DA+

Aufsatz : Daten als Basis der digitalen Wirtschaft und Gesellschaft : aus der RDV 5/2015, Seite 236 bis 243

Lesezeit 24 Min.

Daten werden zunehmend wirtschaftlich verwertbar. Dies trifft nicht nur auf personenbezogene, sondern immer stärker auch auf nichtpersonenbezogene Daten zu, wie sie etwa in vernetzten Gegenständen und Maschinen im „Internet der Dinge“ anfallen. Während die Nutzung personenbezogener Daten einer relativ hohen Regelungsdichte unterliegt, ist die Verwertung von Maschinendaten in vielerlei Hinsicht „Neuland“.

I. Die datengesteuerte Welt

Seit dem letzten Jahrzehnt macht der Satz „Daten sind das Öl des 21. Jahrhunderts“ regelmäßig die Runde. Die Gleichsetzung passt zwar wegen der unterschiedlichen ökonomischen Wirkungsweisen von Öl und Daten nicht wirklich: Denn während Öl endlich ist und sein Wert steigt, je geringer die verfügbare Menge ist, verhält es sich mit Daten genau umgekehrt. Richtig ist aber, dass Daten ein immer bedeutenderer Rohstoff des Wirtschaftslebens werden. Einige sprechen bereits von Daten als dem – neben Boden, Kapital und Arbeit – vierten volkswirtschaftlichen Produktionsfaktor[1].

Digitale Daten sind die Mosaiksteine der virtuellen Realität. Und das virtuelle Mosaikbild wird immer vollständiger. Das generierte Datenvolumen, das Informationen über Menschen, Gegenstände und ihre Umwelt enthält, nimmt im digitalen Zeitalter exponentiell zu. Prognosen zufolge werden im Jahr 2020 rund 6,5 Milliarden Menschen und etwa 20 Milliarden Objekte miteinander vernetzt sein, und das weltweite Datenvolumen wird sich gegenüber heute mindestens verzehnfacht haben[2]. Die virtuelle Realität wird dadurch Schritt für Schritt real.

II. Big Data – Potenziale und Anwendungsgebiete

Diese Datafizierung ermöglicht Datenanalysen, die über das bisher Gekannte hinausgehen. Zwar ist die Auswertung von Daten durch Unternehmen zur Erzeugung eines wirtschaftlichen Nutzens kein neuartiges Phänomen. Verwandte Begriffe wie Data Warehouse, Data Mining oder Business Intelligence existieren schon seit Jahrzehnten. Mit diesen Instrumenten konnten hauptsächlich wenig vielfältige, statische Datensätze im kleineren Maßstab ausgewertet werden. Technologische Fortschritte in der Informations- und Kommunikationsindustrie (IKT) eröffnen inzwischen jedoch Möglichkeiten der Datenanalysen in neuer Dimension. Diese mit dem Begriff „Big Data Analytics“ beschriebenen IKT-Services sind in der Lage, gewaltige Mengen an unterschiedlichsten Daten aus unterschiedlichsten Quellen in Echtzeit zu analysieren. Mithilfe komplexer, zum Teil sich selbst weiterentwickelnder Algorithmen lassen sich aus den verfügbaren Daten Ableitungen über die Realität treffen, die bislang nicht oder allenfalls wesentlich aufwändiger zu erlangen gewesen wären. Bisweilen ergeben sich durch Big Data-Analysen sogar Antworten auf Fragen, die bisher noch gar nicht gestellt wurden. Insgesamt können Big Data Analysen zu besseren Ergebnissen, Verfahren und Entscheidungen führen und Menschen dabei helfen, auf nicht naheliegende Lösungen und neue Ideen zu kommen[3]. Big Data Analysen können Zusammenhänge und Korrelationen aufdecken, durch die neues gesellschaftliches, vor allem aber auch wirtschaftlich verwertbares Erkenntnispotenzial entsteht.

Und dieses scheint gewaltig zu sein. Aktuell wachsen die Umsätze auf dem Big Data-Markt weltweit rasant mit über 25 Prozent jährlich und liegen bereits jetzt oberhalb von 20 Milliarden Euro[4]. Das Wachstum des Big Data-Markts entspricht damit etwa dem 7-Fachen des Wachstums des gesamten IKT-Markts[5]. Noch schöpfen wenige deutsche Unternehmen dieses Potenzial aus. Zur Zeit werden überwiegend intern vorliegende Unternehmens- und Kundendaten ausgewertet, externe Daten werden selten einbezogen[6]. Und vor dem Hintergrund, dass die Menschheit bislang nur 12 Prozent der vorhandenen Datenmenge nutzt[7] , ist ein Ende des rasanten Wachstums des Big Data-Markts nicht in Sicht.

Die sich aus den Datenvorkommen insgesamt ergebenden wirtschaftlichen und gesellschaftlichen Mehrwerte lassen sich nur erahnen. Fest steht aber: Die Einsatzbereiche von Big Data im Unternehmen sind äußerst vielfältig. Von der Produktentwicklung und der Produktion über Einkauf, Marketing, Vertrieb und Logistik bis hin zu Service und Support sind bessere, datenbasierte Entscheidungen in allen Unternehmensbereichen denkbar und möglich[8]. Gleiches gilt für die Makroebene. Da alle Branchen von der digitalen Transformation erfasst werden[9], unterliegen auch hier die Anwendungsmöglichkeiten keinen Beschränkungen – seien es deskriptive, prädiktive oder präskriptive Analysen[10]. Der wirtschaftliche Mehrwert wird hier oft auch ein gesellschaftlicher sein: Ob beim Einsatz von Big Data im Gesundheitswesen, in der Klimaforschung, bei der Verkehrslenkung, Energieversorgung oder insgesamt beim „smarten“ Management von Städten[11].

