Datengesetz: Schutz von Geschäftsgeheimnissen soll nicht zur Norm werden

Die Europäische Kommission ist nun offen für die Einführung eines Mechanismus zum Schutz von Geschäftsgeheimnissen in das Datengesetz. Allerdings sollte dies eher die Ausnahme als die Regel bleiben, so ein interner Hinweis, der EURACTIV vorliegt.

Der Data Act ist ein Gesetzesentwurf, der regelt, wie auf Online-Daten zugegriffen, sie geteilt und weitergegeben werden. Insbesondere würde er die Hersteller von mobilen Geräten dazu verpflichten, den Nutzern den Zugriff auf die von ihnen erzeugten Daten zu ermöglichen und sie mit Drittpersonen zu teilen.

Teile der Industrie, darunter europäische Schwergewichte wie Siemens und SAP, haben sich vehement gegen den Gesetzesentwurf gewehrt und argumentiert, dass die Verpflichtung zur Datenweitergabe ohne entsprechende Schutzmaßnahmen unweigerlich ihre Wettbewerbsfähigkeit untergraben würde, da sie gezwungen wären, kommerziell sensible Informationen offenzulegen.

Diese Bedenken stießen im EU-Rat auf offene Ohren. Denn die Mitgliedstaaten haben bereits den Grundsatz eingeführt, dass eine Organisation die Weitergabe von Daten verweigern kann, wenn sie nachweisen kann, dass sie dadurch wahrscheinlich einen schweren wirtschaftlichen Schaden erleiden würde.

Allerdings zeigt sich das Europäische Parlament kritisch gegenüber dem Ansatz.

Nach Ansicht des Europäischen Parlaments verleiht diese Maßnahme den Organisationen, die die Daten kontrollieren, also den Dateninhabern, ein Vetorecht, um Anträge auf Datenzugriff abzulehnen, wodurch der gesamte Zweck der Verordnung untergraben wird.

„Die Kommission kann solche Schutzmaßnahmen, wie vom Rat vorgeschlagen, in Betracht ziehen, solange ein solcher Mechanismus eine Ausnahme bleibt, und mit der Richtlinie über Geschäftsgeheimnisse (einschließlich ihres Ziels und der ihr zugrunde liegenden Prinzipien) im Einklang steht, die Gesetzestexte eine expansive Auslegung oder extensive Nutzung verhindern und eine unverhältnismäßige Belastung der KMU vermieden wird“, heißt es in der Mitteilung.

Die EU-Kommission scheint auch ein offenes Ohr für die Bedenken der Hersteller zu haben, die ihre Geschäftsgeheimnisse bestmöglich schützen wollen. Diese fordern insbesondere, gegen unlauteren Wettbewerb und die unrechtmäßige Offenlegung von vertraulichen Geschäftsdaten vorzugehen.

Datenaustausch zwischen Unternehmen und staatlichen Einrichtungen

Der nächste politische Trilog ist für den 23. Mai geplant. Neben der Erörterung von Geschäftsgeheimnissen wird erwartet, dass die EU-Abgeordneten das Kapitel des Datengesetzes abschließen werden, welches es öffentlichen Stellen ermöglichen würde, unter bestimmten Umständen Zugang zu privat gehaltenen Daten zu beantragen.

Ein entscheidender Aspekt dieses Kapitels ist die Art der Daten, da das Europäische Parlament darauf drängt, personenbezogene Daten aus dem Anwendungsbereich dieser Bestimmungen auszuschließen.

Im Gegensatz dazu hat der EU-Rat personenbezogene Daten zugelassen, aber mehrere Schutzmaßnahmen eingeführt, wie zum Beispiel eine Meldung an die zuständige Datenschutzbehörde, eine Begründung und Schutzmaßnahmen für Anfragen im Zusammenhang mit öffentlichen Notfällen und die Forderung, dass die Anfragen eine spezifische Rechtsgrundlage haben müssen.

Die Kommission ist ebenfalls daran interessiert, dass personenbezogene Daten in den Anwendungsbereich aufgenommen werden, und ist der Ansicht, dass der Text des Rates ausreichende Garantien bietet. Ein Kompromiss besteht darin, personenbezogene Daten auf Anfragen in den schwerwiegendsten Situationen zu beschränken.

In diesem Zusammenhang wollen die Abgeordneten den Grundsatz aufheben, dass öffentliche Stellen Daten nicht nur zur Reaktion, sondern auch zur Behebung und Milderung eines öffentlichen Notfalls anfordern können.

Nach Ansicht der Kommission „kann die Art bestimmter Notfälle die Beschaffung von Daten erfordern, bevor ein Ereignis tatsächlich eintritt (zum Beispiel ein Erdbeben) oder um die Wiederaufbaumaßnahmen zu unterstützen. Gleichzeitig sollte die Kommission aber flexibel bleiben.“

Eine weitere offene Frage ist, ob kleine und Mikrounternehmen in den Geltungsbereich der Verpflichtungen zwischen Unternehmen und Behörden (B2G) aufgenommen werden sollten, da der EU-Rat sie für bestimmte Situationen einbeziehen möchte. Diese Erweiterung könnte zusammen mit einem Recht auf Schadenersatz vereinbart werden.

In Bezug auf die EU-Institutionen schlugen die Mitgliedsstaaten vor, diese Fähigkeit auf die Kommission und die Europäische Zentralbank zu beschränken, um dieses Kapitel auf die öffentlichen Einrichtungen zu begrenzen, die es in der Praxis nutzen werden.

Die Mitteilung der Kommission fügt hinzu, dass auch bei einer Beschränkung des Anwendungsbereichs dieser Bestimmungen die Daten im Falle eines außergewöhnlichen Bedarfs mit anderen EU-Institutionen geteilt werden könnten.

Argumente für die Befürwortung

Auf der nächsten politischen Sitzung sollen auch einige weniger umstrittene Punkte gebilligt werden, die bereits auf technischer Ebene vereinbart worden sind.

Der ursprüngliche Text verbot es Dateninhabern, Datenempfängern, die KMU sind, einseitig missbräuchliche Vertragsklauseln aufzuerlegen. Die Abgeordneten einigten sich darauf, diesen Schutz auf alle Unternehmen auszuweiten, unabhängig von ihrer Größe.

Öffentliche Stellen, die Zugang zu privat gespeicherten Daten haben, können diese an Forschungseinrichtungen und statistische Stellen für Tätigkeiten im öffentlichen Interesse weitergeben. Die Abgeordneten einigten sich darauf, dem Dateninhaber das Recht einzuräumen, sich bei der zuständigen Behörde über die Weitergabe von Daten zu beschweren.

Bei der Weitergabe von Daten zwischen Unternehmen kann der Dateninhaber eine Entschädigung für die Bereitstellung der Daten verlangen, die auch eine Handelsspanne umfassen kann, wenn es sich bei dem Empfänger nicht um ein KMU handelt. Die EU-Kommission wird mit der Ausarbeitung von Leitlinien beauftragt, um die Kriterien für die Berechnung einer solchen Entschädigung festzulegen.

[Bearbeitet von Nathalie Weatherald]