Wesentliches Ziel des Data Acts (nachfolgend „DA“) ist es die durch IoT-Produkte generierten Daten gerecht im gesamten Markt zu verteilen. Hierfür werden den Nutzern von IoT-Produkten gegenüber dem Dateninhaber Datenbereitstellungsansprüche eingeräumt. Dieser Beitrag beschäftigt sich konkret mit der Ausübung dieser Datenbereitstellungsansprüche sowie mit den dem Dateninhaber zur Verfügung stehenden Verteidigungsmitteln.
Die Ausgangssituation
Der Data Act ordnet die durch ein vernetztes Produkt oder einen verbundenen Dienst generierten Daten dem Nutzer zu. Auch der Dateninhaber darf die Daten, die ihm angesichts der faktischen Kontrolle vorliegen, lediglich auf Grundlage eines Vertrags mit dem Nutzer nutzen, Art. 4 Abs. 13 DA.
Der erste Zug: Nutzer fordert seine Daten
Der Nutzer eröffnet das „Spiel“ durch die Geltendmachung seines Anspruchs gegen den Dateninhaber auf Datenzugang, -bereitstellung und -nutzung gemäß Art. 4 Abs. 1 DA oder auf Datenweitergabe gemäß Art. 5 Abs. 1 DA.
Abwehr durch den Dateninhaber gegen Art. 4 Abs. 1 DA
Der Dateninhaber hat unterschiedliche Möglichkeiten den Angriff des Nutzers „abzuwehren“.
Zugangsbeschränkungen
- Vertragliche Beschränkung, Art. 4 Abs. 2 DA: Dem Dateninhaber steht ein Leistungsverweigerungsrecht zu, wenn die Sicherheitsanforderungen des IoT-Produkts durch Zugang, Nutzung oder Weitergabe von Daten beeinträchtigt werden können und deshalb schwerwiegende Auswirkungen auf die Gesundheit oder Sicherheit von natürlichen Personen zu erwarten sind. Macht der Dateninhaber von seinem Leistungsverweigerungsrecht Gebrauch, muss er die zuständige (noch zu bestimmende) Behörde benachrichtigen.
- Geschäftsgeheimnisschutz, Art. 4 Abs. 6, 7, 8 DA: Identifiziert der Dateninhaber in den preiszugebenden Daten Geschäftsgeheimnisse, vereinbart er mit dem Nutzer angemessene technische und organisatorische Maßnahmen (TOMs) (z.B. Mustervertragsklauseln, Vertraulichkeitsvereinbarungen (NDAs), strenge Zugangskontrollen, technische Normen und die Anwendung von Verhaltenskodizes).
- Allgemeines Verweigerungsrecht: Die TOMs sollen sicherstellen, dass die preisgegebenen Geschäftsgeheimnisse ausreichend geschützt sind, obwohl dem Nutzer faktische Kontrolle über diese gewährt werden. Kommt es zwischen dem Nutzer und Dateninhaber zu keiner Vereinbarung über einzuhaltende TOMs oder setzt der Nutzer diese nicht um, steht ihm ein Verweigerungsrecht zu.
- Verweigerungsrecht im Ausnahmefall: Der Dateninhaber hat auch ein Verweigerungsrecht, wenn trotz der umgesetzten TOMs bei Preisgabe der Geschäftsgeheimnisse mit hoher Wahrscheinlichkeit ein schwerer wirtschaftlicher Schaden für den Dateninhaber (besonderer Begründungsumfang erforderlich).
Wenn der Dateninhaber einen Einwand aufgrund des Geschäftsgeheimnisschutzes geltend macht, muss er die zuständige (noch zu bestimmende) Behörde benachrichtigen.
- Datenschutz: Das Datenschutzrecht ist neben dem Data Act zu berücksichtigen, vgl. Art. 1 Abs. 5 DA. Sind Produkt- bzw. verbundene Dienstdaten als Datenmischbestände so miteinander verflochten, dass sie sich nicht voneinander separieren, anonymisieren oder pseudonymisieren lassen, dürfen diese nicht an Nutzer herausgegeben werden, die nicht Betroffene im Sinne der DSGVO sind und keine Rechtsgrundlage für eine rechtmäßige Verarbeitung der Daten nach DSGVO darlegen können, vgl. Art. 4 Abs. 12 DA.
