Von nichts Geringerem als der Einführung eines „Grundgesetzes für die Digitalwirtschaft“ wurde zu Beginn wie auch nach Abschluss der Beratungen über den Kommissionsentwurf zum Digital Services Act gesprochen.[1] Die hierfür im formellen Trilogverfahren von EU-Parlament, Rat und EU-Kommission beratene und inzwischen bereits vom EU-Parlament am 5.7.2022 verabschiedete Fassung des Digital Services Act (DSA) wartet hierzu insbesondere mit einem Update der Haftungsregeln sowie einem verschärften Audit- und Transparenzrahmen für Anbieter von Online-Plattformen und Suchmaschinen auf. Letzterer sieht dabei neben diversen, der Digitalwirtschaft bereits bekannten Berichts- und Auskunftspflichten auch neue sektorspezifische Regulierungsansätze vor.[2] Sinnbildlich hierfür steht Art. 40 Abs. 4 DSA, der die Etablierung eines privilegierten Zugangs der Forschung zu Daten sehr großer Online-Plattformen und Suchmaschinen vorsieht[3] und als dem Unionsrecht neues Regulierungsinstrument in diesem Beitrag vorgestellt werden soll. Hierzu erfolgt nach der Darstellung des rechtspolitischen Hintergrunds der Regelung (II.) eine dogmatische Einordnung der Norm (III.) sowie eine Analyse der einzelnen Regelungsvoraussetzungen (IV.). Im Mittelpunkt der Betrachtung stehen hierbei die Einordnung zentraler Begriffe, die Bestimmung von Art und Umfang der in Art. 40 Abs. 4 DSA verankerten Forschungsklausel sowie die dem Forschungsdatenzugang entgegenstehenden Interessen der Online-Plattform- und Suchmaschinenanbieter. Der Beitrag schließt mit einer Zusammenfassung der zentralen Ergebnisse sowie einem Ausblick (V).
Online-Plattformen und Suchmaschinen prägen das Bild der internationalen Digitalwirtschaft. Sie verschaffen den Nutzenden die Möglichkeit, sich am reichweitenstarken Online-Handel mit eigenen Waren und Dienstleistungen zu beteiligen, befriedigen verschiedenste Verbraucher- und Wirtschaftsinteressen oftmals passgenau und generieren stetig neue Kommunikations- und Informationswege.[4] Die Schaffung dieser neuen Möglichkeiten, Reichweite und Geschäftsmodellvielfalt hat jedoch auch eine zunehmend sichtbar werdende Kehrseite, die im gesamtgesellschaftlichen Interesse dringend eines besseren Verständnisses bedarf. So sind Nutzende der Gefahr übermäßiger Content Moderation[5], Profilbildung[6] sowie potenziellem Overblocking[7] auf Online-Plattformen und Suchmaschinen ausgesetzt, wodurch insbesondere die individuelle Informationsbeschaffung dem Risiko begegnet, sich maßgeblich in Echokammern bzw. Filterblasen[8] zu bewegen. Zugleich stellen Online-Plattformen und indizierte Suchmaschinenergebnisse Verbreitungs- und Bezugspunkte diverser illegaler Inhalte dar. Auf fruchtbaren Boden stoßen zudem Hate Speech[9], Verschwörungstheorien und Desinformation[10], die zwar nicht zwingend neuartige Plattform-Phänomene darstellen[11], aber häufig doch erst durch die Veröffentlichung auf diesen eine gewisse Verbreitung erreichen. Schließlich rückten im Zusammenhang mit der Veröffentlichung der Facebook Files[12] auch gesundheitliche Bedenken, die mit dem Nutzen von Online-Plattformen einhergehen, wieder verstärkt in den Mittelpunkt der Kritik.[13]
Während frühere Ansätze nationaler und europäischer Regulierungsbehörden diese Probleme und Risiken insbesondere auf der Grundlage von Berichts- oder Transparenzverpflichtungen[14] für Online-Plattformen und Suchmaschinen zu adressieren und zu beleuchten versuchten, unternimmt der DSA mit der Etablierung von Datenzugangsrechten in Art. 40 DSA einen eingriffsintensiveren Regulierungsversuch, um die bestehenden Informationsasymmetrien, insbesondere hinsichtlich der Funktionsweise und Risiken von Online-Plattformen und Suchmaschinen sowie deren algorithmischer Systeme, zu beseitigen.[15] Hieran besteht vor dem Hintergrund zunehmender Komplexität[16], fehlender technischer Selbsterklärung[17] und schwieriger werdender Nachvollziehbarkeit einzelner algorithmischer Entscheidungen nicht nur ein erhebliches gesamtgesellschaftliches[18]und wissenschaftliches[19], sondern maßgeblich auch digital-regulatorisches Interesse.[20] Während sich letzteres im regelmäßigen Fehlen einer fundierten Entscheidungsgrundlage für Regulierungsvorhaben begründet sehen kann, bezieht sich das Kerninteresse wissenschaftlicher Forschung primär auf den Gewinn von Erkenntnissen. Dieser Zweiklang spiegelt sich auch in der Ausgestaltung von Art. 40 DSA wider, der in Abs. 1 einen behördlichen Datenzugang zugunsten der EU-Kommission (B2G) und, getrennt hiervon, in Abs. 4 einen Datenzugang zugunsten der Forschung normiert. Im Rahmen des Forschungsdatenzugangs ist dabei weiter zwischen Abs. 4, der hier untersucht wird, und dem daran angelehnten Zugangsrecht aus Abs. 12, als spezifischem Datenzugangsrecht zu öffentlich-zugänglichen Daten auf Online-Plattformen und Suchmaschinen zu differenzieren.
Ferner rechtspolitisch begründet sehen kann sich Art. 40 Abs. 4 DSA und gerade auch Art. 40 Abs. 12 DSA durch die Schwierigkeiten bei der Gewinnung von qualitätsvollen Plattform- und Suchmaschinendaten für Zwecke der wissenschaftlichen Forschung.[21] So unterliegen Forschende etwa beim Scraping von Plattformdaten einerseits der Rechtsunsicherheit bezüglich der Vereinbarkeit solcher Verarbeitungen „öffentlicher“, aber zumeist personenbezogener Plattformdaten mit der DSGVO[22], sowie anderseits der Gefahr eines Verstoßes gegen die Nutzungsbedingungen[23] der jeweiligen Online-Plattform oder Suchmaschine.[24] Gleiches gilt bezüglich des Zugangs zu für den Wissenschaftsbetrieb besonders wichtigen Metadaten.[25] Parallel zum Mangel an Datenzugang konnten auch die von der Digitalwirtschaft selbst initiierten Forschungskooperationen oder Datenspende-Projekte die an sie geknüpften Erwartungen nicht erfüllen.[26] Die rechtspolitische Grundierung des Datenzugangsrechts zugunsten der Forschung in Art. 40 Abs. 4 DSA fußt somit letztlich auf einem Interessengeflecht mehrerer Akteure, was sich auch im Rahmen der legistischen Ausgestaltung der einzelnen Regelungsvoraussetzungen zeigen soll.
Art. 40 Abs. 4 DSA ist ein originärer[27], subjektiv-rechtlicher Forschungsdatenzugangsanspruch[28] gegen sehr große Online-Plattform- und Suchmaschinenanbieter. Dies ergibt sich aus dem Wortlaut von Art. 40 Abs. 4 DSA, der „die Anbieter sehr großer Online-Plattformen und Suchmaschinen“ dazu verpflichtet „auf begründetes Verlangen des Koordinators für digitale Dienste (...) zugelassenen Forschern (...) Zugang zu Daten zum ausschließlichen Zweck der Durchführung von Forschungsarbeiten, die zur Aufspürung, zur Ermittlung und zum Verständnis systemischer Risiken nach Art. 34 Abs. 1 DSA“ oder zur Untersuchung der „Wirksamkeit, Effektivität sowie der Auswirkungen von Risikoeindämmungsmaßnahmen nach Art. 35 DSA“ beitragen, zu gewähren. Die Ausgestaltung als Anspruch grenzt Art. 40 Abs. 4 DSA dabei zu reinen Erlaubnissen der Datenzugangsgewährung, Berichts- und Transparenzpflichten oder Open-Data Regelungen ab. Da zwischen dem Forschenden und der jeweiligen sehr großen Online-Plattform bzw. Suchmaschine der sog. Koordinator für digitale Dienste als Mittler steht, ist im Rahmen von Art. 40 Abs. 4 DSA dogmatisch überzeugender, lediglich von einem vermittelten Datenzugangsanspruch zu Gunsten der Forschung zu sprechen.[29] Kompetenzrechtlich gestützt wird Art. 40 Abs. 4 DSA, wie auch der gesamte auf Vollharmonisierung[30]ausgerichtete DSA, auf die Binnenmarktkompetenz aus Art. 114 AEUV, die die Festlegung von Maßnahmen zur Gewährleistung der Funktionsweise des EU-Binnenmarkts erlaubt.[31]
Forschende haben im Rahmen von Art. 40 Abs. 4 DSA ihr Datenzugangsbegehren über einen Antrag an den Koordinator für digitale Dienste geltend zu machen. Der Koordinator für digitale Dienste ist nach Art. 38 Abs. 2 DSA eine Behörde, die von und in jedem Mitgliedsstaat benannt wird und in diesem für sämtliche Fragen im Zusammenhang mit der Anwendung und Durchsetzung des DSA zuständig ist.[32] In Deutschland soll dieser mit einem eigenen Gesetz eingerichtet werden.[33] Für Forschende besteht dabei im Rahmen der Antragsstellung ein Wahlrecht. Sie können sich mit ihrem Datenzugangsbegehren an den jeweiligen Koordinator für digitale Dienste des Mitgliedsstaates der Forschungsorganisation wenden oder an den Koordinator für digitale Dienste des Mitgliedsstaates, in dem der Anbieter der jeweiligen Online-Plattform oder Suchmaschine (Koordinator für digitale Dienste am Niederlassungsort) niedergelassen ist bzw. vertreten wird. Handelt es sich hierbei nicht um denselben Koordinator für digitale Dienste, kommt ausschließlich dem Koordinator für digitale Dienste am Niederlassungsort die Kompetenz zum Aussprechen eines begründeten Datenzugangsverlangen zu, während dem zunächst angerufenen Koordinator für digitale Dienste lediglich eine „Ersteinschätzungkompetenz“ zum Antrag des Forschenden zufällt, die vom Koordinator für digitale Dienste am Niederlassungsort angemessen zu berücksichtigen ist (Art. 40 Abs. 9 DSA).Spricht der Koordinator für digitale Dienste am Niederlassungsort ein Datenzugangsverlangen für den Forschenden aus, hat der jeweilige verpflichtete Anbieter einer Online-Plattform oder Suchmaschine 15 Tage Zeit, um vor dem das Verlangen aussprechenden Koordinator für digitale Dienste entgegenstehende berechtigte Interessen geltend zu machen. Solche sog. Änderungsanträge gemäß Art. 40 Abs. 5 DSA sind dabei von den Online-Plattformen und Suchmaschinen stets mit Vorschlägen für eine oder mehrere Alternativen zu versehen, die aufzeigen, wie der Zugang zu den angeforderten Daten oder zu anderen Daten gewährt werden kann, die für die Zwecke des Verlangens der Forschenden angemessen und ausreichend sind (Art. 40 Abs. 6 S. 1 DSA). Bei Vorliegen berechtigter Interessen seitens der Datenzugangsverpflichteten führt dies binnen 15 Tagen zu einer Abänderung des Datenzugangsverlangens durch den jeweiligen Koordinator für digitale Dienste sowie einer neuen Fristsetzung gegenüber dem jeweiligen Datenzugangsverpflichteten (Art. 40 Abs. 6 S. 2 DSA). Stellt der Anbieter der Online-Plattform bzw. Suchmaschine keinen Änderungsantrag, so hat er dem jeweiligen Forschenden Datenzugang über eine geeignete Schnittstelle bereitzustellen, etwa über eine Online-Datenbank oder über APIs (Art. 40 Abs. 7 DSA). Weitere Aspekte zum verfahrenstechnischen Prozess der Datenzugangsgewährung sind Art. 40 DSA sowie den Erwägungsgründen nicht zu entnehmen, sondern sollen gemäß Art. 40 Abs. 13 DSA über delegierte Rechtsakte (Art. 290 AEUV) festgelegt werden.[34]
Abbildung: Verfahren und Akteure im Rahmen von Art. 40 Abs. 4 DSA
2. Anspruchsvoraussetzungen von Art. 40 Abs. 4 DSA
a) Anspruchsberechtigung
Anspruchsberechtigt gemäß Art. 40 Abs. 4 DSA sind „zugelassene“ Forschende und Forschungseinrichtungen (vgl. Art. 40 Abs. 11 DSA). Folglich umfasst dies sowohl natürliche Personen als auch juristische Personen.[35] Die Zulassung der Forschenden bzw. Forschungseinrichtungen richtet sich dazu nach den Anforderungen des Art. 40 Abs. 8 DSA.