III. Der Rechtsrahmen für Big Data

In der derzeitigen „digitalen Goldgräberstimmung“[12] stellt sich verstärkt die Frage, ob wir über den richtigen Rechtsrahmen zur Nutzung dieser Potenziale verfügen. Steht das dem Konzept des Verbots mit Erlaubnisvorbehalt folgende Datenschutzrecht Big Data-Analysemöglichkeiten womöglich im Weg? Wem stehen überhaupt die „Schürf- und Förderrechte“[13] an dem wertvollen, immer größer werdenden Datenvorkommen zu? Vor allem im Hinblick auf die nichtpersonenbezogenen Industriedaten wird die Frage aufgeworfen: Wem „gehören“ die Daten?

1. Dichotomie der Daten

Die folgende rechtliche Untersuchung unterscheidet streng zwischen diesen zwei verschiedenen Kategorien von Daten: personenbezogene und nichtpersonenbezogene[14] Daten.

Bislang stehen die personenbezogenen Daten im Fokus der monetären Datenverwertung, also diejenigen Daten, die Informationen über einen bestimmten bzw. bestimmbaren Menschen enthalten. Die Nutzung dieser Daten durch Unternehmen unterliegt den relativ engen Regelungen des Datenschutzrechts. Nichtpersonenbezogene Daten hingegen genießen noch nicht die gleiche rechtswissenschaftliche und öffentliche Aufmerksamkeit. Das sollte sich ändern. Denn diese Datenkategorie wird im Zeitalter der Industrie 4.0 massiv an Bedeutung gewinnen – sowohl im Hinblick auf den Umfang als auch im Hinblick auf die wirtschaftlichen Verwertungsmöglichkeiten.

Nichtpersonenbezogene Daten werden maschinell und in der Regel automatisiert, etwa über Sensoren, generiert. Sie enthalten keine Informationen über Menschen, sondern etwa über den Zustand von Gegenständen (Mikroebene) oder den Prozessablauf in Industrieanlagen (Makroebene). Sie können dem Datenausleser auf der Mikroebene Aufschluss über zahlreiche natürliche und technische Werte wie Temperatur, Druck, Schwingungen, Geschwindigkeit, Drehzahl, Drehmoment etc. geben. Wer in der Lage ist, eine Maschine zu „lesen“, d.h. ihre Werte richtig zu analysieren, kann dem Betreiber wertvolle Hinweise zur Verbesserung seiner Industrieanlagen geben – oder seine eigenen optimieren. Wer sich bewusst macht, dass Unternehmen wie Google und Facebook mit dem Zusenden zielgerichteter Werbung zu dem geworden sind, was sie heute sind, kann sich ausmalen, welches Potenzial in den zukünftigen Märkten steckt, die sich an die Auswertung und Monetarisierung der „harten“ Industriedaten machen. Auch wenn diese Datenmärkte der Zukunft erst in Umrissen erkennbar sind: Das Rennen um die „Smart Services“ ist bereits eröffnet.

2. Personenbezogene Daten

Voraussetzung für den wirtschaftlichen Erfolg datenbasierter Geschäftsmodelle ist Vertrauen. Das gilt besonders für Geschäftsmodelle, die auf die Nutzung personenbezogener Daten setzen. Ohne Vertrauen in den verlässlichen Umgang mit Daten werden viele digitale Innovationen keine Akzeptanz finden. Ohne Vertrauen sinkt die Bereitschaft der Bürger, Unternehmen personenbezogene Daten mitzuteilen, rapide[15]. Nicht zuletzt im Zuge der Enthüllungen von Edward Snowden haben Verunsicherung und Misstrauen der Internetnutzer erkennbar zugenommen[16]. Unabhängig von der Bewertung des als „Privacy Paradox“[17] bekannten Phänomens ist dies ein Zustand, den sich Deutschland und Europa nicht leisten können. Wenn die Akzeptanz des digitalen Wandels als Ganzes Schaden zu nehmen droht, müssen Politik und Wirtschaft gemeinsam handeln. Es steht zu viel auf dem Spiel[18].

Vertrauen der Bürger in digitale, datenbasierte Anwendungen zu schaffen, liegt zum einen im ureigenen Interesse der Wirtschaft selber. Zum anderen kann aber auch der Staat zur Vertrauensbildung beitragen. Hierbei ist die Bedeutung des Datenschutzes als „Eckpfeiler des freiheitlichen Rechtsstaats“[19] unbestritten – auch und gerade in der digitalen Welt. Manche konstatieren, dass erst jetzt im digitalen Zeitalter „aufgrund der fortschreitenden technischen Möglichkeiten die Bedrohungen der Persönlichkeit in besonderer Weise real“ werden[20].

a. Die EU-Datenschutzreform – Gleiche Wettbewerbsbedingungen für alle

Die Herausforderungen der globalen digitalen Welt muss Europa gemeinsam bewältigen. Dass die EU ihre bislang bestehende Datenschutz-Richtlinie[21] (DSRL) durch eine unmittelbar anwendbare Datenschutz-Grundverordnung[22] (DSGVO) ablösen will, ist richtig. Sowohl Unternehmen als auch Bürger profitieren von grenzüberschreitend einheitlich anwendbaren – und angewendeten – Datenschutzregeln. Im zur Zeit stattfindenden Trilogverfahren zwischen Europäischem Parlament, Ministerrat und Kommission wird es darauf ankommen, so viel Harmonisierung wie nötig und so wenig nationale Öffnungsklauseln wie möglich zu schaffen – vor allem im Hinblick auf den materiellen Kern des Datenschutzrechts über die Voraussetzung einer Datenverarbeitung[23].

