Kommunikation
&Recht
Betriebs-Berater für
Medien Telekommunikation Multimedia
9
K&R
Editorial: Strategie für einen digitalen europäischen Binnenmarkt
Günther H. Oettinger
537 Elektronische Signatur und das besondere elektronische
Anwaltspostfach: FördElRV update 2016
Dr. Arnd-Christian Kulow
543 Gegenwart und Zukunft der Alterskennzeichnung von Mobile Apps
Felix Hilgert und Philipp Sümmermann
549 Trefferlisten seiteninterner Suchmaschinen in Handelsplattformen
und Markenrecht · Dr. Alexander R. Klett und Maria Ottermann
555 Urheberrechtsverletzung durch Werbung für rechtsverletzendes
Produkt · Dr. Dennis Voigt
556 Filmen während der Fahrt – der rechtliche Umgang mit Dashcams
Michael Terhaag und Christian Schwarz
559 Datenschutzrecht und Webseiten: Welches Recht ist anwendbar und
welche Aufsichtsbehörde ist zuständig? · Dr. Carlo Piltz
563 Das medienrechtliche Must-Carry-Regime und das Kartellrecht –
ein schwieriges Verhältnis · Prof. Dr. Karl-E. Hain
566 Länderreport Schweiz · Dr. Ursula Widmer
600 LG Frankfurt a. M.: Sofortüberweisung stellt keine zumutbare
kostenfreie Zahlungsmöglichkeit dar
mit Kommentar von Dr. Martin Schirmbacher
608 Glosse: Nein, nein, nein und nochmals nein! · Michael Schmuck
Beihefter 3/2015
Daten als Geschäftsmodell
Dr. Flemming Moos, Marian Alexander Arning und
Dr. Jens Schefzig
18. Jahrgang
September 2015
·
Seiten 537– 608
Kommunikation
& Recht
K &R
Beihefter 3/2015 zu Heft 9
Daten als Geschftsmodell
Herausgeber:
RA Dr. Flemming Moos,
RA Marian Alexander Arning, LL.M. und
RA Dr. Jens Schefzig, Hamburg
Inhaltsbersicht
Daten als Geschftsmodell – rechtliche
Herausforderungen und Gestaltungsanforderungen im bergang zum Datenzeitalter
RA Dr. Flemming Moos, RA Marian Alexander
Arning, LL.M. und RA Dr. Jens Schefzig,
Hamburg. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2
Datenpools – Big Data datenschutzkonform umsetzen
RA Marian Alexander Arning, LL.M.,
Hamburg. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
„Geht nicht“ gibt es nicht: Datennutzung
als rechtliche Gestaltungsaufgabe
RA Dr. Flemming Moos, Hamburg. . . . . . . . . . . . . . . 12
Wem gehçrt das neue l? –
Die Sicherung der Rechte an Daten
RA Dr. Jens Schefzig, Hamburg . . . . . . . . . . . . . . . . . . . 3
dfv Mediengruppe, Mainzer Landstr. 251, 60326 Frankfurt a. M.
2
Beihefter 3/2015 zu Heft 9
Daten sind das l der Zukunft, diesbezglich
sind sich alle Analysten einig. Die Quelle sprudelt dabei fortwhrend, denn dank zunehmender Vernetzung von Mensch und Maschine
steigt die Menge der verfgbaren Daten exponentiell. Die Unternehmen mssen die Daten
nur noch gewinnbringend verwerten. Das Einsortieren datengetriebener Geschftsmodelle
in Schubladen mit den Bezeichnungen „Industrie 4.0“, „Big Data“, „Internet der Dinge“ etc.
suggeriert dabei, dass die Unternehmen sich
auf schon einigermaßen bekanntem Terrain
bewegen und der Umsetzungspfad klar vorge-
K &R
bergang ins Datenzeitalter in Angriff zu nehmen. Denn durch frhzeitige, aktive rechtliche
Gestaltung der Datenhaushaltung lassen sich
viele der anderenfalls aufkommenden Probleme vermeiden. Dieser imminente Handlungsbedarf bei den Unternehmen hatte uns
veranlasst, im Mai 2015 in unserer Kanzlei eine
Vortragsveranstaltung zu ausgewhlten rechtlichen Fragestellungen zu organisieren, die es
hierbei aus Unternehmenssicht zu bewltigen
gilt. Bei den nachfolgenden drei Beitrgen handelt es sich um die ausformulierten und erweiterten Fassungen der von Rechtsanwlten von
RA Dr. Flemming Moos, RA Marian Alexander Arning, LL.M. und
RA Dr. Jens Schefzig, Hamburg*
Daten als Geschftsmodell – rechtliche
Herausforderungen und Gestaltungsanforderungen im bergang zum Datenzeitalter
zeichnet ist. Doch dieser Eindruck tuscht. Die
Entwicklung der neuen, datengetriebenen Geschftsmodelle steht erst am Anfang – dasselbe
gilt auch und gerade fr deren rechtliche Absicherung. Die Verwertung von Daten birgt
zahlreiche rechtliche Herausforderungen. Die
unklare Lage bezglich der Rechte an Daten,
die konkreten Beschrnkungen aus der Zweckbindung von personenbezogenen Daten und
die Anforderungen an deren nachhaltige Anonymisierung sind nur drei Beispiele fr derartige offene Punkte.
Ein klarer und verlsslicher gesetzlicher Handlungsrahmen ist aber von entscheidender Bedeutung, wenn hiesige Unternehmen ihre Geschftsmodelle erfolgreich an das Datenzeitalter anpassen sollen. Das ist auch dem Gesetzgeber bewusst. So hat die Europische Kommission explizit den „Aufbau einer Datenwirtschaft“ als einen wesentlichen Grundpfeiler
ihrer am 6. 5. 2015 verçffentlichten Strategie
fr den digitalen Binnenmarkt in Europa benannt. Ihr Ziel ist es hierbei, bereits im Jahr
2016 diverse Initiativen auf den Weg zu bringen, um technische und rechtliche Hindernisse
aus dem Weg zu rumen, die u. a. die Klarheit
von Datennutzungsrechten und die grenzberschreitende Datennutzung betreffen.
Die technische Entwicklung und die außereuropischen Wettbewerber warten aber leider
nicht auf den Gesetzgeber. Den Unternehmen
bleibt deshalb nichts brig, als schon heute auf
Basis des bestehenden Rechtsrahmens den
Osborne Clarke auf dieser Veranstaltung gehaltenen Vortrge.