Hiernach müssen Forschende bzw. Forschungseinrichtungen zunächst mit einer „Forschungsorganisation“ nach Art. 2 Abs. 1 RL (EU) 2019/790 (Urheberrecht im digitalen Binnenmarkt) verbunden sein bzw. eine solche darstellen (Art. 40 Abs. 8 lit. a DSA). Eine „Forschungsorganisation“ bezeichnet gemäß Art. 2 Abs. 1 RL (EU) 2019/790 „eine Hochschule einschließlich ihrer Bibliotheken, ein Forschungsinstitut oder eine sonstige Einrichtung, deren vorrangiges Ziel die wissenschaftliche Forschung oder die Lehrtätigkeit - auch in Verbindung mit wissenschaftlicher Forschung - ist, die (a) in ihrer Tätigkeit nicht gewinnorientiert ist oder alle Gewinne in ihre wissenschaftliche Forschung reinvestiert, oder (b) im Rahmen eines von einem Mitgliedsstaat anerkannten Auftrags im öffentlichen Interesse tätig ist, wobei kein Unternehmen, das einen bestimmenden Einfluss auf diese Organisation hat, bevorzugten Zugang zu den Ergebnissen der wissenschaftlichen Forschung erhält.“
Die Rechtsform der Organisation bleiben bei der Einstufung als Forschungsorganisation nach Art. 2 Abs. 1 RL (EU) 2019/790 unberücksichtigt. Zentral ist vielmehr, dass diese entweder nicht gewinnorientiert tätig ist oder in staatlich anerkanntem Auftrag im öffentlichen Interesse handelt. Kennzeichnend für einen solchen Auftrag im öffentlichen Interesse können dabei bspw. die Finanzierung durch die öffentliche Hand, Bestimmungen im nationalen Recht oder in öffentlich-rechtlichen Verträgen sein. Zusätzlich zu Universitäten, Forschungsinstituten sowie den dazugehörigen Bibliotheken fallen dabei gemäß ErwGr. 12 RL (EU) 2019/790 regelmäßig auch Einrichtungen wie Forschungskliniken unter die Definition einer Forschungsorganisation. ErwGr. 97 DSA stellt darüber hinaus klar, dass die in Art. 2 Abs. 1 RL (EU) 2019/790 benannten Anforderungen an eine Forschungsorganisation auch von zivilgesellschaftlichen Organisationen (bspw. von NGOs oder gemeinnützigen Vereinen) als „sonstigen Einrichtungen“ erfüllt werden können. Hingegen gelten Einrichtungen als nicht von Art. 2 Abs. 1 RL (EU) 2019/790 umfasst, sofern diese dem bestimmenden Einfluss gewerblicher Unternehmen unterliegen, die aufgrund der strukturellen Gegebenheiten der Organisation bspw. in ihrer Eigenschaft als Anteilseigner Kontrolle ausüben können und dadurch einen bevorzugten Zugang zu den Forschungsergebnissen erhalten könnten.
Zudem muss die Tätigkeit der jeweiligen Forschungseinrichtung, um unter Art. 2 Abs. 1 RL (EU) 2019/790 fallen zu können, vorrangig auf „wissenschaftliche Forschung“ ausgerichtet sein. Da weder der europäische Gesetzgeber[36]noch der EuGH[37] den Begriff der (wissenschaftlichen) Forschung bislang definiert haben, Art. 13 GRCh jedoch als vom deutschen Grundgesetz inspiriert gilt, kann für diesen an die dazu vom BVerfG entwickelte Definition angeknüpft werden.[38] Hiernach ist von wissenschaftlicher Forschung jede geistige Tätigkeit umfasst, die das Ziel verfolgt, in methodischer, systematischer und nachprüfbarer Weise neue Erkenntnisse zu gewinnen.[39] Erweitert wird diese Definition durch ErwGr. 12 RL (EU) 2019/790 nur dahingehend, dass der Ausdruck der wissenschaftlichen Forschung sich dabei sowohl auf die Naturwissenschaften als auch auf die Geisteswissenschaften erstreckt. Selbst bei Annahme der bisherigen Anforderungen an eine Forschungsorganisation, werden etwa Verlage und datenzugangsbegehrende Journalisten wohl regelmäßig an dieser Schwelle scheitern und nicht anspruchsberechtigt sein.[40]
Weitere Zulassungsvoraussetzung gegenüber Forschenden und Forschungseinrichtungen normiert Art. 40 Abs. 8 lit. b DSA, der von diesen einfordert, unabhängig von kommerziellen Interessen zu sein, sowie Art. 40 Abs. 8 lit. c DSA, indem er eine Offenlegung der eigenen Finanzierung im Rahmen des Antrags auf Forschungsdatenzugang gegenüber dem gewählten Koordinator für digitale Dienste verlangt. Wichtig im Rahmen von Art. 40 Abs. 8 lit. b DSA erscheint dabei, dass hierdurch insbesondere solchen Forschungseinrichtungen eine Zulassung untersagt wird, die zwar im Rahmen eines von einem Mitgliedsstaat anerkannten Auftrags im öffentlichen Interesse tätig sind und somit unter Art. 2 Abs. 1 RL (EU) 2019/790 fallen, jedoch daneben auch kommerziellen Interessen nachgehen, die nicht reinvestiert werden. Inwiefern diese Rückausnahme über Art. 40 Abs. 8 lit. b DSA vom europäischen Gesetzgeber explizit gewollt ist, lassen jedoch sowohl der Normtext als auch die Erwägungsgründe offen.
Ferner haben die Forschenden bzw. die Forschungseinrichtung gemäß Art. 40 Abs. 8 lit. d für eine Zulassung in der Lage zu sein, die mit jeder Datenzugangsgewährung verbundenen, besonderen Anforderungen an die Datensicherheit, den Datenschutz sowie die Vertraulichkeit einzuhalten. Hierzu haben diese im Rahmen ihres Antrags zu beschreiben, welche angemessenen technischen und organisatorischen Maßnahmen sie zum Schutz und zur Sicherheit der zugänglich gemachten Daten treffen wollen bzw. können. Die formalen und inhaltlichen Anforderungen, welche Art. 40 Abs. 8 lit. e und lit. f DSA an die Darstellung des Forschungsvorhabens im Rahmen des Antrags an den Koordinator für digitale Dienste stellen, werden, da sie unabhängig von der Person des Forschenden bzw. der Forschungseinrichtung sind, im Rahmen der Zulässigkeit des Forschungsvorhabens und der Form des Antrags behandelt. Gesondert behandelt wird zudem die in Art. 40 Abs. 8 lit. g DSA enthaltene Vorab-Verpflichtung der Forschenden und Forschungseinrichtungen zur unentgeltlichen Veröffentlichung der Forschungsergebnisse. Abschließend sei erwähnt, dass eine einmal erteilte Zulassung dem Forschenden bzw. der Forschungseinrichtung entlang des in Art. 40 Abs. 10 DSA beschriebenen Gegenüberstellungsverfahrens auch wieder entzogen werden kann, sofern festgestellt wird, dass die Voraussetzungen der Art. 40 Abs. 8 lit. a–g DSA nicht mehr vorliegen.
b) Datenzugangsverpflichtete
Verpflichtete nach Art. 40 Abs. 4 DSA sind ausschließlich Anbieter sehr großer Online-Plattformen sowie sehr großer Internetsuchmaschinen. Eine Online-Plattform wird dabei in Art. 3i DSA als „Hosting-Diensteanbieter, der im Auftrag eines Nutzers Informationen speichert und öffentlich verbreitet“ legaldefiniert. Handelt es sich bei dieser Tätigkeit eines Hosting-Diensteanbieters jedoch nur um eine mit einem anderen Dienst verbundene Nebenfunktion, die aus objektiven und technischen Gründen nicht ohne diese auskommt, und soll mit der Eingliederung als Nebenfunktion nicht nur der Anwendungsbereich des DSA unterlaufen werden, unterliegt dieser Dienst nicht der Definition einer Online-Plattform, vgl. Art. 3i DSA. ErwGr. 14 DSA stellt darüber hinaus ohne spätere Grundierung im Verordnungstext klar, dass Dienste iSd Europäischen Kodexes für die elektronische Kommunikation (RL (EU) 2018/1972), wie E-Mail- oder Instant-Messaging-Anbieter, grundsätzlich nicht unter den Geltungsbereich der Begriffsbestimmung von Online-Plattformen gemäß Art. 3i DSA fallen. Anwendung findet der DSA jedoch auch auf diese Dienste, sofern diese im Auftrag des Nutzenden die Bereitstellung von Informationen an eine potenziell unbegrenzte Zahl an Nutzenden ermöglichen, die nicht vom Absender der Kommunikation bestimmt wird, bspw. über öffentliche Chat-Gruppen. Video-Sharing-Plattform-Anbieter sind dem DSA grundsätzlich ebenfalls nicht unterworfen, da für diese die AVMD-RL, in der durch die RL (EU) 2018/1808 geänderten Fassung, als lex specialis Vorrang genießt. Der DSA gilt für Video-Sharing-Plattform-Anbieter jedoch insofern, als die AVMD-RL oder die VO (EU) 2021/784 zur Bekämpfung der Verbreitung terroristischer Online-Inhalte, keine besonderen Bestimmungen enthalten, die auf solche Anbieter anwendbar wären.[41] Da dies für beide Rechtsakte im Kontext von Art. 40 Abs. 4 DSA der Fall ist, sind auch Video-Sharing-Plattform-Anbieter datenzugangsverpflichtet.