Gleiche Wettbewerbsbedingungen zwischen den Unternehmen sind aber nicht nur auf intra-EU, sondern auch auf internationaler Ebene entscheidend. Die Einführung des Marktortprinzips in Art. 3 Nr. 2 DSGVO ist daher zu begrüßen. Hierdurch entsteht auf dem europäischen Markt ein Level Playing Field für den unternehmerischen Wettbewerb: Unabhängig davon, ob Unternehmen ihren Sitz innerhalb oder außerhalb der EU haben, sind die Bestimmungen der DSGVO anwendbar, soweit Unternehmen ihre Produkte auf dem europäischen Binnenmarkt anbieten.

b. Die EU-Datenschutzreform – fit für die Zukunft?

Natürlich ist es nicht damit getan, dass für alle Datenverarbeiter die gleichen Spielregeln gelten. Das Recht muss auch materiell so ausgestaltet sein, dass es einen angemessen Ausgleich zwischen der dem Schutz der Freiheits- und Persönlichkeitsrechte dienenden informationellen Selbstbestimmung einerseits und den – ebenfalls grundrechtlich geschützten – Interessen der Wirtschaft an innovativen Datennutzungskonzepten wie etwa Big Data-Analysen andererseits schafft. Hierbei kann es helfen, sich zu vergegenwärtigen, dass Datenschutz Persönlichkeitsschutz ist. Nicht die Daten als solche sind geschützt, sondern die dahinterstehende Person vor Behinderungen ihrer Entfaltung durch Datensammlung und Datennutzung[24].

Zugegeben: In einer Zeit, in der „code is law“[25] das Update der normativen Kraft des Faktischen ist, steht der Gesetzgeber bei der Suche nach einem angemessenen Ausgleich vor vielen Fragezeichen. Zwar ist die Suche nach der „praktischen Konkordanz“[26] von Grundrechtskollisionen seit Jahrzehnten eine bekannte verfassungsrechtliche Aufgabenstellung. Das Datenschutzrecht stellt den Gesetzgeber in seiner Abwägungsentscheidung aber vor besondere Herausforderungen, die sich vor allem aus drei Ursachen ergeben.

Erstens besteht immer weniger gesellschaftlicher Konsens darüber, was privat (und somit tendenziell schützenswert) und was öffentlich (und somit tendenziell weniger schützenswert) ist. Insbesondere mit Beginn des Web 2.0 zeigte sich – für nicht wenige Beobachter überraschend –, dass ein großer Teil der Nutzer ihr Recht auf informationelle Selbstbestimmung durch die freiwillige Preisgabe persönlicher bis intimer Informationen ausübt. Die Schere der Wertvorstellungen geht auseinander, was dazu führt, dass allgemeingültige Wertentscheidungen nur noch schwer auszumachen sind. Gleichzeitig erweist sich das Instrument der Einwilligung, das individualisierte Lösungen verspricht, nicht mehr „als der Stein der Weisen“[27].

Zweitens werden Schwierigkeiten für den gesetzgeberischen Ausgestaltungsauftrag dadurch bedingt, dass sich mögliche Risiken von Datenverarbeitungen für Freiheitsrechte nicht einfach anhand einzelner Daten festmachen lassen. Datenschutz benötigt nach seiner verfassungsrechtlichen Intention nicht eine konkrete Gefahr, sondern soll präventiven Schutz bieten[28]. Aus unternehmerischer Sicht wäre es ohne Frage wünschenswert, wenn sich eine differenzierte, eindeutige Klassifizierung von Daten mit unterschiedlichem Schutzniveau und Verarbeitungshürden aufstellen ließe. Eine derartige Klassifizierung ist aber wegen der unendlichen Kombinationspotenziale von Daten, deren Zusammenspiel und Wirkweise im Vorfeld kaum absehbar sind, nur schwer realisierbar. Datenschutz soll deshalb im Vorfeld Risiken begegnen, die im Zweifel weit entfernt und nicht unmittelbar greifbar, die aber im Nachhinein nicht mehr aufzufangen sind[29].

Drittens lassen sich für den privaten Datenschutz keine konkreten verfassungsrechtlichen Ableitungen aus einem Vergleich mit dem öffentlichen Datenschutz treffen. Zwar stehen sich beim privaten Datenschutz zwei Grundrechtsträger mit gleichrangigen Interessen gegenüberstehen. Das führt aber noch nicht dazu, dass für den privaten Datenverarbeiter automatisch größere gesetzliche Spielräume als für den staatlichen Datenverarbeiter gelten müssten. Das vom Datenschutz geschützte Rechtsgut kann auch von Privaten in einer Weise beeinträchtigt werden, die der eines staatlichen Eingriffs gleichkommt. Zwar hat ein profiling zu Werbezwecken eine – wenn überhaupt! – geringere Beeinträchtigung als ein profiling durch staatliche Ermittlungsbehörden. Diese Unterschiede nivellieren sich jedoch beispielsweise bei der Datenauswertungen für Abschlüsse von Kredit-, Miet-, Versicherungs- oder Arbeitsverträgen. Es macht im Ergebnis für die Schutzbedürftigkeit keinen entscheidenden Unterschied, ob der Staat oder ein Privater handelt[30].

