Europäisches Datengesetz
Recht & Verwaltung01 Juni, 2023

Quo vadis Data Act?

Warum der Kommissionsentwurf für ein europäisches Datengesetz der Überarbei tung bedarf

Sebastian Rockstroh/Dr. Peter Katko*
Die EU möchte eine führende Rolle in der Datenwirtschaft übernehmen. Es soll ein Binnenmarkt für Daten entstehen, der auf einem verlässlichen Rechtsrahmen fußt. Die bis her erlassenen Rechtsakte ergeben aber (noch) kein in sich schlüssiges Konzept. Der EU-Gesetzgeber sollte auf eine Definition des Begriffs »Daten« verzichten und stattdessen Datenarten definieren. Das Datengesetz sollte überarbeitet werden, damit es sich in die bestehende Gesetzeslandschaft einfügt; dazu gehört auch die einheitliche Verwendung von Begrifflichkeiten

I. Einleitung

Die EU möchte zu einem weltweit führenden Akteur in der datenagilen Wirtschaft werden. Ein echter Binnenmarkt für Daten soll entstehen.1 Nach Auffassung der Kommission wird das Potential der ständig zunehmenden Datenmenge aber ak ell nicht ausgeschöpft. Sie hat daher ein umfassendes Konzept für eine Datenwirtschaft entworfen, »das darauf abzielt, die Verwendung von Daten und datengestützten Produkten und Dienstleistungen sowie die Nachfrage danach im gesamten Binnenmarkt zu steigern«.2 Herzstück des Datenwirt schaftsrechts3 soll ein europäisches Datengesetz (engl. Data Act) werden, mit dem Ziel, die rechtlichen, wirtschaftlichen und technischen Hindernisse zu beseitigen, die der Datennutzung angeblich im Wege stehen. Am 23.02.2022 legte die Kommission ihren endgültigen Vorschlag4 für ein Datengesetz (auch »DA-E«) vor.5 Als einen Haupthinderungsgrund für das Teilen von Daten nennt die Kommission im Folgenabschätzungsbericht6 die »Komplexität des regulatorischen Rahmenwerks für Unternehmen«.7 Von Komplexitätsreduzierung kann bisher keine Rede sein. Statt eines verlässlichen Rechtsrahmens für eine europäische Datenwirtschaft8 schafft der EU-Gesetzgeber einen Flickenteppich inkonsistenter Gesetzesakte.9 Es gelingt ihm nicht, den zentralen Begriff der »Daten« zu »greifen«,10 bestehende Begrifflichkeiten werden uneinheitlich verwendet11 und sich mutmaßlich »ergänzende« Regelungen12 führen zu Widersprüchen.13 Dieser Beitrag veranschaulicht die »Baustellen« anhand der Datenzugangsansprüche nach Art. 3, 4 und 5 DA-E und versucht, Lösungsmöglichkeiten aufzuzeigen.14

II. Zugang zu Daten nach dem Datengesetz

Produkte sind nach Art. 3 Abs. 1 DA-E so zu konzipieren und herzustellen und verbundene Dienste so zu erbringen, dass »die bei ihrer Nutzung erzeugten Daten« für den Nutzer zugänglich sind. Der Dateninhaber hat »die bei der Nutzung eines Produktes oder verbundenen Dienstes erzeugten Daten« nach Art. 4 Abs. 1 DA-E dem Nutzer15 und nach Art. 5 Abs. 1 DA-E – auf Verlangen des Nutzers – einem Dritten bereitzustellen. Das Datengesetz enthält in Art. 2 Definitionen zu »Daten«, »Produkt« und »verbundene Dienste«; offen bleibt, welche Daten »bei Nutzung eines Produktes oder eines verbundenen Dienstes erzeugt« werden.

1. Daten nach dem Datengesetz

Der Begriff der »Daten« ist nicht nur für das Datengesetz, sondern für die Datenwirtschaft insgesamt von zentraler Bedeutung.16 Das Datengesetz definiert »Daten« in Art. 2 Nr. 1 DA-E als »jede digitale Darstellung von Handlungen, Tatsachen oder Informationen sowie jede Zusammenstellung solcher Handlungen, Tatsachen oder Informationen auch in Form von Ton-, Bildoder audiovisuellem Material.« »Digitale Darstellung«, »Handlung«, »Tatsache« oder »Information« sind nicht definiert. Die juristische Literatur zum Datengesetz hat diese Definition von »Daten«, soweit ersichtlich, bisher nicht thematisiert. Es soll daher an dieser Stelle der Frage nachgegangen werden, ob die Definition von »Daten« in Art. 2 Nr. 1 DA-E tatsächlich zu mehr Rechtsklarheit und damit -sicherheit führt oder ob es eher eine spezifische Definition einer Datenart z.B. »nutzergenerierter IoTDaten« bedarf und was deren Inhalt sein könnte.

