Stellen die Datenzugangsansprüche unter dem Data Act eine Gefahr für Geschäftsgeheimnisse oder stellen Geschäftsgeheimnisse ein Hindernis für Datenzugangsansprüche dar? Dieser Beitrag gibt einen Überblick.
Nach einem mehrjährigen Gesetzgebungsprozess ist seit dem 11. Januar 2024 der Data Act (DA) in Kraft getreten. Nun läuft die Zeit, sich auf diesen einzustellen; denn er gilt ab dem 12. September 2025 (und zwar mit einer gewissen Rückwirkung). Der DA reguliert den Zugang zu maschinen- bzw. systemgenerierten Daten. Im Kern geht es um die Daten von vernetzten Produkten, die datengenierende Sensoren oder Systeme enthalten. Erfasst werden aber letztlich mit der sperrigen Definition des Art. 2 Nr. 5 DA auch weitere „Gegenstände“, welche sonst Daten über ihre Nutzung oder Umgebung erlangen, generieren oder erheben und welche Produktdaten übermitteln können. Nicht erfasst sind Systeme, deren Hauptfunktion die Speicherung, Verarbeitung oder Übertragung von Daten im Namen einer anderen Partei mit Ausnahme des Nutzers ist.
Zudem zielt die Regulierung auf Daten von sog. verbundenen Diensten (Art. 2 Nr. 6 DA). Diese Daten nutzen zu können, ist sowohl für Nutzer* etwa von IoT-Devices, Maschinen, Fahrzeugen und anderen Systemen mit eingebetteten Softwarelösungen als auch für Dritte interessant, und zwar insbesondere, wenn es darum geht, komplementäre Dienstleistungs- und Datenmärkte zu erschließen. Für den Dateninhaber schafft dies auf diesen Märkten aus seiner Sicht mitunter unerwünschten Wettbewerb. Aber mehr noch: Gleichzeitig muss der Dateninhaber – etwa der Hersteller von Fahrzeugen, Maschinen und Systemen – fürchten, dass im Zuge des Datenzugangs bzw. der Datenweitergabe wertvolles Know-how an den Nutzer bzw. Dritten abfließen könnte.
Es stellt sich mithin die Frage, in welchem Umfang der Schutz von Geschäftsgeheimnissen durch die Datenzugangsansprüche ausgehöhlt wird oder ob – anders gewendet – der DA dem Geheimnisschutz ausreichend gerecht wird.
Datenzugangsansprüche versus Geheimnisschutz: Das Recht auf Datenzugang und etwaige Weiterleitung an Dritte
Nach Art. 4 Abs. 1 DA hat der Dateninhaber, also z.B. der Hersteller oder Diensteanbieter, dem Nutzer ohne Weiteres verfügbare Daten (samt Metadaten) unverzüglich, einfach, sicher, unentgeltlich und in einem umfassenden, gängigen und maschinenlesbaren Format und mitunter in der gleichen Qualität wie für den Dateninhaber bereit zu stellen. Die Bereitstellung hat kontinuierlich und in Echtzeit zu erfolgen. Zudem besteht nach Art. 5 DA das Recht des Nutzers auf Weitergabe von Daten an Dritte. Dann erhält der Dritte den Datenzugang vom Dateninhaber im Auftrag des Nutzers ; für den Dritten gilt, dass er sich an die Auflagen nach Art. 8 und Art. 9 DA halten muss. Der Dritte erhält die Daten unter diesen Voraussetzungen in strukturierter Form, in gängigen und maschinenlesbaren Format und, soweit relevant und technisch durchführbar, kontinuierlich und in Echtzeit. Aber um welche Daten geht es und was ist, wenn diese Geschäftsgeheimnisse darstellen?
Daten im Sinne des DA
Daten im Sinne des DA sind nach Art. 2 Nr. 1 DA jede digitale Darstellung von Handlungen, Tatsachen oder Informationen sowie jede Zusammenstellung solcher Handlungen, Tatsachen oder Informationen auch in Form von Ton-, Bild- oder audiovisuellem Material. Weiter relevant sind im vorliegenden Kontext sog. „Metadaten″, die entsprechend Art. 2 Nr. 2 DA als „strukturierte Beschreibung der Inhalte oder der Nutzung von Daten, die das Auffinden eben jener Daten bzw. deren Verwendung erleichtert″ definiert sind.
