Der Zugriff auf Daten nach dem Entwurf des Data Act: Vertrauen ist gut ... aber auch gut genug?

Am 28. Juni 2023 hat die EU-Kommission die politische Einigung begrüßt, welche die Verhandlungsführer der EU-Mitgliedstaaten und des Europäischen Parlaments zum EU Data Act erzielt haben.

Einer der wichtigsten zuletzt offenen Aspekte war die richtige Balance zu finden - zwischen einerseits dem zu schaffenden Recht der Nutzer, von den Dateninhabern Zugang zu Produkt- und Dienstleistungsdaten verlangen zu können und diese nutzen und Dritten zur Nutzung überlassen zu dürfen, und dem Interesse der Dateninhaber andererseits, ihre in diesen Daten ggf. enthaltenen Geschäftsgeheimnisse zu schützen. Die Waagschale hat sich zugunsten der Nutzer gesenkt - oder genauer gesagt zugunsten derjenigen, die über diese Nutzer Daten für ihre kommerziellen Zwecke sammeln wollen, um Innovation und Wettbewerb zu fördern.

Der durch den Data Act vorgesehene Prozess beginnt mit der Verpflichtung, vernetzte Produkte und damit verbundene Dienstleistungen so zu gestalten und herzustellen, dass Produktdaten und damit verbundene Dienstleistungsdaten einschließlich der relevanten Metadaten, die zur Interpretation und Nutzung der Daten erforderlich sind, für den Nutzer direkt zugänglich sind, Art. 3. Ist ein direkter Zugriff vom Produkt auf die Daten nicht gegeben, stellen die Dateninhaber sie auf das Verlangen des Nutzers hin zur Verfügung: Unverzüglich, kostenlos und gegebenenfalls kontinuierlich sowie in Echtzeit, in einem vollständigen, strukturierten, allgemein gebräuchlichen und maschinenlesbaren Format, und, soweit dies sachdienlich und technisch möglich ist, in der gleichen Qualität, wie sie dem Dateninhaber zur Verfügung steht, Art. 4 (1). So weit, so gut.

Art. 4 (3) bestimmt Regeln für den Fall, dass diese Daten Geschäftsgeheimnisse enthalten: Der Dateninhaber kann vor ihrer Weitergabe verlangen, dass der Nutzer alle "erforderlichen Maßnahmen zur Wahrung ihrer Vertraulichkeit" ergreift. Diese umfassen Geheimhaltungsverpflichtungen und „verhältnismäßige technische und organisatorische Maßnahmen", um die Vertraulichkeit der geteilten Daten zu wahren, insbesondere gegenüber Dritten. Neben vertraglichen Regelungen erwähnt der Data Act hier strenge Zugangsprotokolle, technische Standards und die Anwendung von Verhaltenskodizes. Können sich die Parteien nicht einigen, setzt der Nutzer die vereinbarten Maßnahmen nicht um oder untergräbt er die Vertraulichkeit der Geschäftsgeheimnisse, kann der Dateninhaber das Teilen der als Geschäftsgeheimnisse identifizierten Daten verweigern oder aussetzen. Er muss den Nutzer dann unverzüglich schriftlich über seine ordnungsgemäß zu begründende Entscheidung informieren, Art. 4 (3a). Sollte der Nutzer auf seinem Verlangen bestehen, kann er rechtliche Schritte einleiten oder eine Beschwerde bei der zuständigen nationalen Behörde einreichen. Die Einzelheiten des Verfahrens hierzu müssen im Zuge der Umsetzung noch festgelegt werden. Grundsätzlich kann der Dateninhaber die Offenlegung von Geschäftsgeheimnissen nur in Ausnahmefällen gemäß Art. 4 (3b) verhindern. Er muss nachweisen, dass trotz der vom Nutzer getroffenen technischen und organisatorischen Maßnahmen eine hohe Wahrscheinlichkeit besteht, dass ihm durch die Preisgabe von Geschäftsgeheimnissen ein schwerer wirtschaftlicher Schaden entsteht. Dieser Nachweis muss hinreichend begründet sein und sich auf objektive Elemente stützen, insbesondere auf die Durchsetzbarkeit des Schutzes von Geschäftsgeheimnissen in Drittländern, die Art und den Grad der Vertraulichkeit der angeforderten Daten sowie die Einzigartigkeit und Neuartigkeit des Produkts, und er muss schriftlich und ohne unnötige Verzögerung vorgelegt werden. In allen anderen Fällen sind die Dateninhaber verpflichtet, den Nutzern Zugang zu den von ihren Produkten und Diensten erzeugten Daten zu gewähren so dass sie diese nutzen und an Dritte weitergeben können.

