Der europäische Data Act verfolgt das Ziel, den bislang stark herstellerzentrierten Umgang mit Daten aufzubrechen, indem er Nutzern Datenzugangsrechte einräumt und so die faktische Kontrolle über Daten relativiert. Dies eröffnet neue Möglichkeiten für Dienstleistungs- und Datenmärkte, birgt für die Dateninhaber jedoch das Risiko, dass in Daten enthaltene Geschäftsgeheimnisse oder wertvolles Know-how ebenfalls zugänglich werden.

Damit entsteht ein Spannungsfeld zwischen Datenzugang und Geheimnisschutz.

Geschäftsgeheimnisse im Lichte des Data Act

Nach Art. 2 Nr. 18 Data Act gelten Informationen als Geschäftsgeheimnisse, die den Kriterien der EU-Geschäftsgeheimnis-Richtlinie entsprechen, in Deutschland umgesetzt durch § 2 Nr. 1 GeschGehG. Dazu zählen Informationen, die

nicht allgemein bekannt oder leicht zugänglich sind,
wirtschaftlichen Wert besitzen,
durch angemessene Geheimhaltungsmaßnahmen geschützt sind,
und deren Geheimhaltung ein berechtigtes Interesse darstellt.

In der Praxis sind viele Daten wie Maschinendaten, Sensordaten oder technische Parameter von vernetzten Produkten und industriellen Anlagen von Bedeutung. Aus ihnen lassen sich beispielsweise Kennkurven, Wirkungsgrade oder Funktionsweisen ableiten. Teilweise können sie sogar Reverse Engineering im Sinne des § 3 Abs. 1 Nr. 2 GeschGehG ermöglichen. Während die EU-Kommission Zweifel daran äußert, ob unverarbeitete Rohdaten überhaupt Geschäftsgeheimnisse darstellen, erkennen andere Stimmen und auch die Rechtsprechung an, dass Daten unter bestimmten Voraussetzungen als Geschäftsgeheimnisse geschützt sein können.

Schranken und Verweigerungsrechte

Der Data Act sieht verschiedene Mechanismen vor, um den Geheimnisschutz zu sichern. Art. 4 und Art. 5 enthalten Regelungen, wonach Dateninhaber den Zugang oder die Weitergabe von Daten verweigern dürfen, wenn:

keine Einigung über erforderliche Schutzmaßnahmen erzielt werden konnte,
vereinbarte Maßnahmen nicht umgesetzt wurden,
eine Verletzung der Vertraulichkeit vorliegt,
oder außergewöhnliche Umstände mit hoher Wahrscheinlichkeit einen schweren wirtschaftlichen Schaden erwarten lassen (Art. 4 Abs. 8 und Art. 5 Abs. 11 Data Act).

Das Konzept des schweren wirtschaftlichen Schadens bleibt unbestimmt. Erwägungsgrund 31 nennt Faktoren wie die Durchsetzbarkeit des Schutzes in Drittländern, den Vertraulichkeitsgrad und die Einzigartigkeit des Produkts sowie mögliche Auswirkungen auf die Cybersicherheit. Welche Kriterien sich in der Praxis durchsetzen, ist jedoch offen. Festzuhalten ist, dass der Data Act von der Verweigerung der Datenherausgabe als Ausnahmefall ausgeht; im Recht sind Ausnahmen in aller Regel eng auszulegen.

Praktische Schutzmaßnahmen

Um Risiken der Dateninhaber für deren Geheimhaltungsinteressen zu minimieren, verweist der Data Act auf Schutzmechanismen wie Mustervertragsklauseln, Vertraulichkeitsvereinbarungen, strenge Zugangsprotokolle, technische Standards oder Verhaltenskodizes. Zentrale Bedeutung kommt Berechtigungskonzepten zu, die z.B. den Datenzugang auf eine Need-to-Know-Basis beschränken. Ohne solche Maßnahmen – etwa passwortgeschützte Zugriffskonzepte – wird man sich regelmäßig nicht auf Geschäftsgeheimnisschutz berufen können. Es ist daran zu erinnern, dass die Eigenschaft einer Information als „Geschäftsgeheimnis“ (wie oben erwähnt) davon abhängt, dass die Information auch tatsächlich (oder mindestens rechtlich) geschützt ist. Es ist also mit Blick auf den unternehmerischen Schutz von Geschäftsgeheimnissen keine gute Strategie, den Zugang einfach breit und voraussetzungslos zu gewähren. Vielmehr braucht es eine Schutzstrategie, die Zugang und Schutz gleichermaßen einbezieht und austariert.

Da der Data Act keine Abwägungsvorschrift enthält, die Datenzugangsrechte relativiert, spielen vertragliche Vereinbarungen eine entscheidende Rolle. Sie verhindern sowohl den unberechtigten Zugriff als auch ein Overclaiming von Geschäftsgeheimnissen.

Absehbare Streitpunkte

Die Anwendung des Data Act wird in der Praxis zu erheblichen Konflikten führen. Absehbare Problemfelder sind:

Nachweis des Geschäftsgeheimnisses: Dateninhaber müssen belegen, dass die betroffenen Informationen tatsächlich geheimnisrelevant sind. Gerade bei Maschinendaten ist dies häufig umstritten.
Streit um Schutzmaßnahmen: Welche Maßnahmen erforderlich sind und ob sie umgesetzt wurden, wird regelmäßig zwischen den Parteien strittig sein.
Unbestimmtheit des Schadensbegriffs: Wann genau ein schwerer wirtschaftlicher Schaden vorliegt, ist unklar.
Durchsetzung bei Drittzugriffen: Zwar müssen Dritte Geheimhaltungsverpflichtungen eingehen, doch der Nachweis eines Verstoßes oder einer Nutzung für Konkurrenzprodukte ist praktisch schwer zu führen.

Fazit

Der Data Act enthält zwar Mechanismen zum Schutz von Geschäftsgeheimnissen, doch bleiben zahlreiche Unsicherheiten. Dateninhaber stehen vor dem Risiko, einerseits ihre wirtschaftlich wertvollen Informationen preiszugeben und andererseits Bußgelder zu riskieren, wenn sie den Zugang unrechtmäßig verweigern. Ob der gesetzgeberische Ausgleich zwischen Datenzugang und Geheimnisschutz in der Praxis trägt, wird maßgeblich von Rechtsprechung und Vertragsgestaltung abhängen.

Weiterführende Quellen und Literaturhinweise

Dregelies, Der Schutz von Geschäftsgeheimnissen im Data Act, GRUR 2025, 1327.
Kiefer/Schneider, Data Act und Geschäftsgeheimnisschutz in der Praxis, GRUR-Prax 2025, 648.
Pauly/Wichert/Baumann, Schutz von Geschäftsgeheimnissen nach dem Data Act, MMR 2024, 211.