Ende November wurde die „Verordnung über harmonisierte Vorschriften für einen fairen Datenzugang und eine faire Datennutzung“ vom Rat der Europäischen Union verabschiedet. Die Verordnung, auch kurz als „Data Act“ bezeichnet, verfolgt das generelle Ziel, bei der Nutzung von vernetzten Produkten und verbundenen Diensten generierte Daten für verschiedene Akteure nutzbar zu machen und so Innovation und Wachstum zu fördern.
Der Data Act im Überblick – Nutzerrecht auf Datenzugang und -weitergabe
- Der Data Act begründet eine Pflicht der Dateninhaber (bei Produkten wie Maschinen oder Geräten typischerweise der Produkthersteller, Verkäufer oder Vermieter) und einen Anspruch der Nutzer (typischerweise der Besitzer des Produkts, gleich ob Verbraucher oder Unternehmer) auf direkten unentgeltlichen Zugang zu den mit der Nutzung generierten Produktdaten und verbundenen Daten, Art. 3 (1). Flankiert wird der Zugangsanspruch der Nutzer durch den Datenzugang betreffende vorvertragliche Informationspflichten, Art. 3 (2) und (3).
- Zugleich schafft der Data Act ein grundsätzliches Recht der Nutzer auf Weitergabe der Daten an Dritte (sog. Datenempfänger). Dabei darf die Datenweitergabe im unternehmerischen Geschäftsverkehr von einer von den Dritten zu zahlenden angemessenen Vergütung abhängig gemacht werden, Art. 9, und hat im Übrigen zu fairen, angemessenen und nichtdiskriminierenden Bedingungen und in transparenter Weise zu erfolgen, Art. 8 (1).
- Die eigene Nutzung der Produktdaten und verbundenen Daten durch die Dateninhaber, beispielsweise in Form einer Auswertung, wird künftig nur noch auf Grundlage einer entsprechenden vertraglichen Vereinbarung mit den Nutzern erlaubt sein, Art. 4 (13).
- Ferner enthält der Data Act insbesondere Regelungen zur Bereitstellung von Daten an öffentliche Stellen, zur Erleichterung des Wechsels von Kunden zwischen Datenverarbeitungsdiensten und zur Interoperabilität von Daten.
Geschäftsgeheimnisschutz kann zur Verweigerung der Datenbereitstellung berechtigen
Mit der vorgesehenen Datenbereitstellung an Nutzer und Dritte entstehen für Unternehmen neue Risiken im Bereich Geschäftsgeheimnisschutz. Zwar können sie unter vom Gesetzgeber bedachten Fällen die Herausgabe der Daten verweigern, allerdings ist das Regel-Ausnahme-Verhältnis zu Lasten der Dateninhaber ausgestaltet.
- Art. 8 (6) stellt klar, dass die Pflicht zur Datenweitergabe an Dritte die Dateninhaber nicht zur Offenlegung von Geschäftsgeheimnissen verpflichtet.
- Gleichwohl sind die Dateninhaber auch in dem Fall, dass die angeforderten Daten Geschäftsgeheimnisse enthalten, grundsätzlich verpflichtet, dem Verlangen des Nutzers auf Datenzugang bzw. -weitergabe nachzukommen. Sie dürfen lediglich alle zur Wahrung der Geschäftsgeheimnisse erforderlichen Maßnahmen, wie Vertraulichkeitsvereinbarungen, treffen, siehe Art. 4 (6) bzw. Art. 5 (9). Dies steht im Einklang mit der Definition von Geschäftsgeheimnissen gem. § 2 Abs. 1 GeschGehG, wonach unter anderem angemessene Geheimhaltungsmaßnahmen erforderlich sind, und dürfte insofern für die Praxis keine grundsätzliche Änderung beim Umgang mit Geschäftsgeheimnissen bedeuten.
