Data Act: Was ändert sich beim Datenbankschutz?
Mit der Einführung des Data Act am 11. Januar 2024 hat die Europäische Union die Weichen für einen umfassenderen und gerechteren Zugang zu Daten gestellt. Ein zentraler Aspekt dieser neuen Verordnung betrifft den Datenbankschutz sui generis – einen speziellen rechtlichen Schutz für Datenbanken, die durch erhebliche Investitionen erstellt wurden. Der Data Act bringt hier wesentliche Änderungen, insbesondere für maschinengenerierte Daten. In diesem Artikel untersuche ich die gesetzlichen Neuerungen und deren Bedeutung für den Einsatz von Datenbanken.
Hintergrund des sui-generis-Datenbankschutzes
Der sui-generis-Datenbankschutz wurde 1996 durch die Datenbankrichtlinie 96/9/EG (Artikel 7) eingeführt. Ziel war es, Investitionen in die Erstellung und Pflege von Datenbanken zu schützen, die nicht notwendigerweise durch das Urheberrecht abgedeckt waren. Das Schutzrecht gewährt dem Datenbankhersteller ausschließliche Rechte, wenn er erheblich in die Sammlung, Überprüfung oder Darstellung der Daten investiert hat.
Wichtig ist dabei die Unterscheidung zwischen der Beschaffung vorhandener Daten und der Erzeugung neuer Daten. Nur Investitionen in die Beschaffung oder Überprüfung bereits existierender Daten fallen unter den sui-generis-Schutz, nicht aber die Erzeugung neuer Daten.
Praxisrelevant ist die vor allem für Unternehmen, die große Datenbanken auf Basis öffentlich zugänglicher Informationen aufbauen. Wenn sie erheblich in die Sammlung und Organisation dieser Daten investieren, genießen sie den Schutz der Datenbankrichtlinie. Dieser Schutz steht nun durch den Data Act auf dem Prüfstand, besonders im Hinblick auf maschinengenerierte Daten.
Art. 43 Data Act: Neue Regelungen zum sui-generis-Datenbankschutz
Mit Artikel 43 des Data Act wird eine zentrale Klarstellung eingeführt: Der sui-generis-Datenbankschutz findet keine Anwendung auf Daten, die durch vernetzte Produkte oder verbundene Dienste erlangt oder erzeugt wurden, wie sie im Data Act definiert sind. Vor allem betrifft dies maschinengenerierte Daten, die oft durch Sensoren oder IoT-Geräte erfasst werden.
Ziel dieser Regelung ist es, die Rechtsunsicherheiten im Hinblick auf den Datenzugang zu beseitigen. Es soll verhindert werden, dass Unternehmen den sui-generis-Schutz nutzen, um den Austausch maschinengenerierter Daten zu blockieren. Besonders in den Artikeln 4 und 5 des Data Act wird klargestellt, dass Nutzer und berechtigte Dritte Zugang zu diesen Daten haben müssen.
Das bedeutet, dass Datenbanken, die durch IoT-Geräte oder verbundene Dienste generierte Daten enthalten, nicht unter den sui-generis-Schutz fallen, wenn es um den Zugang zu diesen Daten geht. Dieser Ausschluss soll eine offenere Datenwirtschaft ermöglichen, in der der Zugang zu solchen Daten für Innovation und Wettbewerbsfähigkeit gefördert wird.
Wesentlichkeitskriterium und Investitionen
Ein zentraler Konfliktpunkt im Zusammenhang mit dem sui-generis-Datenbankschutz ist die Frage, wann die Investitionen in die Erstellung oder Verarbeitung von Daten als wesentlich gelten und damit den Schutz auslösen. Der Europäische Gerichtshof (EuGH) hat in früheren Urteilen festgelegt, dass Investitionen in die Beschaffung und Überprüfung von Datenbanken wesentliche Kriterien sind.
Der Data Act verfolgt dagegen den Ansatz, dass der Datenzugang grundsätzlich Vorrang hat, wenn es sich um Daten handelt, die mit vernetzten Produkten oder verbundenen Diensten aus dem Anwendungsbereich des Data Act erlangt oder erzeugt wurden. Der Data Act knüpft somit an den Gegenstand der Daten an, nicht an die erforderlichen Investitionen zur Beschaffung, Überprüfung oder Darstellung der Daten.
Besonders im Hinblick auf maschinengenerierte Daten wird dieser Unterschied relevant. Daten, die von IoT-Geräten oder anderen verbundenen Diensten erfasst werden, fallen nach dem Data Act nicht unter den sui-generis-Schutz. Etwas anderes kann nur für aus solchen maschinengenerierten Daten gefolgerte oder abgeleitete Informationen gelten, die das Ergebnis zusätzlicher Investitionen in die Zuweisung von Werten oder Erkenntnissen aus den Daten sind. Dies ist etwa bei Verwendung komplexer proprietärer Algorithmen der Fall, deren Ergebnisse dann nicht in den Anwendungsbereich des Data Act fallen, und somit den Dateninhaber auch nicht dazu verpflichten, sie einem Nutzer oder Datenempfänger bereitzustellen. Dies ergibt sich auch aus Erwägungsgrund 15 des Data Act, wonach Investitionen in die Datenaufbereitung dann zum sui-generis-Schutz führen können, wenn sie wesentlich sind. Das bedeutet, dass typische Rohdaten oder geringfügig verarbeitete Daten nicht automatisch den Schutz genießen, den traditionelle Datenbanken bislang beanspruchen konnten.