Der Begriff der Daten im Sinne von Art. 2 Nr. 1 DA ist also durchaus weit gefasst. Anders als im Rahmen des Data Access by Design nach Art. 3 DA geht es auf den ersten Blick nicht lediglich um die Produktdaten, also nicht bloß um diejenigen Daten, „die durch die Nutzung eines vernetzten Produkts generiert werden und die der Hersteller so konzipiert hat, dass sie über einen elektronischen Kommunikationsdienst eine physische Verbindung oder einen geräteinternen Zugang von einem Nutzer, Dateninhaber oder Dritten […] abgerufen werden können″.
Dateninhaber und Einschränkung der Daten nach Art. 4 und 5 DA
Allerdings ist der Anspruch des Nutzers auf Datenzugang nach Art. 4 DA gegen den Dateninhaber gerichtet, also laut Art. 2 Nr. 13 DA die Person, die nach dem DA oder sonstigen europäischen oder nationalen Rechtsvorschriften „berechtigt oder verpflichtet ist, Daten – soweit vertraglich vereinbart, auch Produktdaten oder verbundene Dienstdaten – zu nutzen und bereitzustellen, die sie während der Erbringung eines verbundenen Dienstes abgerufen oder generiert hat″. Dieses beschränkt die Art der Daten, die nach Art. 4 DA erlangt oder nach Art. 5 DA weitergegeben werden können, entsprechend. Nach Art. 3 DA müssen vor allem Produkt- und Dienstdaten zugänglich gemacht werden. Darüber hinaus müssen die Daten, wie bereits erwähnt, nach diesen Normen „ohne Weiteres″ zugänglich sein. Es geht, wie sich weiter aus Erwägungsgrund 15 des DA ergibt, insofern überdies „nur″ um die sog. observed data, nicht aber um die abgeleiteten oder aggregierten Daten. Erforderlich ist daher ein Produktbezug. Im Kern geht es also um Rohdaten. – Art. 4 und 5 DA unterfallen daher etwa nicht Daten, die durch das Zusammenführen und Kombinieren verschiedener Sensorsignalen zu einem Gesamtbild entstehen (sog. Sensorfusion), zumindest dann nicht, wenn dieses nachgelagert geschieht. – Wo genau aber die Grenzen der von Art. 4 und Art. 5 DA erfassten Daten verlaufen werden, wird sich wahrscheinlich erst in Jahren herauskristallisiert haben.
Entgegenstehender Geheimnisschutz?
Aus Sicht des Dateninhabers führen die Art. 4 und Art. 5 DA nicht nur zu einem aus ihrer Sicht unliebsamen, vom Gesetzgeber aber gerade gewünschten Wettbewerb. Sie führen außerdem zu einem (auch aus Sicht des Gesetzgebers) bedenkenswerten Interessenkonflikt: Die besagten Daten von Fahrzeugen, Maschinen und sonstigen Systemen umfassen nämlich oftmals Geschäftsgeheimnisse der betroffenen Hersteller – sprich der Dateninhaber. So können sich in Livedaten etwa Kennkurven von Systemen, Performance-Merkmale oder andere geheimnisrelevante Maschinendaten finden. Des Weiteren können Daten erfasst sein, aus denen sich leicht auf besonders relevante Geheimnisse schließen lässt, z.B. weil sie ein Reverse Engineering gemäß § 3 Abs. Abs. 1 Nr. 2 GeschGehG ermöglichen. Wer etwa weiß, wie schnell ein Rotor einer Windenergieanlage einer bestimmten Größe sich bei bestimmten Windgeschwindigkeiten dreht und wieviel Strom erzeugt wird, und dazu sonstige Material- und Bewegungsparameter kennt, mag auf Wirkungsgrade, Kennkurven etc. schließen können.
Soweit Daten Geschäftsgeheimnisse darstellen oder diese „verkörpern″, sind sie aufgrund der Geschäftsgeheimnis-RL – in Deutschland mithin aufgrund des GeschGehG – geschützt. Und dieser Schutz wiederum ist kein Selbstzweck, sondern erfolgt zur Erfüllung völkerrechtlicher Pflichten nach Art. 39 GATT-TRIPS. Dementsprechend sehen Art. 4 DA in den Absätzen 6 – 7 und Art. 5 DA in den Absätzen 9 – 12 einen Geheimnisschutz vor, bis hin zur Möglichkeit den Datenzugang bzw. die Datenweitergabe im Einzelfall für „spezielle″ Daten grundsätzlich abzulehnen (Art. 4 Abs. 8 und Art. 5 Abs. 11 DA).
