BDI-KurzpositionGeschäftsgeheimnisschutz im EU-Data Act
21. Juni 2023
Der BDI sieht im EU-Data Act weiterhin die große Chance, eine von europäischen Werten geleitete Datenwirtschaft zu gestalten und die Wettbewerbsfähigkeit der deutschen Industrie in Zukunft zu sichern und auszubauen. Dafür ist es entscheidend, eine ausgewogene Balance zu finden zwischen der Innovationskraft, die durch die verstärkte Nutzung von Daten eröffnet wird, aber gleichzeitig Industrieanreize für Datenerzeugende Unternehmen aufrecht zu erhalten.
Der Schutz sensibler Informationen, einschließlich Geschäftsgeheimnissen, ist für den Großteil der deutschen Industrie in den laufenden Trilog-Verhandlungen zum EU-Data Act weiterhin von zentraler Bedeutung. Der drohende Abfluss von unternehmerischem Know-How sorgt in Verbindung mit den wenig trennscharfen Definitionen (insb. „Dateninhaber“, „Nutzer“, „Daten“) zu einer enormen Rechtsunsicherheit innerhalb der Industrie und wirkt sich kontraproduktiv auf die politische Zielsetzung für den Aufbau eines EU-Binnenmarkts für Daten aus.
Die im Grundsatz berechtigten und für Teile der Industrie wichtigen gesetzlichen Ansprüche auf nutzungsgenerierte Daten von Nutzern müssen für Dateninhaber im Gegenzug eine klare gesetzliche Begrenzung mit ex-ante-Wirkung finden, sobald sich die Datenbereitstellung auf elementares Know-How von Dateninhabern erstreckt. Hierbei ist zu berücksichtigen, dass neben der Datenbereitstellungspflicht an den Nutzer gem. Art. 4 auch eine gesetzliche Datenbereitstellungspflicht gegenüber Dritten gem. Art. 5 besteht, der zu dem der Dateninhaber im Regelfall keine vertragliche Beziehung hat. Um die politisch intendierte ausgewogene Balance zwischen der Aufrechterhaltung der Innovationsbereitschaft von IoT-Geräteherstellern und der Schaffung neuer Innovationspotenziale für Nutzer und Dritte zu erzielen, müssen deshalb für Dateninhaber im EU-Data Act effektive Ausnahmen der Datenbereitstellungspflicht im B2B-, B2C- und B2G-Verhältnis vorgesehen werden, soweit Geschäftsgeheimnisse, spezialisiertes Wissen sowie Daten, deren sinnvolle Verarbeitung Schutzrechte verletzen würde, betroffen sind
Dateninhaber müssen die Möglichkeit haben, eine Datenbereitstellungspflicht ex-ante zu verweigern, sofern der Schutz sensibler Informationen berührt ist. Dies gilt unabhängig davon, ob es sich bei dem Nutzer bzw. Dritten um eine natürliche oder juristische Person aus der EU oder einem Drittstaat handelt. Die in der politischen Diskussion bislang vorgesehenen ex-post-Schutzmaßnahmen zur Vertraulichkeit von Geschäftsgeheimnissen im Sinne der RL (EU) 2016/943 sind unzureichend, da ein bereitgestelltes Geschäftsgeheimnis einen wesentlichen Teil seines wirtschaftlichen Werts für denDateninhaber verliert und sich eine notwendige Kontrolle der Informationsverbreitung nur sehr schwer nachvollziehen lässt. Insbesondere gegenüber Verbrauchern sind ex-post-Schutzmaßnahmen praktisch kaum umsetzbar, da diese nicht ohne weiteres über das juristische Fachwissen für den Abschluss von Geheimhaltungsverträgen verfügen. Der drohende ökonomische Schaden durch eine unkontrollierte Datenteilung von Geschäftsgeheimnissen ist dabei unkalkulierbar und lässt sich nicht adäquat durch vertragliche
Vertraulichkeitsvereinbarungen oder die Vereinbarung technisch-organisatorischer Maßnahmen verhindern. Zu berücksichtigen ist dabei, dass ein solcher Schaden nicht nur durch die Datenbereitstellung aus einzelnen IoT-Produkten entstehen kann, sondern auch durch eine potenzielle Aggregation von Daten aus verschiedenen Geräten, wobei der entstehende Schaden sich durch fortlaufende Aggregation im Laufe der Zeit vertieft.
Dieser drohende ökonomische Schaden ist gegen die Chancen abzuwägen, die Teile der Industrie
wie beispielsweise die Luftverkehrswirtschaft – durch die gesteigerte Verfügbarkeit von Daten sehen. Wichtig ist dabei zu berücksichtigen, dass die empirische Evidenz über die potenziellen Auswirkungen der Datenbereitstellung auf den Geschäftsgeheimnisschutz bislang nicht erbracht ist. Wir möchten nochmals mit Nachdruck betonen, dass selbst in der von der EU-Kommission eigens beauftragten Studie zu diesem Zusammenhang herausgestellt wurde, dass „die Evidenz darüber, ob Geschäftsgeheimnisse das Teilen von Daten fördern oder behindern, durchwachsen [ist].“1 Zu beachten ist dabei, dass Einschränkungen des Geschäftsgeheimnisschutzes einen massiven Eingriff in die unternehmerische Freiheit darstellen und nur ultima ratio sein können. Anders als in der politischen Diskussion teilweise suggeriert, dürfen sich datenbereitstellungspflichtige Unternehmen auch nicht willkürlich auf den Geschäftsgeheimnisschutz als Einwand gegen eine Datenbereitstellungspflicht berufen. Schließlich gelten als „Geschäftsgeheimnisse“ mit Verweis auf Art. 2 Nr. 1 RL (EU) 2016/943 nur solche Informationen, die geheim, von kommerziellem Wert und Gegenstand von den Umständen entsprechenden angemessenen Geheimhaltungsmaßnahmen sind. Kann der Dateninhaber das Vorliegen der Anforderungen aus Art. 2 Nr. 1 RL (EU) 2016/943 nicht nachweisen, liegt insofern eine Verletzung von Art. 4 bzw. 5 vor.