Als „sehr groß“ gelten Online-Plattformen und Suchmaschinen gemäß Art. 33 Abs. 1 DSA iVm ErwGr. 76 DSA, sofern ihre durchschnittliche monatliche Zahl an Nutzenden eine operative Schwelle von 45 Millionen (orientiert an 10 % der Bevölkerung der EU)[42] überschreitet. Dabei sollte die Zahl der durchschnittlich monatlich Nutzenden einer Online-Plattform alle Nutzenden erfassen, die mindestens einmal im entsprechenden Monat mit dem Dienst interagiert haben, indem sie mit den auf der Schnittstelle der Online-Plattform bzw. Suchmaschine verbreiteten Inhalten in Berührung gekommen sind oder indem sie selbst Inhalte bereitgestellt haben (vgl. Art. 3p DSA), wie zB als Händler auf einem Online-Marktplatz.[43] Dabei erschöpft sich das Interagieren mit einer Online-Plattform oder einer Suchmaschine gerade nicht im Anklicken, Kommentieren, Verlinken, Teilen, Kaufen oder Durchführen von Transaktionen auf einer Online-Plattform, sondern kann auch in anderer Form vorliegen. Folglich deckt sich der Begriff des aktiv Nutzenden einer Online-Plattform nicht notwendigerweise mit dem eines registrierten Plattform-Nutzenden. In Bezug auf Online-Suchmaschinen soll der Begriff der aktiv Nutzenden des Dienstes diejenigen umfassen, die Inhalte auf der entsprechenden Online-Schnittstelle der Suchmaschine ansehen (vgl. Art. 3q DSA), nicht aber bspw. die Eigentümer der von der Online-Suchmaschine indizierten Websites, da diese sich nicht aktiv mit dem Dienst befassen. Die Zahl der aktiv Nutzenden einer Online-Plattform oder Suchmaschine richtet sich somit maßgeblich danach, wie spezifisch die einzelnen Nutzenden sich mit den jeweilig angebotenen Diensten befassen und in Interaktion treten. ErwGr. 76 DSA stellt dazu überdies klar, dass Mehrfachzählungen einzelner Nutzender durch die Verwendung verschiedener URLs oder Domänennamen bei der Bestimmung der operativen Schwelle zu vermeiden sind. Ebenso nicht vom Begriff der aktiv Nutzenden umfasst sind zufällige und indirekte Nutzungen einer Online-Plattform bzw. Suchmaschine, etwa wenn Drittdienste über ihre eigenen Online-Schnittstellen Inhalte zur Verfügung stellen, die vom Anbieter einer Online-Plattform gehostet werden oder von einem Anbieter einer Online-Suchmaschine indiziert werden (bspw. über embed code).[44] Im Kontext der mit ihrem behördlichen Datenzugangsanspruch aus Art. 40 Abs. 1 DSA verknüpften Betriebsausgaben geht die EU-Kommission entlang dieser Bestimmung von 20-25 sehr großen Online-Plattformen und Suchmaschinen in der gesamten EU aus, die den speziellen Regelungen des DSA für „sehr große Online-Plattformen und Suchmaschinen“ unterliegen.[45] Diese Zahlen lassen sich auf den Kreis möglicher Verpflichteter gemäß Art. 40 Abs. 4 DSA übertragen.
c) Zulässigkeit des Forschungsvorhabens und Zugangsgegenstandes
Neben den Anforderungen an die Anspruchsberechtigung, erlaubt Art. 40 Abs. 4 DSA ausschließlich Forschung an und mit Daten zum „Zweck der Durchführung von Forschungsarbeiten, die zur Aufspürung, zur Ermittlung und zum Verständnis systemischer Risiken gemäß Art. 34 Abs. 1 DSA oder zur Bewertung von Risikominderungsmaßnahmen nach Art. 35 DSA beitragen (als Zulässigkeitsvoraussetzung ferner nochmals in Art. 40 Abs. 8 lit. f DSA verankert).[46] Folglich können inhaltlich über Art. 40 Abs. 4 DSA zunächst Daten abgefragt werden, die einen Nexus zu den in Art. 34 Abs. 1 DSA aufgeführten systemischen Risiken aufweisen und für die Bewertung dieser erforderlich sind (vgl. ErwGr. 97 DSA). Eine Zweckbindung des Datenzugangsanspruchs an „im öffentlichen Interesse“ liegender Forschung konnte sich bereits in den Verhandlungen zu einem Kompromissentwurf innerhalb des EU-Parlaments nicht durchsetzen.[47]
Systemische Risiken iSd Art. 34 Abs. 1 DSA stellen zunächst die Verbreitung illegaler Inhalte (Art. 34 Abs. 1 lit. a DSA)[48] sowie etwaige nachteilige Auswirkungen auf die Ausübung von Grundrechten (Art. 34 Abs. 1 lit. b DSA) dar. Betroffen sein können auf Online-Plattformen und Suchmaschinen gemäß Art. 34 Abs. 1 lit. b DSA dabei insbesondere die Grundrechte zur Achtung der Menschenwürde (Art. 1 GRCh), des Privat- und Familienlebens (Art. 7 GRCh), des Schutzes personenbezogener Daten (Art. 8 GRCh), der Meinungs- und Informationsfreiheit (Art. 11 GRCh), des Diskriminierungsverbots (Art. 21 GRCh), der Rechte des Kindes (Art. 24 GRCh) sowie des Verbraucherschutzes (Art. 38 GRCh). Denkbare systemische Risiken können etwa auf die Gestaltung der algorithmischen Systeme der Online-Plattformen und Suchmaschinen oder auf andere Methoden zur Verhinderung der freien Meinungsäußerung zurückzuführen sein. Ein weiteres systemisches Risiko sieht der europäische Gesetzgeber in der vorsätzlichen Manipulation einer Online-Plattform oder Suchmaschine durch unauthentische Nutzung oder automatisierte Ausnutzung des jeweiligen Dienstes (Art. 34 Abs. 1 lit. c DSA), sofern hierdurch tatsächliche oder absehbar nachteilige Auswirkungen auf den Schutz der öffentlichen Gesundheit, von Minderjährigen, der gesellschaftlichen Debatte, von Wahlprozessen oder der öffentlichen Sicherheit bestehen. Solche Risiken können zB auf die Einrichtung von Scheinkonten, die Nutzung von Bots und anderen automatisierten oder teilautomatisierten Verhaltensweisen zurückzuführen sein, die zu einer schnellen und umfangreichen Verbreitung von Informationen führen können, die illegale Inhalte darstellen oder mit den Geschäftsbedingungen einer Online-Plattform unvereinbar sind. Es geht also auch hier um die Gewährleistung bzw. Beeinträchtigung von Grundrechten und damit generell um eine besonders im gesamtgesellschaftlichen Interesse stehende Frage, die durch den Datenzugang von Wissenschaft und Forschung besser untersucht werden können soll. Auf den letzten Metern der Trilogverhandlungen wurde zudem Art. 34 Abs. 1 lit. d DSA als viertes systemisches Risiko aufgenommen. Systemische Risiken von Online-Plattformen und Suchmaschinen können demnach auch negative Auswirkungen auf die Gesundheit oder das körperliche, geistige oder finanzielle Wohlbefinden von Personen, insbesondere Minderjähriger, sein. Inwiefern die in Art. 34 Abs. 1 DSA ausgemachten Risiken auch zukünftige Services von Online-Plattformen und Suchmaschinen, etwa im Metaverse, adäquat erfassen können bzw. inwiefern solche Dienste überhaupt dem DSA unterliegen
[49], lässt der DSA jedoch grundsätzlich offen.[50] Ebenso erlaubt sind gemäß Art. 40 Abs. 4 DSA Forschungsvorhaben, die die Wirksamkeit, Effektivität und die Auswirkungen der Maßnahmen der Plattform- und Suchmaschinenanbieter zur Eindämmung von systemischen Risiken gemäß Art. 35 DSA untersuchen. Die Beweislast für das Vorliegen eines Forschungsvorhabens, das zumindest eines der benannten systemischen Risiken des Art. 34 Abs. 1 DSA zu adressieren vermag, liegt dabei bei dem jeweiligen Forschenden bzw. der Forschungseinrichtung. Orientierungshilfe bietet hier Art. 34 Abs. 2 DSA, der bereits für die Anbieter von Online-Plattformen und Suchmaschinen beschreibt, welche Aspekte besonderer Beachtung bei der Analyse systemischer Risiken bedürfen.
Die in Art. 40 Abs. 8 lit. e DSA angelegte Erforderlichkeitsschwelle ist im Rahmen von Art. 40 Abs. 4 DSA als Notwendigkeit des Datenzugangs für die intendierte Forschung zu verstehen.[51] Die anvisierte Forschungstätigkeit darf also ohne die Daten nicht oder nicht vergleichbar möglich sein. Darauf, ob die Daten auch von einem Dritten oder auf andere Weise erlangt werden können, kann es nach Sinn und Zweck der Norm gerade nicht ankommen.
Bezüglich des konkreten Zugangsgegenstands, der von systemischen Risiken umfasst wird, also der Frage, welche Kategorien von Daten über Art. 40 Abs. 4 DSA umfasst sein können, lassen sich dem Wortlaut unmittelbar keine Angaben entnehmen. ErwGr. 97 DSA konkretisiert hier jedoch dahingehend, dass insbesondere sämtliche Daten umfasst sein sollen, die erforderlich sind, um „das Funktionieren und das Testen von algorithmischen Systemen“ (bspw. zur Moderation von Inhalten (Art. 3t DSA)) zu bewerten. Trainingsdaten sind somit grundsätzlich über den Datenzugangsanspruch aus Art. 40 Abs. 4 DSA abfragbar. Da Datensets zum Training von algorithmischen Systemen regelmäßig auch Daten von nicht auf der jeweiligen Online-Plattform registrierten Nutzenden beinhalten[52] und der Wortlaut keine weitere Differenzierung in dieser Hinsicht vorsieht, sind diese im Rahmen von Art. 40 Abs. 4 DSA ebenfalls inkludiert. In systematischer Abgrenzung zum auch als Forschungsdatenzugangsanspruch ausgestalteten Art. 40 Abs. 12 DSA lässt sich zudem festhalten, dass dieser mit seinen geringeren Anspruchsvoraussetzungen und seinem Zuschnitt auf öffentlich-zugängliche Plattform- und Suchmaschinendaten lex specialis sein soll. Inwiefern weiter Zugang zu Rohdaten, aufbereiteten Daten oder zu abgeleiteten Daten vom Datenzugangsverlangen über Art. 40 Abs. 4 DSA umfasst sein soll, bedarf hingegen weiterer Konkretisierung über die zu erlassenden delegierten Rechtsakte (Art. 40 Abs. 13 DSA).
d) Keine entgegenstehenden Interessen sowie Datenzugriff des Datenzugangsverpflichteten
Zentrale Hürde im Rahmen der Gewährung von Forschungsdatenzugang über Art. 40 Abs. 4 DSA, stellt jedoch die ex-ante Bewertung des Missbrauchsrisikos dar. Art. 40 DSA knüpft hierzu einerseits an die bereits erläuterten Schrankenregelungen bezüglich der Anspruchsberechtigung an, implementiert aber auch eine Abwägungsverpflichtung zwischen den im Einzelfall tangierten Interessen von Datenzugangsverpflichtetem und Anspruchsberechtigtem (vgl. Art. 40 Abs. 5 DSA, Art. 40 Abs. 8 lit. e sowie Art. 40 Abs. 13 S. 2 DSA).[53] Die im Rahmen von Art. 40 Abs. 4 DSA berührten Rechtspositionen der Online-Plattformen und Suchmaschinen aus der GRCh sind daher mit den ebenfalls hieraus geschützten Interessen des zugangsersuchenden Forschenden in einen verhältnismäßigen Ausgleich zu bringen (vgl. Art. 52 Abs. 1 GRCh).[54] Auf Seiten der datenzugangsverpflichteten Online-Plattformen und Suchmaschinen ist dies maßgeblich der – je nach vertretener Auffassung – in Art. 17 GRCh bzw. Art. 8, 15, 16 GRCh grundierte Geschäfts- und Betriebsgeheimnisschutz.[55] Daneben kommen ferner der in Art. 17 Abs. 2 GRCh normierte Schutz des Geistigen Eigentums sowie der Schutz der Berufsfreiheit in Art. 15 Abs. 1 GRCh in Betracht. Auf Seiten der zugangsersuchenden Forschenden ist die Freiheit von Forschung und Wissenschaft aus Art. 13 GRCh einschlägig.[56] Um den grundrechtlich geschützten Interessen der Online-Plattformen und Suchmaschinen Rechnung zu tragen, beinhaltet Art. 40 Abs. 5 DSA einen Katalog an nachfolgend zu erläuternden berechtigten Interessen bzw. Gründen (Art. 40 Abs. 5 lit. a und lit. b DSA), die dem bereits durch den Koordinator für digitale Dienste am Niederlassungsort für begründet erklärten Datenzugangsverlangen entgegengehalten werden können. Diese sind durch die Online-Plattformen und Suchmaschinen binnen 15 Tagen nach Eingang des Zugangsverlangens gegenüber dem jeweiligen Koordinator für digitale Dienste mit einem Änderungsantrag geltend zu machen. Die Beweislast für das Vorliegen der berechtigten Interessen bzw. entgegenstehenden Gründe liegt dazu bei den Online-Plattform- und Suchmaschinenanbietern.
