19. April 2023
Über das Kontrollieren von Flaschengeistern
Am 17. März 2023 hat der Rat der Europäischen Union eine geänderte Version des Entwurfs des Data Acts veröffentlicht. Dieser beinhaltet u.a. Änderungen infolge der anhaltenden Diskussionen über Verhältnis der Freiheit der Nutzung von non-personal data zum Geschäftsgeheimnisschutz, ein im ersten Entwurf aus dem vergangenen Jahr recht stiefmütterlich behandeltes Thema.
Die Kommission hatte im Entwurf vom 22. Februar 2022 Rechte von Nutzern geschaffen, Zugang zu bekommen zu den bei der Nutzung von Produkten bzw. verbundenen Diensten erzeugten Daten, diese zu nutzen und auch an Dritte weitergeben zu dürfen, Art. 4 und 5 Data Act-E. Gleichzeitig sieht der Entwurf vor, dass Geschäftsgeheimnisse nur offengelegt werden, wenn alle besonderen Maßnahmen getroffen worden seien, die erforderlich sind, um die Vertraulichkeit der Geschäftsgeheimnisse insbesondere gegenüber Dritten zu wahren, Art. 4 (3) Data Act-E. Angesichts des Rechts zur Weitergabe hat der Dateninhaber im ersten Entwurf keine Möglichkeit, zur Sicherung des Geheimnisses dessen Weitergabe zu verbieten. Er kann allein Maßnahmen zur Wahrung der Vertraulichkeit vereinbaren, wobei er diese Vereinbarung zumindest unmittelbar mit dem Dritten treffen soll und insofern nicht auf eine Vertragskette angewiesen ist, Art. 5 (8) Data Act-E. Zum Schutz der Interessen des Dateninhabers befinden sich in beiden Bestimmungen auch Verbote, die Daten zur Entwicklung eines Produktes zu nutzen, das mit dem Produkt, von dem die Daten stammen, im Widerspruch stehen: In Bezug auf den Nutzer ist dies in Art. 4(4) und hinsichtlich des Dritten in Art. 6(2e) Data Act-E geregelt. Diese Schranken erstrecken sich aber nur auf die Entwicklung eines konkurrieren Produktes, hingegen nicht auf die Entwicklung eines „verbundenen Dienstes“. Letztere ist nicht nur ein peripheres Anhängsel, sondern sehr produktnah: Nach der Definition in Art. 2 Nr. 3 Data Act-E ist dies ein digitaler Dienst einschließlich Software, der so in ein Produkt integriert oder mit ihm verbunden ist, dass es ohne ihn eine seiner Funktionen nicht ausführen könnte. Diese Freiheit, einen „anschließenden“ Dienst zu entwickeln und anzubieten, der mit einem Dienst des Dateninhabers in Konkurrenz steht, ergibt sich aber nicht nur implizit aus der Beschränkung des Verbotes auf Produkte, sondern wird in Erwägungsgrund 28 explizit hervorgehoben. In unmittelbaren Anschluss befindet sich dann zunächst der lapidare Satz, dass Geschäftsgeheimnisse bei der Verarbeitung der Daten gewahrt werden, bevor ein Spannungsverhältnis zu dem Verbot der Verwendung der Daten für die Entwicklung eines konkurrierenden Produktes aufgebaut wird: immer noch in diesem Erwägungsgrund wird das Ziel der Verordnung unter anderem damit beschrieben, dass sie die Entwicklung neuer, innovativer Produkte fördere, „auch auf Grundlage von Daten aus einer Vielzahl von Produkten und verbundenen Diensten.“ Gleichzeitig sollen Investitionsanreize für den Produkttyp, von dem die Daten erlangt werden, nicht durch die Verwendung von Daten zur Entwicklung konkurrierender Produkte untergraben werden. Es gibt bei der Produktentwicklung sicher Fälle, in denen sich ein „konkurrierendes Produkt“ leicht und eindeutig von einem „neuen, innovativen Produkt“ klar abgrenzen lässt. Aber in der Mehrzahl der denkbaren Konstellationen werden sich hier sicher schwierige Fragen stellen, für deren Lösung klarere und weniger widersprüchliche Vorgaben wünschenswert wären.
Und zur festgestellten „Wahrung der Geschäftsgeheimnisse bei der Verarbeitung von Daten“: nun ja… der Definition in Art. 2 (1) der Geschäftsgeheimnisrichtlinie zufolge zeichnet sich der Geheimnischarakter dadurch aus, dass die entsprechenden Information weder in ihrer Gesamtheit noch in der genauen Anordnung und Zusammensetzung ihrer Bestandteile den Personen in den Kreisen, die üblicherweise mit dieser Art von Informationen umgehen, allgemein bekannt oder ohne weiteres zugänglich sind. Eine auch nur halbwegs plausible Antwort darauf, wie sich ein Geheimnischarakter perspektivisch aufrecht erhalten lassen soll, wenn der Data Act dafür sorgt, dass die zugrundeliegenden Information eben nicht nur einem beschränkten Kreis von Personen bekannt ist, lässt der EU-Gesetzgeber bislang vermissen. Die Zugangs- und Weitergaberechte ermöglichen es, die Information mit jedem zu teilen, solange dieser nur verspricht, es selbstverständlich vertraulich zu behandeln. Geheim im Sinne von „der Allgemeinheit unbekannt“ ist die Information dann aber gerade nicht mehr: Der Geist ist dann vielleicht nicht offen aus der Flasche, Da er sich aber in letztlich jeder Flasche befinden kann, ist der praktische Unterschied nicht so groß. Sabine Grapentin hat in einem lesenswerten Beitrag in RDI 2023, 173 aufgezeigt, dass der regulatorische Ansatz viele weitere Ungereimtheiten und Unwägbarkeiten enthält.
