IT-BUSINESS Aktion:

#ITfightsCorona

Teilweise gesetzliches Niemandsland

Datenschätze brauchen vertraglichen Schutz

| Autor / Redakteur: Dr. Stefan Krüger / Sarah Gandorfer

Das Datenschutzrecht ist für anonymisierte oder aggregierte Daten nicht anwendbar.
Das Datenschutzrecht ist für anonymisierte oder aggregierte Daten nicht anwendbar. (Bild: bluedesign - stock.adobe.com)

Daten sind der Treibstoff der modernen Wirtschaft. Dennoch ist unklar, welche Rechte an ihnen bestehen und wer Anspruch auf sie hat. Damit besteht in vielen Fällen keine Möglichkeit, Datenmissbrauch durch Dritte zu verhindern. Unternehmen sollten daher einen besonderen Schutz ihrer Daten mit Geschäftspartnern vertraglich fixieren.

Was ihre Daten angeht, befinden sich die meisten Unternehmen in einem Zwiespalt: Auf der einen Seite legen sie enormen Wert darauf, umfangreiche Daten zu sammeln und sie gewinnbringend weiterzuverwenden. Auf der anderen Seite fehlt ihnen aber rein rechtlich betrachtet eine Regelung dazu, welche Rechte sie wirklich an ihren Datenschätzen haben. Sollten beispielsweise andere Unternehmen in den Besitz der Daten gelangen, dürften sie diese in vielen Fällen ebenfalls verwenden – straffrei und ohne um Erlaubnis zu bitten. Der Weg zu einem Gesetz, um diese rechtliche Grauzone auszuleuchten, ist noch weit. Doch es gibt eine Lösung: Unternehmen sollten die Rechte an den Daten mit ihren Geschäftspartnern vertraglich absichern.

Der Kern des Problems

Die meisten Menschen denken beim Schutz von Daten erstmal an das Datenschutzrecht. Das ist auch insofern richtig, als dass das wichtige Datenschutzrecht Einzelpersonen vor einem Missbrauch ihrer Daten schützt – aber nur diese! Das Gesetz greift lediglich bei personenbezogenen Daten, also bei Datensätzen, die konkreten Individuen zugeordnet werden können. Dies bedeutet, dass das Datenschutzrecht für anonymisierte oder aggregierte Daten nicht anwendbar ist.

Das Gesetz bestimmt auch nicht, wem erhobene Daten „gehören“, sprich: Das wirtschaftliche Verwertungsrecht wird davon nicht berührt. Dass Daten, die unfreiwillig an die Öffentlichkeit gelangen, von allen benutzt werden dürfen, ist ein enormes Risiko. Dies gilt gerade für Unternehmen mit digitalen Geschäftsmodellen, bei denen die Daten oftmals wertvoller sind als die eigentlichen Produkte oder Dienstleistungen.

Gesetzliches Niemandsland

Aber auch andere Gesetze landen zu kurz: Das Eigentumsrecht am Speichermedium schützt beispielsweise nur den Server-Eigentümer, nicht aber die Daten, die auf dem Server gespeichert sind. In Zeiten von Cloud und Software as a Service ein mehr als lückenhafter Schutz. Und das Urheberrecht ist ganz und gar unpassend, weil bei personenbezogenen sowie nicht-personenbezogenen Daten keine geistige Schöpfung eines Urhebers vorliegt.

Gibt es nun ein Datenleck, kann in vielen Fällen lediglich gegen Dritte vorgegangen werden, die Schuld daran haben. Oder anders ausgedrückt: Rechtlich ist nicht zu verhindern, dass die illegal veröffentlichten Daten eines Unternehmens durch andere genutzt werden; lediglich diejenigen, die für die Veröffentlichung verantwortlich sind, können bestraft werden. Hacker oder indiskrete Mitarbeiter zu bestrafen, mag zwar möglicherweise dem Wunsch nach Gerechtigkeit Genüge tun – den Schaden macht dies in den meisten Fällen aber nicht wieder gut. Was kann stattdessen getan werden?