Gemäß Art. 40 Abs. 5 lit. b Alt. 2 DSA ist das Datenzugangsverlangen des jeweiligen Koordinators für digitale Dienste bzw. des dahinterstehenden Forschenden zu ändern, sofern der Schutz vertraulicher Informationen dem Datenzugangsverlangen entgegensteht. Zentraler Schutzgegenstand des unbestimmten Begriffs vertraulicher Informationen stellen dabei, wie im Wortlaut des Art. 40 Abs. 5 DSA und ErwGr. 97 DSA bereits angelegt, Geschäftsgeheimnisse dar. Das Einrahmen des Geschäftsgeheimnisschutzes unter den Schutz vertraulicher Informationen („insbesondere von Geschäftsgeheimnissen“), lässt systematisch darauf schließen, dass der europäische Gesetzgeber hier bewusst einen weiter gefassten Schutz für Online-Plattform- und Suchmaschinenanbieter vorsehen wollte, in dessen Sphäre der Geschäftsgeheimnisschutz nur eine, wenn auch wohl die maßgebliche Untergruppe, darstellt.[57] Folglich soll dieser auch nachfolgend im Mittelpunkt der Betrachtung „vertraulicher Informationen“ stehen.
Einfachgesetzliche Normierung erfährt der Geschäftsgeheimnisschutz durch RL (EU) 2016/943. In Deutschland wurde diese mit dem am 26.4.2019 in Kraft getretenen Geschäftsgeheimnisgesetz (GeschGehG) umgesetzt. Damit eine Information hiernach dem Geschäftsgeheimnisschutz unterliegt und dieser ex-ante dem Datenzugangsverlangen entgegengehalten werden kann, müssen im jeweiligen Einzelfall die objektiv zu ermittelnden Voraussetzungen eines Geschäftsgeheimnisses nach § 2 Nr. 1 GeschGehG kumulativ vorliegen.[58] Grundsätzlich können Geschäftsgeheimnisse dabei in jeglicher Information angelegt sein[59] und – als vom Informationsbegriff des GeschGehG miterfasst – insbesondere auch in einem einzelnen Datum, Datensätzen, Datenpools und Datenbanken zu erblicken sein.[60] Qualitative Anforderungen an die Schöpfungshöhe, Eigenart oder Neuheit der Information werden im Rahmen von § 2 Nr. 1 GeschGehG explizit nicht gestellt.[61] Folglich ist der Schutz von Geschäftsgeheimnissen auch losgelöst davon auszumachen, ob die speziellen Voraussetzungen für ein Sonderschutzrecht (bspw. einen Schutz durch das Urheberrecht) gegeben sind.[62] Primäre Voraussetzung eines Geschäftsgeheimnisses nach § 2 Nr. 1 lit. a GeschGehG ist vielmehr, dass die Information geheim sein muss, also „weder insgesamt noch in der genauen Anordnung und Zusammensetzung ihrer Bestandteile den Personen in den Kreisen, die üblicherweise mit dieser Art von Informationen umgehen, allgemein bekannt oder ohne Weiteres zugänglich“ ist. Maßgeblich für die Geheimhaltung ist mithin die praktische Zugänglichkeit der Information für einen bestimmten Personenkreis, wie etwa für fachlich betraute Mitarbeiter aus einem Konkurrenzunternehmen.[63] Zudem muss die Information gerade aufgrund der Geheimhaltung einen tatsächlichen, künftigen oder sich in einem Wettbewerbsvorteil ausdrückenden wirtschaftlichen Wert (=Handelswert) aufweisen.[64] Ob dies auch für Daten angenommen werden kann, ist eine Frage des Einzelfalls. Während sich ein wirtschaftlicher Wert und Konnex für die Trainingsdaten eines Werbung ausspielenden Algorithmus regelmäßig bejahen lassen wird, ist ein solcher den im Wirkbetrieb anfallenden (Roh-)Daten einer Online-Plattform oder Suchmaschine nicht zwangsläufig inhärent.[65] Hier kommt es somit entscheidend darauf an, ob für die fraglichen Daten bzw. Informationen ein potenzieller Handelswert abgeleitet werden kann.
Weiterhin müssen gemäß § 2 Nr. 1 lit. b GeschGehG angemessene Geheimhaltungsmaßnahmen zum Schutz der Informationen bestehen. Welche Maßnahmen hierfür notwendig sind, richtet sich nach dem jeweiligen Einzelfall. Anerkannte Erscheinungsformen sind jedoch vertragliche Vertraulichkeitsvereinbarungen[66] sowie organisatorische und technische Zugangsbeschränkungen zu den jeweiligen Informationen, zB über Zwei-Faktor-Authentifizierung. Nicht ausreichend kann es in diesem Kontext hingegen sein, wenn der Inhaber des Geschäftsgeheimnisses ein Exportieren von Dateien mit Geschäftsgeheimnissen auf private Datenträger ohne weiteren Passwortschutz zulässt.[67]
Zuletzt muss nach § 2 Nr. 1 lit. c GeschGehG ein berechtigtes Interesse an der Geheimhaltung der Information bestehen.[68] Da dieses Tatbestandmerkmal jedoch nicht in Art. 2 Nr. 1 RL (EU) 2016/943 vorgesehen ist, sondern durch den deutschen Gesetzgeber über ErwGr. 14 RL (EU) 2016/943 (der von „legitimen Interessen“ spricht), eingeführt wurde, ist § 2 Nr. 1 lit. c GeschGehG im Rahmen unionsrechtskonformer Auslegung weit zu verstehen.[69]Ein berechtigtes bzw. legitimes Interesse ist daher nur dann zu verneinen, wenn nach den Umständen des Einzelfalls „plausible, schutzwürdige und wirtschaftlich nachvollziehbare Gründe für eine Geheimhaltung der Information nicht ersichtlich sind“.[70] Dies ist insbesondere anzunehmen, wenn die einem Geschäftsgeheimnis zugrunde liegende Information selbst von der Rechtsordnung missbilligt wird.[71] So scheiden etwa Daten als Geschäftsgeheimnisse an dieser Stelle aus, die eine Online-Plattform unter Verstoß gegen datenschutzrechtliche Vorschriften erhebt und verarbeitet.[72]
Dementsprechend werden Anbieter von Online-Plattformen und Suchmaschinen dem das Datenzugangsverlangen aussprechenden Koordinator für digitale Dienste den Geschäftsgeheimnisschutz insbesondere dann entgegenhalten können, sofern die begehrte Information insbesondere Marktkonkurrenten nicht bekannt ist, für den ökonomischen Erfolg des jeweiligen Anbieters zumindest nutzbar gemacht werden könnte, aktiven Schutzmaßnahmen unterliegt und die Rechtsordnung einem Schutz nicht entgegensteht.
Geschäftsgeheimnisqualität wird vor diesem Hintergrund in Rechtsprechung und Literatur insbesondere Algorithmen[73], dem Quellcode[74] sowie weiteren Informationen über die technischen Grundlagen einer Online-Plattform oder Suchmaschine zugeschrieben. So können auch die für den jeweiligen Algorithmus berücksichtigten Parameter sowie deren Gewichtung als vom Geschäftsgeheimnisschutz umfasste Information in Betracht kommen. Über VO (EU) 2019/1150 (P2B) werden diesbezüglich gemäß ErwGr. 27 P2B zwar die für das Ranking von Suchergebnissen (Art. 2 Nr. 8 P2B) zugrunde gelegten Hauptparameter[75] einer Suchmaschine (Art. 2 Nr. 8 P2B) oder eines Online-Vermittlungsdienstes (Art. 2 Nr. 2, 3 P2B) vom Geschäftsgeheimnisschutz ausgeklammert, jedoch kann dies per se nicht für die „aktuellen Daten“, auf deren Grundlage die Hauptparameter zu erläutern sind, gelten. Ferner kommen Informationen über Wartungs- und Anpassungszyklen einzelner Algorithmen durch die Online-Plattform als Geschäftsgeheimnisse in Betracht. Ebenfalls Schutz genießen können Daten, die „negatives Know-how“ in sich bergen, also etwa spezielles Wissen über potenzielle Angriffspunkte im Quellcode einer Online-Plattform oder Suchmaschine.
Unbestimmt lässt der europäische Gesetzgeber zudem, welche Szenarien einen begründeten Änderungsantrag der Online-Plattformen und Suchmaschinen rechtfertigen, der sich auf Art. 40 Abs. 5 lit. b Alt. 1 DSA stützt und geltend macht, dass die Forschungsdatenzugangsgewährung mit erheblichen Schwachstellen bei der Sicherheit des eigenen Diensts einherginge. Die Einschränkung auf ausschließlich erhebliche Schwachstellen lässt hierbei zwar den Schluss zu, dass je nach Ansatzpunkt für die Erheblichkeit einer Schwachstelle am zu erwartenden Schaden oder an der IT-Infrastruktur gewisse Schwachstellen bei der Datenzugangsgewährung von den Online-Plattformen- und Suchmaschinenanbietern zu tolerieren sind, nicht jedoch, wann die Schwelle hierzu als überschritten anzusehen ist. Grundsätzlich wird daher die Bestimmung der Erheblichkeit stets eine umfassende Interessensabwägung und Prognoseentscheidung auf Grundlage der Umstände des Einzelfalls sowie des konkreten Forschungsvorhabens erfordern. Jedenfalls wird man hierbei von den Anbietern der verpflichteten Online-Plattformen und Suchmaschinen aber kein Zuwiderhandeln gegen Anforderungen des IT-Sicherheitsrechts (bspw. §§ 19 Abs. 4 TTDSG oder bei Annahme des Anwendungsvorrangs der DSGVO auch Art. 32 Abs. 1 DSGVO)[76] verlangen können. Dieses knüpft seit Verabschiedung der RL (EU) 2016/1148 (NIS-RL) ebenfalls unmittelbar an „digitale Dienste“ an, welche in Art. 4 Nr. 5 iVm Anhang III NIS-RL als Dienste nach Art. 1 Abs. 1 lit. b RL (EU) 2015/1535 definiert sind. Die hierin erfassten Dienste der Informationsgesellschaft sind „Online-Markplätze, Online-Suchmaschinen und Cloud-Computing-Dienste“, was bereits de lege lata eine Schnittmenge mit der Definition von Online-Plattformen und Suchmaschinen aus dem DSA erzeugt. Vor dem Hintergrund der vom europäischen Gesetzgeber angestrebten Verabschiedung der NIS-2-RL, ist davon auszugehen, dass beide Anwendungsbereiche sich weiter angleichen und insbesondere die von Art. 40 Abs. 4 DSA verpflichteten sehr großen Online-Plattformen und Suchmaschinen dieser zukünftig unterliegen sollen (vgl. Anhang I Nr. 8 NIS-2-RL-E).[77]
Da Art. 40 Abs. 4 DSA gerade keinen Anspruch auf einen unmittelbaren technischen Zugriff auf die technischen Systeme der Anbieter einer Online-Plattformen bzw. Suchmaschinen gewährt, lassen sich verschiedene, unmittelbareSicherheitsrisiken, etwa für die Serverarchitektur oder den Quellcode eines Dienstes, reduzieren. Nichts destotrotz können und müssen bereits vor Datenzugangsgewährung seitens der Forschenden bzw. Forschungseinrichtungen sowie seitens der Datenzugangsverpflichteten Maßnahmen zum Schutz der Datensicherheit ergriffen werden. Während erstere diese im Rahmen ihres Antrags auf Datenzugang substantiiert gegenüber dem jeweiligen Koordinator für digitale Dienste darzulegen haben (etwa vor dem Hintergrund eines Datenexports in Systeme der Forschungseinrichtung), haben die Anbieter von Online-Plattformen und Suchmaschinen über Art. 40 Abs. 7 DSA und die Etablierung einer geeigneten Schnittstelle zur Datenzugangsgewährung Einfluss auf die Datensicherheit.[78] So bieten sich insbesondere zugriffsbeschränkte und stabile APIs für das Teilen von Daten mit prognostizierbarem bzw. messbarem Risiko an.[79] Die Zugriffsbeschränkung kann dabei durch unterschiedliche Zugangsauthentifizierungsmechanismen (bspw. über Multi-Faktor-Authentifizierung und Zero-Trust-Lösungen) hergestellt werden. Additional können penetrationsgetestete Sicherheitsfunktionen dienlich für die Datensicherheit sein, um etwa zu verhindern, dass Forschende bestimmte Daten in eigene Systeme exportieren können.[80] Für Zugang zu Daten, welche bei Offenbarwerden nicht oder kaum prognostizierbare Gefährdungen für die Sicherheit des Dienstes mit sich bringen und insbesondere kurzfristig in Schäden an der IT-Infrastruktur umschlagen können, kann hingegen nur eine Datenbereitstellung über Virtual- oder Physical Clean Rooms angemessen sein, welche ebenfalls einen Datenexport verhindern.[81] Hierfür bietet der offene Wortlaut von Art. 40 Abs. 7 DSA („geeignete Schnittstelle“) bereits ausreichend Spielraum. Unter bestimmten Umständen mag dies auch Forschenden und Forschungseinrichtungen entgegenkommen, die nicht über eigene Kapazitäten verfügen, um geeignete technische Schutzmaßnahmen für das Hosting von zugänglich gemachten Daten in ihrem Umfeld zu treffen.