Die Hoffnung und die Bemühungen der Industrie, das Verhältnis von Regel und Ausnahme in Bezug auf Geschäftsgeheimnisse umzukehren, haben sich zerschlagen und sind gescheitert. Einige Gedanken zum aktuellen Ergebnis:

Die philosophische Seite des Unbekannten

Die nach dem Data Act möglichen Maßnahmen sollen dazu beitragen, die Vertraulichkeit eines Geschäftsgeheimnisses zu wahren, also zu verhindern, dass es durch Offenlegung seinen Wert verliert. Die Verhinderung der Offenlegung ist sicherlich ein wesentlicher Aspekt, um das Gesamtkonzept überhaupt zu erklären und zu rechtfertigen. Dennoch berührt es den Kern des Eigentums und das Wesen eines Geheimnisses: Die Pflicht, „den Mund zu halten“, ist ein Schutz der zweiten Ebene, der den Inhaber davor schützt, das Geheimnis und den darin verkörperten Wert durch ein Bekanntwerden in der Öffentlichkeit vollständig zu verlieren. Der Hauptgrund für diese Pflicht besteht jedoch darin, dass ihr Inhalt eben nicht jedem bekannt ist. Erst vor sieben Jahren definierte der EU-Gesetzgeber in seiner Geschäftsgeheimnis-Richtlinie 2016/943 vom 8. Juni 2016 ein Geheimnis anhand der Anforderungen in Art. 2 Abs. 1. Es sind Informationen, die weder allgemein bekannt oder ohne weiteres zugänglich sind, von kommerziellem Wert, weil sie geheim sind und Gegenstand angemessener Geheimhaltungsmaßnahmen sind.

Die "Unbekanntheit " und der Wert, der sich aus dem Unterscheidungsmerkmal ergibt, ob man diese Kenntnis hat oder nicht - zwei der drei Elemente eines Geheimnisses werden hier also aufgegeben. Sie werden nur noch durch Pflichten ergänzt, die eine weitere Offenlegung verbieten. Was jeder weiß, worüber aber niemand spricht, wird typischerweise als "offenes Geheimnis" bezeichnet. Aber das ist nicht mehr dasselbe.

Die eher praktischen konzeptionellen Konsequenzen

Keine große Sache, sagt der EU-Gesetzgeber, denn wir werden gesetzliche Beschränkungen für ihre Verwendung einführen. Nun ja ...

a) Das Verbot, die Daten für die Entwicklung eines konkurrierenden Produkts zu verwenden

Das Verbot, die Daten für die Entwicklung eines konkurrierenden Produkts zu verwenden, ist ausdrücklich in Art. 4 (4) in Bezug auf den Nutzer selbst geregelt, und in Art. 6 (2) (e) im Hinblick auf einen dritten Empfänger. Dennoch sind das Konzept und der Wortlaut der in Art. 4 (3) beschriebenen Pflichten, die der Dateninhaber dem Nutzer auferlegen kann, nur gerichtet auf „Maßnahmen, um die Vertraulichkeit der gemeinsam genutzten Daten, insbesondere gegenüber Dritten, zu wahren“. Dort befinden sich jedoch keinerlei Angaben zu Maßnahmen, die darauf abzielen, die Einhaltung des Verbots der Entwicklung eines Konkurrenzprodukts zu kontrollieren oder sicherzustellen. Die Aufnahme entsprechender Bestimmungen in die Offenlegungsbedingungen, die der Dateninhaber durchzusetzen versucht, dürfte in der Regel keine grundsätzliche Ablehnung und keinen Widerstand auslösen, zumindest nicht, soweit sie gesetzliche Bestimmungen nach Art. 4 (4) und/oder Art. 6 (2) widerspiegeln. Ist dies doch der Fall, liegt ein Dissens vor, der zu einem Streit und einer entsprechenden Entscheidung führen wird; hierzu sogleich mehr.