Wie also lässt sich in dieser Gemengelage das neu zu schaffende Datenschutzrecht so justieren, dass ein hohes Datenschutzniveau gewahrt bleibt und gleichzeitig ausreichend gesetzlicher Spielraum für datengetriebene Innovationen, insbesondere für Big Data-Analysen, verbleibt? Die einzelnen Herausforderungen des privaten Datenschutzes im Rahmen der DSGVO sind zahlreich. Im Folgenden sollen einige zentrale Aspekte adressiert werden[31].

aa. Anonymisierung, Pseudonymisierung und Personenbezug

Die Verordnung sollte geeignete Anreize für anonyme und pseudonyme Datenverarbeitung setzen. Anonymisieren bedeutet das Verändern personenbezogener Daten in einer Art und Weise, dass „die Einzelangaben über persönliche oder sachliche Verhältnisse nicht mehr oder nur mit einem unverhältnismäßig großen Aufwand an Zeit, Kosten und Arbeitskraft einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können“, § 3 Abs. 6 BDSG. Der größte Anreiz für eine Anonymisierung liegt aus Unternehmenssicht in der Nichtanwendbarkeit des Datenschutzrechts mangels Vorliegens personenbezogener bzw. personenbeziehbarer Daten. Diese Selbstverständlichkeit kann, muss aber nicht zwingend deklaratorisch in der DSGVO enthalten sein. Wichtiger sind hingegen klare Vorgaben für die Anonymisierung personenbezogener Daten[32]. Unternehmen müssen Rechtssicherheit haben, wann Daten als anonymisiert und damit als umfassend verwendbar gelten. Hier hilft es auch nicht, die Möglichkeiten zur Anonymisierung im Big Data-Zeitalter zu negieren. Erforderlich ist nicht, dass eine Rückverfolgbarkeit vollständig auszuschließen ist. Ausreichend ist, wenn diese einen unverhältnismäßigen Aufwand an Zeit, Kosten und Arbeitskraft erfordert[33]. Die Anonymisierungs-Grenze ist juristisch, nicht statistisch-naturwissenschaftlich zu definieren. Dies erfordert zudem die Relativität des Personenbezugs, wonach nicht sämtliches Zusatzwissen zur Bestimmbarkeit einer Person dem Datenverarbeiter zugerechnet werden kann[34]. Unzulässige Rückverfolgbarkeiten sind zivil- und strafrechtlich wirksam zu sanktionieren[35].

Gleiches gilt für das Pseudonymisieren von Daten. Hierbei wird der Name oder ein anderes Identifizierungsmerkmal durch ein Kennzeichen zu dem Zweck ersetzt, die Bestimmung der betroffenen Person auszuschließen bzw. wesentlich zu erschweren, vgl. § 3 Abs. 6a BDSG. Die Pseudonymisierung erfolgt etwa durch eine hochwertige Verschlüsselung, wobei der Schlüssel erhalten bleibt und die Identitätsverschleierung – im Gegensatz zur Anonymisierung – nicht dauerhaft ausgeschlossen ist[36]. Die DSGVO sollte die Verarbeitung solcher pseudonymer, die Persönlichkeitsrechte weniger gefährdender Daten möglich machen, solange die Verarbeitung transparent erfolgt und der Nutzer dem nicht widerspricht[37]. Die Daten stehen dann für Big Data-Analysen zur Verfügung. Ist eine Re-Identifikation durch das Unternehmen gewünscht (etwa um den Nutzer über das Ergebnis der Analyse zu informieren und ihm ein individuelles Angebot zu machen) ist die Einwilligung des Nutzers einzuholen. Da pseudonyme Daten, anders als anonyme Daten, nicht bereits grundsätzlich von der Anwendbarkeit des Datenschutzrechts ausgenommen sind, sind explizite Regelungen in der DSGVO notwendig, die eine Verarbeitung pseudonymer Daten zulassen.

Personenbezug, Anonymität und Pseudonymität sind als fundamentale Begriffe des Datenschutzes bislang weder im BDSG noch in der DSRL hinreichend definiert. Auch bei der DSGVO ist dies noch nicht der Fall[38]. Hier ist eine Verbesserung dringend nötig, damit sich Anonymisierungs- und Pseudonymisierungsmethoden tatsächlich als „Königsweg des Einsatzes von Big Data-Techniken“[39] erweisen können.

bb. Einwilligung und Zweckbindung

Dort, wo Big Data-Analysen aufgrund des Auswertungszwecks nicht anhand anonymer oder pseudonymer Daten möglich bzw. sinnvoll sind, bedarf es zur Durchführung auf personenbezogenen Daten beruhenden Big Data-Analysen entweder einer Einwilligung der betroffenen Person oder eines gesetzlichen Erlaubnistatbestands. In beiden Fällen ist der Zweckbindungsgrundsatz zu beachten.

So ist Voraussetzung einer wirksamen Einwilligung, dass der Betroffene über den konkreten Zweck der Datenverarbeitung informiert ist, § 4a Abs. 1 S. 2 BDSG, Art. 6 Nr. 1 a DSGVO. Es stellt sich die Frage, wie granular die Detailtiefe von Einwilligungserklärungen ausfallen muss, d.h. etwa wie hinreichend der Zweck der Verarbeitung bestimmt werden muss. Dazu herrschen in der datenschutzrechtlichen Praxis bekanntlich strenge Anforderungen[40]. Wie konkret kann aber eine Einwilligung in Big Data-Analysen überhaupt sein, bei denen häufig am Anfang noch gar nicht feststeht, was am Ende herausgefunden werden kann? Hier würde es zumindest helfen, wenn Unternehmen Zweckbestimmungen nicht mehr bis ins letzte Detail, sondern abstrakter formulieren könnten[41].