Sofern die Anbieter der Online-Plattform oder Suchmaschine außerstande sind, Zugang zu den verlangten Daten zu gewähren, da sie keinen Zugriff auf die Daten haben (Art. 40 Abs. 5 lit. a DSA), müssen diese – wie auch bei Änderungsanträgen nach Art. 40 Abs. 5 lit. b DSA gegenüber dem Digital Services Koordinator am Niederlassungsort – Vorschläge zu einer oder mehreren Alternativen unterbreiten, wie der Zugang zu anderen Daten gewährt werden kann, die für die Zwecke des Verlangens ebenfalls angemessen und ausreichend sind (Art. 40 Abs. 6 S. 1 DSA). Hieraus wird deutlich, dass Art. 40 Abs. 4 DSA zwar keinen Informationsverschaffungsanspruch[82] normiert, aber die Anbieter von Online-Plattformen und Suchmaschinen zumindest in die Pflicht nimmt, aktiv auf eine Ermöglichung eines zulässigen Forschungsvorhabens hinzuwirken.
Inwiefern der in Art. 40 Abs. 5 DSA auf den Schutz von vertraulichen Informationen, die Aufrechterhaltung der Sicherheit des Dienstes sowie den Datenzugriff konzentrierte Katalog an dem Forschungsdatenzugang entgegenstehenden Interessen beschränkt werden kann, erscheint hingegen fraglich. So kommen neben den benannten Positionen auch weitere grundrechtlich geschützte berechtigte Interessen wie etwa der Schutz des unternehmensinternen Willensbildungsprozesses (Art. 16 GRCh)[83] oder der Datenbankschutz (Art. 17 Abs. 2 GRCh)[84] als Grenzen des Datenzugangsanspruchs in Betracht, die in Art. 40 Abs. 5 DSA keine ausdrückliche Berücksichtigung finden.[85] Zwar erscheint denkbar, dass der europäische Gesetzgeber mit dieser Aussparung bewusst und in generalisierter Abwägung, dem Interesse am Forschungsdatenzugang und damit der Forschungsfreiheit aus Art. 13 GRCh gegenüber weiteren tangierten Rechtspositionen der Datenzugangsverpflichteten Vorrang einräumen wollte, jedoch vermag auch diese Lesart keine vollkommene Nichtberücksichtigung dieser Rechtspositionen zu rechtfertigen. Aufgrund dessen erscheint es erforderlich, Art. 40 Abs. 4 DSA um eine grundrechtsimmanente Schranke zu erweitern, die auch die nicht im Katalog des Art. 40 Abs. 5 DSA normierten grundrechtlich geschützten Rechtspositionen der Datenzugangsverpflichteten erfassen. Rechtspositionen, die mit vertraulichen Informationen oder der Sicherheit des Dienstes in Verbindung stehen, können jedoch aufgrund der Offenheit beider Begriffe jedenfalls auch hierunter subsumiert werden.
e) Keine entgegenstehenden Interessen Dritter
Zudem sind Datenzugangsbegehren der Forschung – auch im Rahmen von Art. 40 Abs. 4 DSA – stets in Einklang mit den Interessen betroffener Dritter zu bringen (Art. 40 Abs. 8 lit. d DSA). Auf Seiten der von einem Datenzugang Drittbetroffenen ist hier vor allem das informationelle Selbstbestimmungsrecht aus Art. 7 und 8 GRCh zu beachten. Sofern das Datenzugangsbegehren der Forschung zumindest auch personenbezogene Daten erfasst, müssen Forschende daher gemäß Art. 40 Abs. 13 DSA gegenüber dem jeweiligen Koordinator für digitale Dienste und mittelbar auch gegenüber der Online-Plattform darlegen können, wie sie im Rahmen des Forschungsvorhabens beabsichtigen, die DSGVO zu beachten. Bereits de lege lata kann ein Forschungsdatenzugang aber durchaus erfolgen und dies selbst mit Blick auf sensible personenbezogene Daten iSd Art. 9 DSGVO, die ebenfalls in den Datenbeständen von Online-Plattformen und Suchmaschinen aufzufinden sein werden. So kann die Weitergabe nicht-sensibler personenbezogener Daten zunächst auf Grundlage einer Einwilligung erfolgen, Art. 6 Abs. 1 S. 1 lit. a DSGVO. Dabei gelten die allgemeinen Voraussetzungen, sodass die Einwilligung u.a. freiwillig, informiert und unmissverständlich erfolgen muss, Art. 4 Nr. 11, Art. 7 DSGVO. Soweit sensible Daten betroffen sind, ist eine ausdrückliche Einwilligung erforderlich, Art. 9 Abs. 1 DSGVO. Die betroffene Person muss dazu bereits vor Erhebung der Daten über die beabsichtigte Datenverarbeitung und damit auch über die Weitergabe der Daten hinreichend informiert werden. Eine Einwilligung muss dabei grundsätzlich für die konkrete Datenverarbeitung erteilt werden.[86]Da die Forschungsvorhaben bei Datenzugang bereits hinreichend konkretisiert sein und einen Konnex zu systemischen Risiken aufweisen müssen, können im Rahmen wissenschaftlicher Forschung mit Blick auf ErwGr. 33 DSGVO auch keine weniger strengen Anforderungen an die Bestimmtheit der Einwilligung gelten.[87]
Eine Sekundärnutzung der über die Online-Plattformen und Suchmaschinen zugänglich gemachten Daten muss jedoch nicht zwingend auf eine Einwilligung gestützt sein. In Betracht kommt ferner insbesondere Art. 6 Abs. 1 S. 1 lit. e DSGVO, der eine Rechtfertigung von Datenverarbeitungen durch öffentliche Stellen erlaubt, sofern eine diesen Stellen zugewiesene öffentliche Aufgabe eine Datenverarbeitung erforderlich macht. Die Aufgabenzuweisung an öffentlich-rechtliche, privatrechtlich organisierte öffentliche Stellen, genauso wie an Beliehene, erfolgt dabei regelmäßig durch Rechtsakt der Union oder der Mitgliedsstaaten. Als öffentlich-rechtliche Forschungseinrichtungen über Art. 6 Abs. 1 lit. e DSGVO gerechtfertigt sind daher insbesondere öffentliche Universitäten, da diesen durch die jeweiligen nationalen Hochschulgesetze zumeist ausdrücklich Forschungsaufgaben zugewiesen werden.[88]
Zudem kann eine Datenverarbeitung von nicht-sensiblen personenbezogenen Daten zu wissenschaftlichen Zwecken auch auf Art. 6 Abs. 1 S. 1 lit. f DSGVO gestützt werden.[89] Art. 6 Abs. 1 lit. f DSGVO verlangt hierzu eine Abwägung zwischen den berechtigten Interessen des Verantwortlichen oder eines Dritten und den Interessen bzw. Grundrechten und Grundfreiheiten der betroffenen Person, bei der alle Umstände des Einzelfalls zu berücksichtigen sind.[90]Erforderlich ist im Rahmen von Art. 6 Abs. 1 lit. f DSGVO zumindest eine Gleichrangigkeit der Interessen.[91] Zu den berechtigten Interessen können auch Forschungsinteressen des Verantwortlichen zählen. Öffentliche Stellen dürfen sich nur insoweit auf diesen Erlaubnistatbestand stützen, wie sie sich mit dem Betroffenen in keinem spezifisch staatlichen Verhältnis befinden, sondern als Teilnehmer im Privatrechtsverkehr gegenüberstehen.[92] Für privatrechtlich organisierte Forschungseinrichtungen gilt Art. 6 Abs. 1 lit. f DSGVO jedoch uneingeschränkt. Unklar ist, ob sich auch öffentliche Hochschulen auf diesen Erlaubnistatbestand stützen können.[93] Dies hängt von der Auslegung des Behördenbegriffs ab. Eine enge Auslegung stellt darauf ab, dass öffentliche Stellen, in denen nicht unmittelbar Hoheitsgewalt ausgeübt wird, nicht als Behörden iSd DSGVO angesehen werden sollten.[94] Dies beträfe insbesondere öffentlich-rechtliche Rundfunkanstalten, Religionsgemeinschaften oder eben öffentliche Universitäten. Eine weite Auslegung des Behördenbegriffes führt hingegen dazu, dass auch öffentliche Hochschulen als Behörden angesehen würden und sich insofern grundsätzlich nicht auf Art. 6 Abs. 1 lit. f DSGVO berufen könnten.[95]
Wann ein überwiegendes Forschungsinteresse besteht, ist noch nicht abschließend geklärt. Jedenfalls wird die allgemeine Abwägung aus Art. 6 Abs. 1 lit. f DSGVO dahingehend verschärft, dass die Darlegungslast dem Verantwortlichen obliegt und aufgrund des Zusatzes „erheblich“ im Zweifel von einem Überwiegen der Interessen des Betroffenen auszugehen ist.[96]
Die Verarbeitung nicht-sensibler personenbezogener Daten lässt sich daher unter den dargestellten Voraussetzungen auch auf Art. 6 Abs. 1 lit. e und lit. f DSGVO stützen. Dies unterstreicht auch die Antwort der EU-Kommission auf eine EU-Parlamentsanfrage zu Art. 40 Abs. 4 DSA. Diesem ist zu entnehmen, dass von Forschenden im Rahmen des Art. 40 Abs. 4 DSA gefordert wird, gegenüber dem jeweiligen Digital Services Koordinator aufzuzeigen, dass die Rechtmäßigkeit der Datenverarbeitung auf einem der sechs Erlaubnistatbestände aus Art. 6 DSGVO beruht.[97]Weitere Erlaubnistatbestände finden hiernach keine Berücksichtigung. Genaueres sollen aber auch hierzu weitere delegierte Rechtsakte festlegen (Art. 40 Abs. 13 DSA).[98]
f) Form und Begründung
Der das Datenzugangsbegehren gegenüber dem Koordinator für digitale Dienste am jeweiligen Niederlassungsort ausdrückende Antrag des Forschenden unterliegt dem verabschiedeten Wortlaut nach formal keinen gesetzlich normierten Vorgaben. Jedoch wird man verlangen müssen, dass der Antrag der Forschenden bzw. Forschungseinrichtung formal und inhaltlich so gefasst ist, dass der Koordinator für digitale Dienste in die Lage versetzt wird, das für den Datenzugangsanspruch erforderliche begründete Verlangen gegenüber der sehr großen Online-Plattform auszuformulieren.[99]
3. Durchsetzung des Forschungsdatenzugangsanspruchs aus Art. 40 Abs. 4 DSA
Gegen eine unberechtigte Verweigerung oder Nichtberücksichtigung eines begründeten Verlangens nach Antragstellung an den entsprechenden Koordinator für digitale Dienste wird der Forschende, nach jeweiligem nationalem Recht, mit einer Verpflichtungsklage in Form einer Versagungsgegenklage oder einer Untätigkeitsklage vorgehen können.[100] Aufgrund der in Art. 40 Abs. 9 S. 3 DSA getroffenen Kompetenzverteilung bezüglich der Zulassung von Forschenden und Forschungseinrichtungen wird eine klageweise Durchsetzung von Art. 40 Abs. 4 DSA dabei regelmäßig am Niederlassungsort der Online-Plattformen und Suchmaschinen vorzunehmen sein.