b) Die Anregung, Daten für die Entwicklung eines konkurrierenden Dienstes zu nutzen

Der EU-Gesetzgeber ist glasklar, was die Nutzung von Geschäftsgeheimnissen des Dateninhabers zur Entwicklung eines konkurrierenden Dienstes angeht:

In Erwägungsgrund 28b ist eine bislang in Ziffer 28 enthaltende Erwägung ergänzt worden, in dem es heißt

Ziel dieser Verordnung sollte daher so verstanden werden, dass sie die Entwicklung neuer, innovativer Produkte oder verbundener Dienste fördert und Innovationen auf den Anschlussmärkten vorantreibt, aber auch die Entwicklung völlig neuartiger Dienste unter Nutzung der Daten anregt, auch auf der Grundlage von Daten aus einer Vielzahl von Produkten oder verbundenen Diensten. Gleichzeitig soll damit verhindert werden, dass die Investitionsanreize für den Produkttyp, von dem die Daten erlangt werden, z. B. durch die Verwendung von Daten zur Entwicklung eines konkurrierenden Produkts, untergraben werden. beispielsweise durch die Verwendung von Daten zur Entwicklung eines konkurrierenden Produkts, das von den Nutzern als austauschbar oder substituierbar angesehen wird, insbesondere aufgrund seiner Merkmale, seines Preises und seines Verwendungszwecks. Diese Verordnung sieht kein Verbot der Entwicklung eines verwandten Dienstes unter Verwendung von Daten vor, die auf der Grundlage dieser Verordnung gewonnen wurden, da dies eine unerwünschte, innovationshemmende Wirkung haben würde.

Die Gründe für diese Differenzierung sind nicht leicht zu verstehen, wenn man die Oberfläche des politischen Bestrebens, Innovationen zu fördern, verlässt. Geschäftsgeheimnisse, die bei der Nutzung eines Produkts und/oder einer Dienstleistung erworben werden, sind zunächst ein eigentumsähnliches Recht des Inhabers. Was genau rechtfertigt die Unterscheidung zwischen einer illegalen Nutzung zur Entwicklung eines konkurrierenden Produkts und der legalen und geförderten Nutzung zur Entwicklung einer konkurrierenden Dienstleistung? Warum soll der Dienstleister nicht den gleichen Schutz genießen wie der Produkthersteller? Ist der Produkthersteller wirklich geschützt in Zeiten, in denen die Grenze zwischen Produkt und Dienstleistung immer mehr verschwimmt und viele Produktfunktionalitäten leicht durch eine entsprechende Dienstleistung ersetzt werden können? Der Data Act liefert keine Erklärung. Es wird insofern abzuwarten sein, ob es hier zu einem Verfahren vor dem Europäischen Gerichtshof kommen wird, etwa um die Vereinbarkeit mit der EU-Grundrechtecharta zu prüfen.

c) Beilegung von Streitigkeiten

Besteht Uneinigkeit über die Bedingungen der Offenlegung, wird der Dateninhaber in der Regel die Weitergabe der Daten verweigern und die zuständige nationale Behörde entsprechend informieren. Der zurückgewiesene Nutzer kann nun versuchen, diese Entscheidung vor Gericht anzufechten, eine Beschwerde bei der genannten zuständigen nationalen Behörde einzureichen oder mit dem Dateninhaber die Einschaltung einer Streitbeilegungsstelle zu vereinbaren, Art. 4 (3b). Lassen wir den letztgenannten Ansatz, bei dem eine Zustimmung erforderlich ist, mal außen vor. Die zuständige nationale Behörde entscheidet "ohne unangemessene Verzögerung, ob und unter welchen Bedingungen ein Teilen der Daten beginnt oder fortgesetzt wird", Art. 4 (3b). Das anzuwendende Verfahren und das Verhältnis zu einem ggf. parallelen Gerichtsverfahren sind nicht im Detail geregelt, aber von erheblicher Bedeutung für alle Beteiligten. Unabhängig davon, dass derartige Regelungen überhaupt notwendig sind - ihre Ausarbeitung und Inkraftsetzung in den Mitgliedstaaten wird Zeit in Anspruch nehmen. Und aus rechtsvergleichender Sicht wird es sicherlich Unterschiede in den Mitgliedstaaten geben, die ggf. ein Forum Shopping anziehen und die Harmonisierung innerhalb der EU gefährden.