a) »Daten« als freihaltebedürftiger Begriff

Bereits vor Veröffentlichung des Datengesetzes war eine Diskussion zur Bestimmung des Datenbegriffs entbrannt;17 denn der Begriff »Daten« wird im allgemeinen Sprachgebrauch, in der Informationstechnik und sogar in der EU-Gesetzgebung uneinheitlich in unterschiedlichen Zusammenhängen mit unterschiedlicher Bedeutung verwendet. 164618 wurde der Begriff »Data« das erste Mal im Englischen aufgezeichnet.19 Die Art und Weise, wie wir den Begriff »Daten« heute verstehen, hat sich dabei nicht nur im Laufe der Zeit weiterentwickelt,20 sondern variiert auch in Bezug auf den Kontext und die Perspektive.21 Der Duden kennt vier unterschiedliche Definitionen von Daten.22 Floridi23 bringt es wie folgt auf den Punkt: »According to the epistemic (i.e. knowledge-oriented) interpretation, data are collections of facts. […] According to the informational interpretation, data are information. In this sense, for example, personal data are equivalent to information about the corresponding individual. […] According to the computational interpretation, data are collections (sets, strings, classes, clusters etc.) of binary elements (digits, symbols, electrical signals, magnetic patterns, etc.) […].« ISO/IEC 2382:2015 (Information technology — Vocabulary) definiert »Daten« als »reinterpretierbare Darstellung von Informationen in einer formalisierten Weise, die für die Kommunikation, Interpretation oder Verarbeitung geeignet ist. Anmerkung 1 zum Eintrag: Die Daten können von Menschen oder automatisch verarbeitet werden.«24 Dieser Standard knüpft die Definition von »Daten« mithin an keine bestimmte Darstellungsform. Er kennt für Daten, wie sie das Datengesetz definiert, vielmehr den Begriff »digitale Daten«.25 Der EU-Gesetzgeber hat bisher zumeist unterschiedliche Datenarten definiert, nutzt aber auch nur den Begriff »Information«: Computerdaten26 meint die »Darstellung von Tatsachen, Informationen oder Konzepten in einer für die Verarbeitung in einem Informationssystem geeigneten Form«.27 Personenbezogene Daten28 sind »alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person […] beziehen«; die Darstellungsform ist grds. irrelevant.29 Die FFoD-VO30 behandelt »Daten, die keine personenbezogenen Daten im Sinne [der DSGVO] sind«, meint aber nur Informationen »in elektronischer Form«.31 Art. 5 Abs. 3 e-Privacy Richtlinie32 schützt Informationen,33 die in einem Endgerät gespeichert sind.34 Die Typgenehmigungsverordnung35 gewährt Zugang zu Reparatur- und Wartungsinformationen. Die Beispiele ließen sich beliebig fortsetzen. Schurs Frage, »ob es überhaupt einen einheitlichen Datenbegriff geben sollte oder geben kann«,36 ist nach dem Vorgesagten berechtigt. Es spricht mehr dafür, dass der EU-Gesetzgeber auf eine Definition von »Daten« verzichtet und stattdessen Dartenarten definiert, wie z.B. »nutzungsgenerierte IoT-Daten«;37 zumindest bis er einen universell zu verwendenden Datenbegriff gefunden hat.

Ihnen gefällt dieser Artikel?

ZdiW - Zeitschrift für das Recht der digitalen Wirtschaft

Lesen Sie jetzt 2 Ausgaben der ZdiW und erhalten Sie weitere spannende Beiträge!

b) »Digitale Darstellung«, »Handlung«, »Tatsache« und »Information«

Auch im Übrigen bleibt die Definition von »Daten« im Datengesetz unklar.38 Daten meint zunächst »digitale Darstellung von Handlungen, Tatsachen oder Informationen« und damit in Anlehnung an die »digitalen Daten« nach ISO/IEC 2382:2015 die Darstellung einer Handlung, Tatsache oder Information in Binärcode oder Hexadezimalcode. Mit Blick auf die sonstigen Datendefinitionen und die bisher geführten Diskussionen stellt sich die Frage, welcher Inhalt »Information«, »Handlung« und »Tatsachen« zukommt; es gibt weder einheitliche Begriffe noch einheitliche Konzepte.39 ISO/ IEC 2382:2015 kennt »Handlung« und »Tatsache« als Untermenge von »Information«. Der Begriff »Tatsache« findet sich im gesamten Entwurf zum Datengesetz nur in der Definition von »Daten«. In ErwG 14 heißt es, »Daten stellen die digitalisierten Nutzerhandlungen und -vorgänge« dar«.40 Aufgrund der unterschiedlichen Kontexte ist auch fraglich, ob auf die Erkenntnisse zum Begriff »Informationen« in Art. 4 Nr. 1 DSGVO zurückgegriffen werden kann. Auch die Nennung von Ton-, Bild- oder audiovisuellem Material ist unglücklich; diese Daten dürften gerade beim Hauptanwendungsfall der Anschlussdienste nur einen sehr geringen Anteil ausmachen; zumal Produkte, die in erster Linie zur Anzeige oder Wiedergabe von Inhalten oder zur Aufzeichnung und Übertragung von Inhalten bestimmt sind, nicht unter das Datengesetz fallen sollen.41

c) Das Datengesetz erfasst nur Daten, die bei Nutzung eines Produkts oder eines verbundenen Dienstes erzeugt werden

Im Folgenden soll der Frage nachgegangen werden, welche Daten »bei der Nutzung eines Produkts oder eines damit verbundenen Dienstes entstanden sind«.

aa) Produkt und verbundener Dienst

»Produkt« i.S.d. Art. 2 Nr. 2 DA-E meint – stark vereinfacht ausgedrückt – einen vernetzten42 körperlichen beweglichen Gegenstand. Ein »verbundener Dienst« (engl. related service) nach Art. 2 Nr. 3 DA-E ist ein »digitale[r] Dienst, einschließlich Software, der so in dieses Produkt integriert oder so mit ihm verbunden ist, dass das Produkt ohne ihn eine seiner Funktionen nicht ausführen könnte«. Die Definition von Produkt und verbundener Dienst entspricht fast wortgleich der Definition von »Waren mit digitalen Elementen« in Art. 2 Nr. 5 b) Warenkaufrichtlinie;43 umgesetzt in §§ 327a Abs. 3 Satz 1, 475b BGB. Allerdings nur fast. Auch hier schafft das Datengesetz wieder unnötige Unklarheiten durch inkonsistente Verwendung von Begrifflichkeiten. Dies soll durch eine Gegenüberstellung44 der Definitionen von »goods with digital elements« und »product and related service« verdeutlicht werden:

Tangible movable items that incorporate or are inter-connected with digital content or a digital service, , in such a way that the absence of that digital content
or
digital service would prevent the goods from performing their functions.