Der erste Aspekt, dem in diesem Zusammenhang auf den Grund gegangen wurde, war das
Bestehen und die Sicherung von Rechten an
Daten. Dieser Problemstellung widmet sich
Schefzig in seinem Beitrag: „Wem gehçrt das
neue l? – Die Sicherung der Rechte an Daten“.
Der zweite Beitrag von Arning mit dem Titel
„Datenpools – Big Data datenschutzkonform
umsetzen“ behandelt die Umsetzung von Big
Data-Anwendungen durch Unternehmen und
zeigt auf, welche datenschutzrechtlichen
Anforderungen hierbei zu beachten sind und
wie Big Data-Projekte datenschutzkonform
durchgefhrt werden kçnnen.
Der letzte Beitrag mit der berschrift „‚Geht
nicht, gibt es nicht: Datennutzung als rechtliche Gestaltungsaufgabe“ wurde von Moos
verfasst. Ausgehend von der berlegung, dass
in einer datengetriebenen Wirtschaft die Erhebung und Verwendung personenbezogener
Daten das Geschftsmodell selbst oder zumindest die wesentliche Grundlage fr die Gestaltung des Produkt- und Dienstangebots darstellen wird, erlutert er anhand von Beispielen
aus der Praxis, wie der Datenschutzjurist seiner Aufgabe als strategischer Mitgestalter
nachkommen und rechtliche Gestaltungsmçglichkeiten ausnutzen kann.
*
Mehr ber die Autoren erfahren Sie auf S. 16.
K &R
3
Beihefter 3/2015 zu Heft 9
RA Dr. Jens Schefzig, Hamburg*
Wem gehçrt das neue l? – Die Sicherung der Rechte
an Daten
Mit dem steigenden Wert von Daten steigt auch das Interesse
von Unternehmen, Daten rechtlich abzusichern. Dieser Beitrag bietet einen berblick darber, welche Rechte an einem
Datenbestand existieren kçnnen und welche Mçglichkeiten
Unternehmen haben, um diese Rechte aktiv zu gestalten.
Dabei orientiert sich der Beitrag an den mçglichen Rechtsobjekten, auf die sich die Rechte beziehen, nmlich (i) den
Daten selbst, (ii) der Datenbank, (iii) den Inhalten der Daten
und (iv) den Datentrgern.
I. Die Bedeutung von Daten fr Unternehmen
„Unternehmen mssen sich mit Herausforderungen auseinandersetzen, die primr mit dem Management von Daten
zusammenhngen.“ So schreibt es der BITKOM.1
Aus der Perspektive des Juristen ist eine der grçßten Herausforderung beim Management von Daten deren rechtlicher
Schutz. Zusehends stellen die Fachabteilungen entsprechende Fragen an die Syndizi: Wem gehçren die Daten? Welche
Punkte sind bei der Datenhaltung zu beachten? Existiert ein
rechtlicher Schutz gegenber dem Zugriff von Dritten? Wie
ist beim Austausch von Daten mit Dritten vorzugehen?
Dieser Beitrag bietet einen berblick ber die Antworten auf
diese Fragen. Insbesondere stellt er dar, wo sich fr Unternehmen Ansatzpunkte bieten, die Rechte an Daten aktiv zu
gestalten. Denn in der juristischen Praxis zeigt sich laufend,
dass die versptete Adressierung der oben aufgefhrten Fragen dazu fhrt, dass den betroffenen Unternehmen vermeidbare Kosten entstehen oder sie mçgliche Einnahmen nicht
realisieren.
II. Abgrenzung der relevanten Rechtsobjekte
Daten existieren nicht autonom, sondern bençtigen einen
Datentrger. Der besondere Wert von Daten ergibt sich dabei
regelmßig nicht aus den Daten als solchen, sondern aus ihren
Inhalten, also dem sinnlich wahrnehmbaren Ergebnis, wenn
die Daten bestimmungsgemß ausgefhrt werden. Schließlich kann der Wert von Daten zustzlich gesteigert werden,
indem sie derart systematisiert werden, dass sie besonders
leicht zugnglich und auffindbar sind. Folglich sind bei der
rechtlichen Auseinandersetzung vier mçgliche Rechtsobjekte
zu unterscheiden: Ein Recht kann sich auf den Datentrger,
die systematisierte Darstellung der Daten, den Inhalt der
Daten oder letztlich die Daten als solche beziehen. Whrend
im juristischen Diskurs eine Differenzierung meist nach
mçglichen Rechten und nicht Rechtsobjekten erfolgt, ist fr
Unternehmen die umgekehrte Vorgehensweise empfehlenswert. Denn hufig wird ein Unternehmen nicht im Hinblick
auf alle Rechtsobjekte eigene Rechte haben. Fr potenzielle
Vertragsverhandlungen mit Kooperationspartnern ist es dann
essenziell, zu wissen, bei welchem Unternehmen im Hinblick
auf welches Rechtsobjekt welches Recht erwchst. Die
grundstzliche Unterscheidung der Rechtsobjekte ist deshalb
von großer Bedeutung.
Die Daten selbst lassen sich als maschinenlesbare, codierte
Informationen beschreiben.2 Whrend die Inhalte der Daten
die semantische Ebene widerspiegeln, konstituiert die syntaktische Ebene die Daten als solche.3
Die systematisierte Darstellung der Daten, also die Datenbank, kann ebenfalls Bezugspunkt eines Rechts sein. Entscheidend ist dabei, inwiefern die Daten auf gewisse Weise
strukturiert sind. Der Schutz folgt dann letztlich aus der
Systematisierung der Daten, beziehungsweise der Investition
in diese Systematisierung.4
Der Inhalt der Daten betrifft ihre semantische Ebene, er ist
das Ergebnis des bestimmungsgemßen Ausfhrens der Daten. Es kann sich beispielsweise um einen Text, ein Musikstck oder ein Video, aber auch um bloße Messpunkte,
handeln.
Der Datentrger ist das Speichermedium, auf dem die Daten
gespeichert sind. Das kann eine CD, eine DVD, eine Festplatte, ein USB-Stick oder ein sonstiges zur Speicherung von
Daten geeignetes Gert sein.