Dies stellt eine bedeutende Neuerung dar, da Unternehmen, die auf den sui-generis-Schutz gesetzt haben, nun prüfen müssen, ob und in welchem Umfang eine Datenaufbereitung stattgefunden hat, wie hoch ihre Investitionen in die Datenaufbereitung waren tatsächlich und ob ihre Investitionen ausreichen, um den Schutz aufrechtzuerhalten. Gleichzeitig stärkt diese Regelung die Rechte der Datenzugangsberechtigten, da sie den Missbrauch des sui-generis-Schutzes verhindern soll, der bisher oft dazu genutzt wurde, den Datenfluss zu behindern.
Datenzugang versus Datenbankschutz
Der Data Act eröffnet ein Spannungsfeld zwischen dem Recht auf Datenzugang und dem sui-generis-Datenbankschutz. Während der Datenbankschutz ursprünglich dazu diente, erhebliche Investitionen in Datenbanken zu schützen, betont der Data Act den freien Zugang zu maschinengenerierten Daten. Bei Daten aus vernetzten Produkten und IoT-Geräten wird die Verweigerung des Zugangs zu diesen Daten ungleich schwerer, weil der sui-generis-Schutz in der Regel nicht greift.
Dies führt in der Praxis zu Konflikten, wenn der Datenbankinhaber versucht, seine Investitionen als „wesentlich“ darzustellen, um den Schutz geltend zu machen. Der Artikel 43 des Data Act schränkt jedoch die Möglichkeit ein, sui-generis-Rechte zu beanspruchen, wenn es um die Bereitstellung von Daten gemäß den Artikeln 4 und 5 geht. Unternehmen, die bislang auf den Datenbankschutz gesetzt haben, könnten sich daher mit neuen rechtlichen Risiken konfrontiert sehen, da das Recht auf Datenzugang in vielen Fällen den Vorrang erhält.
Dies wirft die Frage auf, wie weitreichend der Zugang zu Daten sein darf, ohne die Investitionen der Datenbankhersteller zu gefährden. Der Data Act schafft hier eine rechtliche Grundlage, die den Datenaustausch fördert, aber gleichzeitig klare Grenzen für den Schutz von Investitionen zieht.
Praktische Auswirkungen auf Unternehmen
Die neuen Regelungen im Data Act haben erhebliche Auswirkungen auf Unternehmen, die mit großen Mengen an maschinengenerierten Daten arbeiten. Unternehmen, die bislang vom sui-generis-Datenbankschutz profitiert haben, müssen sich nun auf veränderte Rahmenbedingungen einstellen. Besonders betroffen sind Unternehmen, die Datenbanken betreiben, die auf IoT-Daten oder vernetzten Produkten basieren. Diese Daten unterliegen nicht mehr dem gleichen Schutz, wenn der Zugang gemäß dem Data Act gewährt werden muss.
Für Unternehmen bedeutet das, dass sie ihre Vertragsstrukturen und Datenmanagementprozesse anpassen müssen. Besonders Verträge über die Nutzung von Datenbanken sollten im Hinblick auf die neuen Anforderungen überarbeitet werden. Es muss klar geregelt sein, welche Daten durch den Data Act zugänglich gemacht werden müssen und unter welchen Bedingungen der Datenzugang gewährt wird.
Darüber hinaus stellt sich die Frage, wie Unternehmen mit den Investitionen in die Datenaufbereitung umgehen. Wenn Unternehmen argumentieren möchten, dass ihre Investitionen „wesentlich“ sind, um weiterhin den sui-generis-Schutz zu beanspruchen, müssen sie den Nachweis führen, dass die Aufbereitung der Daten erhebliche Kosten verursacht hat. Dies könnte zu zusätzlichen rechtlichen Unsicherheiten führen, da die Schwelle für „wesentliche Investitionen“ unter dem Data Act klarer definiert ist.
Die praktischen Auswirkungen auf Unternehmen betreffen auch die Notwendigkeit, die interne Datenstruktur so zu organisieren, dass der Datenzugang für Nutzer und Dritte transparent und effizient gewährleistet wird. Dies stellt neue Compliance-Anforderungen dar, die insbesondere in der Interaktion mit Kunden und Geschäftspartnern berücksichtigt werden müssen.
Fazit
Der Data Act bringt bedeutende Änderungen im Umgang mit maschinengenerierten Daten und dem sui-generis-Datenbankschutz. Durch die Einführung von Artikel 43 wird der Datenzugang vereinfacht und Rechtsunsicherheiten hinsichtlich des Schutzes maschinengenerierter Daten beseitigt. Unternehmen müssen ihre Vertragsstrukturen und Datenprozesse an die neuen Regelungen anpassen, um rechtliche Risiken zu minimieren. Der Vorrang des Datenzugangs gegenüber dem sui-generis-Schutz schafft Chancen für mehr Transparenz und Innovation, stellt aber gleichzeitig neue Herausforderungen in der Abgrenzung von wesentlichen Investitionen dar. Wir unterstützen Sie dabei, die Anforderungen des Data Act zu identifizieren und vertraglich zu regeln.
Bisher erschienen:
Welche Arten von Daten regelt der Data Act?
Danielle Hertneck,
Fachanwältin für IT-Recht, Fachanwältin für Gewerblichen Rechtsschutz
hertneck@web-partner.de