Insoweit gilt Folgendes:
Schranken zu Gunsten des Geheimnisschutzes nach dem DA
Der Dateninhaber kann insofern dem Verlangen des Nutzers, Daten zu erlangen bzw. an Dritte weiterleiten zu dürfen, entgegentreten, wenn ein Geschäftsgeheimnis vorliegt und der Geheimnisschutz anderweitig nach Maßgabe Art. 4 Abs. 7 und Art. 5 Abs. 10 DA nicht gewährleistet bzw. nach Art. 4 Abs. 8 und Art. 5 Abs. 11 DA unter außergewöhnlichen Umständen mit hoher Wahrscheinlichkeit mit schweren wirtschaftlichen Schäden zu rechnen wäre.
Geschäftsgeheimnisse im Sinne des DA
Ein Geschäftsgeheimnis liegt nach Art. 2 Nr. 18 DA vor, wenn es sich um ein Geschäftsgeheimnis im Sinne von Art. 2 Nr. 1 der EU-Geschäftsgeheimnis-Richtlinie handelt. Insofern ist es zunächst einmal von überragender Bedeutung, dass – wie im deutschen Recht in § 2 Nr. 1 GeschGehG umgesetzt – Informationen vorliegen, die (a) weder insgesamt noch in der genauen Anordnung und Zusammensetzung ihrer Bestandteile den Personen in den Kreisen, die üblicherweise mit dieser Art von Informationen umgehen, allgemein bekannt oder ohne Weiteres zugänglich und daher von wirtschaftlichem Wert sind, (b) Gegenstand von den Umständen nach angemessenen Geheimhaltungsmaßnahmen durch ihren rechtmäßigen Inhaber sind und (c) bei denen ein berechtigtes Interesse an der Geheimhaltung besteht. Das erfordert etwa, dass durch entsprechende Berechtigungskonzepte und technische Schutzmaßnahmen ausreichend für den Schutz der Informationen gesorgt wird, den Berechtigten adäquate Beschränkungen der Nutzung auferlegt sind und bei Zugriff Dritter auf die Informationen adäquate Geheimhaltungsverpflichtungen bestehen. Mitarbeiter sollten nur auf Need-to-Know-Basis Zugang zu den Informationen (Daten) haben. Haben hingegen mangels entsprechendem passwortgeschützten Berechtigungskonzepts Mitarbeiter weit über die Entwicklungsabteilung hinaus Zugriff auf bestimmte technische Informationen, wird man sich auf den Geschäftsgeheimnisschutz regelmäßig kaum berufen können.
Recht zur Verweigerung nach Art. 4 Abs. 7 und Art. 5 Abs. 10 DA
Ein Recht zur Verweigerung besteht, wenn die involvierten Parteien keine Einigung über erforderliche Maßnahmen erzielen konnten, diese nicht umgesetzt wurden oder die Vertraulichkeit verletzt wurde.
Keine Einigung über erforderliche Maßnahmen
Eine Verweigerung ist insofern zunächst einmal dann legitim, wenn die Parteien keine Einigkeit erzielen können, wie die Daten zu schützen sind und welche Maßnahmen hierfür zu ergreifen sind. Zu den naheliegenden Maßnahmen gehört es dabei nach dem Vorbesagten, dass sich der Datenzugang beim Nutzer auf den Personenkreis beschränkt, den diese Daten angehen (Need-to-Know-Basis), und dass diese Limitierung mit Blick auf den Personenkreis entsprechend vertraglich abgesichert wird. Auch Geheimhaltungsverpflichtungen können zu den erforderlichen Maßnahmen gehören. Erwägungsrund 31 des DA erwähnt überdiese bspw. die Verwendung von Mustervertragsklauseln, Vertraulichkeitsvereinbarungen, strengen Zugangsprotokollen, technischen Standards und die Anwendung von Verhaltenskodizes.