III. Rechtlicher Schutz der Daten selbst
1. Eigentum
Nach § 903 BGB kann der Eigentmer einer Sache, soweit
nicht das Gesetz oder Rechte Dritter entgegenstehen, mit der
Sache nach Belieben verfahren und andere von jeder Einwirkung ausschließen. Das Eigentumsrecht weist dem Eigentmer die grundstzliche Verfgungsgewalt ber sein Eigentum im Verhltnis zu Dritten zu.
Angesichts des eingangs dargestellten Wertes von Daten
scheint es naheliegend, dass auch an diesem wertvollen Gut
eine entsprechende gesetzlich statuierte Verfgungsgewalt
besteht. Der Bezugspunkt des Eigentums ist aber eine Sache
im Sinne des Zivilrechts, also nach § 90 BGB ein kçrperlicher Gegenstand. Daten sind keine kçrperlichen Gegenstnde. Aus diesem Grund geht die herrschende Meinung
davon aus, dass kein zivilrechtliches Eigentum an Daten
existiert.5
Teile der Literatur versuchen mit verschiedenen Anstzen,
trotzdem einen wenigstens eigentumshnlichen zivilrechtlichen Schutz von Daten herzuleiten. Einen Anknpfungspunkt stellten dabei stets die strafrechtlichen Regelungen dar,
die dem Schutz von Daten dienen, also insbesondere die
§§ 202 a und 303 a StGB. Aus § 303 a StGB wurde schon
frh auf ein Vollrecht an Daten analog § 903 BGB geschlossen, ohne allerdings die zivilrechtlichen Implikationen nher
zu untersuchen.6 In der jngeren Literatur ist dann ein origi* Mehr ber den Autor erfahren Sie auf S. 16.
1 BITKOM, Leitfaden Big Data im Praxiseinsatz – Szenarien, Beispiele,
Effekte, S. 11, abrufbar unter https://www.bitkom.org/Bitkom/Publikatio
nen/Publikation_4232.html, letzter Abruf: 24. 7. 2015.
2 Zech, CR 2015, 137, 138.
3 Zech, CR 2015, 137, 138.
4 Siehe dazu Ziffer IV.
5 Dorner, CR 2014, 617, 618 ff.
6 Welp, iur 1988, 443, 448; Wolf, MMR 2003, XIV, XVI.
4
nr zivilrechtliches Eigentum an Daten aus 303a StGB konstruiert worden.7 Die im Strafrecht entwickelte Analogie zu
§ 903 BGB msse auch im Zivilrecht gelten, weil hier eine
planwidrige Regelungslcke zu schließen sei.8 Allerdings ist
diese Argumentation, soweit ersichtlich, bislang von der
brigen Rechtswissenschaft nicht bernommen worden und
insbesondere fehlt entsprechende Rechtsprechung. Unternehmen kçnnen sich also, sofern keine gegenteiligen Entscheidungen ergehen oder der Gesetzgeber ttig wird, nicht darauf
verlassen, dass ihre Daten durch ein Recht analog § 903 BGB
geschtzt wren.
2. Sonstiges Recht i. S. d. § 823 Abs. 1 BGB
Ebenso wenig hat die Rechtsprechung bislang ein eigenes
Recht an Daten als sonstiges Recht i. S. d. § 823 Abs. 1 BGB
anerkannt. Zwar hat der BGH schon 1996 einen Datenbestand als „ein selbstndiges vermçgenswertes Gut“ bezeichnet, das Gericht leitet daraus aber nur ab, dass der Verlust
des Datenbestandes fr die Bestimmung der Hçhe des
Schadens von Bedeutung ist.9 Ein sonstiges Recht an Daten
ergibt sich aus dieser Rechtsprechung nicht. Auch verfassungsrechtlich lsst sich allenfalls eine Tendenz ausmachen,
Daten eine hohe Bedeutung beizumessen. Das BVerfG hat
in jngerer Zeit aus dem allgemeinen Persçnlichkeitsrecht
das Grundrecht auf Gewhrleistung der Vertraulichkeit und
Integritt informationstechnischer Systeme hergeleitet und
damit verdeutlicht, dass die neue Lebenswirklichkeit der
allgegenwrtigen Technik auch neue Rechte mit sich
bringt.10 Ausgangspunkt war dabei, dass die Nutzung der
Informationstechnik fr die Persçnlichkeit und Entfaltung
des Einzelnen eine frher nicht absehbare Bedeutung erlangt
habe.11 Die Vertraulichkeit und Integritt der genutzten
informationstechnischen Systeme sei deshalb letztlich eine
Voraussetzung fr einen effektiven Schutz des allgemeinen
Persçnlichkeitsrechts.12 Eine entsprechende Argumentation
im Hinblick auf den effektiven Schutz des Vermçgens des
Einzelnen hat die Rechtsprechung aber noch nicht entwickelt.
Teile der Literatur vertreten hingegen, dass ein Recht des
Dateninhabers an seinen Daten als sonstiges Recht i. S. d.
§ 823 Abs. 1 BGB geschtzt werden msse.13 Kern der
Argumentation ist dabei, dass auch in den unkçrperlichen
Daten erhebliche Werte verkçrpert sind und eine zunehmende Virtualisierung von Gtern zu verzeichnen sei. Die
Ungleichbehandlung von unkçrperlichen und kçrperlichen
Gegenstnden sei vor diesem Hintergrund nicht beizubehalten.14
Zwar mag die genannte Position der Literatur auch der Sichtweise von Unternehmen entsprechen, mangels korrespondierender Rechtsprechung ist aber nichtsdestoweniger davon
auszugehen, dass Daten nicht durch ein sonstiges Recht
i. S. d. § 823 Abs. 1 BGB geschtzt sind.
3. Sach- oder Rechtsfrchte
Teilweise werden Daten auch als Sach- oder Rechtsfrchte
anderer Sachen, nmlich der jeweiligen Sensoren oder aber
des Gegenstands, auf den die Daten sich beziehen, gesehen.15
In Verbindung mit den §§ 953 ff. BGB soll sich deshalb
ergeben, dass der Eigentmer des jeweiligen anderen Gegenstands automatisch auch Rechte an den Daten erwirbt. Auch
diese Argumentation ist jedoch von der Rechtsprechung,
soweit ersichtlich, noch nicht bernommen worden. Sie begegnet ohnehin grundlegenden Bedenken, weil weder § 99
BGB noch die §§ 953 ff. BGB die Sacheigenschaft und damit
die „Eigentumsfhigkeit“ der Daten begrnden.16 Sie setzen
Beihefter 3/2015 zu Heft 9
K &R
diese Eigenschaft der Frchte bzw. Erzeugnisse vielmehr
voraus, um darauf aufbauend die zivilrechtliche Zuordnung
zu regeln.
