Am 11. Januar 2024 ist nach mehrjährigem Gesetzgebungsprozess der Data Act in Kraft getreten. Diese unmittelbar in allen EU-Mitgliedsstaaten geltende EU-Verordnung soll insbesondere den Zugang zu und die Nutzung von solchen Daten regeln, die bei der Nutzung vernetzter Produkte und damit verbundener Dienste generiert werden. Hierunter fallen z.B. IoT-Devices und „intelligente Fahrzeuge“ sowie weitere Systeme mit eingebetteten Softwarelösungen, die datengenerierende Sensoren oder Systeme enthalten. Die Nutzer, die bei der Nutzung solcher Geräte Daten generieren, sollen diese künftig an sich oder an Dritte herausverlangen können, soweit sie nicht nach dem Prinzip des Access by Design gar schon bereitzustellen sind. In welchem Umfang diese Datenzugangs- und -weitergabeansprüche bestehen und inwieweit die damit verbundenen Herausgabepflichten zur Gefahr für Geschäftsgeheimnisse der Dateninhaber, beispielsweise in Person der Produkthersteller, werden können, lesen Sie in diesem Beitrag.

Beabsichtigtes Ziel des Data Acts: Der Nutzer als „Herr seiner Daten“

Mit den Regelungen des Data Acts sollen generierte Daten laut der Vorstellung des europäischen Gesetzgebers zum Nutzen der Gesellschaft und der Marktwirtschaft optimal zugänglich gemacht werden können. Beispielsweise soll der Nutzer grundsätzlich die Möglichkeit haben, hinsichtlich seines IoT-Devices anstatt den Hersteller auch einen Dritten mit der Wartung beauftragen zu können. Der Hersteller muss die für die Wartung notwendigen Daten dann auf Verlangen des Nutzers an den Dritten weitergeben. – Im KfZ-Sektor kennt man Ähnliches bereits aus einer EU-Verordnung, die zu Gunsten unabhängiger Werkstätten und sonstiger Markteilnehmer einen uneingeschränkten und standardisierten Zugang zu Reparatur- und Wartungsinformationen fordert.

Der Nutzer hingegen, der die Daten bei der Nutzung eines vernetzten Produkts oder damit verbundenen Dienstes generiert, soll künftig entscheiden können, in welchem Umfang und zu welchen Zwecken nicht-personenbezogen Daten von wem verwendet werden sollen bzw. verwendet werden dürfen. Er kann eine Nutzung solcher Daten durch den Hersteller sogar vollständig ausschließen. Eine Nutzung durch den Hersteller des Produkts, den Anbieter des Dienstes oder gar einen Dritten erfordert dann eine Rechteeinräumung durch eine sog. Datenlizenz. Gar eines Verlangens des Nutzers bedarf es für die Weitergabe nicht-personen- wie personenbezogener Daten an Dritte.

Datenzugangs- und Datenweitergabeansprüche nach dem Data Act

Der Data Act enthält Datenzugangs- und Datenweitergabeansprüche des Nutzers gegen den Dateninhaber. Dateninhaber ist derjenige, der nach Data Act oder sonstigen Gesetzen berechtigt oder verpflichtet ist, Daten zu nutzen und bereitzustellen, die er während der Erbringung eines verbundenen Dienstes abgerufen oder generiert hat. Dies dürfte vor allem oder gar nur der Anbieter eines sog. verbundenen Dienstes sein, wenn ihm der Nutzer eine entsprechende Datenlizenz erteilt hat. Zu nennen sind hier z.B. Anbieter von für das Produkt notwendigen Apps oder Softwareservices, die wiederum regelmäßig mit dem Produkthersteller in persona zusammenfallen dürften.

Der Nutzer kann entweder Herausgabe der Daten an sich selbst oder – wie in dem einleitenden Wartungsbeispiel oder beispielweise auch für Analysezwecke – die Weitergabe der Daten an Dritte verlangen. Umfasst sind solche Daten, die bei der Nutzung generiert werden, mithin solche, die absichtlich aufgezeichnet oder indirekt durch Nutzerhandlungen generiert wurden, nicht aber etwa solche Daten, die durch das Zusammenführen und Kombinieren verschiedener Sensorsignale zu einem Gesamtbild (etwa bei der Sensorfusion) entstehen. Wo genau hier die Grenzen verlaufen, wird sich in der Praxis erst noch zeigen müssen. Die generierten Daten müssen sowohl beim Herausgabeanspruch an den Nutzer als auch beim Weitergabeanspruch an einen Dritten samt der zur Auslegung und Nutzung der Daten erforderlichen Metadaten unverzüglich, einfach, sicher, unentgeltlich, in einem umfassenden, gängigen und maschinenlesbaren Format und – falls relevant und technisch durchführbar – in der gleichen Qualität wie für den Dateninhaber kontinuierlich und in Echtzeit bereitgestellt werden.

