Der europäische Data Act verfolgt das Ziel, den bislang stark herstellerzentrierten Datenzugang aufzubrechen und Nutzern sowie Dritten erweiterte Rechte auf Datenzugang und Datenweitergabe einzuräumen. Dies eröffnet neue Möglichkeiten für Dienstleistungs- und Datenmärkte, birgt für die Dateninhaber jedoch erhebliche Risiken. Denn viele der erfassten Daten enthalten Geschäftsgeheimnisse oder erlauben Rückschlüsse auf wertvolles Know-how.
Damit entsteht ein Spannungsfeld zwischen Datenzugang und Geheimnisschutz.

Geschäftsgeheimnisse im Lichte des Data Act

Nach Art. 2 Nr. 18 Data Act gelten als Geschäftsgeheimnisse Informationen, die den Kriterien der EU-Geschäftsgeheimnis-Richtlinie entsprechen, in Deutschland umgesetzt durch § 2 Nr. 1 GeschGehG. Dazu zählen Informationen, die

nicht allgemein bekannt oder leicht zugänglich sind,
wirtschaftlichen Wert besitzen,
durch angemessene Geheimhaltungsmaßnahmen geschützt sind,
und deren Geheimhaltung ein berechtigtes Interesse darstellt.

In der Praxis sind viele Daten wie Maschinendaten, Sensordaten oder technische Parameter von Bedeutung. Aus ihnen lassen sich beispielsweise Kennkurven, Wirkungsgrade oder Funktionsweisen ableiten. Teilweise können sie sogar Reverse Engineering im Sinne des § 3 Abs. 1 Nr. 2 GeschGehG ermöglichen. Während die EU-Kommission Zweifel daran äußert, ob unverarbeitete Rohdaten überhaupt Geschäftsgeheimnisse darstellen, erkennen andere Stimmen und auch die Rechtsprechung an, dass Daten unter bestimmten Voraussetzungen als Geschäftsgeheimnisse geschützt sein können.

Schranken und Verweigerungsrechte

Der Data Act sieht verschiedene Mechanismen vor, um den Geheimnisschutz zu sichern. Art. 4 und Art. 5 enthalten explizite Regelungen, wonach Dateninhaber den Zugang oder die Weitergabe verweigern dürfen, wenn:

keine Einigung über erforderliche Schutzmaßnahmen erzielt werden konnte,
vereinbarte Maßnahmen nicht umgesetzt wurden,
eine Verletzung der Vertraulichkeit vorliegt,
oder außergewöhnliche Umstände mit hoher Wahrscheinlichkeit einen schweren wirtschaftlichen Schaden erwarten lassen (Art. 4 Abs. 8 und Art. 5 Abs. 11 Data Act).

Das Konzept des „schweren wirtschaftlichen Schadens“ bleibt unbestimmt. Erwägungsgrund 31 nennt Faktoren wie die Durchsetzbarkeit des Schutzes in Drittländern, den Vertraulichkeitsgrad und die Einzigartigkeit des Produkts sowie mögliche Auswirkungen auf die Cybersicherheit. Welche Kriterien sich in der Praxis durchsetzen, ist jedoch offen.

Praktische Schutzmaßnahmen

Um Risiken zu minimieren, verweist der Data Act auf Schutzmechanismen wie Mustervertragsklauseln, Vertraulichkeitsvereinbarungen, strenge Zugangsprotokolle, technische Standards oder Verhaltenskodizes. Zentrale Bedeutung kommt Berechtigungskonzepten zu, die den Datenzugang auf eine Need-to-Know-Basis beschränken. Ohne solche Maßnahmen – etwa passwortgeschützte Zugriffskonzepte – wird man sich regelmäßig nicht auf Geschäftsgeheimnisschutz berufen können.

Da der Data Act keine Abwägungsvorschrift enthält, die Datenzugangsrechte relativiert, spielen vertragliche Vereinbarungen eine entscheidende Rolle. Sie verhindern sowohl den unberechtigten Zugriff als auch ein Overclaiming von Geschäftsgeheimnissen.

Absehbare Streitpunkte

Die Anwendung des Data Act wird in der Praxis zu erheblichen Konflikten führen. Absehbare Problemfelder sind:

Nachweis des Geschäftsgeheimnisses: Dateninhaber müssen belegen, dass die betroffenen Informationen tatsächlich geheimnisrelevant sind. Gerade bei Maschinendaten ist dies häufig umstritten.
Streit um Schutzmaßnahmen: Welche Maßnahmen erforderlich sind und ob sie umgesetzt wurden, wird regelmäßig zwischen den Parteien strittig sein.
Unbestimmtheit des Schadensbegriffs: Wann genau ein schwerer wirtschaftlicher Schaden vorliegt, ist unklar.
Durchsetzung bei Drittzugriffen: Zwar müssen Dritte Geheimhaltungsverpflichtungen eingehen, doch der Nachweis eines Verstoßes oder einer Nutzung für Konkurrenzprodukte ist praktisch schwer zu führen.

Fazit

Der Data Act enthält zwar Mechanismen zum Schutz von Geschäftsgeheimnissen, doch bleiben zahlreiche Unsicherheiten. Dateninhaber stehen vor dem Risiko, einerseits ihre wirtschaftlich wertvollen Informationen preiszugeben und andererseits Bußgelder zu riskieren, wenn sie den Zugang unrechtmäßig verweigern. Ob der gesetzgeberische Ausgleich zwischen Datenzugang und Geheimnisschutz in der Praxis trägt, wird maßgeblich von Rechtsprechung und Vertragsgestaltung abhängen.

Weiterführende Quellen und Literaturhinweise

Kiefer/Schneider, Data Act und Geschäftsgeheimnisschutz in der Praxis, GRUR-Prax 2025, 648.
Pauly/Wichert/Baumann, Schutz von Geschäftsgeheimnissen nach dem Data Act, MMR 2024, 211.
Dregelies, Der Schutz von Geschäftsgeheimnissen im Data Act, GRUR 2025, 1327.