Geschäftspartner zu Datenschutzpartnern machen

Unternehmen sollten von Anfang an strategisch mit der Situation umgehen und ihre Geschäftspartner früh einbinden. Konkret kann dies bedeuten, mit Unternehmen, mit denen Daten gemeinsam generiert oder zu Geschäftszwecken ausgetauscht werden, klare Verträge über Umfang und Grenzen der Nutzung abzuschließen. Denn wenn ein besonderer Schutz der Daten vertraglich festgelegt ist, ist auch jegliche Nutzung der Daten abseits des abgesteckten Rahmens rechtlich greifbar. Macht ein Unternehmen seine Hausaufgaben und schließt es Verträge, die die Rechte an Daten regeln, wird es „belohnt“, indem dann in vielen Fällen das Geschäftsgeheimnisgesetz Anwendung findet und das Verwertungsrecht an den Daten schützt.

Für einen effektiven bilateralen, vertraglich garantierten Datenschutz braucht es aber detaillierte Verträge. Dabei kommt es unbedingt auch auf folgende Punkte an:

  • Wem steht das Verwertungsrecht an den Daten grundsätzlich zu? Werden die Daten gemeinschaftlich generiert: Welchem Vertragspartner stehen welche Rechte daran zu?
  • Bei Datenlizenzierung: Welche Rechte werden dem anderen Unternehmen genau eingeräumt? Welche Daten dürfen genutzt werden? Zu welchen Zwecken?
  • Dürfen die Daten gespeichert werden? Wenn ja, wann müssen die Daten wieder gelöscht werden?
  • Dürfen sie an Dritte weitergegeben werden?
  • Wem stehen die Rechte an den Erkenntnissen zu, die aus den Daten gewonnen werden?

Über diese und andere Punkte muss sich der Inhaber der Daten klar werden und sie dann so genau wie möglich im Vertrag regeln.

Proaktiv werden

Am Ende ist eines entscheidend: Unternehmen können nicht darauf warten, dass die Gesetzgebung zu den Realitäten der datengetriebenen Wirtschaft aufschließt. Stattdessen müssen sie selber aktiv werden und versuchen, ihre Daten mit den bislang vorhandenen Möglichkeiten selber zu schützen und unberechtigte Dritte weitestgehend auszuschließen, indem eine feinmaschige vertragliche Absicherung geschaffen wird. Das kommt auch dem oft gepriesenen freien Austausch von Daten entgegen: Denn erst wenn Unternehmen ihre Daten rechtlich gesichert haben, können sie lizenziert und getauscht werden. Und gerade Letzteres ist eine attraktive Option: Die EU-Kommission setzt in ihrer im vergangenen Februar veröffentlichten Datenstrategie ganz auf das Data Sharing, auch um sich von den USA und China abzugrenzen. Die EU fördert den Austausch und die volle Nutzung des wirtschaftlichen Potenzials von Daten. Dadurch werden sie zu einem Handelsgut oder zu einer Währung, um andere Daten zu erhalten. Es wäre fatal, wenn Unternehmen dieses Potenzial zur Vermarktung verschlafen würden, weil sie sich das Verwertungsrecht an ihren Daten nicht frühzeitig vertraglich gesichert haben.

Über den Autor

Dr. Stefan Krüger ist Rechtsanwalt und Partner bei EY Law.
Dr. Stefan Krüger ist Rechtsanwalt und Partner bei EY Law. (Bild: EY Law)

Dr. Stefan Krüger ist Rechtsanwalt und Partner bei EY Law und leitet den Bereich Digitales Recht in Deutschland, Österreich und der Schweiz.

Sein Schwerpunkt liegt auf der Beratung zur Umsetzung der digitalen Agenda, zu digitalen Geschäftsmodellen (insbesondere datengestützte Dienstleistungen), zum Schutz und zur Verwertung geistiger Eigentumsrechte einschließlich Lizenzierung sowie der Vertretung von Mandanten in Verfahren vor deutschen Gerichten und Gerichten der Europäischen Union.

Kommentare werden geladen....

Sie wollen diesen Beitrag kommentieren? Schreiben Sie uns hier

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 46557672 / Recht)