4. Geheimnisschutz
Der Geheimnisschutz ist sowohl in faktischer17 als auch in
rechtlicher Hinsicht18 ein Querschnittsthema. Im gegebenen
Rahmen sind erschçpfende Ausfhrungen daher nicht mçglich. Nher soll hier deshalb nur auf den besonders relevanten
§ 17 UWG eingegangen werden.
Schutzgut des § 17 UWG sind Betriebs- und Geschftsgeheimnisse. Grundstzlich ist ein Geschfts- oder Betriebsgeheimnis jede im Zusammenhang mit einem Betrieb stehende Tatsache, die nicht offenkundig, sondern nur einem
eng begrenzten Personenkreis bekannt ist und nach dem
bekundeten Willen des Betriebsinhabers, der auf einem ausreichenden wirtschaftlichen Interesse beruht, geheim gehalten werden soll.19 Daten sind dann Betriebs- und Geschftsgeheimnisse in diesem Sinne, wenn sie einen Bezug zum
Geschftsbetrieb des jeweiligen Unternehmens aufweisen,
nicht offenkundig sind sowie nach dem subjektiven Willen
und objektiv nachvollziehbaren berechtigten wirtschaftlichen
Interesse auch geheim bleiben sollen.20 Bei alleine betriebsintern verfgbaren Daten, die im Rahmen des Geschftsbetriebs gewonnen wurden, beispielsweise Messdaten von Produktionsanlagen, drften diese Voraussetzungen regelmßig
erfllt sein. Grundstzlich wird der Wert der Daten oder der
in ihnen verborgenen Erkenntnisse indizieren, dass es sich bei
ihnen auch um Betriebs- und Geschftsgeheimnisse handelt.21
Entscheidend fr Unternehmen ist es insoweit, den Geheimnisschutz nicht selbst zu beeintrchtigen, indem Daten çffentlich verfgbar gemacht werden. Soweit im Unternehmen ein
angemessener faktischer Geheimnisschutz etabliert ist, 22 der
den Datenbestand erfasst, wird § 17 UWG regelmßig auch
einen rechtlichen Geheimnisschutz bieten.
5. Wettbewerbsrechtlicher Schutz
Neben dem bereits dargestellten Geheimnisschutz gemß
§ 17 UWG kann das Wettbewerbsrecht auch noch in anderer
Hinsicht die Datenbestnde eines Unternehmens schtzen.
Falls Daten gelçscht oder in anderer Weise unbrauchbar
gemacht werden, kann darin eine gezielte Behinderung von
Wettbewerbern nach § 4 Nr. 10 UWG liegen.23 Je nach konkreter Ausgestaltung einerseits des Zugriffs auf die Daten und
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
Hoeren, MMR 2013, 486, 487.
Hoeren, MMR 2013, 486, 488 f.
BGH, 2. 7. 1996 – X ZR 64/94, Rn. 17, NJW 1996, 2924 ff.
BVerfG, 27. 2. 2008 – 1 BvR 370/07, K&R 2008, 241 ff.; 1 BvR 595/07,
K&R 2008, 241 ff. = NJW 2008, 822 ff.
BVerfG, 27. 2. 2008 – 1 BvR 370/07, K&R 2008, 241 ff.; 1 BvR 595/07,
K&R 2008, 241 ff. = NJW 2008, 822, 824, Rn. 170.
BVerfG, 27. 2. 2008 – 1 BvR 370/07, K&R 2008, 241 ff.; 1 BvR 595/07,
K&R 2008, 241 ff. = NJW 2008, 822, 824, Rn. 201.
Bartsch, in: Grtzmacher, Recht der Daten und Datenbanken in Unternehmen, 2014, S. 297, 300; Redeker, CR 2011, 634, 638 f.; Spindler, in:
Leible/Lehmann/Zech, Unkçrperliche Gter im Zivilrecht, 2011, S. 270,
277 f.; Zech, Information als Schutzgegenstand, 2012, S. 386 f.
Bartsch, in: Grtzmacher (Fn. 13), S. 297, 300; Redeker, CR 2011, 634,
638 f.
Grosskopf, IPRB 2011, 259, 260.
Zech, CR 2015, 137, 142.
Ann, GRUR 2014, 12, 14 ff.
Dorner, CR 2014, 617, 622 f.
Ohly, in: Ohly/Sosnitza, Gesetz gegen den unlauteren Wettbewerb,
6. Aufl. 2014, § 17 UWG, Rn. 5.
Dorner, CR 2014, 617, 622.
Dorner, CR 2014, 617, 623.
Dazu ausfhrlich: Ann, GRUR 2014, 12 ff.
Zieger/Smirra, MMR 2013, 418, 421.
K &R
5
Beihefter 3/2015 zu Heft 9
andererseits ihrer Verwendung ist denkbar, dass auch die
Voraussetzungen anderer wettbewerbsrechtlicher Tatbestnde erfllt sind.
6. Strafrechtlicher Schutz
Im Gegensatz zum Zivilrecht bietet das Strafrecht Normen,
die originr dem Schutz von Daten dienen. So schtzen die
§§ 202 a und 202 b StGB vor dem Aussphen und Abfangen
von Daten und § 202 c StGB stellt sogar darauf abzielende
Vorbereitungshandlungen unter Strafe. Ergnzt werden diese
Vorschriften durch § 303 a StGB, der die rechtswidrige Datenvernderung verbietet.
In Verbindung mit § 823 Abs. 2 BGB ergeben sich aus diesen
strafrechtlichen Vorschriften fr Unternehmen auch zivilrechtlich durchaus weitgehende Sanktionsmçglichkeiten,
falls ihnen durch einen unbefugten Zugriff auf Daten ein
Schaden entstanden ist.
haufen“ ist aber nicht als Datenbankwerk geschtzt.28 Dieser
Trend wird sich angesichts der fortwhrenden Verbesserung
von Software voraussichtlich eher verstrken.
