Data Act Compliance: Geschäftsgeheimnisse strategisch schützen und Datenzugang managen

Der Data Act (DA) ist seit dem 11. Januar 2024 in Kraft und seit dem 12. September 2025 zur Anwendung gekommen. Er zielt darauf ab, den Zugang zu und die Weitergabe von maschinen- oder systemgenerierten Daten zu regulieren, insbesondere von Daten aus vernetzten Produkten und verbundenen Diensten. Für Unternehmen, die als Dateninhaber fungieren (etwa Hersteller von Maschinen, Fahrzeugen oder IoT-Geräten), entsteht dadurch ein Spannungsfeld. Einerseits sollen Nutzer das Recht erhalten, auf ihre Daten zuzugreifen und diese Dritten weiterzugeben, um Komplementärmärkte zu erschließen. Andererseits besteht die Sorge, dass im Zuge dieser Datenweitergabe wertvolles Know-how und Geschäftsgeheimnisse abfließen und unerwünschten Wettbewerb schaffen könnten. Obwohl der Data Act den Datenfluss fördern soll, erkennt er den notwendigen Schutz von Geschäftsgeheimnissen an und sieht spezifische Mechanismen vor. Geschäftsleitungen und Compliance-Verantwortliche müssen diese Schutzmechanismen proaktiv implementieren, um sowohl der Offenlegungspflicht nachzukommen als auch die „Kronjuwelen“ des Unternehmens zu sichern.

Welche Daten sind Geschäftsgeheimnisse?

Der Data Act definiert Daten sehr weit als jede digitale Darstellung von Handlungen, Tatsachen oder Informationen. Im Kontext der Zugangsansprüche nach Art. 4 und Art. 5 DA geht es im Kern um Rohdaten (observed data) und vorverarbeitete Daten, die durch die Nutzung verbundener Produkte generiert werden, nicht aber um abgeleitete oder aggregierte Daten. Ein Geschäftsgeheimnis im Sinne des Data Act liegt nur dann vor, wenn die Informationen nicht allgemein bekannt oder zugänglich sind, von wirtschaftlichem Wert sind und Gegenstand von den Umständen nach angemessenen Geheimhaltungsmaßnahmen durch ihren Inhaber sind. Die strategische Qualifizierung von Informationen als Geschäftsgeheimnis ist dabei essenziell. Dies erfordert beispielsweise die Implementierung von Berechtigungskonzepten und technischen Schutzmaßnahmen (Need-to-Know-Basis). Fehlen diese angemessenen Maßnahmen, kann sich der Dateninhaber später nur schwer auf den Geheimnisschutz berufen.

„Schützen, dann Teilen“ als strategischer Ansatz

Der Data Act ist nicht darauf ausgelegt, die Vertraulichkeit zu untergraben, verlagert jedoch die aktive Schutzpflicht auf die Unternehmen. Der grundlegende Ansatz des Data Act in Bezug auf Geschäftsgeheimnisse lautet: „Schützen, dann Teilen“. Unternehmen müssen vor der Offenlegung von Daten die notwendigen Maßnahmen zur Wahrung der Vertraulichkeit vereinbaren und umsetzen. Dies erfordert eine enge Zusammenarbeit von Rechts-, Technik- und Business-Teams, um genau festzustellen, welche Daten erzeugt werden, welche davon ein Geschäftsgeheimnis darstellen könnten und welche datentechnischen Elemente ein Reverse Engineering oder Rückschlüsse auf proprietäre Methoden ermöglichen.

Compliance, Risikomanagement & Resilienz

Klarer Kurs durch regulatorische Komplexität.

  • KINAST Compliance-Manager
  • KINAST externer Compliance-Beauftragter
  • KINAST Compliance-Anwalt
Jetzt unverbindliches Angebot anfordern
Compliance Newsletter

Bei der Datenweitergabe an Nutzer oder Dritte können Dateninhaber die Einhaltung angemessener technischer und organisatorischer Maßnahmen verlangen. Zu den erforderlichen Maßnahmen gehören unter anderem Vertraulichkeitsvereinbarungen (NDAs), die Anwendung strenger Zugangsprotokolle und technische Standards. Es ist ratsam, standardisierte Vertragsklauseln zu verwenden, die die Vertraulichkeit, die Zweckbindung und das Verbot des Reverse Engineerings oder der Produktnachahmung abdecken. Wird keine Einigung über die erforderlichen Maßnahmen erzielt oder setzt der Datenempfänger die vereinbarten Maßnahmen nicht um, kann der Dateninhaber die Weitergabe der Daten verweigern oder aussetzen.