Die Warenkauf-RL versteht unter digitalen Inhalten »Betriebssysteme, Anwendungen und andere Software«. Digitale Dienst(leistungen) sind z.B. Software as a Service oder die fortlaufende Bereitstellung von Verkehrsdaten in einem Navigationssystem.45 Die Definition von »verbundener Dienst« nennt die »digitalen Inhalte« (engl. digital content) nicht, will aber »Software« als Teil des »digitalen Dienstes« erfasst wissen. Dass aber Waren mit digitalen Inhalten gemeint sein müssen, zeigen auch ErwG 14 (»physische Produkte, die mittels ihrer Komponenten Daten […] erzeugen«) und ErwG 16 (»in die ein Dienst so integriert oder die so mit ihm verbunden sind, dass das Produkt ohne ihn seine Funktionen nicht ausführen könnte«). Es handelt sich mithin um Daten, die »bei Nutzung« der reinen Hardware46 anfallen oder »bei Nutzung« eines mit dieser verbundenen digitalen Dienstes, einschließlich auf dem Produkt laufender Software, allerdings nur, soweit dieser Dienst eine Funktion des Produktes ausführt.47

bb) Bei der Nutzung erzeugt

Welche Daten genau als »bei Nutzung« eines Produktes oder verbundenen Dienstes »erzeugt« anzusehen sind, definiert das Datengesetz nicht.48 Das Datengesetz sieht die Datenerzeugung als das Ergebnis des Handelns von mindestens zwei Akteuren an: dem Entwickler oder Hersteller eines Produkts und dessen Nutzer.49 Dabei ist auch die Verwendung des Begriffs »Nutzer« missverständlich, denn gemeint ist der Eigentümer, Mieter oder Leasingnehmer des Produkts,50 der nicht gleichzeitig der tatsächlich Nutzende sein muss.51 Mit dem Datengesetz soll ein »harmonisierter Rahmen geschaffen werden, in dem festgelegt wird, wer – außer dem Hersteller oder einem anderen Dateninhaber – unter welchen Bedingungen und auf welcher Grundlage berechtigt ist, auf die Daten zuzugreifen, die durch Produkte oder verbundene Dienste erzeugt werden.«52 Die Kommission scheint den Umfang der Zugangsansprüche über einen Abwägungsprozess bestimmt zu haben, in den sie den Beitrag zur Datenerzeugung und die Interessen der beteiligten Akteure, aber auch der Gesellschaft allgemein hat einfließen lassen.53 Der Beitrag des Nutzers ist die Investition in das Produkt und dessen Nutzung: Die dabei erzeugten Daten stellen die Digitalisierung von Nutzeraktionen und -vorgängen dar und nur diese sollen für den Nutzer entsprechend zugänglich sein.54 Hierzu gehören Daten, die vom Nutzer absichtlich aufgezeichnet werden, Nebenprodukt der Nutzerhandlung sind, wie z.B. Diagnosedaten, und Daten, die ohne Zutun des Nutzers erzeugt werden, z.B. wenn sich das Produkt im »Staby-Modus« befindet, sowie Daten, die in Zeiten aufgezeichnet werden, in denen das Produkt ausgeschaltet ist.55 Ausdrücklich ausgenommen sind aus diesen reinen Nutzungsdaten abgeleitete oder gefolgerte Daten.56 Dem Gesetzgeber geht es in ErwG 14 auch nicht um den Schutz der Software, die die Daten ableitet;57 es geht ihm um eine Abwägung der Verursachungsbeiträge für die Datenerzeugung. Die Kommission argumentiert, dass der Einsatz einer geschützten Software die Abwägung zu Lasten des Nutzers ausfallen lässt. Die Abgrenzung wird schwierig. Das Max Planck Institut befürwortet daher, die erfassten Daten enger abzugrenzen, nämlich nur in Bezug auf die Daten, die auf der ersten Kodierung basieren, die bei Nutzung des Produkts oder des damit verbundenen Dienstes erfolgt.58 Der Dateninhaber stellt die Daten »auf einfaches Verlangen« zur Verfügung (Art. 4 Abs. 1 DA-E). Das Zugangsrecht erfasst mithin nur Daten, die ab diesem Zeitpunkt erzeugt werden (ex nunc). Der Dateninhaber kann Daten nur bereitstellen, wenn er von dem Verlangen weiß; andernfalls wird er die erzeugten Daten verwerfen oder im Einklang mit den geltenden Daten schutzgesetzen anonymisieren. Wäre der Dateninhaber auch zur Herausgabe bereits erhobener (historischer) Daten verpflichtet, müsste er alle Daten für den Nutzer kennzeichnen, um sie später auf diesen rückführbar zu machen. Dies kann aus zwei Gründen nicht gewollt sein: Das Datengesetz selbst spricht an mehreren Stellen von der Datenminimierung.59 Diese Pflicht würde zudem zu einer Art Dateneigentum für Nutzer, die natürliche Personen sind, führen, da diese ihre Rechte z.B. nach Art. 17 Abs. 1 DSGVO ausüben könnten. Juristischen Personen stehen diese Rechte nicht zu.

Ihnen gefällt dieser Artikel?