- Kartellrechtliches Verbot des Informationsaustauschs, Art. 101 AEUV: Der Austausch von sensiblen Geschäftsinformationen, die dazu geeignet sind, die Geschäftsstrategie der Wettbewerber zu beeinflussen, ist grundsätzlich verboten. Dies soll kollusives Verhalten von Unternehmen unterbinden und die anderen Marktteilnehmer vor Schäden durch Informationsnachteile sowie atypische Marktbedingungen schützen. Die Vorschriften des DA dürfen den Wettbewerb nicht entgegen den Vorschriften des AEUV einschränken (Erwgr. Nr. 116 DA). Dies erlangt als Einwand Bedeutung, wenn der Nutzer ein konkurrierendes Unternehmen ist und der Informationsgehalt der Daten zur Anpassung dessen Geschäftsstrategie führen kann.
Verwertungsverbote und Verzögerungsmittel
- Daten dürfen nicht zur Entwicklung eines konkurrierenden Produkts oder um Einblicke in die wirtschaftliche Lage des Dateninhaber zu erlangen, verwendet werden, Art. 4 Abs. 10 Alt. 1 und 2 DA.
- Der Dateninhaber muss die Nutzer- und Betroffeneneigenschaft des Anspruchstellers prüfen, Art. 4 Abs. 5 bzw. Abs. 12 DA. Eine übergründliche Prüfung kann die Datenherausgabe verzögern.
- Die zu vereinbarenden TOMs zwischen Dateninhaber und Nutzer gemäß Art. 4 Abs. 6 DA können ebenfalls ausgiebiger ausgehandelt werden, um den Prozess zu verschleppen.
Der Datenzugang selbst kann mit dem Durchsetzen von Verwertungsverboten und Anwenden von Verzögerungsmitteln nicht verhindert werden. Ihnen kommt nur ein mittelbar wirkender Abwehreffekt zugute. Dennoch kann die aus diesen folgende eingeschränkte Nutzungsmöglichkeit der Daten und der spätere oder zu späte Zugriff auf die Daten bedeutenden Einfluss auf die Attraktivität des Datenzugriffsanspruchs haben. Setzen Dateninhaber etwa die gesetzlichen Verwertungsverbote bei Zuwiderhandlungen von Nutzern oder Dritten konsequent durch, signalisieren sie dem Markt, dass sich Versuche zur Verwertung der Daten an den gesetzlichen Vorgaben vorbei, nicht auszahlen. Zu beachten ist allerdings, dass sich der Dateninhaber durch solche Strategien einem besonderen Bußgeldrisiko aussetzt.
Abwehr gegen Art. 5 Abs. 1 DA – im Verhältnis zum Datenempfänger
Das Verteidigungsrepertoire des Dateninhabers ähnelt sich in weitersten Teilen zu demjenigen gegen Art. 4 Abs. 1 DA. Sie finden jedoch ihre rechtliche Anknüpfung teilweise in anderen Normen (Beschränkung wegen des Geschäftsgeheimnisschutzes, Art. 5 Abs. 10 und 11 DA; Beschränkung wegen des Datenschutzes, Art. 5 Abs. 7 und 8 DA). Wesentliche Abweichungen liegen vor allem in dem Umstand, dass:
- „Gatekeeper“ nach Art. 3 DMA nicht Datenempfänger sein können
- die Anforderungen an die Preisgabe von Geschäftsgeheimnissen enger sind ➡ nur solche Geschäftsgeheimnisse sind offenzulegen, die für den „vereinbarten Zweck unbedingt erforderlich“ sind. Problematisch ist allerdings, dass der Vertragszweck von Nutzer und Datenempfänger ohne Beteiligung des Dateninhabers bestimmt wird.
