Rechte an Daten

Was Unternehmen dazu wissen müssen

Von Prof. Dr. Christian Czychowski

Beitrag als PDF (Download)

Initiative der EU-Kommission

Die zunächst vor allem populärwissenschaftliche Auseinandersetzung mit der Frage, ob Daten das Öl des 21. Jahrhunderts seien, beschäftigt seit geraumer Zeit auch Juristen. Im Jahr 2017 hat schließlich die EU-Kommission das Thema aufgegriffen und im Nachgang zu ihrer Strategie für einen digitalen Binnenmarkt aus 2015 eine Mitteilung herausgegeben, die den Gedanken, eine europäische Datenwirtschaft zu schaffen, transportiert [Mitteilung der Kommission vom 10.01.2017 „Building an European data economy“ vom 10.01.2017, COM (2017) 9 final]. Die Kommission geht darin das Thema der Datenwirtschaft aus Sicht des für die EU wichtigen Binnenmarktgedankens an und will ungerechtfertigte Beschränkungen des freien, grenzüberschreitenden Datenverkehrs beseitigen und die in verschiedenen Bereichen herrschende Rechtsunsicherheit beheben. Dabei sieht die EU-Kommission das Thema bewusst deutlich weiter als nur im Hinblick auf personenbezogene Daten, für die bekanntlich im Mai 2018 die Datenschutz-Grundverordnung (DSGVO) in Kraft tritt, nämlich auch und vor allem im Hinblick auf nicht personenbezogene Daten und Zugang zu diesen sowie deren Übermittlung – aber auch im Hinblick auf Fragen der Haftung bei Datenprodukten und -diensten und der Portabilität. Nach der mit dieser Mitteilung angestoßenen Diskussion mit den beteiligten Kreisen hat die EU-Kommission im September 2017 im Rahmen des Berichts zur Lage der Union einen Rahmen für den freien Fluss nicht personenbezogener Daten in der EU vorgeschlagen. Mit dieser Veröffentlichung einher geht der Vorschlag für eine Verordnung über einen solchen Rahmen für den freien Fluss nicht personenbezogener Daten in der EU [Proposal for a regulation of the European Parliament and of the counsel on a framework for the free flow of non-personal data in the European Union vom 13.09.2017, COM (2017) 495 final]. Allen diesen Diskussionen und Vorschlägen gemeinsam ist, dass sie einen europaweiten Rechtsrahmen auch für die jenseits der binnenmarktrelevanten Rechtsfragen liegenden grundlegenden dogmatischen Rechtsfragen zu „Rechten an Daten“ bilden werden.

Bedeutung von Daten im beginnenden 21. Jahrhundert, vor allem im Internet of Things und der Industrie 4.0

Die Bedeutung von Daten im Internet of Things und der Industrie 4.0 wird dabei bereits anhand von einigen aktuellen Beispielen und den sich daraus ergebenden rechtlichen Fragestellungen deutlich. Hier nur einige Beispiele und Gedanken:

Wem stehen die von einem Smart Car, insbesondere im Wege des autonomen Fahrens, generierten Daten über den jeweiligen Straßenzustand zu? Wem stehen im Gegensatz dazu die in einem solchen Auto generierten Daten über das Fahrverhalten einer Person zu? Wer darf was mit diesen Daten machen?

Wenn zwei Unternehmen kooperieren und eine gemeinsame Sammlung der Daten auf einem Computer anlegen, die sie aus verschiedenen wissenschaftlichen Experimenten generieren, wem stehen diese dann zu, wenn es keine schutzrechtlichen Gegenstände und Zuordnungen gibt und die Unternehmen sich später trennen wollen?

Oft bemüht wird auch das Beispiel der Daten, die im Flug von einem Flugzeug und dessen Turbinen generiert und an verschiedene Bodenstellen gesendet werden.

Auch die zunehmende Verbreitung von sogenannten Smart Speakern als digitale Assistenten mit einer künstlichen Intelligenz, wie sie beispielsweise von Amazon und Google vertrieben werden, und bei denen die Sprachsteuerung als niedrigschwellige Interaktion mit der digitalen Welt dient, führt dazu, dass unzählige Daten erhoben und auf entsprechende Server übertragen und gespeichert werden müssen. Dies steht im engen Zusammenhang mit dem Smart Home und dem sogenannten „Voice-­Commerce“. Das Internet of Things wird sich rasant verbreiten, Berechnungen zeigen, dass bereits heute etwa 25 Milliarden Geräte mit dem Internet verbunden sind, 2020 sollen es 50 Milliarden Geräte sein, das sind durchschnittlich sieben Geräte pro Mensch (mehr dazu HIER).