Der Rat hat nun am 17. März 2023 einen überarbeiteten Vorschlag als Grundlage für die Gespräche mit dem Parlament vorgelegt, in dem weitere Überlegungen eingeflossen sind zum Ausgleich der offensichtlich widerstrebenden Interessen zwischen dem regulatorischen Ansatz, das faire Teilen von Daten zu fördern, und den Geschäftsgeheimnisschutz zu wahren. Der Rat schlägt u.a. weitere Änderungen des Erwägungsgrundes 28a vor, der eine Vielzahl von Details zur Konkretisierung der Anforderungen an die Wahrung der Vertraulichkeit enthält. Die betrifft insbesondere Risiken bei der grenzüberschreitenden Weitergabe von Daten und dem hinreichenden Schutz im dortigen Land. Zudem gibt es eine Möglichkeit, in Ausnahmefällen eine Offenbarung der Geschäftsgeheimnisse zu verweigern, wenn der Dateninhaber darlegen kann, dass die Offenbarung höchstwahrscheinlich zu einem ernsthaften Schaden führt. Letzter umfasst erhebliche wirtschaftliche Verluste, die die Lebensfähigkeit des Unternehmens gefährden oder ein Insolvenzrisiko bedeuten, was der Dateninhaber allerdings im Detail und unverzüglich schriftlich darlegen muss.
Auch wenn die Zahl der Worte deutlich gestiegen ist, ihr praktisches Gewicht bleibt übersichtlich: Der Dateninhaber wird immer noch weitgehend darauf verwiesen, Maßnahmen zur Wahrung der Vertraulichkeit zu fordern, zu spezifizieren und zu verschärfen. Nach der vorgeschlagenen Regelung dürfen entsprechende Auflagen allerdings nicht auch die Einhaltung und Kontrolle des Verbotes umfassen, kein konkurrierendes Produkt zu schaffen. Der Entwurf stellt durch die Regelung in Art. 4 (1a) Data Act-E klar, dass eine zusätzliche vertragliche Auflage keine bindende Wirkung entfalten würde. Bleibt es in der endgültigen Fassung des Data Act hierbei, wäre dies eine bewusste, offensichtliche Lücke der Wahrung des Geschäftsgeheimnisschutzes.
Verstößt der Dritte gegen die vereinbarte Vertraulichkeit oder das gesetzliche Verwendungsverbot, muss ihn der Dateninhaber auf Unterlassung und Schadensersatz verklagen. Hierfür kann man den Dateninhabern nur viel Glück wünschen. Die Anforderungen an die Darlegungs- und Beweislast obliegen Ihnen weiterhin in vollem Umfang und betreffen eben Interna des Datenempfängers, über die sie per se keine Kenntnis und zu denen sie keinen Zugang haben. Bei grenzüberschreitenden Weitergaben in nicht EU-Länder wird zudem nach obergerichtlicher Rechtsprechung in Deutschland keine internationale Zuständigkeit deutscher Gerichte bestehen. Betroffene Unternehmen dürften in derartigen Konstellationen daher ein reges Interesse an den aktuellen Kontaktdaten von Ethan Hunt entwickeln.
Es ist zu befürchten, dass der EU-Gesetzgeber sein Vorhaben trotz der erkannten und ja nun auch rege diskutierten Unzulänglichkeiten dennoch auf den Weg bringen wird, auch ohne eine genauere plausible Lösung des Dilemmas. Den Rest sollen dann bitte die Gerichte klären. Diese werden aber offensichtlich damit überfordert sein und es wird bestenfalls Jahre der Unsicherheit durch fehlende und widersprechende Entscheidungen nationaler Gerichte und eine erhebliche Verzögerung einer Harmonisierung durch Entscheidungen des EuGH geben – wie das Beispiel des Geschäftsgeheimnisschutzes leider belegt.
Unternehmen, die entsprechende Bedenken haben, sich vor allem auch damit beschäftigen, auf rein praktischer Ebene Konzepte zur Erfassung und Speicherung von Daten zu entwickeln und umzusetzen, die allein die Daten der konkreten Nutzung im engeren Sinne umfassen und diese gesondert zu erfassen. Weitere Daten, die Rückschlüsse auf Eigenschaften des Produktes erlauben, bei dessen Nutzung sie erhoben werden, sollten getrennt erfasst und gespeichert werden. „Gemischte“ Datensätze sollten nach Möglichkeit vermieden werden. Entsprechende Diskussionen in der Praxis haben vermutlich dazu geführt, dass sich im Vorschlag vom 17. März 2023 auch Vorgaben über die Herausgabe von Meta-Daten befinden, die notwendig sind, um die Daten zu interpretieren und zu nutzen. Auch wenn die Abgrenzung hier vermutlich nicht immer einfach sein dürfte, gibt eine getrennte Erfassung Argumentationsspielraum, eine Beschränkung der Herausgabe auf die Daten der Nutzung im engeren Sinne plausibel zu begründen.
Stay tuned.