Keine Umsetzung der vereinbarten Maßnahmen
Selbst wenn sich die Parteien auf solche Maßnahmen verständigen konnten, kann der Dateninhaber den Zugang aber solange verweigern, bis der Schutz erreicht wird. Sind die zu ergreifenden Maßnahmen technisch aufwändig und komplex, wird dies die Erfüllung des Datenzugangsverlangens verzögern. Abzuwarten bleibt insofern, wem die Gerichte die Beweislast für die Umsetzung auferlegen. Art. 4 Abs. 7 und Art. 5 Abs. 10 DA sehen diese zwar zunächst beim Dateninhaber. Der hat mit Blick auf die Maßnahmen aber mitunter gar keine ausreichenden Einsichtsmöglichkeiten. Bis zu einem gewissen Grad dürfte die Beweislast im Rahmen der sog. sekundären Darlegungslast daher auch beim Nutzer bzw. Dritten liegen können.
Verletzung der Vertraulichkeit
Die Verletzung der Vertraulichkeit, sprich insbesondere die Geheimnisverletzung oder sonstige verbotene Handlungen im Sinne des § 4 GeschGehG, führen ebenfalls zu einem Ablehnungsrecht.
Zusätzliches Merkmal für die Weitergabe an Dritten: Erforderlichkeit für die Offenlegung für den zwischen dem Nutzer und dem Dritten vereinbarten Zweck
Zweifel dürften bestehen, ob das zusätzliche Merkmal nach Art. 5 Abs. 9 DA der Erforderlichkeit der Offenlegung für den zwischen dem Nutzer und dem Dritten vereinbarten Zweck wirklich eine Hürde für die Datenweiterleitung darstellt oder bei ausreichender Kreativität die Datenweitergabe gleichwohl ermöglicht. Streit scheint hier vorprogrammiert.
Recht zur Ablehnung bei außergewöhnlichen Umständen und hoher Wahrscheinlichkeit eines schweren wirtschaftlichen Schadens nach Art. 4 Abs. 8 und Art. 5 Abs. 11 DA
Selbst wenn von Nutzern und/oder Dritten ausreichende Maßnahmen zum Geheimnisschutz ergriffen werden, bleibt dem Dateninhaber dann ein Ablehnungsrecht nach Art. 4 Abs. 8 bzw. Art. 5 Abs. 11 DA, wenn ausnahmsweise mit hoher Wahrscheinlichkeit ein schwerer wirtschaftlicher Schaden droht. Laut Erwägungsgrund 31 des DA liegt ein schwerer wirtschaftlicher Schaden vor, wenn er mit schweren irreparablen wirtschaftlichen Verlusten einhergeht. Das Verweigerungsrecht im Ausnahmefall war im Gesetzgebungsverfahren heftig umstritten, die Erläuterung in den Erwägungsgründen stellt einen leider kaum aussagekräftigen Kompromiss dar. Insofern bleibt abzuwarten, welche Kriterien sich in der Praxis und Rechtsprechung herausbilden werden. Der Data Act nennt aber einige Faktoren, die eine Rolle spielen sollen, nämlich die Durchsetzbarkeit des Geschäftsgeheimnisschutzes in Drittländern (also nicht EU-Mitgliedsstaaten), die Art und der Vertraulichkeitsgrad der Daten und schließlich die „Einzigartigkeit und Neuartigkeit″ des vernetzten Produkts. Darüber hinaus nennt Erwägungsgrund 31 DA etwaige negative Auswirkungen auf die Cybersicherheit.
Kartellrechtliches Verbot des Informationsaustauschs
Tauschen Wettbewerber sensible Geschäftsinformationen aus, kann dies den Wettbewerb durch Kollusion beschränken und gegen das Kartellverbot in § 1 GWB bzw. Art. 101 AEUV verstoßen. Problematisch ist der Austausch von Informationen, die geeignet sind die Geschäftsstrategie der Wettbewerber zu beeinflussen. Erwägungsgrund 116 weist darauf hin, dass die Vorschriften des Data Acts nicht dazu verwendet dürfen, den Wettbewerb entgegen den Vorschriften des AEUV einzuschränken. Der Dateninhaber kann sich damit ggf. auch eine Competition Law Defense berufen.