Sollen personenbezogene Daten ohne Einwilligung aus anderen Datenbanken genutzt werden, stellt sich die Frage, ob die Verarbeitung im Rahmen der Big Data-Analyse vom ursprünglichen Verwendungszweck (z.B. nach § 28 Abs. 2 S. 2 BDSG) gedeckt ist. Das wird regelmäßig nicht der Fall sein. Big Data stellt Daten bewusst in andere Zusammenhänge – mit der Folge, dass für Big Data-Analysen, sollte ein gesetzlicher Erlaubnistatbestand die Verarbeitung nicht im Rahmen einer Abwägung zulassen, eine erneute Einwilligung eingeholt werden muss. Ein solches Vorgehen dürfte in der Praxis aber aus Praktikabilitätsgründen weitgehend ausfallen[42].

Überhaupt muss kritisch überdacht werden, ob die Einwilligung als zentrales Steuerungsinstrument der informationellen Selbstbestimmung ihre Funktion in der Realität noch erfüllt. Die Anforderungen führen in vielen Fällen dazu, dass Einwilligungserklärungen sehr detailliert und umfangreich und dadurch schwer verständlich sind. Die Einwilligung droht dadurch zu einem „formalisierten Ritual“ zu verkommen, weil ihre genaue Kenntnisnahme den Betroffenen überfordert[43]. Es ist in diesem Zusammenhang zu begrüßen, dass in Art. 13a DSGVO (PARL) Versuche unternommen werden, die Kernaussagen einer Einwilligungserklärung zu visualisieren.

3. Nichtpersonenbezogene Daten

Big Data findet nicht nur auf Grundlage personenbezogener, sondern auch durch Gegenstände und Maschinen generierter Daten statt. Die Nutzung dieser Daten ohne jeglichen Personenbezug wird in Zukunft massiv zunehmen. Während es bei Big Data-Analysen auf der Basis personenbezogener Daten um die richtige Ausgestaltung des Datenschutzes geht, stehen bei der nichtpersonenbezogenen Datenanalyse grundsätzlichere Fragen im Raum. Vor allem ist unklar, wem die Daten „gehören“. Ob und wer bestimmte Rechte an diesen Daten hat und welche Gesetze überhaupt einschlägig sind, ist ebenso weitgehend ungeklärt wie die Antwort auf die Frage, ob ein Zuordnungsrecht für diese Daten überhaupt wünschenswert ist.

a. Keine Zuordnung des „Dateneigentums“ kraft Gesetzes

Eine kursorische Prüfung ergibt, dass zivilrechtlicher Schutz nicht bzw. nur in eingeschränktem Maße besteht. Nichtpersonenbezogene Daten sind vor allem niemandem eindeutig zur ausschließlichen Nutzung zugeordnet, der wie ein Eigentümer über die Daten verfügen könnte – etwa, indem er sie selbst nutzt, an andere exklusiv verkauft oder mehreren gleichzeitig ein Nutzungs- und Verwertungsrecht zugesteht.

Das Bürgerliche Gesetzbuch weist Ausschließlichkeitsrechte primär über das Sacheigentum gem. § 903 S. 1 BGB zu. Danach kann ein Eigentümer einer Sache mit dieser grundsätzlich nach Belieben verfahren und andere von jeder Einwirkung ausschließen. Sachen sind nach § 90 BGB allerdings nur körperliche Gegenstände. Daten fallen damit weder unter den Tatbestand des § 90 BGB noch des § 903 S. 1 BGB[44]. Eine analoge Anwendung der Vorschrift überzeugt nicht, da wegen der Vielzahl von Vorschriften an anderen Stellen der Rechtsordnung nicht von einer planwidrigen Regelungslücke auszugehen ist[45].

Privatrechtliche Ausschließlichkeitsrechte können aber nicht nur sachenrechtlich durch das BGB, sondern auch immaterialgüterrechtlich durch Regelungen zum Geistigen E igentum zugewiesen werden. Hier ist vor allem an das UrhG zu denken. Dieses scheint aber schon von seiner Grundkonzeption her nicht anwendbar, jedenfalls nicht auf die nichtpersonenbezogenen Daten als solche. Denn anders als die nach §§ 1, 2 Abs. 1 UrhG geschützten Werke der L iteratur, der Kunst und der Wissenschaft erfordert die m aschinelle Erzeugung von nichtpersonenbezogenen Daten keine „persönliche geistige Schöpfung“ i.S.v. § 2 Abs. 2 UrhG. Die Daten als solche genießen folglich keinen Schutz durch das UrhG. Denkbar ist höchstens, dass in Datenbanken abgelegte Maschinendaten in ihrer Gesamtheit über das Datenbankherstellerrecht gem. § 87a ff. UrhG geschützt sind. Datenbanken i.S.d. § 87a Abs. 1 UrhG sind Sammlungen von Daten, die systematisch oder methodisch angeordnet und einzeln mit Hilfe elektronischer Mittel oder auf andere Weise zugänglich sind und deren Beschaffung, Überprüfung oder Darstellung eine nach Art oder Umfang wesentliche Investition erfordern. Ob die Beschaffung, Überprüfung oder Darstellung der Daten „wesentliche Investitionen“ eines Unternehmens erfordert haben, ist eine Frage des Einzelfalls, der schwierige Abgrenzungsprobleme mit sich bringen kann[46]. Selbst wenn die Daten der Datenbank letztlich dem Leistungsschutzrecht des § 87a ff. UrhG und in diesem Rahmen einem gewissen Schutz vor Vervielfältigung und Verbreitung unterliegen, nimmt das Gesetz keine Zuordnung der Daten zu einem bestimmten Akteur der Wertschöpfungskette vor. Die einzelnen Daten bleiben rechtlich ungeschützt und frei nutzbar[47]. Es hängt vielmehr davon ab, welcher Akteur die nach bisheriger Prüfung „freien“ Daten in seine Datenbank überführt. Zudem sind die weiteren Glieder der Wertschöpfungskette nicht daran gehindert, den Datenrohstoff ebenfalls in ihre jeweils eigenen Datenbanken zu überführen und zu nutzen.