Verweigerung unter außergewöhnlichen Umständen

Grundsätzlich kann der Datenzugriff nicht allein deshalb abgelehnt werden, weil bestimmte Daten als Geschäftsgeheimnisse gelten. In Ausnahmefällen bleibt dem Dateninhaber jedoch ein Ablehnungsrecht. Dies ist der Fall, wenn er nachweisen kann, dass trotz ergriffener Schutzmaßnahmen mit hoher Wahrscheinlichkeit ein schwerer wirtschaftlicher Schaden droht. Dieser Schaden wird als ein schwerer, irreparabler wirtschaftlicher Verlust definiert. Die Anforderungen hierfür sind bewusst hoch und erfordern eine Begründung anhand objektiver Fakten, die eine konkrete Gefahr belegen. Faktoren wie die Art und der Vertraulichkeitsgrad der Daten, die Einzigartigkeit des Produkts und die Durchsetzbarkeit des Geheimnisschutzes in Drittländern spielen dabei eine Rolle. Aufgrund des hohen Begründungsaufwands und der strengen Kriterien wird erwartet, dass dieses letzte Verweigerungsrecht nur in seltenen Fällen Anwendung finden wird.

Handlungsbedarf für Unternehmen

Für Geschäftsleitungen und Compliance-Verantwortliche ist es unerlässlich, einen strukturierten Compliance-Ansatz zu verfolgen.

  1. Strategische Bestandsaufnahme und Klassifizierung: Führen Sie eine detaillierte Überprüfung aller durch vernetzte Produkte generierten Daten durch. Damit können Sie feststellen, welche Elemente die gesetzlichen Anforderungen an ein Geschäftsgeheimnis erfüllen und die dafür getroffenen angemessenen Schutzmaßnahmen dokumentieren.
  2. Standardisierung von Datenweitergabe-Verträgen: Entwickeln Sie Mustervertragsklauseln (Data Sharing Agreements), die zwingend Vertraulichkeitsvereinbarungen und technische Schutzmaßnahmen vorsehen. Nur so können Sie die Weitergabe an Nutzer und Dritte absichern.
  3. Prozessuale Vorbereitung: Etablieren Sie einen klaren Prozess für den Umgang mit Zugangsverlangen, einschließlich der Verhandlung über Schutzmaßnahmen und der Dokumentation von Ablehnungsgründen. Im Falle einer Verweigerung muss die Entscheidung unverzüglich schriftlich begründet und die zuständige nationale Behörde informiert werden. Die Angabe der nicht vereinbarten oder nicht umgesetzten Maßnahmen darf dabei nicht fehlen.
  4. Risikominimierung: Schätzen Sie die Geheimhaltungsinteressen korrekt ein, da die rechtswidrige Verweigerung des Datenzugangs hohe Bußgelder nach sich ziehen kann.

Fazit

Der Data Act führt nicht zwangsläufig zum massenhaften Abfluss von Geschäftsgeheimnissen, aber er verschiebt die Notwendigkeit des aktiven Schutzes klar auf die Dateninhaber. Der Gesetzgeber hat mit den Mechanismen in Art. 4 und Art. 5 DA einen Ausgleich zwischen dem Wunsch nach Innovation und Datennutzung und dem Schutz geistigen Eigentums geschaffen. Unternehmen, die frühzeitig in die organisatorische und vertragliche Absicherung ihrer Daten investieren und eine klare Strategie des „Schützens, dann Teilens“ verfolgen, sind bestens positioniert, um die Anforderungen des Data Act zu erfüllen und gleichzeitig ihre kritischen Informationen zu bewahren. Der Data Act ist somit weniger eine Bedrohung als vielmehr eine Aufforderung zur Neujustierung des internen Geschäftsgeheimnisschutzes.

Bereit, den EU Data Act zu bewältigen und Ihre Daten-Compliance zu optimieren?

Die neuen Anforderungen des EU Data Act sind in Kraft. Kontaktieren Sie uns noch heute, um zu erfahren, wie wir Ihr Unternehmen in Fragen des Datenzugangs- und Nutzungsrechtes sowie der Datenschutz-Compliance unterstützen können. 

Lassen Sie uns unverbindlich sprechen
Data Act

Das könnte Sie auch interessieren..

Meist gelesen

Data Act Compliance: Geschäftsgeheimnisse strategisch schützen und Datenzugang managen
KI-Reallabor abgeschlossen: Was Unternehmen jetzt wissen müssen
LDA Bayern veröffentlicht 15. Tätigkeitsbericht für 2025
KI-Durchführungsgesetz: Streit um die Aufsicht – und die Folgen für Unternehmen
KI-Durchführungsgesetz: Streit um die Aufsicht und die Folgen für Unternehmen