Datenzugang im Spannungsfeld zwischen DSGVO, Geschäftsgeheimnisschutz und Datenbankherstellerrecht (Antoine, CR 2024,73)

Nachdem in CR 2024, 1–8 bereits die Grundkonzeption und der genaue Zuschnitt der Datenzugangs‑, Nutzungs- und Weitergaberechte aus Kapitel II und III des Data Act im Detail analysiert wurde, steht im folgenden Beitrag deren Verhältnis zu den Regelungen des Datenschutzrechts (II.), des Geschäftsgeheimnisschutzes (III.) sowie des Datenbankherstellerrechts (IV.) im Fokus. Während der Data Act mit Art. 43 DA den Konflikt mit dem Datenbankherstellerrecht proaktiv löst, bringen die uneingeschränkte Anwendbarkeit der DSGVO und die vorgesehenen Regelungen zur Behandlung von als Geschäftsgeheimnis geschützten Datensets in der Praxis erhebliche Schwierigkeiten mit sich, die das Potential haben, die durch den Data Act angestrebten Datenflüsse zumindest zu erschweren (V.).

Achillesferse des Data Act in der Praxis?

INHALTSVERZEICHNIS:

I. Überschneidungsbereiche als besondere Herausforderung des Data Act in der Praxis

II. Personenbezogene Daten und DSGVO

1. Uneingeschränkte Anwendung der DSGVO

2. Erforderlichkeit einer datenschutzrechtlichen Verarbeitungsgrundlage

a) Einwilligung

b) Berechtigte Interessen

c) Datenschutzrechtliche Rollenverteilung und schuldrechtliche Absicherung

III. Schutz von Geschäftsgeheimnissen

1. Vertraulichkeit durch Vereinbarung vertraglicher TOMs

2. Ausnahmeregelungen

3. Optionale technische Schutzmaßnahmen

4. Herausforderungen für die Vertragspraxis

IV. Verhältnis zum Datenbank Sui-generis-Recht

V. Gesamtbewertung und Ausblick

Leseprobe:

"I. Überschneidungsbereiche als besondere Herausforderung des Data Act in der Praxis

1

Nutzern von IoT-Produkten und von mit diesen verbundenen Diensten stehen nach Kapitel II und III des Data Act ¹ sowohl im B2C- als auch im B2B-Verhältnis Zugangs‑, Nutzungs- und Weitergaberechte in Bezug auf die durch solche Geräte und Dienste generierten Daten zu. ² Erfasst werden grundsätzlich sowohl personenbezogene als auch nicht-personenbezogene Daten. Der Data Act lässt damit erkennen, einen gewissen Gleichlauf für den Datenzugang nicht-personenbezogener und personenbezogener Daten anzustreben, was aufgrund der kaum möglichen trennscharfen Abgrenzung der beiden Kategorien zunächst begrüßenswert ist. ³ Soweit jedoch – wie im Regelfall – (auch) personenbezogene Daten betroffen sind, kommen die datenschutzrechtlichen Vorgaben uneingeschränkt zur Anwendung, so dass bei der bloßen Erfüllung der zwingenden Datenbereitstellungspflichten des Data Act stets auch sämtliche Anforderungen der DSGVO an eine rechtmäßige Verarbeitung zu erfüllen sind (II.).

2

Hinsichtlich der Rechtspositionen auf Dateninhaberseite, die mit dem angestrebten Zugang, der Nutzung oder der Weitergabe der erfassten IoT-Daten konfligieren können, fokussiert sich der Data Act zu Recht auf den Geschäftsgeheimnisschutz und das Datenbankherstellerrecht, da diese regelmäßig als einzige Schutzinstrumente für entsprechende Datensammlungen in Betracht kommen. Lassen sich die betroffenen Daten als Geschäftsgeheimnis qualifizieren, kann der Dateninhaber mit diesem Argument …"

Hier direkt weiterlesen im juris PartnerModul IT-Recht