ZdiW - Zeitschrift für das Recht der digitalen Wirtschaft

Lesen Sie jetzt 2 Ausgaben der ZdiW und erhalten Sie weitere spannende Beiträge!

cc) Hersteller/Dateninhaber

Nach ErwG 4 soll »ein harmonisierter Rahmen geschaffen werden, in dem festgelegt wird, wer – außer dem Hersteller oder einem anderen Dateninhaber – unter welchen Bedingungen und auf welcher Grundlage berechtigt ist, auf die Daten zuzugreifen, die durch Produkte oder verbundene Dienste erzeugt werden.« Es sind mithin nur Daten umfasst, die der Dateninhaber in eigener Herrschaftssphäre speichert oder die Datenspeicherung kontrolliert.60

dd) Geschäftsgeheimnisse nur im Ausnahmefall offenzulegen

Geschäftsgeheimnisse sind nach Art. 4 Abs. 3 DA-E nur offenzulegen, wenn »alle besonderen Maßnahmen getroffen worden sind, die erforderlich sind, um die Vertraulichkeit der Geschäftsgeheimnisse, insbesondere gegenüber Dritten, zu wahren«. Nach Art. 5 Abs. 8 DA-E werden Geschäftsgeheimnisse »Dritten gegenüber nur insoweit offengelegt, als dies für den zwischen dem Nutzer und dem Dritten vereinbarten Zweck unbedingt erforderlich ist und der Dritte alle zwischen ihm und dem Dateninhaber vereinbarten besonderen Maßnahmen getroffen hat, die erforderlich sind, um die Vertraulichkeit des Geschäftsgeheimnisses zu wahren«. Diese, wenn auch nur beschränkte Pflicht zur Offenlegung von Geschäftsgeheimnissen, irritiert. Die Kommission betont in der Begründung noch, dass »der Schutz vertraulicher Geschäftsdaten sowie von Geschäftsgeheimnissen ein wichtiger Aspekt für einen reibungslos funktionierenden Binnenmarkt [ist]«. Mit dem Datengesetz werde »die Wahrung von Geschäftsgeheimnissen […] gewährleistet«. ErwG 28 stellt den Grundsatz auf, dass Geschäftsgeheimnisse zu respektieren sind.61 Die Pflicht zur Offenlegung führt zu Widersprüchen inhaltlicher Art und bezüglich gesellschaftlich akzeptierter grundrechtlichen Abwägungsergebnisse.

i) Art. 20 DSGVO zu Geschäftsgeheimnissen

Art. 5 Abs. 1 DA-E soll »das Recht [ergänzen], personenbezogene Daten gemäß Artikel 20 der Verordnung (EU) 2016/679 auf verschiedene Weise zu erhalten und zu übertragen.«62 Art. 20 Abs. 1 i.V.m. Abs. 4 DSGVO nimmt Geschäftsgeheimnisse der verantwortlichen Stelle aber ausdrücklich aus.63 Das European Data Protection Board (EDPB) befasst sich in seiner Stellungnahme 01/202264 umfangreich mit der Parallelnorm in Art. 15 Abs. 4 DSGVO. Das EDPB schildert anhand von Beispielen nachvollziehbar den Prozess vom Antrag auf Zugang zu den eigenen personenbezogenen Daten bis zur teilweisen Zurückweisung des Anspruchs bzgl. solcher Daten, die Geschäftsgeheimnisse der verantwortlichen Stelle beinhalten. Dass Unternehmen künftig Zugang zu personenbezogenen Daten des Datensubjekts nach Art. 15 Abs. 4 und Art. 20 Abs. 4 DSGVO verweigern können, soweit diese Geschäftsgeheimnisse enthalten, zu den von ihren eigenen Produkten erzeugten Daten aber nicht, ist weder systematisch noch rational nachvollziehbar. Es kann zudem zu großen praktischen Problemen führen, da es für Unternehmen entscheidend sein wird, ob der Nutzer gerade einen Anspruch nach Art. 15 bzw. 20 DSGVO oder nach Art. 4 bzw. Art. 5 DA-E geltend macht.

i) Art. 17 Abs. 2, 16 GRCh als Schranke des Datengesetzes

Dass die Datenzugangsansprüche auch die Pflicht zur Offenbarung von Geschäftsgeheimnissen umfassen sollen, könnte gegen Art. 17 Abs. 2, 16 GRCh verstoßen und nicht gerechtfertigt sein.65

2. Schutzbereich

Der Schutz von Geschäftsgeheimnissen stellt nach ständiger Rechtsprechung des EuGH einen allgemeinen Grundsatz des Unionsrechts dar66 und wird neben Art. 17 Abs. 2 GRCh67 auch durch Art. 16 GRCh gewährleistet. Die unternehmerische Freiheit umfasst insbesondere das Recht jedes Unternehmens, in den Grenzen seiner Verantwortlichkeit für seine eigenen Handlungen frei über seine wirtschaftlichen, technischen und finanziellen Ressourcen verfügen zu können.68 Zusätzlich stützen lässt sich der Schutz von Geschäftsgeheimnissen auch auf Art. 6 Abs. 2 EUV i.V.m. Art. 1 I Zusatzprotokoll zur EMRK, das den Schutz des Eigentums gewährt.69

3. Eingriff

Verlangt der Staat die Offenlegung von Geschäftsgeheimnissen, ist Art. 17 Abs. 2, 16 GRCh berührt, weil hierdurch die ausschließliche Nutzungsmöglichkeit des betroffenen Wissens für den eigenen Erwerb beeinträchtigt werden kann.70 Wird exklusives wettbewerbserhebliches Wissen Konkurrenten zugänglich gemacht, mindert dies die Möglichkeiten eines Grundrechtsträgers, die eigene Berufsausübung unter Rückgriff auf dieses Wissen erfolgreich zu gestalten. Der Anreiz zu innovativem unternehmerischem Handeln kann entfallen, weil die Investitionskosten für das betroffene Wissen nicht amortisiert werden können, während Konkurrenten dieses unter Einsparung entsprechender Kosten zur Grundlage ihres eigenen beruflichen Erfolgs nutzen können.71