4. Veröffentlichung der Forschungsergebnisse
Grundsätzlich kannte der Kommissionsentwurf zum DSA, anders als es noch der Änderungsvorschlag des Ausschusses des Europäischen Parlaments für bürgerliche Freiheiten, Justiz und Inneres des Europäischen Parlaments vorsah, keine Verpflichtung der Forschenden zur Veröffentlichung ihrer Forschungsergebnisse.[101] Der Vorschlag des Ausschusses wurde jedoch durch den Rat im Rahmen der Trilogverhandlungen wieder aufgegriffen und eine entsprechende Verpflichtung in Art. 40 Abs. 8 lit. g DSA normiert, der die Forschenden und Forschungseinrichtungen als Voraussetzung für die Datenzugangsgewährung zuzustimmen haben. Nach Abschluss der Forschungsarbeiten sind demnach sämtliche Forschungsergebnisse unter Berücksichtigung der in der DSGVO angelegten Rechte und Interessen Dritter unentgeltlich zu veröffentlichen.
Zu beachten ist hierbei, dass die Veröffentlichung sensibler, personenbezogener Daten dabei nur unter zusätzlichen Voraussetzungen möglich ist, vgl. § 27 Abs. 4 BDSG. Soweit aber eine Weitergabe von Forschungsdaten nur gegenüber einem begrenzten Empfängerkreis erfolgt, das Forschungsinteresse überwiegt und die Weitergabe durch geeignete technische und organisatorische Maßnahmen wie bspw. Geheimhaltungsvereinbarungen abgesichert ist, stellt dies keine Veröffentlichung dar und eine Datenübermittlung an Dritte richtet sich nach § 27 Abs. 1 BDSG.[102]Weitere Bedingungen an die Nachnutzung der zugänglich gemachten Daten vor dem Hintergrund der FAIR-Prinzipien[103] enthält Art. 40 DSA nicht.
V. Zusammenfassung und Ausblick
Forschungsdatenzugang wird zunehmend als neues, transparenzversprechendes Regulierungsinstrument gegenüber der Digitalwirtschaft etabliert und verstanden. Art. 40 Abs. 4 DSA schafft hierzu einen vermittelten Datenzugangsanspruch gegenüber sehr großen Online-Plattformen und Suchmaschinen. Der Kreis der Anspruchsberechtigten umfasst dabei neben Forschenden an Hochschuleinrichtungen insbesondere auch Forschende, die einer Forschungseinrichtung angehören, welche keine kommerziellen Zwecke verfolgt, jedoch wissenschaftliche Forschung betreibt. Dies ermöglicht es insbesondere zivilgesellschaftlichen Organisationen unter Einhaltung einzelfallabhängiger Schutzmaßnahmen mit und an Daten von Online-Plattformen und Suchmaschinen Forschung zu betreiben. Inhaltlich beschränkt sich der Datenzugangsanspruch dabei auf Daten die zur Aufspürung, zur Ermittlung und zum Verständnis systemischer Risiken gemäß Art. 34 Abs. 1 DSA oder zur Bewertung von Risikominderungsmaßnahmen nach Art. 35 DSA beitragen. Diese Form der strengen Zweckbindung zeigt, dass die rechtspolitische Stoßrichtung von Art. 40 Abs. 4 DSA nicht nur auf die Förderung von Forschung mit und an Daten von Online-Plattformen und Suchmaschinen gerichtet ist, sondern auch digitalregulatorische Zielvorstellungen verfolgt. Letztere umfassen insbesondere das Anliegen, fundiertere Entscheidungsgrundlagen für zukünftige Regulierungsansätze gegenüber der Digitalwirtschaft zu erhalten, die Durchsetzung des DSA zu fördern sowie die Interpretationshoheit von sehr großen Online-Plattformen und Suchmaschinen im Berichts- und Transparenzwesen aufzubrechen. Der Katalog systemischer Risiken in Art. 34 Abs. 1 DSA umfasst hierzu die wohl gesellschaftlich dringlichsten Problemkreise rund um Online-Plattformen und Suchmaschinen, jedoch lässt die Norm unberücksichtigt, dass in Zukunft – gerade durch Forschung über Art. 40 Abs. 4 DSA – neue Risiken identifiziert werden können, die den aktuellen vier Kategorien systemischer Risiken fremd sind. Entgegenhalten können Anbieter von Online-Plattformen und Suchmaschinen dem Datenzugangsverlangen insbesondere den Geschäftsgeheimnisschutz sowie mittelbar das IT-Sicherheitsrecht. Wenig überzeugend im Sinne einer erhöhten Kontroll- und Verifikationsdichte erscheint diesbezüglich, weshalb Auditoren nach ErwGr. 92 DSA lediglich Vertraulichkeit beim Umgang mit Geschäftsgeheimnissen sicherstellen müssen, während Forschende, die gerade auch ein mögliches Korrektiv für Auditaussagen seien sollen, der Geschäftsgeheimnisschutz über eine Änderung des Datenzugangsverlangens entgegengehalten werden darf. Eine Verlagerung von Informationsasymmetrien in das Verhältnis von Auditoren und Forschenden erscheint jedenfalls nicht wünschenswert und unterläuft den Sinn und Zweck von Art. 40 Abs. 4 DSA.
Nicht zuletzt müssen im Rahmen von Datenzugangsverlangen die Rechte Dritter, wie insbesondere der Nutzenden einer Online-Plattform oder Suchmaschine, geachtet werden. Im Spannungsfeld von Forschenden, Online-Plattformen bzw. Suchmaschinen und Dritten ist somit mindestens ein tripolarer Interessensausgleich vorzunehmen.
Offen bleibt, wie und ob die Datenzugangsverpflichteten zu entschädigen sind sowie welches Maß an Datenqualität von diesen im Rahmen eines Datenzugangsverlangens über Art. 40 Abs. 4 DSA zu wahren ist (vgl. Art. 56 des Entwurfs einen European Health Data Spaces (COM(2022) 197 final). Letzteres betrifft dabei auch die Frage, wie die zugänglich zu machenden Daten zu standardisieren oder zu anonymisieren bzw. pseudonymisieren sind. Hier werden wohl erst die zu erlassenden delegierten Rechtsakte sowie das von der EU-Kommission geplante European Centre for Algorithmic Transparency weitere Einblicke in die Ausgestaltung und Durchsetzung dieses für den gesamten DSA durchaus zentralen Regulierungsinstruments bringen.
_____________________________________
[1] https://netzpolitik.org/2020/paket-zum-digitale-dienste-gesetz-brutaler-kampf-ueber-die-beschraenkung-der-marktmacht-der-internetgiganten-update/; https://background.tagesspiegel.de/digitalisierung/dsa-ausschuss-kompromiss-mit-zwei-aenderungen?utm_source=bgdi+vorschau&utm_medium=email&__cf_chl_jschl_tk__=yy5mCaPDIascBMiPo8kBhfwiTDjtuISYpGY_kHRoODA-1640675177-0-gaNycGzNCVE.
[2] Zum Überblick über den Regelungsinhalt des DSA-Kommissionsentwurfs siehe Kaesling ZUM 2021, 177 (177-184); Schmid/Grewe MMR 2021, 277 (277-368); Leistner JIPLP 2021, Vol. 16, No. 8, 778 (783 f.).
[3] Diesen Datenzugang über einen gemeinsamen Code of Conduct von Digitalwirtschaft und Forschung herstellen wollend European Digital Media Observatory, Public Report 2020-2021, 2021, abrufbar unter: https://edmo.eu/wp-content/uploads/2021/09/EDMO-Public-Report-June-2020-–-March-2021-2021.pdf.
[4] Nettesheim, Stellungnahme zur öffentlichen Anhörung des Ausschusses für die Angelegenheiten der Europäischen Union am 11.2.2021 zum Digital Services Act, S. 12.
[5] Saurwein/Spencer-Smith Medienjournal – Zeitschrift für Medien-und Kommunkiationsforschung 2020, Jg. 43, Nr. 4, 40-62.
[6] Härting/Schneider ZRP 2011, 233-236; Roßnagel/Nebel DuD 2015, 455-459.
[7] So wurden etwa von YouTube in der ersten Hälfte des Jahres 2021 insgesamt 729,3 Millionen Urheberrechtsbeschwerden verarbeitet, von denen die überwiegende Mehrheit (99 %) über das System Content ID verarbeitet wurden. Hierbei erhielt YouTube 3,7 Millionen Widersprüche von Uploadern, die behaupten, dass die gegen sie ergriffenen Maßnahmen (Accountsperrung, Inhaltsentfernungen, aber auch Demonetarisierungen) ungerechtfertigt gewesen seien. 60 % dieser Streitfälle wurden letztlich zugunsten der Uploader entschieden. Content ID hat in der ersten Hälfte des Jahres 2021 somit mindestens 2,2 Millionen ungerechtfertigte Urheberrechtsbeschwerden gegen seine Nutzer im Namen von Rechteinhabern ausgesprochen (YouTube, Copyright Transparency Report, 2021).
[8] Zimmer, Regulierung für Algorithmen und Künstliche Intelligenz/Lüdemann, 2021, S. 69-87; Einführend zum Begriff der Filterblase Pariser, The Filter Bubble: What The Internet Is Hiding From You, 2011, S. 109 ff.
[9] O’Regan Current Legal Problems 2018, Jg. 71, Nr. 1, 403-429; zur Strafbarkeit von Hate Speech siehe Ceffinato JuS 2020, 495-498.
