Aktuell in CR

Data Act: Datenzugang und Geschäftsgeheimnisschutz (Grützmacher)

Nach einem mehrjährigen Gesetzgebungsprozess ist am 11.1.2024 der Data Act (DA) in Kraft getreten. Nun läuft die Zeit, sich auf diesen einzustellen; denn er gilt in seinen wesentlichen Teilen ab dem 12.9.2025 (und zwar mit einer gewissen Rückwirkung). Eine zentrale Baustelle des Data Acts wie auch der unternehmensinternen Vorbereitung auf dessen Regulatorik ist dabei das Thema des Geheimnisschutzes, auf den sich im Anwendungsbereich nur gut vorbereitete Unternehmen berufen werden können. Stellen die Datenzugangsverpflichtungen und -ansprüche unter dem Data Act eine Gefahr für Geschäftsgeheimnisse oder stellen Geschäftsgeheimnisse ein Hindernis für diesen Datenzugang dar? Dieser Beitrag gibt einen Überblick und entwickelt einen Ansatz dafür, wie dieses zentrale Dilemma aufgelöst werden kann.

↵

Zwei Antipoden und das Ende des Geheimnisses?

INHALTSVERZEICHNIS:

I. Datenzugang vs. Geschäftsgeheimnisschutz

II. Data Access by Design und die Rechte auf Datenzugang bzw. Weitergabe an Dritte

1. Zugänglich zu machende Daten i.S.d. Art. 3 Abs. 1 und Art. 4 Abs. 1

bzw. Art. 5 Abs. 1 DA

2. Entgegenstehender Geschäftsgeheimnisschutz?

a) Auch bei Rohdaten?

b) Schranken der Art. 4 Abs. 6 – 9 und Art. 5 Abs. 9 – 12 DA

zugunsten des Geheimnisschutzes?

aa) Geschäftsgeheimnisse im Sinne des DA

bb) Recht zur Verweigerung nach Art. 4 Abs. 7 und Art. 5 Abs. 10 DA

(1) Keine Einigung über erforderliche Maßnahmen

(2) Keine Umsetzung der vereinbarten Maßnahmen und Beweislast

(3) Verletzung der Vertraulichkeit

cc) Recht zur Ablehnung bei außergewöhnlichen Umständen und

hoher Wahrscheinlichkeit eines schweren wirtschaftlichen

Schadens nach Art. 4 Abs. 8 und Art. 5 Abs. 11 DA

dd) Zusätzliches Merkmal für die Weitergabe an Dritte: Erforderlichkeit

für die Offenlegung für den zwischen dem Nutzer und dem Dritten

vereinbarten Zweck

c) Anwendung der Schranken des Art. 4 Abs. 6 – 9 und Art. 5 Abs. 9 – 12 DA

auch auf Art. 3 Abs. 1 DA?

aa) Lückenhaftigkeit des Schutzes

(1) Zugang durch Nutzer

(2) Weitergabe an Dritte

bb) Entsprechende Anwendung der Ausnahmetatbestände der Art. 4 und 5 DA

und/oder teleologische Reduktion des Art. 3 Abs. 1 DA?

d) Freigabeentscheidung oder Ablehnung durch Dateninhaber, Hersteller und/oder

Geheimnisinhaber?

III. Ausreichender Schutz des Geschäftsgeheimnisses?

1. Defizite

2. Grund- und völkerrechtliche Konsequenzen eines unzureichenden

Geheimnisschutzes

a) Verstoß gegen Art. 39 GATT-Trips

b) Verstoß gegen Art. 12 oder 14 GG

c) Verstoß gegen Art. 16, 17 GRCh

IV. Absehbare praktische Schwierig- bzw. Streitigkeiten

1. Nachweis Geschäftsgeheimnis

2. Streit um erforderliche Maßnahmen und deren Umsetzung

3. Unbestimmtheit des Merkmals eines „schweren wirtschaftlichen Schadens“

V. Fazit

I. Datenzugang vs. Geschäftsgeheimnisschutz

Der Data Act reguliert den Zugang zu maschinen- bzw. systemgenerierten Daten.¹ Ziel der EU-Kommission war es, mit dem Data Act das Recht des Stärkeren, nämlich die Möglichkeit der Hersteller, den Datenzugang faktisch zu monopolisieren, aufzubrechen.² Im Kern geht es dabei um den Zugang zu Daten von vernetzten Produkten, die datengenierende Sensoren oder Systeme enthalten. Erfasst werden aber letztlich mit der sperrigen Definition des Art. 2 Nr. 5 DA auch weitere „Gegenstände“, welche sonst Daten über ihre Nutzung oder Umgebung erlangen, generieren oder erheben und welche Produktdaten übermitteln können. Dazu zählen etwa die Daten von IoT-Devices³ oder die Daten von Connected Cars, aber auch von Medizinprodukten und vielem mehr. Nicht erfasst sind nach Art. 2 Nr. 5 DA Systeme, deren Hauptfunktion die Speicherung, Verarbeitung oder Übertragung von Daten im Namen einer anderen Partei mit Ausnahme des Nutzers ist. Das sind etwa die Server eines Cloudanbieters.⁴ Zudem zielt die Regulierung auf Daten von sog. verbundenen Diensten i.S.v. Art. 2 Nr. 6 DA.⁵