Um den ex-ante Schutz von sensiblen Informationen zu stärken, sieht das Rats-Verhandlungsmandat für die Trilog-Verhandlungen in Art. 4 (3a) und Art. 5 (8a) eine entsprechende Ausnahemöglichkeit für den Fall vor, dass der Dateninhaber nachweisen kann, dass ihm trotz der vom Nutzer bzw. Dritten getroffenen technischen und organisatorischen Maßnahmen durch die Preisgabe von Geschäftsgeheimnissen höchstwahrscheinlich ein ernsthafter Schaden entstehen wird. Ein solcher ex-ante Mechanismus ist grundsätzlich zu begrüßen. Die in Erwägungsgrund 28a vorgesehenen Nachweisanforderungen zur Inanspruchnahme einer solchen Ausnahme sind jedoch zurestriktiv ausgestaltet und schränken insofern die Wirkung der gesetzlichen Ausnahme in zu großem Maße ein. Die Schwelle eines ernsthaften Schadens ist zu hoch angesetzt und die auf einen einzelnen Offenlegungsvorgang ausgelegte Betrachtungsweise ignoriert die Möglichkeit, dass ein entsprechender Schaden erst durch Aggregation entstehen kann. Weiterhin sollten solche Daten von einer Bereitstellungspflicht ausgenommen sein, die ein Hersteller aufgrund gesetzlicher Verpflichtung erheben muss, um ein Produkt gesetzeskonform in Verkehr zu bringen oder die Gesetzeskonformität aufrecht zu erhalten.
Für die weiteren Trilog-Verhandlungen fordert der BDI einen ausgewogeneren, den Interessen von Nutzern und Dateninhabern gleichermaßen Rechnung tragenden Kompromiss. Eingriffe in den Geschäftsgeheimnisschutz von Unternehmen dürfen nur verhältnismäßig erfolgen und sollten aufgrund der unklaren Folgen nicht vorschnell zum Erreichen politischer Zielvorstellungen aufs Spiel gesetzt werden. Um dem gerecht zu werden, sollte eine effektive ex-ante-Ausnahmemöglichkeit von der Datenbereitstellungspflicht zum Schutz vonGeschäftsgeheimnissen für Dateninhaber vorgesehen werden. Angesichts der grundsätzlichen Bedeutung des EU-Data Acts für die europäische Industrie sehen wir weiterhin die Notwendigkeit, das Finden einer ausbalancierten und rechtssicheren Lösung nicht einem zu ambitionierten Zeitplan unterzuordnen und entsprechend ausreichend Zeit in den Trilog-Verhandlungen zu investieren.
1 Study on the legal protection of trade secrets in the context of the data economy (GRO/SME/20/F/206), S. 26; abrufbar unter: https://op.europa.eu/en/publication-detail/-/publication/c0335fd8-33db-11ed-8b77-01aa75ed71a1
Unsere konkreten Forderungen sind:
1. Analog zu der Regelung in Art. 20 (4) DSGVO muss eine ex-ante Ausnahme der Datenbereitstellungspflicht bei einem drohenden ökonomischen Schaden für den Dateninhaber sowie für den Fall, dass die vom Nutzer getroffenen Maßnahmen hinter denen des Dateninhabers, die dieser vor dem Hintergrund der ökonomischen Bedeutung des Geschäftsgeheimnisses für angemessen hält, zurückbleiben, eingeführt werden. Dies gilt unabhängig davon, ob es sich bei dem Nutzer bzw. Dritten um eine natürliche oder juristische Person aus der EU oder einem Drittstaat handelt. Dabei sind die Nachweisanforderungen für eine Inanspruchnahme der Ausnahme realistisch und auch unter Beachtung der sich aus künftigen Datenaggregationen ergebenden Risiken für den Geschäftsgeheimnisschutz auszugestalten. Eine solche Ausnahme muss auch für Daten vorgesehen werden, die aufgrund einer gesetzlichen Verpflichtung erhoben werden.
2. Sofern zwischen dem Dateninhaber und dem Nutzer/Dritten keine Einigung über die generelle Offenlegungspflicht oder notwendigen Vertraulichkeitsmaßnahmen gem. Art. 4 (3) und Art. 5 (8) erzielt werden können, ist die Datenbereitstellung unter aufschiebender Bedingung bis zur Entscheidung einer zuständigen Stelle (Datenkoordinator, Streitbeilegungsstelle) auszusetzen. Im Rahmen der Evaluierung gem. Art. 41 sollte die EU-Kommission in einem kurzen zeitlichen Abstand nach Geltungsbeginn der Vorschriften die praktischen Auswirkungen der Datenbereitstellungspflicht auf den Geschäftsgeheimnisschutz umfassend überprüfen und etwaige Einschränkungen beim Geschäftsgeheimnisschutz nur auf Basis von umfassenden Praxiserfahrungen überhaupt in Erwägung ziehen.
Impressum
Bundesverband der Deutschen Industrie e.V. (BDI)
Breite Straße 29, 10178 Berlin
www.bdi.eu
T: +49 30 2028-0
Lobbyregisternummer: R000534
Redaktion
Dr. Michael Dose
Referent Digitalisierung und Innovation
T: +49 30 2028-1560 m dose@bdi.eu
BDI Dokumentennummer: D 1789