4. Fehlende Rechtfertigung

Eine Einschränkung der Chartarechte muss gem. Art. 52 Abs. 1 Satz 1 GRCh zunächst gesetzlich vorgesehen sein. Die gesetzliche Grundlage muss hinreichend klar und genau sein. Denn hinter dem Gesetzesvorbehalt steht der Gedanke der Vorhersehbarkeit von Einschränkungen für den Grundrechtsträger.72 Nach Art. 52 Abs. 1 Satz 2 der Charta dürfen Einschränkungen dieser Rechte und Freiheiten unter Wahrung des Grundsatzes der Verhältnismäßigkeit nur vorgenommen werden, wenn sie erforderlich sind und den von der Union anerkannten dem Gemeinwohl dienenden Zielsetzungen oder den Erfordernissen des Schutzes der Rechte und Freiheiten anderer tatsächlich entsprechen.73 Der Grundsatz der Verhältnismäßigkeit verlangt, dass die Handlungen der Unionsorgane geeignet sind, die mit der fraglichen Regelung zulässigerweise verfolgten Ziele zu erreichen, und nicht die Grenzen dessen überschreiten, was zur Erreichung dieser Ziele geeignet und erforderlich ist. Die Regelung dürfte schon nicht erforderlich sein. Die Regelung ist erforderlich, wenn der Eingriff auf die aus Art. 17 Abs. 2, 16 GRCh garantierten Rechte in dem Sinne auf das absolut Notwendige beschränkt ist, dass diese Zielsetzung vernünftigerweise nicht ebenso wirksam mit anderen Mitteln erreicht werden kann.74 Der EU-Gesetzgeber hat mit Art. 15 Abs. 4 und Art. 20 Abs. 4 DSGVO gerade gezeigt, dass Datenzugangsansprüche nicht die Offenlegung von Geschäftsgeheimnissen erfordern. Dies wird vom European Data Protection Board in seiner Stellungnahme 01/2022 (Entwurf)75 bestätigt und mit folgenden Ausführungen untermauert: »The right to protection of personal data is not an absolute right. Hence also the exercise of the right of access has to be balanced against other fundamental rights in accordance with the principle of proportionality.« Die Regelung dürfte zudem nicht angemessen sein. Eine Regelung ist angemessen, wenn der durch sie bedingte Eingriff nicht außer Verhältnis zu ihrer Zielsetzung steht, was insbesondere eine Gewichtung der Bedeutung dieser Zielsetzung und der Schwere dieses Eingriffs impliziert. Mit Blick auf Art. 20 Abs. 4 DSGVO ist schon schwer vermittelbar, dass der Schutz von Geschäftsgeheimnissen den Grundrechten aus Art. 8 GRCh vorgeht, den nicht grundrechtlich geschützten Datenzugangsansprüchen aus dem Datengesetz aber nicht. Eigentum am Produkt vermittelt dem Nutzer bisher gerade kein Recht an den durch Nutzung erzeugten Daten. Zech hat zudem herausgearbeitet, dass das Eigentumsrecht am Produkt dem Kopieren von Daten nicht entgegensteht, da keine Eigentumsbeeinträchtigung gegeben ist.76 Der Gesetzgeber hätte den Zugriff auf Daten auch schlicht untersagen können.77 Geschäftsgeheimnisse sind offenzulegen, wenn »besondere Maßnahmen« zur Wahrung der Vertraulichkeit der Geschäftsgeheimnisse getroffen wurden. Was solche besonderen Maßnahmen sind, spezifiziert die Kommission nicht. Eine Information gilt nur als Geschäftsgeheimnis, wenn sie »Gegenstand von den Umständen entsprechenden angemessenen Geheimhaltungsmaßnahmen« ist (Art. 2 Nr. 1 c) der Geschäftsgeheimnisrichtlinie). Eine von der Kommission selbst in Auftrag gegebene Studie zu Geschäftsgeheimnissen im Kontext der Datenökonomie kommt zu dem Ergebnis, dass die Geschäftsgeheimnisrichtlinie »eine relativ neue Richtlinie« sei, mit der »Unternehmen noch nicht viel Erfahrung […] gesammelt« haben und insbesondere nicht abschließend rechtlich geklärt sei, was »angemessene Geheimhaltungsmaßnahmen« sind.78 Leistner79 fasst dies wie folgt zusammen: »Insgesamt bildet die bisher zur Geschäftsgeheimnis-RL und zum GeschGehG vorliegende, ganz vereinzelte Rechtsprechung noch kein verlässliches oder gar einheitliches Bild. Kleinster gemeinsamer Nenner ist die Betonung des Einzelfallcharakters.« Mit dem OLG Stuttgart sollten daher besser strengere Maßnahmen ergriffen werden, »solange es hierzu noch keine gefestigte Judikatur gibt«.80 Die EU-Kommission entlässt den Dateninhaber in diesen scheinbar unauflösbaren Zielkonflikt: Gib die Information heraus, sobald »besondere Maßnahmen« getroffen sind, aber ergreife ausreichend Maßnahmen, damit deine Information weiter als Geschäftsgeheimnis gilt. Zech hat bereits 2016 darauf hingewiesen, dass der Geschäftsgeheimnisschutz für Daten bei Verbrauchern nicht praktikabel ist: »Trade secrets generally require more complex contracts than licenses relying on IP. […] For consumers the amount of legal expertise to enter into such contract is not easily obtainable. […] for consumers the use of technical protection measures seems impractical.«81 Die EU-Kommission zitiert diesen Beitrag,82 zieht aber die notwendigen Schlüsse nicht. Die Verpflichtung des Nutzers und des Dritten zum Abschluss von Geheimhaltungsvereinbarungen in Art. 4 Abs. 3 und Art. 5 Abs. 8 DA-E sind nicht auseichend, da es sich lediglich um schuldrechtliche Verpflichtungen handelt. Gerade bei der geplanten massenhaften Herausgabe der Daten an mehrere Nutzer und Dritte ist nicht mehr nachvollziehbar, an welcher Stelle das Geschäftsgeheimnis offenbart wurde. SpechtRiemenschneider weist zurecht darauf hin, dass die Pflicht zur Offenlegung von Geschäftsgeheimnissen den grundrechtlich geschützten Rechten und Interessen der Dateninhaber nicht gerecht wird.83 Es drängt sich eine recht einfache Lösung auf: Art. 4 Abs. 3 und Art. 5 Abs. 8 DA-E werden gestrichen und durch eine Regelung entsprechend Art. 20 Abs. 4 DSGVO ersetzt: Das Recht gemäß Abs. 1 darf die Rechte und Freiheiten anderer Personen nicht beeinträchtigen. Der EU-Gesetzgeber kann diese Entscheidung nach Art. 41 DA-E in zwei Jahren überprüfen und, sollten die Datenzugangsansprüche aufgrund von Geschäftsgeheimnissen nicht funktionieren, wovon nicht auszugehen ist, eine Offenlegung von Geschäftsgeheimnissen vorsehen.