Absehbare praktische Schwierig- bzw. Streitigkeiten
Bereits heute ist absehbar, dass es in Ansehung dieser Tatbestandsmerkmale zu veritablen Streitigkeiten kommen wird. Folgenden Aspekten dürfte dabei besondere Bedeutung zukommen:
- Nachweis Geschäftsgeheimnis: Um sich gegen den Datenzugriff zu wehren, muss der Dateninhaber zunächst darlegen und beweisen, dass die betroffenen Daten ein Geschäftsgeheimnis darstellen. Dabei wird man oftmals schon der Natur nach darüber streiten können, ob Geschäftsgeheimnisse vorliegen. So wird teils vertreten, dass Maschinendaten grundsätzlich keine Geschäftsgeheimnisse seien. Das ist aber zumindest in dieser Pauschalität unzutreffend. Zudem wird es dem Dateninhaber gar nicht leichtfallen, die genauen Maßnahmen nachzuweisen, die er zur Geheimhaltung ergriffen hat. Andersherum könnte der Streit um den Geheimnischarakter die Gewährung des Datenzugangs signifikant verzögern.
- Streit um erforderliche Maßnahmen und deren Umsetzung: Nicht selten werden die Parteien einen Disput darüber haben, welche Maßnahmen nun konkret erforderlich sind und ob diese bereits ausreichend umgesetzt werden.
- Unbestimmtheit des Merkmals eines „schweren wirtschaftlichen Schadens„: Wie bereits aufgezeigt ist es völlig unklar, wann ein schwerer wirtschaftlicher Schaden vorliegen soll. Die Erläuterung in Erwägungsgrund 31 des DA bringt hier kaum Klarheit.
Ausreichender Schutz des Geschäftsgeheimnisses?
Zwar sieht das Gesetz vor, dass ein Datenzugriff verweigert werden kann, wenn eine Vertraulichkeitsverletzung vorliegt. Allerdings steht zu befürchten, dass „das Kind dann bereits in den Brunnen gefallen ist″ bzw. ein Nachweis nur schwer möglich sein wird.
Das ist aus Sicht des entsprechenden Geräte- bzw. System- oder Diensteanbieters insbesondere deshalb problematisch, weil für die Weitergabe an Dritte so gut wie keine Hürden bestehen. Letztlich wird dieser immer Nutzer finden können, um mit diesen einen Zweck im Sinne des Art. 5 Abs. 10 DA zu vereinbaren. Wie bereits erwähnt, dürfte hierin keine unüberwindliche Hürde liegen. Dann aber wäre es an dem Inhaber, bei entsprechend vereinbarten Schutzmaßnahmen nachzuweisen, dass ein Dritter gegen die Vertraulichkeitsvereinbarung verstoßen hat. Außerdem wird es alles andere als leicht sein, darzulegen, dass der Dritte die Information zur Erstellung von Konkurrenzprodukten genutzt hat. Insofern hilft es in der Praxis mitunter wenig, dass sich Dritte nach Art. 9 Abs. 2 lit. c) DA eben für die Geheimhaltung verpflichten müssen.
Datenzugang und Geheimnisschutz – Das Risiko des Dateninhabers bleibt bestehen
Der Gesetzgeber hat den Konflikt zwischen Datenzugang und Geheimnisschutz zwar gesehen. Ob er ihn aber wirklich praxisfest umgesetzt hat, bleibt abzuwarten. Für den Dateninhaber besteht ein Zielkonflikt: Er muss den Verlust seiner „Kronjuwelen″ ebenso fürchten wie ein hohes Bußgeld (Art. 37 Abs. 5 lit. d), Art. 40 DA), wenn er seine Geheimhaltungsinteressen und die Voraussetzungen des Geheimnisschutzes falsch einschätzt und den Zugang rechtswidrig verweigert.
Mit unserer CMS Blog-Serie „#CMSdatalaw“ geben wir Ihnen einen Überblick über das Datenrecht wie z.B. den Data Act und den Data Governance Act. Sie können diese Blog-Serie über den RSS-Feed abonnieren und werden von uns über neue Beiträge informiert. In unserer Blog-Serie haben wir uns bereits beschäftigt mit Themen wie: Bedingungen für die Weiterverwendung von Daten im Besitz öffentlicher Stellen nach dem DGA,Disharmonie zwischen Data Act und DSGVOund Neues Mobilitätsdatengesetz: Zukunftstreiber im Mobilitätssektor. Den in unsere Blog-Serie einführenden Beitrag finden Sie hier. Besuchen Sie zum Datenrecht gern auch unsere CMS Insight-Seite „Data Law“.
* Gemeint sind Personen jeder Geschlechtsidentität. Um der leichteren Lesbarkeit willen wird im Beitrag die grammatikalisch männliche Form verwendet.