Weitere Beispiele sind Smart Farming, Smart Grids, die Gesundheitsdaten, die in Wearables (tragbaren Computersystemen wie Smart Watches) generiert werden, aber auch Daten zur Benutzung von E-Learning-Angeboten.

Es wird ersichtlich, dass mit dem Internet of Things und der Industrie 4.0 die Menge der Daten einen extremen Zuwachs erfährt und weiter erfahren wird, so dass sich diese Daten zu einem wichtigen und wertvollen Wirtschaftsgut entwickeln. Dabei ist vor allem auch zu berücksichtigen, dass Daten teilweise auch als Gegenleistung für internetbasierte Dienste fungieren. Es wird Zeit, dass wir insoweit ehrlich werden: Wir alle nutzen diese Dienste – man denke nur an Google Maps mit seinen Verkehrsmeldungen. Sie sind so erfolgreich, weil wir sie alle nutzen, und wir müssen anerkennen, dass Daten in ihnen längst als Währung/Gegenleistung fungieren.

Beteiligte und deren Interessen

Aus den dargestellten Beispielen wird auch deutlich, dass es eine Vielzahl an Beteiligten und unterschiedlichen Interessen zu berücksichtigen gibt, wenn verhaltens- oder maschinengenerierte Daten erzeugt und genutzt werden. Es kann sich um Privatpersonen, Unternehmen aus verschiedensten Branchen und Handelsstufen, akademische Institutionen sowie auch um den Staat handeln.

Dies wird etwa an dem obengenannten Beispiel des Smart Car deutlich, mit dem während der Fahrt durch eine Privatperson Daten generiert werden. Diese Daten lassen Rückschlüsse darauf zu, wann und wohin sich der Fahrer des Fahrzeugs bewegt hat oder wie er gefahren ist – alles Informationen, die für Dritte (etwa Kartenhersteller, Reisedienstleister, Fahrzeugversicherer) werthaltig sein können. Eine weitere Ebene lässt sich konstruieren, wenn der Fahrer nicht selbst Eigentümer des Fahrzeugs ist, etwa bei Mietwagen oder Dienstwagen. Auch der Eigentümer kann Interesse an den Daten haben. Ebenso haben die Hersteller des Fahrzeugs und deren Zulieferer, sei es aus der Fahrzeugtechnik oder der IT-Branche, ein Interesse daran, die Fahrzeugdaten auswerten zu können. Das gilt beispielsweise auch für Unternehmen anderer Branchen wie Versicherungen, die Fahrzeugdaten auswerten können möchten, etwa wenn es um die Aufklärung von Unfällen geht. Ebenso könnten die Daten auch für kommerzielle Angebote genutzt werden, zum Beispiel für den Hinweis auf die nächste Werkstatt im Display oder für Parkplatz-Apps. Demgegenüber könnten akademische Institutionen die Daten als Basis für Forschung und Entwicklung verwenden. Doch auch der Staat kann Interesse an den Daten haben, um beispielsweise die aktuelle Verkehrssituation auszuwerten, für die Verbrechensbekämpfung, oder um Daten für die Verkehrsplanung sowie die Instandhaltung und Wartung der Straßen nutzen zu können. In diesem Zusammenhang ist auch zu beachten, dass in solchen Fällen naturgemäß eine Doppelgenerierung der Daten erfolgt, wenn mehrere Fahrzeugnutzer hintereinander die gleiche Strecke fahren.

Das Zusammenspiel der Beteiligten und deren unterschiedliche Interessenlagen werden ebenso deutlich am Beispiel von Fitness-Apps und Wearables, die auf den Meter genau die Routen ihrer Nutzer nachverfolgen, wenn diese Strecken ablaufen oder mit dem Fahrrad befahren. Solche Daten sind nicht nur für die App-Anbieter selbst von Interesse, sondern auch für andere Sportler, die so häufig genutzte Routen nachvollziehen können, oder Versicherungen, die die Höhe ihrer Prämien an der sportlichen Betätigung ihrer Versicherten orientieren möchten. Ebenso kann auch in diesem Fall der Staat Interesse an solchen Daten haben, etwa wenn Stadtplaner diese für das Anlegen von Fahrradwegen nutzen möchten. Doch kann der Staat auch von einer solchen Datengenerierung zum eigenen Nachteil betroffen sein. Wie kürzlich bekannt wurde, lassen sich durch solche häufig genutzten Routen, die von Sportlern mit Wearables oder Fitnessarmbändern genutzt werden, etwa auch geheime Militärbasen und -stützpunkte sichtbar machen, da diese häufig von normalen Läufern, aber auch von Soldaten dieser Militärstützpunkte umrundet werden (mehr dazu HIER).