III. Fazit

Der EU-Gesetzgeber sollte auf eine Definition des Begriffs »Daten« verzichten und stattdessen Datenarten definieren. Das Datengesetz sollte überarbeitet werden, damit es sich in die bestehende Gesetzeslandschaft einfügt; dazu gehört auch die einheitliche Verwendung von Begrifflichkeiten.

  • Fußnoten
    * Sebastian Rockstroh ist Rechtsanwalt in Nürnberg, Dr. Peter Katko ist Rechtsanwalt und leitet bei EY Law die Praxisgruppe Digital Law.
    1 COM(2020)66 final, S. 1 f.
    2 COM(2020)66 final, S. 2.
    3 So Hennemann/Steinrötter NJW 2022, 1481; Steinrötter GRUR 2023, 216; zu Gegenstand und Bausteinen eines EU-Datenwirtschaftsrechts Steinrötter RDi 2021, 480.
    4 COM(2022)68 final.
    5 In der Europäischen Datenstrategie (COM(2020)66 final) war die Schaffung eines europäischen Datengesetzes noch unsicher (»gegebenenfalls Vorlage eines Vorschlags für einen Rechtsakt über Daten, 2021«), vgl. Gerpott CR 2022, 271.
    6 Folgenabschätzungsbericht, abrufbar unter https://digital-strategy.ec.europa.eu/en/library/impact-assessment-report-and-support-studiesaccompanying-proposal-data-act [14.03.2023], S. 15.
    7 SITRA (2021). The future of the European companies in the data economy, Report, abrufbar unter https://www.sitra.fi/en/publications/the-future-ofeuropean-companies-in-data-economy-2021/ [14.03.2023], S. 37.
    8 COM(2020)66 final.
    9 Vgl. auch anschaulich Siems/Repka ZdiW 2022, 441 oder Steinrötter GRUR 2023, 216 zum Verhältnis DSGVO/Datengesetz.
    10 Vgl. unter II. 1. unten.
    11 Vgl. unter II. 1. c) aa) unten.
    12 Vgl. unter II. 1. c) dd) i).
    13 Vgl. unter II. 1. c) dd) ii).
    14 Das Datengesetz selbst wurde bereits an anderer Stelle umfangreich vorgestellt: Drexl/Banda/Gonzalez Otero/Hoffmann/Kim/Kulhari/Moscon/Richter/Wiedemann, Position Statement of the Max Planck Institute for Innovation
    and Competition of 25 May 2022 on the Commission’s Proposal of 23 February 2022 for a Regulation on harmonised rules on fair access to and use of data (Data Act), abrufbar unter https://papers.ssrn.com/sol3/papers.cfm? abstract_id=4136484 [14.03.2023] (das »Positionspapier des Max Planck Institutes«); Leistner/Antoine, IPR and the use of open data and data sharing initiatives by public and private actors, abrufbar unter https://www.europarl.europa.eu/thinktank/de/document/IPOL_STU(2022)732266 [14.03.2023]
    (zit. als »Leistner/Antoine«); Gerpott CR 2022, S. 271; Specht-Riemenschneider Beilage zu MMR 9/2022, 809; dies. ZRP 2022, 137; dies. GRUR 2022, 937; Hennemann/Steinrötter NJW 2022, 1481; Kerber, Governance of IoT Data, 08.04.2022, abrufbar unter https://papers.ssrn.com/sol3/papers.cfm?abstract_id=4080436 [14.03.2023] (»Kerber«); Bomhard/Merkle RDi 2022, 168; Podszun/Pfeifer GRUR 2022, 953; Karsten/Wienroeder RAW 2022, 99; Staudenmayer EuZW 2022, 596; Hartmann/McGuire/Schulte-Nölke RDi 2023, 49; Wiebe GRUR 2023, 227.
    15 Soweit der Nutzer nicht direkt vom Produkt aus auf die Daten zugreifen kann.
    16 Specht-Riemenschneider wies daher schon früh darauf hin, dass ein »Schutzrecht […] zuallererst einen klar definierten Schutzgegenstand [benötigt]« (CR 2016, 288, 290).
    17 Vgl. etwa »Data«, Floridi in William A. Darity (ed.), International Encyclopedia of the Social Sciences, 2008; Rosenberg, Data before the fact, in Gitelmann, »Raw Data« is an Oxymoron, 2013; vgl. auch Kitchin, The Data Revolution, 2022, S. 4; Zech, Information als Schutzgegenstand, 2012, S. 24 ff., 32 ff., 55 ff.; ders. CR 2015, 137; Amstutz AcP 218 (2018), 438, 444; Schur, Lizenzierung von Daten, S. 13.
    18 Und damit deutlich vor der Digitalisierung.
    19 Oxford English Dictionary »datum«; Rosenberg, Data before the fact, in Gitelmann, »Raw Data« is an Oxymoron, S. 18; Johnson The Economist 11.08.2022, »Should ‘data’ be singular or plural« und Kitchin, The Data Revolution, 2022, S. 3.
    20 Die Informationstechnik entstand viel später.
    21 Kitchin, The Data Revolution, 2022, S. 3 f.; vgl. auch Schur, Lizenzierung von Daten, S. 13: »Eine Definition [von Daten …] ist schnell gefunden, kann aber zu Fehlschlüssen verleiten, da stets der jeweilige Hintergrund zu beachten ist, vor dem die Definition erfolgt.«.
