EU-Datengesetz: Einigung über Geschäftsgeheimnisse in Sicht

Das heikle Thema der Geschäftsgeheimnisse im neuen EU-Regelwerk für die gemeinsame Nutzung von Daten nimmt Gestalt an. Der Bereich galt als einer der am heftigsten diskutierten. 

Das EU-Datengesetz (Data Act) ist ein richtungsweisender Gesetzesvorschlag zur Regelung des Zugangs zu Daten, deren Austausch und Übermittlung in Europa. Dieses Dossier befindet sich derzeit in der letzten Phase des Gesetzgebungsverfahrens, in der die Europäische Kommission, der Rat und das Parlament um eine Einigung in den so genannten Trilogen verhandeln.

Die schwedische EU-Ratspräsidentschaft hat am Donnerstag (8. Juni) ein Update zu den laufenden Verhandlungen an die EU-Ländervertreter verteilt, das EURACTIV einsehen konnte. Das Dokument enthält einige Punkte, über die eine vorläufige Einigung erzielt wurde, sowie die wichtigsten noch offenen Fragen.

Die Mitgliedstaaten werden gebeten, ihren Standpunkt auf einer Sitzung der Telekommunikations-Arbeitsgruppe, einem technischen Gremium des Rates, am 19. Juni darzulegen. Das Dossier wird am 23. Juni auch auf dem Schreibtisch der EU-Botschafter landen, bevor am 27. Juni der dritte Trilog zu diesem Thema stattfindet.

Geschäftsgeheimnisinhaber

Das Datengesetz führt den Grundsatz ein, dass die Nutzer, die zur Generierung von Daten beitragen, das Recht haben sollten, auf diese Daten zuzugreifen oder sie an autorisierte Dritte weiterzugeben. Dies würde bei vielen vernetzten Geräten zur Anwendung kommen, beispielsweise bei Smart-Kühlschränken.

Ein strittiger Punkt in Bezug auf diese Datenzugriffsverpflichtungen war jedoch, inwieweit und in welcher Form die Organisation, die die Daten kontrolliert, die Offenlegung sensibler Geschäftsinformationen verhindern kann, die Geschäftsinteressen gefährden könnten.

„In Bezug auf Geschäftsgeheimnisse besteht Einigkeit über die wichtigsten Elemente, und die Positionen der beiden Parteien wurden zusammengeführt“, heißt es in dem Dokument. Da der Inhaber des Geschäftsgeheimnisses jedoch nicht unbedingt dieselbe Organisation ist, welche die Daten kontrolliert, wurde das Konzept des „Geschäftsgeheimnisinhabers“ eingeführt.

Das Konzept sieht vor, dass diese Organisation die unter das Geschäftsgeheimnis fallenden Daten und Metadaten identifiziert und den Empfänger auffordert, angemessene Maßnahmen zur Wahrung der Vertraulichkeit zu ergreifen. Darunter würden beispielsweise Mustervertragsbedingungen, vertrauliche Vereinbarungen oder strenge Zugangsprotokolle fallen.

Kommt es zu keiner Einigung über solche Schutzmaßnahmen oder werden sie nicht ordnungsgemäß umgesetzt, können die Dateninhaber beschließen, die gemeinsame Nutzung der betreffenden Daten auszusetzen und die zuständige Behörde zu informieren.

Die Datenempfänger wiederum könnten sich bei der zuständigen Behörde beschweren oder sich darauf einigen, die Angelegenheit vor eine Streitbeilegungsstelle zu bringen.

Der Standpunkt der EU-Mitgliedsstaaten geht so weit, dass der Dateninhaber die Befugnis erhalten sollten, Auskunftsersuchen abzulehnen, wenn er nachweisen kann, dass er mit hoher Wahrscheinlichkeit einen schweren wirtschaftlichen Schaden erleiden könnte.

Strittig ist auch, ob die EU-Staaten akzeptieren könnten, „das Recht des Dateninhabers, die Weitergabe von Daten unter außergewöhnlichen Umständen zu verweigern, nur auf Fälle zu beschränken, die mit den Schwierigkeiten der Durchsetzung in Drittländern zusammenhängen“, wie es von Seiten der schwedischen Ratspräsidentschaft heißt.

Nationaler Datenkoordinator

Ein weiteres Kapitel ist der Verwaltungsarchitektur gewidmet. In dem Dokument wird festgestellt, dass es eine grundsätzliche Einigung über die den nationalen Behörden zugewiesenen Aufgaben gibt. Es bestehen jedoch weiterhin Differenzen hinsichtlich des Koordinierungsmechanismus.

Das Europäische Parlament wünscht sich einen einzigen Datenkoordinator, der für die Koordinierung der Durchsetzungsmaßnahmen auf nationaler Ebene verantwortlich ist. Er soll als einziger Ansprechpartner für die europäischen Kollegen fungieren, die im Europäischen Ausschuss für Dateninnovation zusammenkommen.

Der Ansatz des EU-Rates sieht vor, dass die europäischen Länder eine oder mehrere Behörden für die Durchsetzung des Datenrechts benennen können.

In Kraft treten

Eine weitere offene Frage ist der Zeitpunkt des Inkrafttretens der neuen Vorschriften. Die Abgeordneten wollen die Frist auf 18 Monate nach Inkrafttreten der Verordnung festsetzen. Die EU-Länder streben dagegen einen Zeitrahmen von 24 Monaten an.

Auch hier sind die Mitgliedsstaaten aufgefordert, ihre Flexibilität zu zeigen.

[Bearbeitet von Nathalie Weatherald/Kjeld Neubert]