Diese Daten nutzen zu können, ist sowohl für Nutzer etwa von IoT-Devices, Maschinen, Fahrzeugen und anderen Systemen mit eingebetteten Softwarelösungen als auch für Dritte interessant, und zwar insbesondere, wenn es darum geht, komplementäre Dienstleistungs- und Datenmärkte zu erschließen. Für den Dateninhaber schafft dies auf diesen Märkten aus seiner Sicht mitunter unerwünschten Wettbewerb. Überdies aber muss der Dateninhaber – ggf. etwa der Hersteller von Fahrzeugen, Anlagen, Maschinen und Systemen – fürchten, dass im Zuge des Datenzugangs bzw. der Datenweitergabe wertvolles Know-how an den Nutzer bzw. an Dritte abfließen könnte.

Es stellt sich mithin die Frage, in welchem Umfang der Schutz von Geschäftsgeheimnissen durch die Datenzugangsansprüche ausgehöhlt wird oder ob – anders gewendet – der Data Act dem Geheimnisschutz ausreichend gerecht wird. Denn treffend hat hierzu bereits Grapentin angemerkt, dass die Datenzugangsrechte des Data Act zwar durch den Datenschutz und den Geheimnisschutz eingeschränkt würden, aber nur der Datenschutz insofern weitgehend unberührt bleibe.⁶

Datenzugangspflichten und -ansprüche und der Geschäftsgeheimnisschutz sind unter dem Data Act Antipoden. Eine nähere Analyse des Data Act zeigt dabei, dass der EU-Gesetzgeber größere Sympathie für den Datenzugang hegt als für den Geheimnisschutz, obwohl große Teile der europäischen Industrie – so etwa der Anlagen- und Maschinenbau, die Fahrzeugindustrie und die Hersteller von Medizinprodukten – sich insbesondere auf letzteren stützen müssen. Um dieses zu erkennen, sind die Datenzugangspflichten und -rechte und deren Einschränkungen näher zu beleuchten.

II. Data Access by Design und die Rechte auf Datenzugang bzw. Weitergabe an Dritte

Der DA fordert⁷ zunächst in Art. 3 Abs. 1 DA einen konzeptionell vorgesehenen Datenzugang (Data Access by Design). Nach dieser Norm sind vernetzte Produkte und verbundene Dienste so zu konzipieren und herzustellen bzw. zu erbringen, dass die Produktdaten und verbundenen Dienstdaten (jeweils samt Metadaten) standardmäßig für den Nutzer einfach, sicher, unentgeltlich, in einem umfassenden, strukturierten, gängigen und maschinenlesbaren Format sowie, soweit relevant und technisch durchführbar,⁸ direkt zugänglich sind. Dabei geht es letztlich um alle Produktdaten, auch solche, die dem Dateninhaber nicht ohne Weiteres zugänglich sind, aber eben nur, wenn sich der direkte Zugang technisch erreichen lässt. Auch muss der Nutzer die Daten mitunter selbst aktiv abrufen,⁹ sie müssen eben nur zugänglich sein.

Demgegenüber subsidiär ¹⁰ hat der Dateninhaber , also oftmals z.B. wiederum der Hersteller oder Diensteanbieter, nach Art. 4 Abs. 1 Satz 1 DA dem Nutzer „ohne Weiteres verfügbare Daten“¹¹ (samt Metadaten) unverzüglich, einfach, sicher, unentgeltlich und in einem umfassenden, gängigen und maschinenlesbaren Format und mitunter, d.h. soweit relevant und technisch durchführbar, in der gleichen Qualität wie für den Dateninhaber bereitzustellen. Die Bereitstellung hat, wiederum nur soweit relevant und technisch durchführbar, kontinuierlich und in Echtzeit zu erfolgen sowie nach Satz 2, soweit verlangt und technisch durchführbar, auf elektronischem Weg.

Die Abgrenzung der produktbezogenen Pflichten nach Art. 3 Abs. 1 DA und der den Dateninhaber treffenden Pflichten nach Art. 4 Abs. 1 DA ist dabei unklar.¹² Auf den ersten Blick erscheinen die Regelungen gar widersprüchlich. Denn soweit die Verschaffung des Datenzugangs nach Art. 4 Abs. 1 DA entsprechend dessen Sätzen 1 und 2 technisch durchführbar bzw. für den Dateninhaber sogar ohne Weiteres, also leicht, definitionsgemäß ohne unverhältnismäßigen Aufwand zugänglich ist, müsste er eigentlich (...)

Verlag Dr. Otto Schmidt vom 15.05.2024 10:40

zurück zur vorherigen Seite