Schließlich führt auch der in § 17 UWG verankerte Schutz von Betriebs- und Geschäftsgeheimnissen nicht zur erforderlichen umfassenden Lösung. Auch diese Norm schafft kein zugewiesenes, handelbares Rechtsgut, sondern bietet nur einen – immerhin! – faktischen Schutz von „nicht offenkundigen Daten“, die im Zusammenhang mit einem Geschäftsbetrieb stehen und die erkennbar und aufgrund ausreichenden wirtschaftlichen Interesses geheim gehalten werden sollen[48]. Hierunter werden nicht alle denkbaren maschinengenerierten Daten fallen. Im Hinblick auf die gerade verhandelte EU-Reform über Unternehmensgeheimnisse[49] ist zudem absehbar, dass der vom Schutz umfasste Kreis an Informationen noch kleiner wird. Denn von Unternehmen wird stärker verlangt werden, dass sie aus ihrer Sicht geheimhaltungsbedürftige Informationen auch tatsächlich durch angemessene Geheimhaltungsmaßnahmen zu schützen versuchen. Hinzu kommt, ähnlich wie im Datenschutzrecht, dass eine „Anonymisierung“ (d.h. eine Streichung des Unternehmensbezugs) der Maschinendaten zur Unanwendbarkeit des § 17 UWG führt[50].

b. Vertragliche Regelungen als Lösung?

Wenn das positive Recht keine Zuordnungen für nichtpersonenbezogene Industriedaten trifft, ist es den Unternehmen unbenommen, strittige Fragen über die Nutzung der nichtpersonenbezogenen Industriedaten individuell durch Verträge zu regeln. Ob vertragsrechtliche Regelungen die komplexen Wertschöpfungsstrukturen im digitalen Ökosystem zufriedenstellend abbilden können, bleibt allerdings abzuwarten. Ein wahrscheinlich noch eher einfach gelagertes Beispiel mag dies verdeutlichen:

Ein Maschinenhersteller produziert eine Maschine unter Beteiligung von fünf Zulieferern. Er verkauft diese Maschine an ein Unternehmen, das diesen Kauf über eine Bank finanziert, die sich zur Sicherheit einen Eigentumsvorbehalt einräumen lässt. Die Wartung der Maschine übernimmt ein Dienstleister, der auf die zahlreichen durch die Maschine erzeugten Daten zugreifen muss und der Teile des Auftrags an ein Subunternehmen auslagert.

Schon in einer solchen unterkomplexen Wertschöpfungskette besteht ein Risiko unkontrollierter Datennutzungen. Rechtsdurchsetzungen können sich als schwierig erweisen, da in der Regel nicht alle im Beispiel genannten Akteure in Vertragsbeziehungen zueinander stehen. Auch können durch Vertrag ohnehin nur die „schwächeren“ relativen, d.h. zwischen den Beteiligten wirkenden, und nicht die „stärkeren“ absoluten, d.h. gegenüber jedermann wirkenden (Eigentums-)Rechte begründet werden.

IV. Ausblick

Schließlich ist unklar, ob de lege ferenda eine Zuordnung nichtpersonenbezogener Daten wohlfahrtsökonomisch überhaupt von Vorteil ist[51]. So ist es auf der einen Seite begrüßenswert, wenn durch eine größere Verfügbarkeit nichtpersonenbezogener Daten mehr Rohstoffmaterial für Big Data-Analysen zur Verfügung steht. Da bei Big Data gilt, dass mehr Masse zu mehr Klasse führt, könnte der Smart Data-Output von Big Data-Analysen umso valider und präziser sein und volkswirtschaftliche Wohlfahrtseffekte nach sich ziehen. Andererseits gilt: Rechtliche Unsicherheiten schaden eher der Entwicklung neuer, datenbasierter Märkte. Ohnehin ist festzustellen, dass im Industrieland Deutschland immer noch zu viele Industrieunternehmen zögerlich sind, wenn es um die digitale Vernetzung ihrer Systeme und Anlagen mit denen ihrer Kunden und Zulieferer geht – eine Grundvoraussetzung übrigens auch auf dem Weg in die Industrie 4.0.

Selbst wenn ein neues Schutzrecht an nichtpersonenbezogenen Maschinendaten eingeführt werden sollte, stellt sich daran anschließend die Frage: Zu wessen Gunsten soll ein solches Schutzrecht geschaffen werden? Im oben genannten Beispiel kommen dafür, vom Zulieferer über den Hersteller bis hin zum Eigentümer oder Nutzer der Maschine, theoretisch fast alle Beteiligten in Frage – ein nachvollziehbares Interesse ließe sich jedenfalls für alle begründen. Aus rechtlicher Perspektive gibt es jedenfalls keine zwingende Antwort. Es ist deshalb wichtig, dass sich alle Beteiligten einbringen und die rechtliche und politische Diskussion nun Fahrt aufnimmt.

Jan Christian Sahl

Jan Christian Sahl ist Rechtsanwalt, Senior Manager beim Bundesverband der deutschen Industrie e.V. (BDI) und Lehrbeauftragter für Öffentliches Recht an der Hochschule für Wirtschaft und Recht Berlin. Jurastudium, Referendariat und Promotion in Bonn, Berlin, Zürich, Kapstadt und Malta.

