Kommentar von Prof. Dr. Thomas Riehm, Universität Passau
Wem gehören die Daten?
Daten sind nicht nur das 'Öl der digitalen Wirtschaft', sondern Gegenstand einer neuartigen Wertschöpfungskette. In Zeiten von Industrie 4.0 wächst daher die Konkurrenz um die Daten zusehends. Hier stellt sich die Frage: Trägt das gegenwärtige Recht dieser Entwicklung Rechnung?
Der Hauptgrund für das Wachstum der Konkurrenz um die Daten ist in ihrem Wert begründet. Dies hat auch die EU-Kommission erkannt, die schon vor - in digitalen Maßstäben - sehr langer Zeit, im Jahr 2015 prognostiziert hat, was im Markt der Daten auf uns zu kommt. So wurde geschätzt, dass bis 2020 ca. 16 Zettabyte nutzbare Daten im Umlauf sein werden. Um das greifbar zu machen: Bei geschätzten acht Miliarden Erdbewohnern wären dies zwei Terabyte an nutzbaren Daten pro Person. Hierbei handelt es sich um einen Schatz, mit dem sich eine beträchtliche Summe Geld verdienen lässt. Doch die Metapher, dass die Daten das neue Öl seien, funktioniert im doppelten Sinn: Zum einen gibt es - ähnlich dem Ölrausch - geradezu einen Datenrausch: Alle versuchen, Daten zu sammeln und damit weiterzuarbeiten, weil Daten quasi bares Geld sind. Sie sind aber auch in einem zweiten Sinne das Öl der Wirtschaft, nämlich als Schmiermittel: Wer über Daten verfügt, kann Prozesse beschleunigen und Interaktionen leichter gestalten. Darüber hinaus werden neue Wertschöpfungsketten gebildet, die auf Daten basieren. Ein einzelnes Datum entsteht, wird also produziert, dann gesammelt, analysiert, weiterverarbeitet - sozusagen veredelt - und dient so als Grundlage neuer Geschäftsmodelle, also letztlich zur Innovation. Das Schöne - und für Juristen unglaublich schwierige - an Daten ist, dass sie ortslos und vollkommen mobil sind. Sie lassen sich, anders als z.B. Industrieanlagen, nicht vor Ort regulieren, sondern Daten fließen letztlich dahin, wo die geringsten Widerstände sind. Auch das ist ein Teil der Ölmetapher. Ein weiteres Problem aus juristischer Sicht ist, dass sie nicht rival sind, das heißt dieselben Daten können gleichzeitig von vielen Leuten genutzt werden. Dass sie weltweit gleichzeitig verfügbar sind, macht es schwer sie zu schützen, sie sind also sozusagen sehr verletzlich.
Wer will die Daten?
Anhand eines automatisierten Schraubsystems lässt sich darstellen, für wen die gesammelten Daten relevant sein können. Aus einem solchen Gerät lässt sich z.B. auslesen, in welcher Position zu welchem Zeitpunkt was für eine Schraube mit welchem Drehmoment angezogen wurde. Wer will diese Daten haben? Als erstes der Roboterhersteller: Er wird sein Produkt optimieren wollen, er wird die Daten für gezieltes Marketing (z.B. für Zubehör) und für Predictive Maintenance nutzen wollen. Darüber hinaus gibt es innerhalb des Roboters einzelne Komponenten, deren Hersteller sich ebenfalls für die Daten interessieren, aus den gleichen Gründen. Dann haben wir den Betreiber des Einsatzortes - sozusagen den Endnutzer. Diesen interessieren die Daten aus Compliance-Gründen, wenn z.B. ein Werkstück, dass mit diesem Roboter hergestellt wurde, versagt. Auch wird er die Performance optimieren wollen. Theoretisch könnte er - und da wird es dann juristisch kritisch - die Daten aber auch zur Arbeitnehmerüberwachung verwenden. Das ist nur ein kleiner Schritt: Wenn er genau weiß, was der Roboter wann getan hat, muss er nur noch einen Schichtplan daneben legen und weiß, wie viele Arbeitsschritte jeder Arbeitnehmer in seiner Schicht schafft. In der Zukunft ist der Endnutzer - also Betreiber des Einsatzortes - gar nicht mehr unbedingt der wirtschaftliche Betreiber des Roboters. Hier ist man bei dem Modell 'as-a-Service', bei welchem nicht mehr der Roboter verkauft oder verleast wird, sondern Schweißnähte oder Verschraubungen im Abo verkauft werden. Auch dieser Betreiber ist an den Daten für Abrechnungszwecke, aber auch für Maintenance oder Compliance interessiert. Und noch jemand kann im Spiel sein, wie z.B. eine Bank oder eine Leasinggesellschaft, die den Roboter finanziert. Relevant ist für sie, wie stark der Roboter abgenutzt wird und ob er noch eine taugliche Sicherheit für den Kredit ist, mit dem er finanziert wurde.