[10] Hohlfeld/Harnischmacher/Heinke/Lehner/Sengl, Fake News und Desinformation/Zimmermann/Kohring, 2020, S. 21-42; spezifisch vor dem Hintergrund von Art. 31 des DSA-Kommissionsentwurf Vermeulen, The Keys to the Kingdom, 2021, abrufbar unter: https://knightcolumbia.org/content/the-keys-to-the-kingdom.
[11] Rauch, The Constitution of Knowledge, 2021, S. 155-169 mwN.
[12] https://www.wsj.com/articles/the-facebook-files-11631713039.
[13] Kramp/Weichert, Digitale Resilienz in der Mediennutzung (Studie), 2022, S. 8-27; Pirker Communicatio Socialis 2018, Jg. 51, 467-480.
[14] Bspw. finden sich Berichtspflichten für die Digitalwirtschaft in Deutschland in § 2 NetzDG oder in Österreich in § 9 KoPl-G.
[15] ErwGr. 97 DSA.
[16] Wischmeyer AöR, Jg. 143, 2018, 1 (46 mwN).
[17] Zimmer, Regulierung für Algorithmen und Künstliche Intelligenz/Buiten, 2021, 149 (162 ff.); Grochowski/Jabłonowska/Lagioia/Sartor CAL 2021, Heft 8, 43-63; Wischmeyer AöR 2018, Jg. 143, 1 (45).
[18] Overdiek/Petersen, Was Deutschland über Algorithmen weiß und denkt (Studie), 2022, abrufbar unter: https://www.bertelsmann-stiftung.de/de/publikationen/publikation/did/was-deutschland-ueber-algorithmen-und-kuenstliche-intelligenz-weiss-und-denkt-all.
[19] Einen Überblick über bestehende Ansätze zur wissenschaftlichen Erforschung von Online-Plattformen und Suchmaschinen ohne gesetzlich normierte Forschungsklauseln gebend Carter/Acker/Sholler JASIST 2021, 655-666.
[20] ErwGr. 97 DSA; Europäische Kommission, DG CONNECT draft report v. 26.6.2017, Ziff. 2.2., abrufbar unter: https://ec.europa.eu/information_society/newsroom/image/document/2017-28/final_-_report_from_reverse_psi_workshop_B7FA94EE-FA15-1929-8BBA2754D0D2FBE9_45916.pdf; Koalitionsvertrag zwischen SPD, Bündnis 90/Die Grünen und FDP, Mehr Fortschritt wagen – Bündnis für Freiheit, Gerechtigkeit und Nachhaltigkeit, Rz. 475 ff; UNESCO, Guidelines for regulating digital platforms:Amultistakeholder approachto safeguarding freedom of expression and access to information, Draft 2.0, 2022, S. 18, abrufbar unter:https://unesdoc.unesco.org/ark:/48223/pf0000384031.
[21] Vgl. Rat für Informationsinfrastrukturen, Nutzung und Verwertung von Daten im wissenschaftlichen Raum, 2021, S. 56.
[22] Dallmann/Busse ZD 2019, 394 (396 f.).
[23] So heißt es bspw. in den Nutzungsbedingungen von Facebook vom 4.1.2022 unter Ziff. 2.3.: „Du darfst (ohne unsere vorherige Zustimmung) nicht mittels automatisierter Methoden auf Daten unserer Produkte zugreifen, solche Daten erheben oder versuchen, auf Daten zuzugreifen, für die du keine Zugriffsberechtigung hast.“.
[24] Heldt/Kettemann/Leerssen, The Sorrows of Scraping for Science - Why Platforms Struggle with Ensuring Data Access for Academics, 2020, abrufbar unter: https://verfassungsblog.de/the-sorrows-of-scraping-for-science.
[25] Rat für Informationsinfrastrukturen, Nutzung und Verwertung von Daten im wissenschaftlichen Raum, 2021, S. 56.
[26] Zu den Erfahrungen mit dem von Meta geförderten Wissenschaftsprojekt „Social Science One“ Heglich, Ein Datenzugang für die Wissenschaft: Erfahrungen aus dem Social Science One Projekt von Facebook, Stellungnahme zur öffentlichen Anhörung des Ausschusses für Recht und Verbraucherschutz am 17.6.2020 zum Thema Änderung des Netzwerkdurchsetzungsgesetzes, S. 1 ff.; zu fehlerhaft übermittelte Datensets durch Meta im Rahmen von Social Science One https://www.washingtonpost.com/technology/2021/09/10/facebook-error-data-social-scientists/; zur Rücktrittserklärung des gesamten europäischen Beratungskomitees von Social Science One https://socialscience.one/blog/public-statement-european-advisory-committee-social-science-one; die Erfahrungen von Datenspende-Projekten und Forschungskooperationen mit der Digitalwirtschaft zusammenfassend Persily, Platform Transparency: Understanding the Impact of Social Media, Testimony before the United States Senate Committee on the Judiciary, Subcommittee on Privacy, Technology, and the Law, 2022, S. 9 ff.; zu den aktuellen Ankündigungen von Meta, YouTube und TikTok zum Teilen von Daten mit Forschenden https://www.facebook.com/business/news/transparency-social-issue-electoral-political-ads, https://research.youtube und https://newsroom.tiktok.com/en-us/strengthening-our-commitment-to-transparency.
[27] Anders bspw. § 19 Abs. 3 UrhDaG, der eine abgeleitete Forschungsklausel darstellt, sich also an einen bestehenden Datenzugangsanspruch anlehnt, vgl. Dreier/Schulze, Urheberrechtsgesetz/Specht-Riemenschneider, 7. Aufl. 2022, UrhDaG § 19 Rn. 15.
[28] Zur Kategorisierung von Forschungsklauseln und der Differenzierung von originären und abgeleiteten Datenzugangsansprüchen siehe Specht-Riemenschneider/Wehde ZGI 2022, 3 (8).
[29] Ähnlich zum Vorschlag von King/Persily Political Science and Politics 2019, Jg. 53, Heft 4, 703-709.
[30] ErwGr. 9 DSA.
[31] Es ist daher davon auszugehen, dass § 5a NetzDG, welcher eine vergleichbare Forschungsklausel gegenüber sozialen Netzwerken darstellt, im Zuge des Anwendungsvorrangs weitestgehend verdrängt wird, vgl. Question for written answer E-001683/2021 to the Commission, Answer given by Mr Breton on behalf of the European Commission (7.7.2021); Grünwald/Nüßing MMR 2021, 283 (286 f.); im Ergebnis auch Weiden, Mehr Freiheit und Sicherheit im Netz: Gutachten zum Entwurf des Digital Services Act, 2022, S. 29.
[32] Zur Frage, welche Behörde als „Koordinator für digitale Dienste“ in Deutschland in Betracht kommt Jaursch, Neue EU-Regeln für digitale Dienste: Warum Deutschland eine starke Plattformaufsicht braucht, 2022, abrufbar unter https://www.stiftung-nv.de/de/publication/dsa-warum-deutschland-eine-starke-plattformaufsicht-braucht.
[33] BT-Drs. 20/1937, 5.
[34] Hierin die Möglichkeit zur Verzögerung der Umsetzung von Art. 40 Abs. 4 DSA erblickend Richter/Straub/Tuchtfeld, To Break Up or Regulate Big Tech?/Leersen, 2021, S. 58.
[35] Inwiefern auch Nicht-EU-Forschende, im Sinne von natürlichen Personen, vor dem Hintergrund von Art. 40 Abs. 4 DSA und Art. 13 GRCh anspruchsberichtigt sein können lassen der Verordnungstext, wie auch die Erwägungsgründe offen. Letztlich wird jedoch zumindest eine Anbindung an eine Forschungseinrichtung nach Art. 2 Abs. 1 RL (EU) 2019/790, die innerhalb der EU niedergelassen ist, zu fordern sein (vgl. Art. 40 Abs. 9 S. 1 DSA, der im Wortlaut vom „Koordinator für digitale Dienste des Mitgliedstaats der Forschungsorganisation, der sie angeschlossen sind“ spricht).
[36] Zwar wurde bereits in RL (EU) 2016/801 zumindest der Begriff der „Forschung“ definiert, doch thematisieren die beiden Rechtsakte zu unterschiedliche Regelungsinhalte, als dass sich dieser sinnvoll auf den Kontext von Art. 40 Abs. 4 DSA übertragen ließe.
[37] Vgl. EuGH EuZW 2007, 254; EuGH EuZW 2008, 152.
[38] Calliess/Ruffert, EUUV/AEUV/Ruffert, 6. Aufl. 2022, GRCh Art. 13 Rn. 1; Weichert ZD 2020, 18 (19); Roßnagel ZD 2019, 157 (158).
[39] BVerfGE 35, 79 (113).
[40] Siehe aber die Auskunftsverlangen von Journalisten über § 93 MStV, vgl. Gersdorf/Paal, BeckOK Informations- und Medienrecht/Zimmer/Liebermann, 36. Ed. 2020, MStV § 93 Rn. 2.
[41] ErwGr. 10 DSA; Europäische Kommission, Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates
über einen Binnenmarkt für digitale Dienste (Gesetz über digitale Dienste) und zur Änderung der Richtlinie 2000/31/EG, COM(2020) 825 final, S. 5, abrufbar unter: https://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:52020PC0825&from=de.
[42] Zu den Schwierigkeiten bei der Bestimmung dieser operativen Schwelle aufgrund von Mehrfach-Accounts auf ein und derselben Online-Plattform Grégoire, Access to platforms’ data for vetted researchers? not a smart move, 24.11.2021, abrufbar unter: https://www.lignes-de-cretes.org/access-to-platforms-data-for-vetted-researchers-not-a-smart-move/.
[43] Zu etwas konkreteren Vorgaben zur Zählung von aktiven Nutzern Europäische Kommission, DSA: Guidance on the requirement to publish user numbers, abrufbar unter: https://ec.europa.eu/newsroom/dae/redirection/document/93452.
[44] Mehrfachnutzungen, zufällige wie auch indirekte Nutzungen sollen dabei von Online-Plattformen und Suchmaschinenanbietern technisch explizit ohne spezifisches Tracking von Personen detektiert werden (ähnlich zur Auffindung von Bots oder Scrapern bisher), vgl. ErwGr. 76 DSA.
[45] Europäische Kommission, Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates
über einen Binnenmarkt für digitale Dienste (Gesetz über digitale Dienste) und zur Änderung der Richtlinie 2000/31/EG, COM(2020) 825 final, S. 8, abrufbar unter: https://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:52020PC0825&from=de.
[46] Gegen die Zweckbindung des Forschungsvorhabens an „systemische Risiken“ und sich stattdessen für eine Bindung an „Forschung im öffentlichen Interesse“ aussprechend Ausschuss des Europäischen Parlaments für bürgerliche Freiheiten, Justiz und Inneres, Opinion, 28.7.2021, 2020/0361 (COD), S. 101.
[47] Opinion of the of the Committee on Civil Liberties, Justice and Home Affairs for the Committee on the Internal Market and Consumer Protection, European Parliament, 2020/0361 (COD), S. 101; Vgl. aber die Anknüpfung an ein öffentliches Interesse im Rahmen von Art. 2 Abs. 1 RL (EU) 2019/790.
[48] Illegale Inhalte werden dabei in Art. 3h DSA als „alle Informationen, die als solche oder durch ihre Bezugnahme auf eine Tätigkeit, einschließlich des Verkaufs von Produkten oder der Erbringung von Dienstleistungen, nicht im Einklang mit dem Unionsrecht oder dem Recht eines Mitgliedsstaats stehen, ungeachtet des genauen Gegenstands oder der Art der betreffenden Rechtsvorschriften“ legaldefiniert.