Verfahrensfragen locken tendenziell wenig Leute hinter dem Ofen vor (Hey – due process ist wichtig!!), schauen wir uns daher die inhaltlichen Vorgaben an: Art. 8 (2) besagt, dass Bedingungen für den Zugang zu und die Verwendung von Daten nicht verbindlich sind, wenn sie die Bedingungen von Artikel 13 erfüllen oder wenn sie die Ausübung der Rechte des Nutzers nach Kapitel II ausschließen, davon abweichen oder deren Wirkung abändern. Ist das jetzt ein Freibrief dafür, Zugangsbedingungen nur scheinbar zu akzeptieren, um die Offenlegung der Daten auszulösen, aber niemals die Absicht zu haben, sie einzuhalten und sich, sollte man erwischt werden, auf ihre Ungültigkeit zu berufen?

Für diejenigen, die es vorziehen, offen zu spielen und den Kampf um die Bindungswirkung fragwürdiger Zugangs- und Nutzungsbedingungen aufzunehmen: Es gibt zwei Kriterien, die der Entscheider anzuwenden hat. Das erste ist die Mißbräuchlichkeitsprüfung gemäß Art. 13. Es gibt hier viele Aspekte, die als Orientierungshilfe dienen sollen, z.B. dass eine Klausel, die eine zwingende Vorschrift des Unionsrechts widerspiegelt, nicht als missbräuchlich gilt. Genau anders ist das, wenn Klauseln gröblich von der (noch nicht existierenden) guten Geschäftspraxis beim Datenzugang und der Datennutzung abweichen und gegen das Gebot von Treu und Glauben und des redlichen Geschäftsverkehrs verstoßen. Wir wollen jetzt nicht weiter versuchen, die Grenzen des vagen Rechtsbegriffs der Mißbräuchlichkeit zu ergründen, denn in Absatz 4 lit. b wird es konkreter: Eine Klausel gilt als missbräuchlich, wenn sie zur Folge hat, dass "die Partei, die die Klausel einseitig auferlegt hat, Zugang zu den Daten der anderen Vertragspartei erhält und diese in einer Weise verwendet, die die berechtigten Interessen der anderen Vertragspartei erheblich beeinträchtigt, „insbesondere wenn diese Daten wirtschaftlich sensible Daten enthalten oder durch Geschäftsgeheimnisse oder Rechte des geistigen Eigentums geschützt sind“. Er schafft ein nicht leicht zu verstehendes Spannungsverhältnis. Der Ausgangspunkt ist unter anderem, dass die Daten, auf die zugegriffen werden soll, durch Geschäftsgeheimnisse geschützt sind. Daher wird der Dateninhaber diesen Status schützen wollen, z. B. durch Vertraulichkeitsanforderungen. Diese Anforderungen sind, wie wir gelernt hatten, völlig legal. Das Gesetz sieht vor, dass Dritte ein berechtigtes Interesse daran haben, die Nutzer zu nutzen, um Zugang zu Daten zu erhalten, die Geschäftsgeheimnisse des Dateninhabers enthalten, um einen konkurrierenden Dienst zu entwickeln - auch das ist verständlich. Aber wieso sollte der Dateninhaber dem Nutzer oder dem Dritten überhaupt Zugang zu seinen Geschäftsgeheimnissen gewähren (müssen) aufgrund von Bedingungen, die die berechtigten Interessen des Dateninhabers erheblich beeinträchtigen?

Ach ja, vernachlässigen sie gedanklich hier den Nutzer: Die Mehrheit wird nicht in der Lage sein, solche Daten für einen sinnvollen Zweck zu nutzen. Es sind Dritte, die Nutzungsdaten in großem Umfang sammeln, indem sie den Erstnutzern als Gegenleistung für ihre Unterstützung bei dem Verlangen und der Bereitstellung der Nutzungsdaten attraktive Vorteile („Wir zahlen für Ihren Streaming-Dienst“)  anbieten werden. Diese Dritten werden das gewonnene Wissen kommerziell verwerten, nicht zwingend unmittelbar: Es liegt auf der Hand, dass aktuelle und potenzielle Wettbewerber des Dateninhabers ein großes Interesse hieran haben werden.