Letztlich ist außerdem zu beachten, dass das Auslesen einzelner Daten aus einem Datenbankwerk nicht zwangslufig
eine Urheberrechtsverletzung darstellt. Eine urheberrechtlich
relevante Vervielfltigung liegt nmlich nur vor, wenn das
Datenbankwerk als solches betroffen ist.29 Im bernommenen Teil muss noch die in der Auswahl oder Anordnung zum
Ausdruck gekommene individuelle Schçpfung erkennbar
sein.30 Das drfte schon dann nicht mehr der Fall sein, wenn
zwar die Daten komplett ausgelesen, aber beim Lesevorgang
in anderer Struktur gespeichert werden. Der dadurch entstehende Datensatz mag dann inhaltlich dem ursprnglichen
Datensatz entsprechen, das ursprngliche Datenbankwerk
wird in ihm aber nicht erkennbar sein.
2. Datenbankschutz sui generis
7. Zwischenergebnis
Zwar kennt die deutsche Rechtsordnung (noch) kein „Dateneigentum“, aber Unternehmen sind trotzdem vor dem unbefugten Zugriff auf Daten geschtzt. Dieser Schutz folgt insbesondere aus geheimnisschutzrechtlichen und strafrechtlichen Regelungen. Problematisch wird die mangelnde dingliche Zuordnung der Daten also primr dann, wenn Dritte
bestimmungsgemß auf die Daten zugreifen, wie es in einer
arbeitsteiligen Wirtschaft durchaus blich ist. In diesem Fall
fehlen gesetzliche Regelungen, die die Verwertung der Daten
regeln, weshalb die beteiligten Unternehmen eindeutige vertragliche Absprachen treffen sollten.24
IV. Rechtlicher Schutz der Datenbanken
1. Datenbankwerk
An einem Datenbankwerk in seiner Gesamtheit kann ein
Urheberrecht bestehen. Das ergibt sich aus § 4 UrhG. Nach
§ 4 Abs. 1 UrhG werden Sammelwerke, also Sammlungen
von Werken, Daten oder anderen unabhngigen Elementen,
die aufgrund der Auswahl oder Anordnung der Elemente
eine persçnliche geistige Schçpfung sind, wie selbststndige
Werke geschtzt. § 4 Abs. 2 S. 1 UrhG konkretisiert diese
Voraussetzungen fr den Unterfall des Datenbankwerks
dahingehend, dass als Datenbankwerk im Sinne des UrhG
ein Sammelwerk geschtzt ist, dessen Elemente systematisch oder methodisch angeordnet und einzeln mit Hilfe
elektronischer Mittel oder auf andere Weise zugnglich
sind.
Auch das Datenbankwerk erhlt seinen Schutz wie das klassische urheberrechtlich geschtzte Werk aufgrund des in ihm
verkçrperten schçpferischen Aktes. Zwar gengt insoweit
wohl eine eher geringe Schçpfungshçhe, der Datenbankhersteller muss aber eine gewisse Kreativitt oder wenigstens
Findigkeit bei der Anordnung der einzelnen Elemente zu dem
Datenbankwerk gezeigt haben. Eine bloß alphabetische oder
chronologische Sortierung gengt nicht.25 Ein Datenbankwerk muss vielmehr eine verhltnismßig komplexe Struktur
aufweisen.26 Da es hier um ein echtes Urheberrecht geht,
erwchst dieses immer einer natrlichen Person. Einem Unternehmen kçnnen nur die entsprechenden Nutzungsrechte
eingerumt werden.
Viele Datensammlungen stellen kein Datenbankwerk dar.
Systematisierte Datenbanken verlieren nmlich an Bedeutung, weil moderne Software auch unstrukturierte Daten
analysieren kann.27 Unternehmen bençtigen deshalb strukturierte Datenbanken hufig nicht mehr. Ein bloßer „Daten-
In den §§ 87 a ff. UrhG ist das Leistungsschutzrecht des
Datenbankherstellers sui generis geregelt. Eine geschtzte
Datenbank ist gemß § 87 a Abs. 1 S. 1 UrhG eine Sammlung
von Werken, Daten oder anderen unabhngigen Elementen,
die systematisch oder methodisch angeordnet und einzeln mit
Hilfe elektronischer Mittel oder auf andere Weise zugnglich
sind und deren Beschaffung, berprfung oder Darstellung
eine nach Art und Umfang wesentliche Investition erfordert.
Die §§ 87 a ff. UrhG schtzen also die Investition des Datenbankherstellers.
Der Datenbankhersteller ist nach § 87 a Abs. 2 UrhG derjenige, der die Investition ttigt. Insoweit unterscheidet sich
das Leistungsschutzrecht des Datenbankherstellers sui generis entscheidend von dem Schutz eines Datenbankwerks.
Abgestellt wird nicht auf die kreative Konzeptionierung der
Datenbank. Deshalb kann das Leistungsschutzrecht sui generis auch ein Unternehmen erwerben. Datenbankhersteller
ist, wer das Investitionsrisiko trgt.31 Das soll die Person
sein, die die Organisations- und Anordnungsgewalt ber
den Datenbankaufbau innehat.32 Schon aus Erwgungsgrund 41 der RL 96/9/EG („Datenbankrichtlinie“), auf der
die §§ 87 a ff. UrhG beruhen, ergibt sich, dass im Falle
einer Beauftragung eines Auftragnehmers mit der Erstellung einer Datenbank der Auftraggeber Datenbankhersteller
i. S. d. § 87 a Abs. 2 UrhG sein soll. Explizite Regelungen
sind aber unbedingt empfehlenswert, wenn mehrere Unternehmen gemeinschaftlich eine Datenbank entwickeln, die
auch wenigstens teilweise gemeinschaftlich genutzt werden
soll. Zwar ist insoweit wohl anerkannt, dass diese Unternehmen dann als BGB-Gesellschaft mit gesamthnderischer
Bindung zu sehen sind,33 aber dieses Ergebnis drfte hufig
nicht im Interesse aller Beteiligten liegen. Eine klare vertragliche Absprache vermag hier sptere Auseinandersetzungen zu vermeiden.
24 Ausfhrlich zu einer solchen „Datenlizenz“: Schefzig, in: Taeger, Tagungsband Herbstakademie 2015, Verçffentlichung ausstehend.