- die Beeinträchtigung der Sicherheitsanforderungen nur noch als Verwertungsverbot ausgestaltet ist und kein Verweigerungsrecht mehr darstellt, Art. 6 Abs. 2 lit. f DA
- der Einwand des kartellrechtlichen Verbots des Informationsaustauschs gemäß Art. 101 AEUV im Verhältnis zum Datenempfänger größere Bedeutung erlangt ➡ Datenempfänger stehen gegenüber dem Nutzer häufiger mit dem Dateninhaber im Wettbewerb. Zudem können sie – auch durch wirtschaftliche Anreize – eine Vielzahl von Nutzern dazu bewegen, den Anspruch auf Weitergabe der Daten zu ihren Gunsten geltend zu machen. Datenempfänger haben dann einen im Vergleich zum Nutzer bedeutend umfangreicheren Zugriff auf Daten, dessen Sammlung ein weitreichenderes Risiko für die Anpassung von Geschäftsstrategien birgt.
Der Gegenzug des Nutzers
Verweigert der Dateninhaber unter Rückgriff auf seine Verweigerungsrechte (teilweise) den Datenzugang kann der Nutzer bei Art. 4 Abs. 1 DA oder der Dritte bei Art. 5 Abs. 1 DA vor einem mitgliedstaatlichen Gericht Rechtsmittel einlegen.
Alternativ besteht die Möglichkeit bei der Geltendmachung des Leistungsverweigerungsrechts (nur der Nutzer) oder dem allgemeinen Verweigerungsrecht oder Verweigerungsrecht im Ausnahmefall bei der (noch zu bestimmenden) zuständigen Behörde Beschwerde einzulegen (Art. 4 Abs. 3 lit. a / Art. 4 Abs. 9 lit. a / Art. 5 Abs. 12 lit. a iVm. Art. 37 Abs. 5 lit. b DA) oder mit dem Dateninhaber die Einschaltung einer Streitbeilegungsstelle zu vereinbaren (Art. 4 Abs. 3 lit. b / Art. 4 Abs. 9 lit. b / Art. 5 Abs. 12 lit. b DA).
Vorbereitungstipps für die Praxis
Welchen Ausgang die Spiele um die Datenschätze in der Praxis nehmen werden, lässt sich noch nicht absehen. Die Zuordnung der Produkt- und verbundenen Dienstdaten zum Nutzer sowie die hohen Anforderungen an die Zugriffsbeschränkungen durch den Dateninhaber versetzen den Nutzer zwar in eine gute Ausgangslage, der Dateninhaber bleibt allerdings nicht chancenlos. Mit der ausreichenden Vorbereitung kann er sich in vielen Fällen behaupten.
Zu dieser Vorbereitung gehört neben dem Vertraut machen mit dem Data Act insbesondere die Analyse und Klassifizierung von Daten (Ziel 1: Identifizierung der Produktdaten und der darin enthaltenen Geschäftsgeheimnisse), ein Konzept zur Verwaltung der Benutzer (Ziel 2: Identifizierung von Nutzern und Dritten) sowie die Festlegung eigener Nutzungszwecke für Produktdaten und die Abwicklung von Datenzugangsansprüchen (Ziel 3: Datenlizenzvereinbarungen, Art. 4 Abs.13; Nutzungsbedingungen und TOMs, Art. 4 Abs. 6 / Art. 5 Abs. 9; Verfahren für die Verweigerung von Datenzugangsansprüchen, insbesondere Notifizierung der Behörde).
To-Dos für Unternehmen
- Datenklassifizierung: Identifizieren Sie die unter den Data Act fallenden Daten.
- Verifizierungsprozesse entwickeln: Stellen Sie sicher, dass nur berechtigte Nutzer auf die Daten zugreifen können.
- Geschäftsgeheimnisse schützen: Implementieren Sie technische und organisatorische Maßnahmen (TOMs) zum Schutz sensibler Daten.
- Vertragsmanagement: Passen Sie Ihre Verträge an die neuen Anforderungen des Data Act an.
Co-Autor: Julian Holst (Wissenschaftlicher Mitarbeiter)