Unterstellt, das Konzept eines eigentumsähnlichen Rechts an Geschäftsgeheimnissen wird nicht aufgegeben, worauf zielt diese Formulierung ab? Und wann ist ein Interesse des anscheinend nicht für sich selber sorgenden Dateninhabers erheblich beeinträchtigt? Hier öffnet sich ein weites Feld für juristische Argumentation ...

Mehr praktische Details

Wer Geschäftsgeheimnisse z.B. in einer Kooperationsvereinbarung offenlegt, vereinbart nicht nur die Wahrung der Vertraulichkeit, sondern auch, dass eine bestimmte Nutzung erlaubt und der Rest verboten ist (in der Hoffnung, den Test aus Art. 13 zur Mißbräuchlichkeit zu bestehen). Wenn er später wegen einer mutmaßlichen Verletzung dieser Grenzen Verdacht schöpft und einen Rechtsstreit in Erwägung zieht, muss er eine Antwort darauf finden, wie er beweisen will, dass der Empfänger die offengelegten Geheimnisse tatsächlich für verbotene Tätigkeiten verwendet hat. Selbst wenn er mit einem plötzlich auftauchenden Konkurrenzprodukt konfrontiert ist, wird sein Gegenüber immer argumentieren, dass dies das Ergebnis einer völlig unabhängigen Entwicklung ist. Die Beweislast liegt beim Inhaber des Geschäftsgeheimnisses - Punkt.

Ja, es gibt Besichtigungsansprüche, die im Verfahren des vorläufigen Rechtsschutzes im Beschlusswege erlassen werden können. Die unzureichende Harmonisierung, die uneinheitliche Handhabung der Verfahrensvoraussetzungen, etwa das Erfordernis der Dringlichkeit, die Weigerung der Gerichte, dem EuGH Aspekte des Verfahrens des vorläufigen Rechtsschutzes vorzulegen („das tun wir nie“), die Notwendigkeit, den Standort der zu prüfenden Gegenstände zu bestimmen, und die Einreden der Gegenseite, ihre bei der Nachprüfung sichergestellten Geschäftsgeheimnisse vor der Offenlegung gegenüber der klagenden Seite zu schützen, bieten eine Menge Fallstricke für ein mögliches Vorgehen. Die gesetzlichen Rechtsmittel werden also nicht ausreichen.

Ok, und nun? Wenn der Dateninhaber Verdacht schöpft, dass der unmittelbare oder ein nachgelagerter Datenempfänger das Wissen für den illegalen Zweck der Produktentwicklung verwendet hat, hat der Dateninhaber keine offensichtlich gegebenen Möglichkeiten, eine entsprechende Zweckentfremdung aufzudecken. Die Schwäche von Besichtigungsverfahren wurden soeben dargelegt. Der Dateninhaber verlässt sich also besser auf vertragliche Mittel wie vereinbarte Informations-, Audit- und/oder Inspektionsrechte. Damit sind wir wieder am Anfang.

In vermutlich nicht nur seltenen Fällen wird also ein Wettbewerbsvorteil, den der Dateninhaber durch seine Investitionen in die Entwicklung seiner Produkte erlangt hat, sehr bald verschwunden sein: Konkurrenten können Nutzungsdaten sammeln, aggregieren und analysieren, Einblicke in mögliche Schwachstellen der Produkte des Dateninhabers gewinnen und Erkenntnisse für die Änderung ihrer eigenen Angebote gewinnen.

Angesichts des weiten Felds rechtlicher Unsicherheiten könnten die Dateninhaber versuchen, durch eine Neugestaltung der Erhebung der Daten Abhilfe zu schaffen, indem sie die reinen Nutzungsdaten von allen anderen Daten trennen. Selbst wenn ihnen dies gelingt, werden sie rechtliche Diskussionen nicht vermeiden können, da der Data Act auch einen Anspruch auf die „relevanten Metadaten, die für die Nutzung der Daten erforderlich sind“ vorsieht, d.h. Produktdaten und zugehörige Daten verbundener Dienste. Metadaten werden nunmehr definiert als „strukturierte Beschreibung des Inhalts oder der Verwendung von Daten, die das Auffinden und die Nutzung dieser Daten erleichtern“ - ein weit gefasster Ansatz ohne klare Grenze. Aber das ist ein anderes Kapitel, - bleiben Sie dran.