Der Data Act (DA) der Europäischen Union wird ab dem 12.09.2025 Anwendung finden. Als Teil der europäischen Datenstrategie verfolgt er das Ziel, den Zugang und die Nutzung von Daten für die Nutzer zu erleichtern. Den potenziellen Konflikt zwischen Datenzugang/Datenweitergabe und der Weitergabe von Geschäftsgeheimnissen hat der Verordnungsgeber erkannt und im Data Act adressiert. Nach einem kleinen Überblick zum DA und dem Geschäftsgeheimnisgesetz (GeschGehG) zeigen wir, wie dieser Konflikt gelöst werden kann.
Akteure des Data Acts und Regelungsziele
Der Data Act kennt grundsätzlich drei Akteure
- Dateninhaber: in der Regel die Unternehmen, welche vernetzte Produkte oder verbundene Dienste anbieten
- Nutzer: Unternehmen oder Privatpersonen, welche diese Produkte oder Dienste nutzen oder erwerben
- Dritte: bspw. Dienstleister, die nicht Dateninhaber oder Nutzer sind.
Die Ausgangssituation des Data Acts ist folgende: Die Nutzer sammeln durch den Gebrauch der vernetzten Produkte oder verbundenen Dienste Daten, welche dann aber nicht durch sie selbst, sondern oft ausschließlich durch den Dateninhaber genutzt werden. Die Nutzer gehen dabei häufig leer aus.
- körperlicher Gegenstand, der Daten über seine Verwendung oder Umgebung sammelt, erzeugt oder erhält und in der Lage ist, die Produktdaten zu übermitteln
- Hauptfunktion darf nicht Speichern, Verarbeiten oder Übermitteln von Daten sein
- Beispielsweise (Industrial) Internet of Things
- kein elektronischer Kommunikationsdienst
- umfasst Software und deren Updates
- derart mit dem Produkt verbunden, dass es bei Abwesenheit Funktionen einbüßt
Das möchte der Data Act ändern, indem er die Nutzer näher an ihre Daten heranrückt. Die Vormachtstellung sogenannter Gatekeeper soll aufgebrochen werden. Umgesetzt wird dieses Anliegen durch ein Zugangsrecht der Nutzer zu den von ihnen geschaffenen Daten. Diese Daten können die Nutzer auch Dritten zur Verfügung stellen. Die Dritten können dann etwa Dienstleistungen, wie Wartung o. Ä., anbieten. Damit möchte der Verordnungsgeber das in der Praxis häufig anzutreffende Phänomen der engen Verknüpfung von Ausgangsleistung (Erwerb eines Produkts) und Folgeleistungen (Wartungspaket für 5 Jahre) auflösen. So soll auch kleineren Dienstleistern und Start-ups die Möglichkeit gegeben werden, sich im Markt zu etablieren.
Schutz von Geschäftsgeheimnissen
Ein Geschäftsgeheimnis ist gem. § 2 Geschäftsgeheimnisgesetz (GeschGehG) eine Information, die in den relevanten Kreisen nicht allgemein bekannt oder zugänglich und deshalb von wirtschaftlichem Wert ist. Die Information muss durch entsprechende Maßnahmen des Inhabers geschützt werden. Nur so kann er gegen Rechtsverletzer, also Personen oder Unternehmen, die ein Geschäftsgeheimnis rechtswidrig erlangt haben, seine Ansprüche geltend machen. Diese Ansprüche lauten auf Beseitigung, Unterlassung, Auskunft oder ggf. Schadensersatz.
Das Datenzugangsrecht erstreckt sich u. a. auf nicht verarbeitete Daten, also i. d. R. Rohdaten (auch Quell- oder Primärdaten genannt). Diese sind jedoch nach herrschender Meinung ebenfalls als Geschäftsgeheimnis im Sinne des § 2 GeschGehG einzustufen.
Möglicher Konflikt zwischen Data Act und GeschGehG
Der mögliche Konflikt von Data Act und dessen Datenzugangsrecht und dem Schutz von Geschäftsgeheimnissen liegt darin, dass es den Geheimhaltungsmaßnahmen des Inhabers zuwiderlaufen kann, wenn er entsprechende Daten oder Datensätze nach dem Data Act herausgeben muss.