Die Sonderrolle des Datenschutzrechts
Das Datenschutzrecht (DSGVO, BDSG) schützt nur personenbezogene Daten. Für maschinengenerierte Daten ist die DSGVO schlicht nicht anwendbar, es sei denn - Stichwort Arbeiterkontrolle - sie sind doch irgendwie verknüpfbar: Dann werden diese sofort personenbezogen. Was für maschinengenerierte Daten aber tatsächlich gilt, ist eine Verordnung der EU, die zum 29. Mai 2019 in Kraft getreten ist: die 'Free Flow of Data'-Verordnung. Diese Verordnung sieht allerdings im Wesentlichen nur ein Verbot gesetzlicher Lokalisierungspflichten innerhalb der EU vor, das heißt der Gesetzgeber darf nicht verlangen, dass die Daten auf einem Server in Deutschland liegen und z.B. einen französischen Server ausschließen. Für außereuropäische Standorte ist dies durchaus möglich. Ein zweiter Aspekt der Verordnung ist eine Verpflichtung zur Selbstregulierung für die Anbieter von solchen Datenmodellen: Diese sollen sich an einen Tisch setzen und einen Code of Conduct erarbeiten indem sie die Portabilität von Daten gestalten wollen. Ansonsten gibt es auf der europäischen Ebene, Stand heute, keine gesetzliche Regelung. Doch auch auf Bundesebene gibt es praktisch keine umfassende gesetzliche Regelung, laut einer Stellungnahme der Arbeitsgruppe "Digitaler Neustart" der Justizministerkonferenz soll es insbesondere kein Eigentumsrecht an Daten geben.
Gesetzliche Schutzrechte an Daten
Daten als solche sind von der Rechtsordnung danach nicht erfasst. Bisher konnte sich die Rechtsprechung damit behelfen, die Daten nur mittelbar über das Eigentum am Datenträger zu schützen. Der Eigentümer der Festplatte ist auch gegen den Verlust oder die Änderung von Daten darauf geschützt. Das kann in haftungsrechtlichen Zusammenhängen sinnvoll sein, um dem Eigentümer einen Schadensersatzanspruch zu gewährleisten. Schwierig wird dies dagegen bei Cloudlösungen. Im Strafrecht gibt es zum Thema Daten zwei wesentliche Straftatbestände: Das Ausspähen von Daten und die Datenveränderung. Aber auch diese Normen beantworten nicht, wann Daten fremd sind, sondern setzen eine rechtliche Zuordnung schon voraus. §202a StGB spricht nur von: "Daten, die nicht für ihn bestimmt und die gegen unberechtigten Zugang besonders gesichert sind". Aber für wen Daten bestimmt sind, bleibt ungeklärt. §303a StGB spricht noch nicht einmal von fremden Daten: "Wer rechtswidrig Daten löscht, unterdrückt, unbrauchbar macht oder verändert...". Das bedeutet: Seine eigenen Daten darf man rechtmäßiger Weise immer löschen. Aber wann sind Daten meine eigenen? Ob Daten also für jemanden "bestimmt" sind, bzw. ob die Löschung etc. "rechtswidrig" ist, muss die übrige Rechtsordnung beantworten. Das sagt auch das Strafrecht nicht. Ausgangspunkt der herrschenden Auffassung ist der sogenannte Skripturakt, der besagt: Wer die Daten speichert, dem sind sie erst einmal zugeordnet. Schwierig wird dies bei Kooperationen: In diesen Fällen wird man zunächst auf das Vertragsrecht zurückgreifen müssen und sich vertraglich einigen, wer Zugriffs- oder Exklusivrechte hat. Wovon man sich nicht allzu viel Schutz für Industriedaten versprechen sollte, sind dagegen die Immaterialgüterrechte. So gibt es zwar ein Urheberrecht, aber nicht für maschinengenerierte Daten, bei denen es sich nicht um eine geistige Schöpfung handelt. Weiter existiert ein Software-Schutz, aber dieser gilt nur für Programme, nicht für aufgezeichnete Daten. Dann gibt es das Datenbankschutzrecht, also ein spezielles Leistungsschutzrecht für Datenbankhersteller, aber auch das schützt nicht das einzelne Datum, sondern nur die Investition in eine Datenbank. Die Einzelinformationen sind nicht geschützt. Ein Patentschutz greift ebenfalls nicht, denn Daten als solche sind nicht zu patentieren. Tatsächlich relevant ist seit März 2019 das neue Gesetz zum Schutz von Geschäftsgeheimnissen, basierend auf einer europäischen Richtlinie. Hierunter fallen tatsächlich Daten, soweit sie Geschäftsgeheimnisse sind. Damit es unter diesen Geheimnisschutz fällt, darf eine Information allerdings weder allgemein bekannt noch ohne weiteres zugänglich sein, und daher von wirtschaftlichem Wert sein. Dies trifft auf wesentliche Industriedaten zu. Ein entscheidender Punkt ist jedoch folgender: Die Information muss Gegenstand von den Umständen nach angemessenen Geheimhaltungsmaßnahmen sein. Da kommt das Thema Security ins Spiel: Wenn Daten technisch und organisatorisch nicht geschützt sind, wenn Protokolle genutzt werden, die einfach abhörbar sind, wenn die Daten auf ungeschützten Servern liegen, dann kann man sich auch nicht auf den gesetzlichen Schutz stützen. Ungeklärt bleiben darüber hinaus auch hier die Fragen nach dem Schutz des einzelnen Datums oder nach der Rechtslage in Kooperationen und Joint Ventures.
