Nach der Richtlinie (EU) 2016/943 des Europäischen Parlaments und des Rates gilt der Erwerb, die Nutzung oder die Offenlegung eines Geschäftsgeheimnisses unter anderem dann als rechtmäßig, wenn der betreffende Erwerb oder die betreffende Nutzung oder Offenlegung nach Unionsrecht oder nationalem Recht vorgeschrieben oder zulässig ist. Nach dieser Verordnung sind Dateninhaber zwar dazu verpflichtet, bestimmte Daten gegenüber Nutzern oder vom Nutzer ausgewählten Dritten offenzulegen, selbst wenn diese Daten unter den Schutz des Geschäftsgeheimnisses fallen, doch sollte dies so ausgelegt werden, dass der Schutz von Geschäftsgeheimnissen nach Maßgabe der Richtlinie (EU) 2016/943 gewahrt wird. In diesem Zusammenhang sollten Dateninhaber dem Nutzer oder vom Nutzer ausgewählten Dritten die Wahrung der Vertraulichkeit von Daten, die als Geschäftsgeheimnisse gelten, vorschreiben können. Daher sollten Dateninhaber die Geschäftsgeheimnisse vor deren Offenlegung ermitteln und die Möglichkeit haben, mit Nutzern oder vom Nutzer ausgewählten Dritten notwendige Maßnahmen zur Wahrung ihrer Vertraulichkeit zu vereinbaren, unter anderem durch die Verwendung von Mustervertragsklauseln, Vertraulichkeitsvereinbarungen, strengen Zugangsprotokollen, technischen Standards und die Anwendung von Verhaltenskodizes. Neben der Verwendung der von der Kommission zu entwickelnden und zu empfehlenden Mustervertragsklauseln könnte auch die Festlegung von Verhaltenskodizes und technischen Standards in Bezug auf den Schutz von Geschäftsgeheimnissen bei der Verarbeitung der Daten dazu beitragen, das Ziel dieser Verordnung zu erreichen, und sollte daher vorangetrieben werden. Besteht keine Vereinbarung über die notwendigen Maßnahmen oder setzt ein Nutzer oder ein vom Nutzer ausgewählter Dritter diese vereinbarten Maßnahmen nicht um oder verstößt gegen die Vertraulichkeit von Geschäftsgeheimnissen, so sollte es dem Dateninhaber möglich sein, die Weitergabe der als Geschäftsgeheimnisse eingestuften Daten zu verweigern oder auszusetzen. In solchen Fällen sollte der Dateninhaber dem Nutzer oder dem Dritten seine Entscheidung unverzüglich schriftlich mitteilen und die nationale zuständige Behörde des Mitgliedstaats, in dem der Dateninhaber niedergelassen ist, davon unterrichten, dass er die Weitergabe von Daten verweigert oder ausgesetzt hat, und angeben, welche Maßnahmen nicht vereinbart oder umgesetzt wurden und – sofern relevant – bei welchen Geschäftsgeheimnissen die Vertraulichkeit verletzt wurde. Grundsätzlich können Dateninhaber ein Datenzugangsverlangen gemäß dieser Verordnung nicht allein aufgrund dessen ablehnen, dass bestimmte Daten als Geschäftsgeheimnisse gelten, da dies die beabsichtigte Wirkung dieser Verordnung untergraben würde. In Ausnahmefällen sollte es einem Dateninhaber, der Inhaber eines Geschäftsgeheimnisses ist, jedoch möglich sein, im Einzelfall ein Datenzugangsverlangen für die betreffenden spezifischen Daten abzulehnen, wenn er gegenüber dem Nutzer oder dem Dritten nachweisen kann, dass durch die Offenlegung dieses Geschäftsgeheimnisses trotz von dem Nutzer oder dem Dritten vorgenommener technischer und organisatorischer Maßnahmen mit hoher Wahrscheinlichkeit ein schwerer wirtschaftlicher Schaden entsteht. Ein schwerer wirtschaftlicher Schaden geht mit schweren irreparablen wirtschaftlichen Verlusten einher. Der Dateninhaber sollte seine Weigerung gegenüber dem Nutzer oder dem Dritten unverzüglich in schriftlicher Form ordnungsgemäß begründen und die zuständige Behörde hiervon in Kenntnis setzen. Eine solche Begründung sollte sich auf objektive Fakten stützen, aus denen hervorgeht, dass durch die Offenlegung bestimmter Daten die konkrete Gefahr eines schweren wirtschaftlichen Schadens zu erwarten ist, und weshalb die zum Schutz der verlangten Daten ergriffenen Maßnahmen als nicht ausreichend erachtet werden. In diesem Zusammenhang kann etwaigen negativen Auswirkungen auf die Cybersicherheit Rechnung getragen werden. Unbeschadet des Rechts, vor einem Gericht eines Mitgliedstaats Rechtsmittel einzulegen, kann der Nutzer oder der Dritte, der die Entscheidung des Dateninhabers, die Weitergabe von Daten abzuweisen oder zu verweigern oder auszusetzen, anfechten möchte, bei der zuständigen Behörde Beschwerde einlegen, die sodann unverzüglich entscheiden sollte, ob und unter welchen Bedingungen die Weitergabe der Daten beginnen oder wieder aufgenommen werden sollte, oder der Nutzer oder der Dritte kann mit dem Dateninhaber vereinbaren, eine Streitbeilegungsstelle mit der Angelegenheit zu befassen. Die in dieser Verordnung vorgesehenen Ausnahmen von den Datenzugangsrechten sollten in keiner Weise die Rechte der betroffenen Personen auf Zugang und Datenübertragbarkeit gemäß der Verordnung (EU) 2016/679 beschränken.