25 Gçtz, in: Taeger, BIG DATA & Co., 2014, S. 19, 22.
26 Gçtz, in: Taeger (Fn. 24), S. 19, 22.
27 BITKOM, Big Data im Praxiseinsatz, S. 21, abrufbar unter: https://www.
bitkom.org/Bitkom/Publikationen/Publikation_4232.html (letzter Abruf:
27. 7. 2015).
28 Gçtz, in: Taeger (Fn. 24), S. 19, 22.
29 Zieger/Smirra, MMR 2013, 418, 420.
30 Zieger/Smirra, MMR 2013, 418, 420.
31 Erwgungsgrund 41 Richtlinie 96/9/EG „Datenbankrichtlinie“; BGH,
22. 6. 2011 – I ZR 159/10, K&R 2011, 641 ff. = GRUR 2011, 1018, 1020,
Rn. 32.
32 Wiebe, in: Spindler/Schuster, Recht der elektronischen Medien, 3. Aufl.
2015, § 87 a UrhG Rn. 18.
33 Wiebe, in: Spindler/Schuster (Fn. 31), 87 a UrhG Rn. 18.
6
Hohe praktische Relevanz hat außerdem die Tatsache, dass
die bloße Datenerzeugung keine Investition darstellt, die
dazu fhrt, Datenbankhersteller zu sein.34 Wie auch im Wortlaut des § 87 a UrhG deutlich wird, handelt es sich nur bei der
Beschaffung bereits existierender Daten um eine solche Investition. Das bedeutet, dass Unternehmen gerade im Hinblick auf diejenigen Daten, die sie als eigene betrachten, weil
sie sie selbst eventuell mit erheblichen Investitionen erzeugt
haben, sicherstellen mssen, dass das entsprechende sui-generis-Recht nicht einem Kooperationspartner zusteht, mit
dem das Unternehmen bei der Datenanalyse zusammenarbeitet. Auch insoweit sind klare Regelungen beraus empfehlenswert.
§ 87 b UrhG weist dem Datenbankhersteller das ausschließliche Recht zu, die Datenbank insgesamt oder einen nach Art
oder Umfang wesentlichen Teil der Datenbank zu vervielfltigen, zu verbreiten und çffentlich wiederzugeben. Geschtzt
ist also auch hier die Datenbank als Ganzes oder in wesentlichen Teilen. Einzelne Daten sind nur geschtzt, soweit
schon diese einen wesentlichen Teil der Datenbank darstellen.35 Ebenfalls monopolisiert ist gemß § 87 b Abs. 1 S. 2
UrhG aber auch eine systematische Vervielfltigung, Verbreitung oder çffentliche Wiedergabe unwesentlicher Teile
der Datenbank, wenn diese Handlungen einer normalen Auswertung der Datenbank zuwiderlaufen oder die berechtigten
Interessen des Datenbankherstellers unzumutbar beeintrchtigen. Es gengt insoweit, wenn „Entnahmehandlungen darauf gerichtet sind, die Gesamtheit oder einen wesentlichen
Teil des Inhalts der geschtzten Datenbank wieder zu erstellen oder der ffentlichkeit zur Verfgung zu stellen, und
wenn dadurch die Investition in die Datenbank schwerwiegend beeintrchtigt wird“.36
3. Sonstige Rechte
Die obigen Ausfhrungen zum Schutz von Daten im Wettbewerbsrecht und durch den Geheimnisschutz gelten im Wesentlichen fr Datenbanken entsprechend.
V. Rechtlicher Schutz der Inhalte der Daten
1. Schutz aufgrund eines Urheberrechts
Das Urheberrecht schtzt schçpferische Werke. Den Schutz
von Daten als solchen, deren Schaffung kein kreativer Akt
innewohnt, gewhrleistet das Urheberrecht deshalb nicht. Ein
Urheberrecht kann aber selbstredend die Inhalte der Daten
schtzen. Falls sich in einem Datensatz beispielsweise digitalisierte Musikwerke befinden, besteht an diesen Musikwerken ein Urheberrecht. Der Urheber kann auf Grundlage dieses Urheberrechts den Zugriff Dritter auf die Daten verhindern, falls und soweit der Datenzugriff zugleich einen Eingriff in das Urheberrecht darstellt.
Das Urheberrecht schtzt aber nie die Daten als solche.
Insbesondere soweit Daten betroffen sind, die bloß tatschliche Ereignisse wiedergeben, wie es beispielsweise bei Produktionsdaten, technischen Leistungswerten oder Nutzungsprofilen der Fall ist, erlangen Unternehmen an den in diesen
Daten enthaltenen Erkenntnissen ber das Urheberrecht keinen Schutz. Gerade im fr Deutschland hçchst relevanten
Bereich der Industrie 4.037 wird das Urheberrecht deshalb
hufig nicht eingreifen.
2. Datenschutz
Im Fall personenbezogener Daten sind selbstredend die datenschutzrechtlichen Vorgaben zu beachten. Allerdings „gehçren“ auch personenbezogene Daten nicht den jeweiligen
Beihefter 3/2015 zu Heft 9
K &R
Betroffenen,38 obwohl auch Vorstçße in der Rechtswissenschaft existieren, die genau das befrworten.39 Da der regulatorische Rahmen des Datenschutzrechts Unternehmen aber
sehr nennenswert beschrnkt, sollten sie stets prfen, ob es
sich bei den fraglichen Daten tatschlich um personenbezogene Daten handelt. Im Fall des Personenbezugs kann u. a.
bei Vorliegen der Voraussetzungen des § 35 BDSG eine
Lçschung der Daten geboten sein, die den Wert der Daten
fr das Unternehmen ad hoc zunichtemachen wrde. Gerade
im Hinblick auf „Big Data“-Anwendungen kann schon diese
Prfung des Personenbezugs durchaus komplex sein.40 Gegebenenfalls empfiehlt es sich, durch geeignete Anonymisierungsmaßnahmen den Personenbezug der Daten aufzuheben.41
3. Sonstige Rechte
Da die mçglichen Inhalte von Daten hier nicht abschließend
beschrieben werden kçnnen, gilt das Gleiche auch fr die
mçglicherweise einschlgigen Schutzrechte. Diese richten
sich selbstredend nach dem konkreten Inhalt der Daten.