Nach einer Tätigkeit für die Wissenschaftlichen Dienste des Deutschen Bundestages arbeitete er für internationale Kanzleien und Beratungsunternehmen in Berlin und Brüssel. Beim BDI ist er tätig für die im Jahr 2015 neu geschaffene Abteilung Digitalisierung und industrielle Wertschöpfungsstrukturen.

[1] Hackenberg, in: Hoeren/Sieber/Holznagel, Multimedia-Recht, 41. EGL, Teil 16.7 Rn. 6 m.w.N.

[2] BDI, Digitale Agenda der deutschen Industrie, 2015, S. 9 (http:// www.bdi.eu/Publikationen-Flyer_20101.htm)

[3] KPMG, Mit Daten Werte schaffen, 2015, S. 7; Mitteilung der Europäischen Kommission, Für eine florierende datengesteuerte Wirtschaft, COM(2014) 442 final, S. 5; Hackenberg in Hoeren/Sieber/Holznagel, Multimedia-Recht, 41. EGL, Teil 16.7 Rn. 1 ff. m.w.N.

[4] Die dahinter liegenden gesamtwirtschaftlichen Wertschöpfung seffekte dürften sogar noch um ein Vielfaches höher liegen.

[5] Mitteilung der Europäischen Kommission, Für eine florierende datengesteuerte Wirtschaft, COM(2014) 442 final, S. 2.

[6] KPMG, Mit Daten Werte schaffen, 2015, S. 7.

[7] Martini, Big Data als Herausforderung für den Persönlichkeitsschutz und das Datenschutzrecht, DVBl. 2014, 1481, 1482.

[8] Eingehend hierzu KPMG, Mit Daten Werte schaffen, 2015, S. 35.

[9] Zur unterschiedlichen Intensität, mit der (Industrie-)Branchen von der Digitalisierung erfasst werden, vgl. Roland Berger Strategy Consultants, Die digitale Transformation der Industrie, Langfassung, 2015 (http://www.rolandberger.de/medien/publikationen/2015-03-17-rbsc-pub-die_digitale_transformation_der_industrie.html).

[10] Zu den Unterschieden der einzelnen Analysearten und ihrer momentanen Nutzung durch deutsche Unternehmen vgl. KPMG, Mit Daten Werte schaffen, 2015, S. 29 f

[11] Zahlreiche Beispiele für konkrete Big Data-Projekte bei BITKOM, Big Data und Geschäftsmodell-Innovationen in der Praxis: 40+ Beispiele, Leitfaden, 2015.

[12] Martini, Big Data als Herausforderung für den Persönlichkeitsschutz und das Datenschutzrecht DVBl. 2014, 1481, 1481.

[13] Dorner, Big Data und „Dateneigentum“, CR 2014, 617, 618.

[14] In der rechtspolitischen und öffentlichen Debatte werden diese Daten auch als „Maschinendaten“, „Industriedaten“, „Sachdaten“ oder „Anwenderdaten“ bezeichnet. Da sich diese Datenkategorie vor allem durch den nicht vorhandenen Personenbezug auszeichnet, werden sie in diesem Text allgemein als „nichtpersonenbezogene Daten“ bezeichnet.

[15] So hat die Unternehmensberatung Boston Consulting Group, The Trust Advantage – How to Win with Big Data, 2013 (abrufbar unter http://www.bcg.de/documents/file148327.pdf) in einer Untersuchung herausgefunden: Der Prozentsatz der in Deutschland befragten Nutzer, die bereit sind, ihre personenbezogenen Daten mit Unternehmen zu teilen, sinkt von 57 Prozent („mit Vertrauen in den korrekten Umgang“) auf 4 Prozent („ohne Vertrauen in den korrekten Umgang“).

[16] Vgl. etwa die Befragung des BITKOM vom Juni 2014, wonach die Anzahl der Internetnutzer, die die Sicherheit ihrer persönlichen Daten im Internet als eher unsicher bzw. völlig unsicher einschätzen, von 55 Prozent (2011) auf 86 Prozent (Juni 2014) zugenommen hat.

[17] Hierzu Oermann, Das „Kommunikationspanopticon“ als Herausforderung für die Datenschutzregulierung von inkludierenden Onlinekommunikationsdiensten, Tagungsband 2013 der Deutschen Stiftung für Recht und Informatik, S. 53, 58 f. m.w.N.

[18] Vgl. hierzu die Studie der Unternehmensberatung Roland Berger Strategy Consultants, Die digitale Transformation der Industrie, 2015, S. 9 ff. Danach beträgt der Wertschöpfungsverlust in Europa im Fall einer nicht erfolgreich verlaufenden digitalen Transformation der Industrie (durch Verlust von Wertschöpfungsanteilen und Kundenschnittstellen) 605 Milliarden Euro bis zum Jahr 2025 (im Gegensatz hierzu steht ein prognostizierter Wertschöpfungszuwachs von 1,25 Billionen in Europa bis zum Jahr 2015, sofern die digitale Transformation der europäischen Industrie erfolgreich verläuft). Die Studie ist abrufbar unter http://www.bdi.eu/download_content/InformationUndTelekommunikation/Digitale_Transformation.pdf.

[19] Masing, Herausforderungen des Datenschutzes, NJW 2012, 2305, 2305.

[20] Martini, Big Data als Herausforderung für den Persönlichkeitsschutz und das Datenschutzrecht, DVBl. 2014, 1481, 1484. Ähnlich auch Masing, Herausforderungen des Datenschutzes, NJW 2012, 2305, 2308.

[21] Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr

[22] Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (DatenschutzGrundverordnung), KOM2012 11 endgültig.

[23] Das gilt insbesondere für Kapitel II (Art. 5 ff.) DSGVO.

