Data Act und DSGVO: Wie Geschäftsgeheimnisse zu schützen sind
- 20.08.2024
- Lesezeit 5 Minuten
Am 12. September 2025 findet der Anfang 2024 in Kraft getretene Data Act der EU (VO (EU) 2023/2854) unmittelbar Anwendung. Der Data Act hat es als Teil der europäischen Datenstrategie zum Ziel, den Zugang und die Nutzung von Daten zu erleichtern. Gleichzeitig sollen Anreize geschaffen werden, in die Wertschöpfung aus Daten zu investieren.
Für Unternehmen, insbesondere Hersteller vernetzter Geräte (IoT-Produkte), die in der EU vertrieben werden, ergeben sich dadurch eine Reihe rechtlicher Problemfelder. Geschäftsgeheimnisse könnten kompromittiert werden. Rechtsunsicherheiten drohen unter anderem in Bezug auf die vorrangigen Regelungen der DSGVO. Die Umsetzung der Anforderungen des Data Act erfordert zudem einigen Aufwand. Daher gilt: Auch wenn vermeintlich noch ein Jahr Zeit bleibt – die richtige Zeit für die Vorbereitung auf den Data Act ist jetzt.
Zugangsanspruch und Access by Design
Der Data Act verfolgt einen zweistufigen Ansatz. Im zweiten Kapitel sind die grundlegenden Voraussetzungen des Zugangs zu Daten und deren Nutzung geregelt. Die darauffolgenden Kapitel enthalten Regelungen zu den Modalitäten des Zugangs.
Im Grundsatz geht der Data Act vom Nutzer eines IoT-Produkts aus; diesem sollen die von dem IoT-Produkt erzeugten Daten direkt zugänglich sein. Dieser Zugang bedingt eine Pflicht für Hersteller, IoT-Produkte so zu konstruieren, dass der Zugang möglich ist („Access by Design“): sei es über eine Schnittstelle am Produkt, eine App oder andere technische Lösungen, die dem Nutzer „ohne Weiteres verfügbare Daten“ (das heißt ohne unverhältnismäßigen Aufwand) auf anderem Wege in einem gängigen maschinenlesbaren Format kostenlos zugänglich machen. Letzteres bildet rechtlich einen durchsetzbaren Anspruch des Nutzers. Die technische Umsetzung dieser Vorgaben hat Einfluss auf den rechtlichen Schutz von Geschäftsgeheimnissen des Herstellers.
Daneben kann der Nutzer vom Dateninhaber verlangen, die Daten einem Dritten in der gleichen Form wie dem Nutzer zugänglich zu machen. Welche Befugnisse zur Nutzung der Daten der Dritte erhält, wird dabei durch eine Vereinbarung mit dem Nutzer festgelegt. Die weiteren Einzelheiten der Datenbereitstellung und -nutzung sollen nach der Konzeption des Data Act in einem Vertrag zwischen Dateninhaber und Datenempfänger geregelt werden. Daneben steht ein gesetzlicher Pflichtenkatalog, der weitere Grenzen der Datennutzung durch Dritte vorsieht. Allein das Wissen um ein in den Daten gegebenenfalls enthaltenes oder daraus ableitbares Geschäftsgeheimnis kann einem Konkurrenten des Herstellers beziehungsweise Dateninhabers aber nutzen. Der Data Act verbietet Nutzern und Dritten zwar die Verwendung von IoT-Daten zur Entwicklung eines Konkurrenzprodukts, angesichts der zu erwartenden Beweisschwierigkeiten im Einzelfall steht aber zu befürchten, dass dieses Verbot oftmals praktisch ins Leere läuft.
Zwar bezieht sich der Anspruch auf Zugang zu den Daten oder auf deren Weitergabe an Dritte in erster Linie auf Rohdaten und nicht auf erheblich modifizierte Daten, es liegt aber auf der Hand, dass auch Rohdaten aus IoT-Geräten Geschäftsgeheimnisse sein oder beinhalten können, zumal sie oftmals produktbezogene Daten enthalten.
Schutz von Geschäftsgeheimnissen
Zum Schutz von Geschäftsgeheimnissen im Rahmen des Data Act müssen sich Hersteller nicht nur der Natur von Geschäftsgeheimnissen nach dem GeschGehG bewusst sein, sondern auch der gegebenenfalls. nach dem Data Act erforderlichen zusätzlichen Schritte.