- Interessanter dürfte für Dateninhaber die Möglichkeit der Verweigerung bzw. Aussetzung der Datenweitergabe in Art. 4 (7) bzw. Art. 5 (10) sein, falls der Nutzer bzw. der Dritte die erforderlichen Maßnahmen nicht umsetzt oder es zu keiner Einigung bezüglich der zu ergreifenden Maßnahmen kommt. Diese Entscheidung ist jedoch zu begründen, dem Nutzer bzw. dem Dritten unverzüglich schriftlich mitzuteilen und der zuständigen Behörde unter Angabe des konkreten Sachverhalts mitzuteilen.
- Generell ablehnen darf der Dateninhaber das Datenzugangsverlangen nur „unter außergewöhnlichen Umständen“ gem. Art. 4 (8) bzw. Art. 5 (11). Hierzu muss nachgewiesen werden, dass trotz der Vertraulichkeitsmaßnahmen mit hoher Wahrscheinlichkeit ein schwerer wirtschaftlicher Schaden durch die Offenlegung der Geschäftsgeheimnisse droht. Die Formulierung zeigt bereits, dass der Gesetzgeber hier eine „Ultima Ratio“-Situation vor Augen hatte und dies für den Dateninhaber einen erheblichen Argumentationsaufwand begründen dürfte. Die Verordnung selbst listet einige objektive Kriterien für eine solche Beurteilung auf, wie die Durchsetzbarkeit des Geschäftsgeheimnisschutzes in Drittländern. Auch hier ist eine Meldung an die zuständige Behörde erforderlich.
- Die Entwicklung eines konkurrierenden Produkts mit Hilfe der bereitgestellten Daten oder die Weitergabe dieser, um Einblicke in die wirtschaftliche Lage, Vermögenswerte oder Produktionsmethoden zu erhalten, ist den Nutzern und Dritten gem. Art. 4 (10) bzw. Art. 6 (2) e) untersagt.
- Bei Verstößen gegen vereinbarte Geheimhaltungsmaßnahmen oder bei Nutzung zur Entwicklung eines konkurrierenden Produkts können Dateninhaber gem. Art. 11 (2) die Löschung der bereitgestellten Daten, je nach Schadenshöhe und Verhältnismäßigkeit die Vernichtung rechtsverletzender Waren sowie Schadensersatz fordern.
- Bei der verpflichtenden Cloud-Interoperabilität nach Art. 23 ff., die Nutzern die Übertragung der Daten zu einem anderen Dienst ermöglicht, bestimmt bereits die Definition in Art. 2 Nr. 38, dass Daten, die ein Geschäftsgeheimnis darstellen, hiervon nicht erfasst werden.
Datenschutz genießt im Zweifel Vorrang vor dem Data Act
Im Data Act ist eingangs in Art. 1 (5) geregelt, dass diese Verordnung unbeschadet der DSGVO gilt. Das heißt, Data Act und DSGVO stehen grundsätzlich erst einmal nebeneinander, was die Frage des Vorrangs im Falle eines Widerspruchs aufwirft. Der Data Act beantwortet diese Frage zu Gunsten der DSGVO, denn gem. Art. 1 (5) genießt im Konfliktfall immer „Unionsrecht oder das nationale Recht zum Schutz personenbezogener Daten bzw. der Privatsphäre Vorrang“.
- Sofern personenbezogene Daten verarbeitet werden, bedarf es somit weiterhin gem. der DSGVO einer Rechtsgrundlage. Diese kann bei Nutzern, sofern sie eigene Daten anfordern, in Art. 6 (1) c) DSGVO und bei Dritten in Art. 6 (1) f) DSGVO gesehen werden.
- Unternehmen sollten bei der Datenweitergabe daher immer die Vorschriften der DSGVO im Blick behalten und prüfen, ob personenbezogene Daten betroffen sind.
Vertragliche Regelungen per AGB für Datenzugang und Datennutzung
Die Datenweitergabe an Datenempfänger kann, sofern es sich bei Letzteren um Unternehmen handelt, zwischen dem Dateninhaber und dem Datenempfänger vertraglich ausgestaltet werden, Art. 8 (1).