    22 https://www.duden.de/rechtschreibung/Daten [14.03.2023].
    23 »Data«, Floridi in William A. Darity (ed.), International Encyclopedia of the Social Sciences, 2008; vgl. auch Kitchin, The Data Revolution, 2022, S.4.
    24 ISO/IEC 25024:2015 verweist auf diese Definition.
    25 ISO/IEC 2382:2015, Nr. 2121038, »Daten dargestellt als Ziffern«, wobei »Ziffer« dann auch die Buchstaben A bis F enthält, die im Hexadezimalsystem genutzt werden (ISO/IEC 2382:2015, Nr. 2121569).
    26 Art. 2 b) der EU-Richtlinie zur Cyberkriminalität.
    27 Statt Handlungen wird der Begriff Konzepte verwendet. Abgegrenzt wird
    auf syntaktischer Ebene; es sind »digitale« Daten erfasst.
    28 Art. 4 Nr. 1 DSGVO.
    29 Vgl. Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, DSGVO Art. 4 Nr. 1 Rn. 25; VerfGH Sachs 23.04.2021, 137-IV-20, BeckRS 2021, 10002 Rn. 15: »Die […] papiergebundene Sammlung personenbezogener Daten […] fällt in den Anwendungsbereich der […] DSGVO«; vgl. auch Artikel-29-Datenschutzgruppe WP 136, Stellungnahme 4/2007 zum Begriff »personenbezogene Daten«, S. 4 und S. 8: »Dies umfasst sowohl Informationen auf Papier als auch Informationen, die auf einem Computer in binärer Form […] gespeichert sind«; Martini/Kolain/Neumann/Rehorst/ Wagner MMR-Beilage 2021, 3; in diese Richtung auch Specht CR 2016, 288, 290; Hoeren/Bitter, (Re)Structuring Data Law: Approaches to Data Property, in K. Bergener et al. The Art of Structuring, 2019, S. 297 f.;
    der Begriff der Datenwirtschaft (= Daten i.S.d. Informationstechnologie) meint daher auch nicht »Daten« i.S.d. der DSGVO (= Informationen über eine Person). Bestimmte Daten (syntaktische Ebene) können aber personenbezogene Daten (semantische Ebene) sein; das Beispiel »personenbezogene Daten« auch bei Schur, Die Lizenzierung von Daten, 2020, S. 20.
    30 Verordnung (EU) 2018/1807, Abl. Nr. L 303 v. 28.11.2018.
    31 Art. 3 Abs. 1 FFoD-VO.
    32 Richtlinie 2002/58/EG, Abl. Nr. L 201 v. 31.07.2002.
    33 Und würde damit nach eigener Definition »Handlungen« und »Fakten« ausnehmen.
    34 ErwG 32 des Datengesetzes nimmt auf die e-Privacy-Richtlinie Bezug und spricht von »Zugang zu Daten, die auf Endgeräten gespeichert sind« (herv. d.d. Autor).
    35 Verordnung (EU) 2018/858, Abl. Nr. L 151 v. 14.06.2018.
    36 Schur, Die Lizenzierung von Daten, 2020, S. 29.
    37 In diese Richtung wohl auch Positionspapier des Max Planck Institutes, Rn. 30 und 63, auch wenn dort von »additional definition« die Rede ist.
    38 Hennemann/Steinrötter NJW 2022, 1481, 1484.
    39 Ein klarer Informationsbegriff ist dabei unerlässlich.
    40 Hervorhebung durch die Autoren.
    41 ErwG 15.
    42 »[T]hat is able to communicate data via a publicly available electronic communications services«; die Kommission will IoT-Geräte erfasst wissen, Begründung S. 1, 9, 11 ff., ErwG 1, 14, 19, 22.
    43 Richtlinie (EU) 2019/771, Abl. Nr. L 136 v. 22.05.2019.
    44 Zur Veranschaulichung stark vereinfacht. Es wird der englische Text verwendet, weil »digital service« in der Warenkaufrichtlinie mit »digitale Dienstleistung« und im Datengesetz mit »digitaler Dienst« übersetzt wird.
    45 Jeweils ErwG 14 Warenkaufrichtlinie.
    46 »[B]y means of its physical components« (Folgenabschätzungsbericht,
    S. 9); »physical products […] by means of their components« (ErwG 14).
    47 So Gerpott CR 2022, 271, 274; Leistner/Antoine, S. 82; a.A. wohl SpechtRiemenschneider Beilage zu MMR 9/2022, 809, 814: »Ohne Relevanz ist, ob das Produkt nach Art. 2 Abs. 2 DA-E, das mittels Sensoren und Software Daten über seine Nutzung oder Umgebung erlangt, dies tut, ohne dass dies erforderlich ist, um seine Funktionen auszuführen«.
    48 Vgl. auch Positionspapier des Max Planck Institutes, Rn. 22.
    49 ErwG 6; vgl. auch schon Commission Staff Working Document on
    the free flow of data and emerging issues of the European data economy, SWD(2017) 2 final, abrufbar unter https://op.europa.eu/de/publication-detail/-/publication/30f7e8aa-d808-11e6-ad7c-01aa75ed71a1 [14.03.2023], S. 35: »One of the criteria for allocating the right could be to take into account the investments done and the resources put into the creation of the data. Such investments are made most often by two sides: The manufacturer of sensor-equipped machines, tools or devices