[49] Zwar nimmt die EU-Kommission dies an (Question for written answer P-000656/2022 to the Commission, Answer given by Mr Breton on behalf of the European Commission (1.6.2022)), jedoch fehlt es dem DSA an einer ausdrücklichen Formulierung, die eine Erfassung virtueller Räume klarstellt.
[50] Siehe aber den Vorschlag einer ausdrücklichen Einbindung von virtuellen Räumen des Ausschusses des Europäischen Parlaments für Industrie, Forschung und Energie, Opinion, 3.3.2022, 2021/0106(COD), S. 6.
[51] In Abgrenzung zum Erforderlichkeitsbegriff der DSGVO Specht-Riemenschneider, Studie zur Regulierung eines privilegierten Zugangs zu Daten für Wissenschaft und Forschung durch die regulatorische Verankerung von Forschungsklauseln in den Sektoren Gesundheit, Online- Wirtschaft, Energie und Mobilität (Studie), 2021, S. 76.
[52] Zu gesammelten Datensets von Nicht-Nutzenden auf Online-Plattformen Ullrich/Peukert/Schäfer/Aguiar DIW Wochenbericht 29+30, 2022, S. 400-406.
[53] BT-Drs. 20/2308, 11.
[54] Vgl. Wischmeyer/Herzog NJW 2020, 288 (289).
[55] Von der Groeben/Schwarze/Hatje, Europäisches Unionsrecht/Wollenschläger, GRC Art. 17 Rn. 16 und Art. 16 Rn. 8; sich im Ergebnis für eine Anbindung an die Berufsfreiheit aussprechend Wischmeyer/Herzog NJW 2020, 288 (290); Isensee/Kirchhof, Handbuch des Staatsrechts VIII/Breuer, 3. Aufl. 2010, § 171 Rn. 38.
[56] Specht-Riemenschneider/Wehde ZGI 2022, 3 (4).
[57] Richter/Straub/Tuchtfeld, To Break Up or Regulate Big Tech?/Leersen, 2021, S. 57.
[58] Köhler/Bornkamm/Feddersen, UWG/Alexander, 40. Aufl. 2022, GeschGehG § 2 Rn. 22 f.
[59] BGH, 27.4.2006 - I ZR 126/03, juris Rn. 19; zur hier nicht relevanten rechtlichen Differenzierung von Informationen und Daten Zech, Information als Schutzgegenstand, 2012, S. 13 ff.; speziell zur Begriffsdefinition von Informationen für den forschenden Wissenschaftler Hevers, Informationszugangsansprüche des forschenden Wissenschaftlers, 2015, S. 53 f.
[60] BGH GRUR 2012, 1048 (1049); Krüger/Wiencke/Koch GRUR 2020, 578 (580).
[61] Köhler/Bornkamm/Feddersen, UWG/Alexander, 40. Aufl. 2022, GeschGehG § 2 Rn. 27 mwN.
[62] Köhler/Bornkamm/Feddersen, UWG/Alexander, 40. Aufl. 2022, GeschGehG § 2 Rn. 27.
[63] Ohly GRUR 2019, 441 (443), wobei darauf hingewiesen sei, dass auch der Zugang einzelner Forschenden zu Daten, welche Geschäftsgeheimnisse darstellen oder beinhalten, bereits de lege lata nicht zwangsläufig dazu führt, dass diese als allgemein bekannt gelten bzw. ihren Geheimhaltungscharakter verlieren (vgl. Köhler/Bornkamm/Feddersen, UWG/Alexander, 40. Aufl. 2022, GeschGehG § 2 Rn. 35a).
[64] Köhler/Bornkamm/Feddersen, UWG/Alexander, 40. Aufl. 2022, GeschGehG § 2 Rn. 40.
[65] Wischmeyer/Herzog NJW 2020, 289 (291); Zech GRUR 2015, 1151 (1156).
[66] Datennutzungsverträge können dabei auch bei Forschungsdatenzugangsgewährung dazu beitragen, den Schutz potenzieller Geschäftsgeheimnisse aufrecht zu erhalten, vgl. Rat für Informationsinfrastrukturen, Nutzung und Verwertung von Daten im wissenschaftlichen Raum, 2021, S. 57; siehe beispielhaft auch das Verfahren in Art. 4 Abs. 2 VO (EU) 557/2013 für den Zugang der Forschung zu europäischen Statistikdaten; ferner mit Formulierungsvorschlag Fuhlrott/Fischer NZA 2022, 809 (810-815).
[67] Vgl. Partsch/Rump NJW 2020, 118 (121).
[68] Bezüglich der Vereinbarkeit dieses Merkmals mit dem Unionsrecht Köhler/Bornkamm/Feddersen, UWG/Alexander, 40. Aufl. 2022, GeschGehG § 2 Rn. 74 ff.
[69] Köhler/Bornkamm/Feddersen, UWG/Alexander, 40. Aufl. 2022, GeschGehG § 2 Rn. 74 ff.
[70] Köhler/Bornkamm/Feddersen, UWG/Alexander, 40. Aufl. 2022, GeschGehG § 2 Rn. 77.
[71] Münchner Kommentar zum Lauterkeitsrecht/Hauck, 3. Aufl. 2022, GeschGehG § 2 Rn. 67; Köhler/Bornkamm/Feddersen, UWG/Alexander, 40. Aufl. 2022, GeschGehG § 2 Rn. 78.
[72] Köhler/Bornkamm/Feddersen, UWG/Alexander, 40. Aufl. 2022, GeschGehG § 2 Rn. 80 mit weiteren Beispielen.
[73] OLG München WRP 2020, 653 (655); Alexander MMR 2021, 690 (691); Triebe WRP 2018, 795 (801).
[74] ÖOGH MMR 2021, 549 Rn. 23.
[75] Als Hauptparameter gelten alle allgemeinen Kriterien, Prozesse und spezifischen Signale, die in die Algorithmen eingebunden sind, oder sonstige Anpassungs- oder Rückstufungsmechanismen, die im Zusammenhang mit dem Ranking eingesetzt werden, ErwGr. 24 P2B.
[76] Hornung/Schallbruch, IT-Sicherheitsrecht/Hornung/Schindler, 1. Auflage 2021, § 21 Rn. 83 ff.
[77] Europäische Kommission, Vorschlag für eine Richtlinie des Europäischen Parlaments und des Rates über über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union und zur Aufhebung der Richtlinie (EU) 2016/1148, COM(2020) 823 final, abrufbar unter: https://eur-lex.europa.eu/resource.html?uri=cellar:be0b5038-3fa8-11eb-b27b-01aa75ed71a1.0007.02/DOC_1&format=PDF.
[78] In kritischen Einzelfällen lassen sich wohl auch nur so Anforderungen an die IT-Sicherheit des Dienstes gerecht werden.
[79] Auch nach Risikobewertung die zu treffenden Schutzvorkehrungen bestimmen wollend European Digital Media Observatory, Report of the European Digital Media Observatory’s Working Group on Platform-to-Researcher Data Access, 2022, S. 81 ff.; zur IT-Sicherheit von API Lösungen Marsh McLennan Global Cyber Risk Analytics Center, Quantifiying the Cost of API Insecurity, 2022, abrufbar unter: https://www.imperva.com/resources/reports/Imperva-Marsh-McLennan-Report-2022.pdf.
[80] Inwiefern hierbei auch die beispielhaft in ErwGr. 97 DSA angesprochenen Data Vaults beitragen können bleibt abzuwarten. Jedoch ist zu beachten, dass diese primär für Data Warehouses entwickelt wurden.
[81] European Digital Media Observatory, Report of the European Digital Media Observatory’s Working Group on Platform-to-Researcher Data Access, 2022, S. 91 f.; Rat für Informationsinfrastrukturen, Nutzung und Verwertung von Daten im wissenschaftlichen Raum, 2021, S. 57; vgl. auch Art. 2 Nr. 20 DGA.
[82] Vgl. Cornils NJW 2021, 2465 (2470).
[83] EuGH, Urteil vom 27.2.2014, C-314/12 – UPC, Rn. 49; Jarass, Charta der Grundrechte der EU/Jarass, 4. Auflage 2021, Art. 16 GRCh Rn. 10 mwN.
[84] Wischmeyer/Herzog NJW 2020, 289 (290).
[85] Vgl. hierzu auch LG Hamburg, Beschluss vom 28.10.2021, 625 Qs 22/21 OWi.
[86] Brink/Wolff, BeckOK Datenschutzrecht/Stemmer, 40. Ed. 2022, DSGVO Art. 7 Rn. 74 ff.
[87] Putnings/Neuroth/Neumann, Praxishandbuch Forschungsdatenmanagement/Lauber-Rönsberg, 2021, S. 104; Brink/Wolff, BeckOK Datenschutzrecht/Stemmer, 40. Ed. 2022, DSGVO Art. 7 Rn. 78.
[88] Specht/Mantz, Handbuch Europäisches und deutsches Datenschutzrecht/Golla, 1. Aufl. 2019, § 23 Rn. 43.
[89] Vgl. Brink/Wolff, BeckOK Datenschutzrecht/Schlösser-Rost/Koch, 40. Ed. 2022, BDSG § 27 Rn. 35 ff.
[90] Taeger/Gabel, DSGVO/BDSG/Taeger, 3. Auflage 2019, DSGVO Art. 6 Rn. 98.
[91] Gola, DSGVO/Schulz, 2. Aufl. 2018, Art. 6 Rn. 58; Specht/Mantz, Handbuch Europäisches und deutsches Datenschutzrecht/Specht, 1. Aufl. 2019, § 9 Rn. 50.
[92] Brink/Wolff, BeckOK Datenschutzrecht/Albers/Veit, 40. Ed. 2022, DSGVO Art. 6 Rn. 46.
[93] Putnings/Neuroth/Neumann, Praxishandbuch Forschungsdatenmanagement/Lauber-Rönsberg, 2021, S. 107.
[94] Gierschmann/Schlender/Stentzel/Veil, DSGVO/Assion/Nolte/Veil, 1. Aufl. 2017, Art. 6 Rn. 124 ff.
[95] Dafür mit Blick auf Art. 6 Abs. 1 lit. e DSGVO und andere Sprachfassungen Specht/Mantz Handbuch Europäisches und deutsches Datenschutzrecht/Golla, 1. Aufl. 2019, § 23 Rn. 45.
[96] Taeger/Gabel, DSGVO/BDSG/Taeger, 3. Auflage 2019, BDSG § 27 Rn. 8.
[97] Platforms oppressing public interest research and data access and Article 31 of the Digital Services Act, Question for written answer E-004606/2021 to the Commission, Answer given by Mr Breton on behalf of the European Commission (3.1.2022).
[98] BT-Drs. 20/2308, 11.
[99] Specht-Riemenschneider, Studie zur Regulierung eines privilegierten Zugangs zu Daten für Wissenschaft und Forschung durch die regulatorische Verankerung von Forschungsklauseln in den Sektoren Gesundheit, Online- Wirtschaft, Energie und Mobilität, 2021, S. 68.
[100] Specht-Riemenschneider, Studie zur Regulierung eines privilegierten Zugangs zu Daten für Wissenschaft und Forschung durch die regulatorische Verankerung von Forschungsklauseln in den Sektoren Gesundheit, Online- Wirtschaft, Energie und Mobilität, 2021, S. 161.
[101] Ausschuss des Europäischen Parlaments für bürgerliche Freiheiten, Justiz und Inneres, Opinion, 28.7.2021, 2020/0361(COD), S. 102.
[102] Putnings/Neuroth/Neumann, Praxishandbuch Forschungsdatenmanagement/Lauber-Rönsberg, 2021, S. 106.
[103] Zur Erläuterung der FAIR-Prinzipien siehe Specht-Riemenschneider/Wehde ZGI 2022, 3 (8).