Verträge über Daten
Die wichtigste Möglichkeit ist daher weiterhin, das Thema Daten vertraglich zu regeln. Ausgangspunkt ist hier in jedem Falle, dass ein oder mehrere Beteiligten Daten generieren und somit die faktische Herrschaft über die Daten besitzen. Abweichungen von diesem Erstzugriff müssen vertraglich vereinbart werden. Hierbei ist zu beachten, was was überhaupt vertraglich geregelt werden kann:
- • Zugriffs- und Nutzungsrechte (Wer darf zu welchem Zweck wie darauf zugreifen?)
- • Zugriffs- und Nutzungsverbote (Wer darf was nicht mit ihnen machen?)
- • Schadensersatzansprüche und/oder Vertragsstrafen bei Verstößen gegen diese Vereinbarungen
Vertraglich nicht geregelt werden kann dagegen:
- • Schutz gegen Ausspähen und unbefugte Weiterverwertung durch Dritte
- • Schutz von Daten gegen Manipulation oder Löschung durch Dritte
Inwiefern Daten als Kreditsicherungsmittel genutzt werden können, ist noch völlig ungeklärt (Insolvenzschutz).
Fazit
Gibt es juristisch gesehen ein Eigentum an Daten? Die Antwort ist klar: Nein denn die derzeitige Rechtsordnungkennt kein allgemeines Recht, selbst erzeugte oder rechtmäßig erworbene Daten wirtschaftlich zu nutzen und andere von deren Nutzung abzuhalten. Geht man von der Position der Arbeitsgruppe 'Digitaler Neustart' der Justizministerkonferenz aus dem Jahr 2017 aus, wird sich dies sobald auch nicht ändern: "Festzuhalten ist demzufolge, dass für die gesetzliche Bestimmung einer besonderen Rechtsqualität von Daten bzw. die Schaffung eines absoluten Rechts an daten derzeit kein Bedarf besteht." Der gesetzgeberische Trend geht hier vielmehr in Richtung Free-Flow-of-Data und Open Access, da man verhindern will, dass im Industriesektor neue Datenmonopolisten entstehen.
Daten sind nicht nur das 'Öl der digitalen Wirtschaft', sondern Gegenstand einer neuartigen Wertschöpfungskette. In Zeiten von Industrie 4.0 wächst daher die Konkurrenz um die Daten zusehends. Hier stellt sich die Frage: Trägt das gegenwärtige Recht dieser Entwicklung Rechnung?
Der Hauptgrund für das Wachstum der Konkurrenz um die Daten ist in ihrem Wert begründet. Dies hat auch die EU-Kommission erkannt, die schon vor - in digitalen Maßstäben - sehr langer Zeit, im Jahr 2015 prognostiziert hat, was im Markt der Daten auf uns zu kommt. So wurde geschätzt, dass bis 2020 ca. 16 Zettabyte nutzbare Daten im Umlauf sein werden. Um das greifbar zu machen: Bei geschätzten acht Miliarden Erdbewohnern wären dies zwei Terabyte an nutzbaren Daten pro Person. Hierbei handelt es sich um einen Schatz, mit dem sich eine beträchtliche Summe Geld verdienen lässt. Doch die Metapher, dass die Daten das neue Öl seien, funktioniert im doppelten Sinn: Zum einen gibt es - ähnlich dem Ölrausch - geradezu einen Datenrausch: Alle versuchen, Daten zu sammeln und damit weiterzuarbeiten, weil Daten quasi bares Geld sind. Sie sind aber auch in einem zweiten Sinne das Öl der Wirtschaft, nämlich als Schmiermittel: Wer über Daten verfügt, kann Prozesse beschleunigen und Interaktionen leichter gestalten. Darüber hinaus werden neue Wertschöpfungsketten gebildet, die auf Daten basieren. Ein einzelnes Datum entsteht, wird also produziert, dann gesammelt, analysiert, weiterverarbeitet - sozusagen veredelt - und dient so als Grundlage neuer Geschäftsmodelle, also letztlich zur Innovation. Das Schöne - und für Juristen unglaublich schwierige - an Daten ist, dass sie ortslos und vollkommen mobil sind. Sie lassen sich, anders als z.B. Industrieanlagen, nicht vor Ort regulieren, sondern Daten fließen letztlich dahin, wo die geringsten Widerstände sind. Auch das ist ein Teil der Ölmetapher. Ein weiteres Problem aus juristischer Sicht ist, dass sie nicht rival sind, das heißt dieselben Daten können gleichzeitig von vielen Leuten genutzt werden. Dass sie weltweit gleichzeitig verfügbar sind, macht es schwer sie zu schützen, sie sind also sozusagen sehr verletzlich.
Universität Passau
Dieser Artikel erschien in SPS-MAGAZIN 5 2019 - 15.05.19.Für weitere Artikel besuchen Sie www.sps-magazin.de