Diskutierte Rechtsfragen und Auswirkungen für die Praxis

Vor diesem Hintergrund ergeben sich zahlreiche Rechtsfragen, die derzeit diskutiert werden:

Zum einen stellt sich die Frage, welche Daten konkret Gegenstand einer Regelung sein sollen. Dabei ist die Abgrenzung nicht personenbezogener Daten von personenbezogenen Daten wesentlich. Dies geht einher mit der Notwendigkeit, den Begriff der Daten von dem Begriff der durch die Daten verkörperten „Informationen“ abzugrenzen.

Zum anderen stellt sich die Frage, wie eine rechtliche Regelung zum Umgang mit den Daten ausgestaltet werden kann.

Dabei ist davon auszugehen, dass bislang bestehende Rechtsinstrumente und Ansätze – wie etwa aus dem Datenschutzrecht, dem Eigentumsrecht, dem Delikts- und Strafrecht sowie aus dem Datenbankrecht, im Rahmen des Schutzes von Geschäftsgeheimnissen oder aus dem Patentrecht – als nicht ausreichend beurteilt werden müssen, weshalb weiterführende Ansätze zu entwickeln sind. Diskutiert werden dabei zum einen Ansätze, die von einem neuen Dateneigentumsrecht bzw. einer Zuordnung der Daten im Sinne einer Dateninhaberschaft ausgehen. Umstritten ist dabei jedoch, wem ein solches Dateneigentumsrecht vor dem Hintergrund der Vielzahl der potentiell Beteiligten zugeordnet werden soll. Zum anderen mehren sich die Stimmen, die für eine Ausgestaltung von Regelungen für den Zugang zu verhaltens- und maschinengenerierten Daten plädieren. Auch dabei ist jedoch noch unklar, wie im Rahmen der reinen Regelung eines Zugangs eine Kontrolle der zugänglichen Daten erfolgen soll, da vertragliche Regelungen nicht gegenüber Dritten gelten, die Zugang zu den Daten von einem Vertragspartner des Berechtigten erhalten. Auch Grenzen des Kartell- und AGB-Rechts sind zu beachten.

Unternehmen ist zu raten, sich in die sich entwickelnde gesetzgeberische Diskussion sowohl auf EU-Ebene als auch auf nationaler Ebene einzubringen und ihre Interessen zu wahren. Das gilt nicht zuletzt vor dem Hintergrund der sich im Moment in Deutschland neu formierenden Bundesregierung. Die jeweiligen Interessenverbände beschäftigen sich mit dem Thema schon seit einiger Zeit, so dass es genügend Anknüpfungspunkte für ein Einbringen geben dürfte.

Wie sich der Gesetzgeber entscheidet, ist derzeit noch offen, die weitere Entwicklung bleibt abzuwarten und zu beobachten. Unternehmen sollten vor diesem Hintergrund jedoch dafür Sorge tragen, dass in bestehenden Big-Data-Sachverhalten vertragsrechtliche Regelungen über den Umgang mit maschinen- und verhaltensgenerierten Daten enthalten sind oder in Verträge aufgenommen werden. Dazu gehört, dass Unternehmen zunächst einmal festlegen, welche Daten von einer Regelung umfasst werden sollen und wie sich diese Regelung von den bestehenden gesetzlichen Regelungen zum Eigentum am Datenträger oder aber auch von existierenden urheberrechtlichen Regelungen (etwa dem Datenbankrecht) abgrenzt. Darüber hinaus sollte in dem Vertrag geregelt sein, welcher Vertragspartner was mit den Daten machen darf, und vor allen Dingen auch, was zum Ende des Vertrags mit den Daten geschehen soll: ob sie gelöscht oder herausgegeben werden sollen oder ob Dritten Zugang gewährt werden soll.

Beachtet man das, hat man als Unternehmen auch ohne eine explizite gesetzliche Regelung für eigene Rechtssicherheit gesorgt.

czychowski@boehmert.de