Soweit es sich bei den Inhalten beispielsweise um Software
handelt, sind die diesbezglichen urheberrechtlichen Vorgaben zu beachten. Daneben gelten auch fr die Dateninhalte
die obigen Ausfhrungen42 zum Geheimnisschutz und Wettbewerbsrecht entsprechend.
VI. Rechtlicher Schutz des Datentrgers
Naturgemß bestehen smtliche aus Eigentum und Besitz
folgenden Rechtswirkungen auch im Hinblick auf Datentrger. Von großer Bedeutung ist aber, dass die Rechtsprechung
davon ausgeht, dass die Vernderung der auf einem Datentrger aufgezeichneten Daten einen Eingriff nach § 823
Abs. 1 BGB in das Eigentum am Datentrger darstellt. Eine
Eigentumsverletzung im Sinne des § 823 Abs. 1 BGB sei
nmlich nicht nur bei Zerstçrung und Beschdigung der
Sachsubstanz gegeben, sondern bei jeder Einwirkung auf
eine Sache, die den Eigentmer daran hindert, mit ihr seinem
Wunsch entsprechend zu verfahren.43 Soweit also ein Unternehmen Eigentmer der Datentrger ist, auf denen die eigenen Daten gespeichert sind, genießt es als derartiger Eigentmer einen weitreichenden Schutz gegenber Eingriffen
Dritter.
Das Eigentum am Datentrger verliert aber mit rasanter
Geschwindigkeit an Bedeutung. In Zeiten von zentralen Unternehmensservern, die potenziell von einer Servicegesellschaft betrieben werden, allgegenwrtigen Cloud-Lçsungen
und dynamischen Datenbestnden, die ber verschiedene
Server verteilt sind, ist nmlich regelmßig schon gar nicht
klar, wo bestimmte Daten gespeichert sind. Auch ist hufig
der Eigentmer der Server nicht derjenige, der die fraglichen
Daten auf diesem Datentrger gespeichert hat. In diesen
Fllen empfiehlt es sich, mittels entsprechenden vertraglichen Vereinbarungen zwischen dem „Inhaber“ der zu speichernden Daten und dem Eigentmer des Datentrgers eindeutig zu bestimmen, wie im Falle von Eingriffen Dritter auf
34
35
36
37
38
39
40
41
42
43
BGH, 1. 12. 2010 – I ZR 196/10, GRUR 2012, 756, 757, Rn. 19 m. w. N.
BGH, 1. 12. 2010 – I ZR 196/10, GRUR 2012, 756, 758, Rn. 32.
BGH, 1. 12. 2010 – I ZR 196/10, GRUR 2012, 756, 758, Rn. 35.
Siehe dazu: McKinsey, Industry 4.0 – How to navigate digitization of the
manufacturing sector, 2015.
Dorner, CR 2014, 617, 619 f.
Vgl. die zahlreichen Fundstellen bei Dorner, CR 2014, 617, 619 f.,
Fn. 36 - 41.
Ausfhrlich dazu: Schefzig, in: K&R 2014, 772 ff.
Schefzig, in: K&R 2014, 772, 776.
Vgl. Ziffern III. 4 und III. 5.
OLG Karlsruhe, 7. 11. 1995 – 3 U 15/95, NJW 1996, 201 ff.
K &R
7
Beihefter 3/2015 zu Heft 9
die Daten zu verfahren ist.44 Derart kann beispielsweise das
Auseinanderfallen von Anspruch und Schaden45 verhindert
werden.
VII. Ergebnisse und Handlungsempfehlungen
Bei der Sicherung der Rechte an Daten sollten Unternehmen
zwischen den verschiedenen Rechtsobjekten unterscheiden
und sorgfltig bestimmen, wem diese jeweils zugeordnet
sind. Soweit es sich dabei jeweils um dieselbe Person handelt,
bietet die Rechtsordnung jedenfalls gegenber dem unbefugten Zugriff Dritter schon nach dem gesetzlichen Status Quo
einen weitgehenden Schutz.
Besondere Vorsicht ist aber in denjenigen Situationen geboten, in denen entweder unterschiedliche Berechtigte im Hin-
blick auf die verschiedenen Rechtsobjekte existieren oder
Datenbestnde mit anderen Unternehmen gemeinsam verarbeitet werden. In diesen Fllen sind vertragliche Regelungen
unbedingt empfehlenswert, um die Daten effektiv abzusichern und andere Unternehmen bei der Verwertung der Daten
zu kontrollieren.46 Dieser Beitrag hat dabei verschiedene
Ansatzpunkte fr solche Vereinbarungen aufgezeigt.
44 Ein davon abzugrenzendes Problem ist die Datenerhebung mittels Technik, die im fremden Eigentum steht, s. dazu Roßnagel, SVR 2014, 281,
282 ff.
45 Bartsch, in: Grtzmacher (Fn. 13), S. 297, 299.
46 Vgl. zur Ausgestaltung einer vertraglichen „Datenlizenz“ ausfhrlich:
Schefzig, in: Taeger, Tagungsband Herbstakademie 2015, Verçffentlichung ausstehend.
RA Marian Alexander Arning, LL.M., Hamburg*
Datenpools – Big Data datenschutzkonform umsetzen
Bei der Konzeption und beim Einsatz von Big Data-Anwendungen mssen Unternehmen die datenschutzrechtlichen Anforderungen beachten, sofern sie hierbei personenbezogene
Daten verarbeiten. In diesem Beitrag, der sich zuvorderst an
Unternehmensjuristen und betriebliche Datenschutzbeauftragte richtet, werden deshalb die wichtigsten datenschutzrechtlichen Anforderungen an den Einsatz von Big Data-Verfahren sowie kurz die wichtigsten Schritte vorgestellt, wie Big
Data-Projekte organisiert werden kçnnen, um die Datenschutz-Compliance bei Big Data-Projekten sicherzustellen.
den, anhand bestimmter Biomarker. Infolge dieser Auswertungen wird es immer besser mçglich sein, Patienten nicht
(nur) mit einer Standardtherapie, sondern personalisiert unter
Beachtung seiner individuellen Prdispositionen zu behandeln, was u. U. einen besseren Therapieerfolg versprechen
kann.
I. Einfhrung
In diesem Beitrag sollen deshalb die wichtigsten datenschutzrechtlichen Anforderungen an den Einsatz von Big DataVerfahren aufgezeigt werden.
