Der EU Data Act – Teil 2

Der Data Act ist ein zentraler Bestandteil der europäischen Datenstrategie und soll den Zugang sowie die Nutzung von Daten bei IoT-Produkten/-Diensten erleichtern – siehe Teil 1 dieser Artikel-Serie. 

Die Regelungen des Data Act betreffen nicht nur die US Tech-Großkonzerne, sondern werden sich auf viele deutsche Unternehmen auswirken, die Daten verarbeiten. Auch Hersteller von intelligenten Maschinen, Küchengeräten, Fitness-Tracker-Uhren, selbstfahrenden Autos und Haussicherheitssystemen wie auch von medizinischen Geräten sind betroffen. Für diese wird der Anspruch auf Zugang zu den Daten zukünftig eine zentrale Rolle spielen.

Nach Artikel 4 Absatz 1 des Data Acts sind Dateninhaber – wie Hersteller oder Diensteanbieter – verpflichtet, den Nutzern ihre Daten auf einfache, sichere und unentgeltliche Weise und ohne unnötige Verzögerung zur Verfügung zu stellen. Diese Daten müssen in einem gängigen, maschinenlesbaren Format bereitgestellt werden und, wenn möglich, in der gleichen Qualität wie für den Dateninhaber selbst.

Darüber hinaus räumt Artikel 5 des Data Acts dem Nutzer unter bestimmten Bedingungen das Recht ein, diese Daten an Dritte weiterzugeben. Dies stellt jedoch ein Risiko dar, da Wettbewerber Zugang zu diesen Daten erhalten und sie zu ihrem eigenen Vorteil nutzen könnten. Ein weiteres Problem: Der Anbieter bzw. Dateninhaber hat keine Kontrolle darüber, wem er den Zugang zu seinen generierten Daten gewährt, was zusätzliche Herausforderungen mit sich bringt.

Doch wie lässt sich dieses mit dem Schutz von Geschäftsgeheimnissen vereinbaren? Sind diese in Gefahr durch den Data Act ausgehöhlt zu werden? Oder gibt der Data Act, von einer anderen Perspektive aus betrachtet, eine weitere Möglichkeit einer Beschränkung des Datenzugangsanspruches?

Ein direktes Auskunftsrecht des Nutzers ist grundsätzlich vorgesehen, auch wenn es sich bei den Daten um Geschäftsgeheimnisse handelt. Die Weitergabe an Dritte ist jedoch eingeschränkt und mit weiteren Erschwernissen verbunden: Die Daten, die Geschäftsgeheimnisse enthalten, dürfen nur insoweit an Dritte weitergegeben werden, als dies für den zwischen dem Nutzer und dem Dritten „vereinbarten Zweck“ „unbedingt erforderlich“ ist. Der Daten- und Geheimnisinhaber kann mit dem Dritten zudem notwendige Maßnahmen zur Wahrung ihrer Vertraulichkeit vereinbaren, unter anderem durch die Verwendung von Mustervertragsklauseln, Vertraulichkeitsvereinbarungen, strengen Zugangsprotokollen, technischen Standards und der Anwendung von Verhaltenskodizes. Eingeschränkt wird dieses Datenzugangsrecht gegenüber Dritten, wenn dieser den Abschluss einer solchen Vereinbarung verweigert oder nicht umsetzt. Eine weitere Einschränkung ist vorgesehen, falls dem Dateninhaber aufgrund konkreter Erkenntnisse mit hoher Wahrscheinlichkeit ein schwerer wirtschaftlicher Schaden droht. Hier empfiehlt sich in der Praxis eine Abwägung im Einzelfall.

Eine vollständige Flucht vor der Auskunftspflicht durch den Schutz von Geschäftsgeheimnissen ist nur eingeschränkt möglich. In der Praxis wird der Nachweis eine zentrale Rolle spielen – Unternehmen müssen vor allem belegen können, dass tatsächlich ein Geschäftsgeheimnis vorliegt und welche konkreten Maßnahmen zur Geheimhaltung getroffen wurden.

Der Data Act verlangt von Unternehmen, sich intensiv mit dem eigenen Daten- und Geschäftsgeheimnismanagement auseinanderzusetzen, um Bußgelder zu vermeiden und Geschäftsgeheimnisse zu wahren. Dies schließt die rechtskonforme Umsetzung mit ein, die die verschiedensten rechtlichen Fachbereiche umfasst, insbesondere im Vertragsrecht, IT-Recht, Datenschutzrecht, Wettbewerbsrecht und Geheimnisschutzrecht. Unternehmen sind nun gefordert, ihre Prozesse entsprechend anzupassen, um den neuen Anforderungen gerecht zu werden.

Autorin: Luise Klufmöller LL.M. (Rechtsanwältin | Fachanwältin für Urheber- und Medienrecht | Fachanwältin für gewerblichen Rechtsschutz)