[24] Grimm, Der Datenschutz vor einer Neuorientierung, JZ 2013, 585, 585; Dehmel, Datenschutz in der global vernetzten Wirtschaft – ein europäischer Exportschlager?, ZD 2015, 197, 198; Schneider/Härting, Datenschutz in Europa – Plädoyer für einen Neubeginn, CR 2014, 306, 308.

[25] Lessig, Code is Law – On Liberty in Cyberspace, Harvard Magazine, Januar/Februar 2000 (http://harvardmagazine.com/2000/01/codeis-law-html).

[26] Vgl. etwa BVerfGE 83, 130, 143.

[27] Masing, Herausforderungen des Datenschutzes, NJW 2012, 2305, 2309. Hierzu ausführlicher sogleich unter III. 1. b. bb. (Einwilligung und Zweckbindung)

[28] Grimm, Der Datenschutz vor einer Neuorientierung, JZ 2013, 585, 586.

[29] Masing, Datenschutz – ein unterentwickeltes oder überzogenes Grundrecht?, Sonderveröffentlichung RDV 2/2014, 3, 4.

[30] Grimm, Der Datenschutz vor einer Neuorientierung, JZ 2013, 585, 586; Masing, Herausforderungen des Datenschutzes, NJW 2012, 2305, 2309. Allgemein zur Reichweite der mittelbaren Schutzwirkung BVerfGE 128, 226, 248 f.

[31] Umfassender – jedenfalls aus Sicht der deutschen Industrie – die Stellungnahme des BDI zur DSGVO vom September 2014, abrufbar unter http://www.bdi.eu/download_content/RechtUndOeffentlichesAuftragswesen/BDI-Stellungnahme_Datenschutz-GVO_Fassung_des_EP.pdf.

[32] Dehmel, ZD 2015, Datenschutz in der global vernetzten Wirtschaft – ein europäischer Exportschlager?, 197, 198.

[33] Vgl. zu dieser sog. „faktischen“ Anonymisierung Dammann in: Simitis, BDSG, § 3 Rn 196 mit zahlreichen weiteren Nachweisen aus Literatur und Rechtsprechung.

[34] So die herrschende Lehre, vgl. hierzu Scholz in Simitis, BDSG, § 3 Rn. 217 m.w.N.

[35] Schneider/Härting, Datenschutz in Europa – Plädoyer für einen Neubeginn, CR 2014, 306, 310.

[36] Scholz, in: Simitis, BDSG, § 3 Rn 215

[37] In Deutschland ist ein solches Vorgehen nach § 15 Abs. 3 TMG zulässig.

[38] Kühling/Klar, Unsicherheitsfaktor Datenschutzrecht – Das Beispiel des Personenbezugs und der Anonymität, NJW 2012, 3611, 3617.

[39] Martini, Big Data als Herausforderung für den Persönlichkeitsschutz und das Datenschutzrecht, DVBl. 2014, 1481

[40] Vgl. Simitis, in: Simitis, BDSG, § 4a Rn. 77 ff

[41] Dies widerspricht auch nicht geltendem Recht, denn die DSRL lässt in Art. 6 Abs. 1 b an Stelle einer strengen Zweckbindung eine Zweckvereinbarkeit zu, die weniger restriktiv ist, vgl. hierzu Ohrtmann/ Schwiering, Big Data und Datenschutz – Rechtliche Herausforderungen und Lösungsansätze, NJW 2014, 2984, 2987.

[42] Mayer-Schönberger/Cukier, Big Data: Die Revolution, die unser Leben verändern wird, S. 193; Katko/Babaei-Beigi, Accountability statt Einwilligung? Führt Big Data zum Paradigmenwechsel im Datenschutzrecht?, MMR 2014, 360, 362.

[43] Dehmel, ZD 2015, Datenschutz in der global vernetzten Wirtschaft – ein europäischer Exportschlager?, 197, 198.

[44] Stresemann, Münchener Kommentar zum BGB, 6. Aufl., § 90 Rn. 1

[45] Peschel/Rockstroh, Big Data in der Industrie, MMR 2014, 571, 572; Dorner, Big Data und „Dateneigentum“, CR 2014, 617; 620. A.A. Hoeren, Dateneigentum, MMR 2013, 486 ff.

[46] Vgl. etwa Dreier, in: Dreier/Schulze, UrhG, 4. Aufl., § 87a Rn. 11 ff.

[47] Dorner, Big Data und „Dateneigentum“, CR 2014, 617, 622; Zech, Daten als Wirtschaftsgut – Überlegungen zu einem „Recht des Datenerzeugers“, CR 2015, 137, 143

[48] BGH, GRUR 55, 424, 425.

[49] Vorschlag für eine Richtlinie des Europäischen Parlaments und des Rates über den Schutz vertraulichen Know-hows und vertraulicher G eschäftsinformationen (Geschäftsgeheimnisse) vor rechtswidrigem Erwerb sowie rechtswidriger Nutzung und Offenlegung, COM(2013) 813 final.

[50] Peschel/Rockstroh, Big Data in der Industrie, MMR 2014, 571, 572.

[51] Skeptisch Dorner, Big Data und „Dateneigentum“, CR 2014, 617, 625, der zudem darauf hinweist, dass ohne einen solchen Nachweis eine neue Schutzrechtsverleihung als Eingriff in die Wettbewerbs- und Informationsordnung ungerechtfertigt sei. Für die Einführung eines neuen gesetzlichen Schutzrechts hingegen Zech, Daten als Wirtschaftsgut – Überlegungen zu einem „Recht des Datenerzeugers“, CR 2015, 137, 146.