    (generating the data) who has invested in to the development and market commercialisation of the machine, tool or device and the economic operators using such machines, tools or devices paying a purchase price or lease and have to amortise the machine, tool or device.«
    50 Art. 2 Nr. 5 i.V.m. ErwG 16 und 20. Auf die nach deutschem Rechtsverständnis missverständliche Verwendung des Begriffs »besitzt« soll an dieser Stelle nicht zusätzlich eingegangen werden.
    51 Das Max Planck Institut spricht sich für eine noch engere Auslegung aus: »Nutzer« soll nur ein Investierender sein, der gleichzeitig ein berechtigtes Interesse an den Daten zur Erbringung von Mehrwertdiensten hat (Positionspapier des Max Planck Institutes, Rn. 59). Gefälligkeitsverhältnisse (zur Verfügung stellen des Gegenstands an Familienmitglieder) dürften nicht mehr erfasst sein (fragend Hennemann/Steinrötter NJW 2022, 1481, 1984 – hier können sich schwierige Abgrenzungsfragen stellen, auch hinsichtlich der Rolle des Dateninhabers).
    52 ErwG 4.
    53 Vgl. Positionspapier des Max Planck Institutes, Rn. 28 oder 32.
    54 ErwG 14.
    55 ErwG 17, an dieser Stelle ist aber mit dem EuGH GRUR 2014, 774, 775 »darauf hinzuweisen, dass die Begründungserwägungen eines Gemeinschaftsrechtsakts rechtlich nicht verbindlich sind und weder herangezogen werden können, um von den Bestimmungen des betreffenden Rechtsakts abzuweichen, noch, um diese Bestimmungen in einem Sinne auszulegen, der ihrem Wortlaut offensichtlich widerspricht«.
    56 ErwG 14; 17; vgl. auch zu Art. 20 DSGVO: Art.-29-Gruppe, WP 242 rev. 01, S. 11 f.
    57 Positionspapier des Max Planck Institutes, Rn. 29.
    58 Positionspapier des Max Planck Institutes, Rn. 30.
    59 ErwG 8, ErwG 34.
    60 Specht-Riemenschneider Beilage zu MMR 9/2022, 813.
    61 ErwG 28: Any trade secrets or intellectual property rights should be respected in handling the data; vgl. auch Folgenabschätzungsbericht, S. 29.
    62 ErwG 31 sowie Art. 1 Abs. 3 DA-E; vgl. hierzu auch Steinrötter GRUR 2023, 216, 221.
    63 Jeweils Abs. 4; ErwG 63 DSGVO; Art.-29-Gruppe, WP 242 rev. 01,
    S. 14 f.; Simitis/Hornung/Spiecker gen. Döhmann, DSGVO Art. 20 Rn. 18.
    64 Liegt derzeit noch im Entwurf vor und ist abrufbar unter: https://edpb.europa.eu/our-work-tools/documents/public-consultations/2022/guidelines012022-data-subject-rights-right_en [14.03.2023].
    65 Leistner/Antoine zweifelnd hinsichtlich dieses »new regulatory approach, which goes way beyond the existing, comparably problem-specific approaches in competition law, consumer protection law and sector-specific regulation« (S. 15).
    66 Vgl. EuGH NVwZ 2008, 651, 653; EuGH NVwZ 2012, 615, 617 f.
    67 Vgl. EuGH NVwZ 2017, 380, 386 f.
    68 Vgl. EuGH 30.06.2016, C-134/15, BeckRS 2016, 81408 Rn. 27; EuGH NJW 2014, 1577.
    69 Harte-Bavendamm/Ohly/Kalbfus/Kalbfus Einl. A Rn. 165; Köhler/Bornkamm/Feddersen, GeschGehG vor § 1 Rn. 7.
    70 BVerfG NVwZ 2021, 1211, 1214 zu Art. 12 Abs. 1 GG; zum Gleichlauf mit Art. 17 Abs. 2, 16 GRCh ebenda S. 1213 f.
    71 BVerfG NVwZ 2021, 1211, 1214 m.w.N.
    72 Meyer/Hölscheidt, GRCh Art. 52 Rn. 30, 31.
    73 EuGH NJW 2023, 199, 201; Leistner/Antoine, S. 35, 64 sehen die Herausgabe von Geschäftsgeheimnissen ebenfalls kritisch, wollen aber zumindest in eingeschränktem Umfang Zugang gewähren.
    74 EuGH NJW 2023, 199, 202.
    75 Der Entwurf ist abrufbar unter: https://edpb.europa.eu/our-work-tools/documents/public-consultations/2022/guidelines-012022-data-subject-rights-right_en [14.03.2023].
    76 Vgl. Zech AcP 219 (2019), 488, 584 ff.
    77 Vgl. zu diesem Ansatz Zech in De Franceschi, European Contract Law and the Digital Single Market, S. 51 ff. mit Verweis auf Becker in Fn. 69.
    78 Study on the Legal Protection of Trade Secrets in the Context of the Data Economy.
    79 WRP 2021, 835, 837.
    80 OLG Stuttgart GRUR-RS 2020, 35613 Rn. 168.
    81 Zech in De Franceschi, European Contract Law and the Digital Single Market, S. 60, 64.
    82 SWD(2017) 2 final
    83 Specht-Riemenschneider Beilage zu MMR 9/2022, 816.
Bildnachweis: elnariz/stock.adobe.com

Back To Top