Zunächst obliegt es dem Inhaber eines Geschäftsgeheimnisses, selbiges zu identifizieren, wobei der Data Act keine Vorgaben macht, wie konkret dies erfolgen muss. Es wird nicht genügen, eine Information schlicht als Geschäftsgeheimnis zu deklarieren, zumal das GeschGehG dies nicht genügen lässt, andererseits dürfen die Maßstäbe auch nicht zu hoch angelegt werden. Eine rechtliche Prüfung im Einzelfall bleibt unerlässlich.
Der Data Act eröffnet bei Vorliegen von Geschäftsgeheimnissen die Möglichkeit, die Gewährung des Zugangs von vorgelagerten „erforderlichen“ Schutzmaßnahmen abhängig zu machen. Zu diesem Zweck sollen der Nutzer und der Dateninhaber eine Vereinbarung abschließen, die den Nutzer zur Einhaltung angemessener technischer und organisatorischer Maßnahmen verpflichtet. Je nach Einzelfall können das beispielsweise Vertraulichkeitsklauseln, Zugangsbeschränkungen oder technische Normen sein. Auch hier ist eine rechtlich passende Gestaltung im Einzelfall notwendig. Bis zum Abschluss einer solchen Vereinbarung kann der Zugang zu den Daten verweigert werden. Scheitern die Verhandlungen, kann ein endgültiges Recht zur Verweigerung des Zugangs folgen, gleichermaßen wenn der Nutzer gegen vereinbarte Schutzmaßnahmen verstößt. Eine endgültige Zugangsverweigerung muss dann jedoch dem Nutzer schriftlich mitgeteilt und (nicht nur pauschal) begründet werden. Zusätzlich ist eine Mitteilung an nationale Aufsichtsbehörden erforderlich, die ebenfalls substanziiert sein muss.
Eine weitere Möglichkeit, den Zugang zu verweigern, sieht der Data Act vor, wenn der Dateninhaber anhand objektiver Tatsachen darlegen kann, dass ihm durch eine Offenlegung mit hoher Wahrscheinlichkeit ein irreparabler wirtschaftlicher Schaden droht. Die Anforderungen an die Darlegung eines entsprechenden, konkret drohenden Schadens werden in den Begründungserwägungen sehr hoch angesetzt, sodass bezweifelt werden darf, ob dieser Weg der Zugangsverweigerung praktisch erhebliche Relevanz erlangt. Die Schwelle der Darlegung solch schwerwiegender Schäden erscheint sehr hoch und es ist erstaunlich, dass der Gesetzgeber in Kauf nimmt, dass dem Dateninhaber gewisse Schäden entstehen.
Hinsichtlich der Weitergabe der Daten an Dritte gibt es grundsätzlich gleichlaufende Einwendungsmöglichkeiten. Hier kann der Datenzugang aber im Einzelfall so weit beschränkt werden, wie dieser für die Erreichung der zwischen Nutzer und Drittem vereinbarten Ziele erforderlich ist. Denkbar sind zum Beispiel Reparatur-, Wartungs- oder Komplementärleistungen zum IoT-Produkt, die nur Zugang des Dritten zu ganz bestimmten Daten erfordern. Da der Hersteller oder Dateninhaber aber keinen Einfluss auf die vertraglichen Vereinbarungen zwischen Produktnutzer und Dritten hat, darf hinterfragt werden, wie effektiv diese Einwendung sein wird.
Spannungsfeld zur DSGVO
Schließlich bleibt zu beachten, dass die DSGVO unberührt bleibt. Die Zugangsrechte aus dem Data Act erstrecken sich also nicht ohne Weiteres auf personenbezogene Daten und die datenschutzrechtlichen Vorgaben können Datenzugangsrechte einschränken. Insofern ist es für Hersteller von IoT-Produkten als datenschutzrechtlich Verantwortliche unerlässlich, sorgfältig zu prüfen, inwieweit personenbezogene Daten betroffen sein können und welche Risiken und Möglichkeiten sich aus dem Vorrang der DSGVO ergeben.