zuständigen Behörde um Klärung ersuchen. Die Behörde antwortet innerhalb von 60 Tagen.

(3) Die Kommission veröffentlicht bis [12 Monate nach Inkrafttreten] Leitlinien zur praktischen Anwendung dieser Hierarchie mit Fallbeispielen."

Begründung:

• Aktuell: Unklarheit, welches Gesetz bei Überschneidungen gilt
• Beispiel: Google als Gatekeeper (DMA) + Datenhalter (Data Act) + Plattform (DSA) → welche Pflichten?
• Klare Hierarchie = Rechtssicherheit = weniger Gerichtsfälle
• Langfristig: Vorbereitung für "Digital Single Rulebook" (Konsolidierung aller Digitalrechtsakte bis 2030)

FAZIT ZU DEN KRITISCHEN AMENDMENTS:

Diese 5 Amendments sind absolut unerlässlich, um:

1. B2G-Datenteilung zu retten (Amendment 1)
2. Protektionismus zu verhindern (Amendment 2)
3. Datenintermediäre ehrlich zu halten (Amendment 3)
4. Open Data wirklich offen zu machen (Amendment 4)
5. Digitale Regulierung kohärent zu gestalten (Amendment 5)

Ohne diese Amendments droht die Konsolidierung in den Data Act zu scheitern oder ihre Wirkung zu verfehlen.

5.2 Wichtige Verbesserungen (SHOULD)

Priorität

Rechtsakt

Artikel

Empfehlung

6

FFDR → Data Act

Art. 23-26

KMU-Ausnahmen: Asymmetrisch (keine Pflichten, aber keine Blockade-Rechte) + freiwillige Zertifizierung

7

DGA → Data Act

Art. 40-45

Zweistufiges Modell: Basis-Transparenzpflichten für alle + Premium-Zertifizierung (freiwillig) mit EU-Gütesiegel

8

DGA → Data Act

Art. 46-52

Gestaffelte Anforderungen: Micro/Standard/Large-Scale Altruismus mit angepassten Pflichten

9

DGA → Data Act

Art. 50

Mutual Recognition: EU-Register-Eintragung gilt automatisch in allen MS; nationale Zusatzanforderungen verboten

10

Open Data → Data Act

Art. 6(1)

KMU-Priorisierung: API-Kontingente 10x höher + Fair-Use bei KI-Training (Open Source oder KMU-Rabatt)

5.3 Nützlich (COULD)

Priorität

Rechtsakt

Empfehlung

11

DGA → Data Act

High-Value Data Advisory Board: Jährliche Überprüfung der Liste + Stakeholder-Input + Fast-Track-Verfahren

12

Open Data → Data Act

European Public Data API Gateway: EU-finanzierte zentrale Plattform für kleine öffentliche Stellen

13

Übergreifend

Multi-Level-Dokumentation: Thematische "Mini-Acts" + interaktive Online-Plattform + Farb-Kodierung

14

Übergreifend

Technical Corrections Omnibus II: Aktualisierung aller Querverweise in anderen Rechtsakten innerhalb 12 Monate

15

Übergreifend

Digital Single Rulebook (Ziel 2030): Langfristige Konsolidierung ALLER Digitalrechtsakte (Data Act, DSA, DMA, AI Act, etc.)

6. ZEITPLAN FÜR RISIKOMINDERUNG

T+0 (Inkrafttreten Omnibus):

├─ Sofort: Multi-Level-Dokumentation veröffentlichen

├─ Sofort: Korrelationstabelle (Alt-Artikel → Neu-Artikel) publizieren

└─ Tag 1: Übergangsregel für Querverweise aktivieren

 

T+6 Monate:

├─ High-Value Data Advisory Board einrichten

├─ Format-Standards-Durchführungsrechtsakt vorbereiten

└─ Compliance-Datenbank (nationale Open-Data-Gesetze) starten

 

T+12 Monate:

├─ Technical Corrections Omnibus II vorlegen

├─ Format-Standards verabschieden

├─ European Public Data API Gateway (Pilot) starten

└─ MS müssen nationale Open-Data-Gesetze aufheben

 

T+18 Monate:

├─ Erste Audits von Datenintermediären (Neutralität)

├─ Erste MS-Notifikationen bei FFDR-Ausnahmen (öffentl. Sicherheit)

└─ European Public Data API Gateway (Full Launch)

 

T+24 Monate:

├─ Erste Überprüfung High-Value Datasets

├─ Evaluation: Funktioniert B2G-Regime? (Wenn nein → Amendment für public interest)

└─ Kommissions-Bericht: Kohärenz Data Act / DSA / DMA / AI Act

 

T+36 Monate:

└─ Beginn Vorarbeiten für Digital Single Rulebook (Ziel 2030)

7. MONITORING-INDIKATOREN

Erfolgskriterien für die Konsolidierung:

Indikator

Zielwert (T+24 Monate)

Messmethode

B2G-Anfragen erfolgreich

> 80% der Anfragen führen zu Datenzugang

Kommissions-Monitoring-Bericht

Datenintermediär-Zertifizierungen

> 100 zertifizierte Intermediäre EU-weit

EU-Register (Art. 50 Data Act)

Datenaltruismus-Organisationen

> 500 registrierte Organisationen

EU-Register (Art. 50 Data Act)

Cross-Border Data Flows

+30% gegenüber T+0

Eurostat-Erhebung

Cloud-Switching-Fälle

> 5.000 erfolgreiche Wechsel/Jahr

Industrie-Umfragen

High-Value Datasets verfügbar

100% der Datasets in offenen Formaten

Automatisiertes Monitoring

API-Nutzung (öffentliche Daten)

> 1 Mio. API-Calls/Tag EU-weit

European Public Data API Gateway Logs

Compliance (nationale Gesetze)

27/27 MS haben alte Gesetze aufgehoben

Kommissions-Compliance-Datenbank

FAZIT:

Die Konsolidierung von FFDR, DGA und Open Data Directive in den Data Act ist ein ambitioniertes und grundsätzlich sinnvolles Vereinfachungsprojekt. Die größten Risiken liegen in:

1. B2G-Abschwächung (kritischstes Risiko)
2. Verlust der Sichtbarkeit (Unübersichtlichkeit)
3. Übergangsprobleme (veraltete Querverweise)
4. Fehlende Kohärenz mit DSA/DMA/AI Act

Mit den vorgeschlagenen Amendments und begleitenden Maßnahmen können diese Risiken jedoch substanziell gemindert werden. Der Erfolg hängt maßgeblich davon ab, ob das Europäische Parlament die kritischen Amendments (insbesondere B2G-Wiederherstellung) durchsetzt.

Vergleich: KMU vs. Großunternehmen (Januar 2026)