Es besteht also ein Anspruch des Nutzers und die damit einhergehende Pflicht des Dateninhabers zur umfassenden Heraus- oder Weitergabe der bei der Nutzung generierten Daten.

Datenzugang vs. Geschäftsgeheimnisschutz

Solche Daten können aber auch Geschäftsgeheimnisse des Dateninhabers enthalten, z.B. (mittelbar) in Form von Kennkurven von Systemen, Performance-Merkmalen oder sonstigen geheimnisrelevanten Maschinendaten, oder zumindest Rückschlüsse auf solche erleichtern, insbesondere durch die Ermöglichung von Reverse Engineering. Geschäftsgeheimnisse liegen dabei (nur) vor, wenn sie (1) nicht allgemein bekannt oder ohne Weiteres zugänglich und daher von wirtschaftlichem Wert sowie (2) Gegenstand angemessener Geheimhaltungsmaßnahmen sind und (3) ein berechtigtes Interesse an ihrer Geheimhaltung besteht. Insbesondere die ersten beiden Punkte weisen ein gewisses Konfliktpotenzial mit den umfangreichen Datenzugangsansprüchen nach dem Data Act auf.

Dies hat der Gesetzgeber jedoch gesehen und zumindest gewisse Regelungen zum Geheimnisschutz in den Data Act aufgenommen: So werden Geschäftsgeheimnisse nur dann offenzulegen oder weiterzugeben sein, wenn zwischen Dateninhaber und Datenempfänger – sei es der Nutzer selbst oder ein Dritter – angemessene Schutzmaßnahmen vereinbart und vom Datenempfänger auch eingehalten werden. Der Dateninhaber hat mit Blick auf die Datenzugangs- und -weitergabeansprüche ein Verweigerungsrecht, wenn eine solche Einigung auf angemessene Schutzmaßnahmen nicht zustande kommt, die vereinbarten Maßnahmen nicht umgesetzt werden oder die Vertraulichkeit verletzt wurde. Die Daten dürfen auch nicht ohne Weiteres an Dritte weitergeben werden. Der Kreis derjenigen, die Zugang haben, bleibt insofern begrenzt. Allerdings ist dem Dateninhaber (und Geschäftsgeheimnisinhaber) bei einem entsprechenden Verlangen des Nutzers durch den Data Act in der Regel die Entscheidung genommen, ob und welchen Nutzern und Dritten geheimnisbedürftige Daten zugänglich gemacht werden.

Nur ganz ausnahmsweise kann er die Datenherausgabe ganz ablehnen, nämlich wenn ihm mit hoher Wahrscheinlichkeit ein schwerer wirtschaftlicher Schaden, also ein schwerer irreparabler wirtschaftlicher Verlust, droht. Wann aber genau das der Fall ist, ist nach der Verordnung relativ offen.

Möglicherweise kein ausreichender Schutz von Geschäftsgeheimnissen

Einen wirksamen Schutz von Geschäftsgeheimnissen bringen diese Regelungen nicht. Nicht nur, dass unklar ist, wann ein „schwerer wirtschaftlicher Schaden“ vorliegt. Ist ein solcher Ausnahmefall nicht darlegbar, dürften die Schutzmaßnahmen insbesondere bei einer Vielzahl von Datenempfängern an praktische Grenzen stoßen. Es wird nämlich kaum darzulegen sein, wer die Schutzmaßnahmen beim weitergehenden Abfluss von Know-how ggf. verletzt hat. Hier hilft es dann auch nicht viel, dass nach dem Data Act erlangte Daten nicht genutzt werden dürfen, um ein Konkurrenzprodukt zu dem Produkt herzustellen.

Überdies sieht der Data Act für den Hersteller von vernetzten Produkten und die Anbieter verbundener Dienste mit Blick auf Produktdaten und sog. verbundene Dienstdaten eine Verpflichtung zur entsprechenden datenoffenen technischen Gestaltung (sog. Data Access by Design) vor, für die unklar ist, ob die Verweigerungsrechte zum Schutz von Geschäftsgeheimnissen entsprechend gelten bzw. zumindest wie entsprechende Maßnahmen dem Kunden auferlegt werden können.

Elementar bleibt aber so oder so, dass für die betroffenen Daten überhaupt deren oben dargelegter Geheimnischarakter aufgezeigt und bewiesen werden kann.

Fazit und Ausblick

Der Geheimnisschutz gewisser Daten steht mit dem Data Act auf der Kippe. Umso wichtiger ist es für Dateninhaber, sich Gedanken zu machen, welche Daten besonders wertvoll sind und wie sie geschützt sind. Gibt es in letzterem Punkt Defizite, werden Daten herauszugeben sein. Hier sollten Daten- bzw. Geheimnisinhaber jetzt also zunächst einmal ihre Hausaufgaben machen, bevor sie sich um sonstige Abwehrstrategien in Form von besonderen Geheimnisschutzmaßnahmen und Argumenten gegen den Datenzugang kümmern.