- Dateninhaber sollten von dieser Möglichkeit der vertraglichen Ausgestaltung Gebrauch machen, um die genauen Voraussetzungen zu definieren, unter denen eine Datenweitergabe erfolgt, und um so weit wie möglich sicherzustellen, dass die Datenweitergabe im Rahmen eines geordneten Prozesses erfolgt, der sowohl die eigenen Interessen als auch die übrigen gesetzlichen Vorgaben – etwa hinsichtlich des Datenschutzes – wahrt.
- Der vertragliche Gestaltungsspielraum ist allerdings begrenzt: Der Data Act unterwirft in Bezug auf Datenzugang und Datennutzung oder die Haftung und Rechtsbehelfe bei Verletzung oder Beendigung datenbezogener Pflichten einseitig auferlegte Vertragsklauseln einer AGB-Kontrolle. Danach sind „missbräuchliche Vertragsklauseln“ für das Unternehmen, dem sie auferlegt werden, nicht bindend, Art. 8 (2) und 13 (1).
- Wann aber sind Klauseln „missbräuchlich“? Art. 13 (4) und (5) enthalten hierzu Kataloge mit Beispielen in beide Richtungen, d.h. sowohl für missbräuchliche Klauseln gegenüber dem Datenempfänger als auch für missbräuchliche Klauseln gegenüber dem Dateninhaber. Darüber hinaus regelt Art. 13 (3) allgemein, dass eine Klausel dann missbräuchlich ist, „wenn ihre Anwendung eine grobe Abweichung von der guten Geschäftspraxis bei Datenzugang und Datennutzung darstellt oder gegen das Gebot von Treu und Glauben verstößt“. Da es diesbezüglich bislang jedoch noch keine gute Geschäftspraxis geben dürfte, bietet diese Generalklausel für Unternehmen wenig Orientierung.
- Orientierung und Rechtssicherheit werden die Unternehmen dagegen durch von der Europäischen Kommission bis zum Ablauf der Übergangsfrist (dazu sogleich) noch zu erstellende unverbindliche Mustervertragsklauseln für den Datenzugang und die Datennutzung, einschließlich der Bedingungen für die angemessene Vergütung und den Schutz von Geschäftsgeheimnissen, erhalten. Mit den Musterklauseln sollen die Unternehmen bei der Ausarbeitung und Aushandlung von rechtskonformen Verträgen unterstützt werden (Art. 41).
Ausblick und Handlungsempfehlung
Der Data Act wurde am 27.11.2023 vom Rat der Europäischen Union verabschiedet und wird am 20. Tag nach der Veröffentlichung im Amtsblatt, die innerhalb der nächsten Wochen erfolgen sollte, in Kraft treten.
Die Bestimmungen werden sodann nach Ablauf einer 20-monatigen Übergangsfrist, voraussichtlich also ab Herbst 2025, gelten. Lediglich für den direkten Datenzugangsanspruch der Nutzer nach Art. 3 (1) ist eine längere Übergangsfrist vorgesehen, indem Art. 3 (1) nur für vernetzte Produkte und die mit ihnen verbundenen Dienste gelten wird, die 32 Monate nach dem Inkrafttreten des Data Acts, voraussichtlich also ab Herbst 2026, in Verkehr gebracht werden. Als europäische Verordnung gilt der Data Act unmittelbar, ohne dass es hierfür weiterer Umsetzungsakte bedarf.
Bis zum Ablauf der Übergangsfristen sollten Unternehmen, die künftig aufgrund des Data Acts verpflichtet sein werden, ihre Daten herauszugeben, insbesondere die Hersteller, Verkäufer und Vermieter vernetzter Produkte, sowohl vertragliche Vorsorge treffen, um bei der Produktnutzung generierte Daten überhaupt weiterhin umfassend nutzen zu dürfen, als auch eine EU-rechtskonforme Strategie zur Bereitstellung und Weitergabe der Daten unter gleichzeitigem Schutz ihrer Geschäftsgeheimnisse erarbeitet haben.