Somit würde er sein Geschäftsgeheimnis offenbaren und auch die Ansprüche aus dem GeschGehG verlieren, da er die Daten selbst offengelegt hat. Der Einwand, aus den bloßen Nutzungsdaten ließen sich keine Geschäftsgeheimnisse erkennen, gilt nicht. Der Schutz für Geschäftsgeheimnisse ist denkbar weit gefasst und kann grundsätzlich jede Information sein. Werden Nutzungsdaten zur Verfügung gestellt, könnte sich daraus bereits eine entsprechende Information ableiten lassen. Aber auch durch entsprechende Clusterungen, welche Daten überhaupt erfasst werden oder durch sog. „reverse engineering“ erlangt werden, können sich ggf. Rückschlüsse auf Geschäftsgeheimnisse ziehen lassen.
Lösung durch den Data Act
Der Data Act sieht aufgrund der eben beschriebenen Gefahren im Art. 4 Abs. 6-8 DA Schutzmechanismen vor. Der Dateninhaber kann den Zugang zu den Daten von gewissen Geheimhaltungsmaßnahmen abhängig machen. Sollten diese nicht greifen, ist auch eine Verweigerung des Zugangs denkbar.
Anknüpfungspunkt für die Geheimhaltungsmaßnahmen ist Art. 4 Abs. 6 DA. Danach sollen der Dateninhaber und der Nutzer eine Vereinbarung treffen, in welcher sich der Nutzer zur Einhaltung angemessener technischer und organisatorischer Maßnahmen verpflichtet. Der Data Act nennt dafür Beispiele: Mustervertragsklauseln, Vertraulichkeitsvereinbarungen, strenge Zugangsprotokolle technische Normen und Verhaltenskodizes. Solange der Dateninhaber mit dem Nutzer über die Maßnahmen verhandelt, muss er keinen Zugang gewähren. Kommt keine Einigung zustande oder die Maßnahmen werden nicht umgesetzt (sog. Geheimnisschutzdefizit), kann der Dateninhaber den Zugang verweigern, Art. 4 Abs. 7 DA. Verweigert der Dateninhaber den Zugang, muss er das begründen und dem Nutzer schriftlich mitteilen. Die zuständige Aufsichtsbehörde ist ebenfalls darüber zu informieren.
Weiter sieht Art. 4 Abs. 8 DA eine Zugangsverweigerung bei drohenden wirtschaftlichen Schäden vor. Hier sind ebenfalls der Nutzer sowie die Aufsichtsbehörde zu informieren. Die Voraussetzungen sind jedoch recht streng. Lediglich außergewöhnliche Umstände, die eine hohe Wahrscheinlichkeit für einen schweren wirtschaftlichen Schaden befürchten lassen, können das Verweigerungsrecht begründen. Diese schweren und irreparablen wirtschaftlichen Verluste muss der Dateninhaber durch objektive Fakten nachweisen. Diese hohen Anforderungen könnten dafür sorgen, dass diese Variante der Zugangsverweigerung in der Praxis wenig Anwendung finden wird und ist daher nicht frei von Kritik.
Zusammenfassung
Das Datenzugangsrecht des Data Acts und der Schutz von Geschäftsgeheimnissen schließen sich nicht gegenseitig aus. Der Verordnungsgeber erkannte diesen Konflikt und regelte ihn in Art. 4 Abs. 6-8 DA. Die höchste praktische Relevanz dürfte wohl die Vereinbarung zwischen Dateninhaber und Nutzer zu technischen und organisatorischen Maßnahmen des Geheimnisschutzes haben. Damit einhergehend die Möglichkeit der Verweigerung des Zugangs bei ausbleibender Einigung oder unterlassenen Maßnahmen. Eine Verweigerung des Datenzugangs aufgrund drohender wirtschaftlicher Schäden erfordert einen hohen Begründungsaufwand und wird daher in der Praxis perspektivisch eine untergeordnete Rolle spielen, unmöglich ist es jedoch nicht.