Viele Unternehmen besitzen eine große Menge an personenbezogenen Daten; Hndler ber ihre Kunden, Versicherungen ber ihre Versicherten, Hersteller ber ihre Lieferanten
etc. Hierin liegt ein enormer Wert, den immer mehr Unternehmen nutzen mçchten. Hierbei handelt es sich durchaus
auch nicht um reine Zukunftsmusik. So haben bereits viele
Unternehmen Geschftsmodelle entwickelt, wie sie durch die
Auswertung von Daten innovative Dienste fr Kunden entwickeln kçnnen. Hierbei hilft den Unternehmen die immer
weiter fortschreitende Entwicklung der Technik, mit der
immer grçßere, unterschiedlich strukturierte Datenstze immer genauer untersucht werden kçnnen.
Die Einsatzmçglichkeiten von „Big Data“ sind dabei ußerst
vielfltig. So verwenden Unternehmen Big-Data-Methoden
zum Beispiel zur genauen Berechnung der Kreditwrdigkeit
von Konsumenten.1 Andere Unternehmen setzen Big-Data
zum Beispiel im Rahmen des sogenannten Online Behavioural Advertising ein, um Webseitennutzern noch zielgerichteter interessenbasierte Werbung anzeigen zu kçnnen.2 Doch
ersetzt bzw. verfeinert Big Data nicht nur klassische Datenanalyseverfahren, wie z. B. das Scoring, sondern es ermçglicht auch die Entwicklung ganz neuartiger Verfahren, z. B.
im Rahmen der personalisierten Medizin. So ermçglichen
Big Data-Verfahren z. B. die Auswertung von Datenpools, in
denen sich Daten aus den unterschiedlichsten Quellen befin-
Es gibt mithin eine Vielzahl an verschiedenen Einsatzmçglichkeiten von Big Data, weswegen diese Technologie fr
Unternehmen besonders interessant ist, um neue Geschftsmodelle zu entwickeln. Sptestens vor diesem Hintergrund
wird es offensichtlich, warum Daten immer çfter als „das
neue l“ bezeichnet werden.
II. Big Data – Eine Begriffsdefinition
Um die datenschutzrechtlichen Implikationen von Big Data
besser darstellen und nachvollziehen zu kçnnen, empfiehlt es
sich, zunchst den Begriff „Big Data“ zu definieren. So
existiert eine Vielzahl verschiedener Definitionen von diesem Begriff. Teilweise wird der Begriff zum Beispiel im
wçrtlichen Sinne dahingehend verstanden, dass er (schlicht)
eine große Menge an Daten bezeichnet.3 Dieses Begriffsverstndnis trgt dem mit Big Data verbundenen technischen
Fortschritt jedoch nicht ausreichend Rechnung. Im vorliegenden Beitrag wird der Begriff deshalb in bereinstimmung
mit der vom Bitkom verwendeten Definition dahingehend
verstanden, dass Big Data „den Einsatz großer Datenmengen
aus vielfltigen Quellen mit einer hohen Verarbeitungsgeschwindigkeit zur Erzeugung wirtschaftlichen Nutzens“ be* Mehr ber den Autor erfahren Sie auf S. 16.
1 Siehe z. B. Diemer, What is Big Data? For Banking and Beyond, abrufbar
unter: https://www.kreditech.com/blog/what-is-big-data-for-banking-andbeyond/.
2 Siehe hierzu ausfhrlich Arning/Moos, ZD 2014, 242 ff.
3 Siehe zur Diskussion ber den Begriff „Big Data“ z. B. Gloster, Von Big
Data reden, aber Small Data meinen, abrufbar unter: http://www.computer
woche.de/a/von-big-data-reden-aber-small-data-meinen,3068465.
8
zeichnet.4 Erst durch diese Begriffsdefinition werden der
technische Fortschritt, die wirtschaftlichen Vorteile, aber
auch die rechtlichen Herausforderungen von Big Data deutlich.
Beihefter 3/2015 zu Heft 9
K &R
freilich oftmals die Bezugsperson bestimmt werden. Mit
steigender Datenmenge steigt deshalb auch das Risiko, dass
ein Personenbezug entsteht.
3. Beibehaltung der Anonymitt der Daten
III. Anwendbarkeit der Datenschutzgesetze auf
Big Data-Anwendungen
1. Bloße Datenmenge nicht entscheidend
Als erstes Merkmal erfordert „Big Data“ den Einsatz großer
Datenmengen. Auch wenn man dies durchaus vermuten
kçnnte, ist es fr die Anwendbarkeit der Datenschutzgesetze
zunchst einmal unerheblich, ob eine Stelle nur ein Datum
oder eine sehr große Menge an Daten verarbeitet. Mit anderen Worten: Die Menge von Daten ist per se keine datenschutzrechtliche Kategorie. Entscheidend fr die Anwendbarkeit der Datenschutzgesetze ist stets, dass personenbezogene Daten verarbeitet werden. Dies sind nach § 3 Abs. 1
BDSG Einzelangaben ber persçnliche oder sachliche Verhltnisse einer bestimmten oder bestimmbaren natrlichen
Person (Betroffener).
Der Begriff der „Einzelangabe“ ist dabei relativ weit und
umfasst Informationen, die sich auf eine bestimmte – einzelne – natrliche Person beziehen oder geeignet sind, einen
Bezug zu ihr herzustellen.5 Eine solche Information kann
auch schon in einer einzigen Angabe enthalten sein. Mithin
stellt der Begriff keine Anforderungen an die Menge der zu
verarbeitenden Informationen zu einer einzelnen Person. So
ist es in der juristischen Literatur dann auch unumstritten,
dass die Datenschutzgesetze bereits dann anwendbar sind,
wenn (nur) ein personenbezogenes Datum verarbeitet wird,
auch wenn der Gesetzgeber von „Einzelangaben“ und „personenbezogenen Daten“ im Plural spricht.6
2. Personenbezogene Daten vs. anonyme Daten
Ob eine datenverarbeitende Stelle die datenschutzrechtlichen
Bestimmungen beachten muss, bestimmt sich zuvorderst daran, ob die Person bestimmbar ist, auf die sich die jeweils
verarbeiteten Daten beziehen. Wann eine Person im datenschutzrechtlichen Sinn „bestimmbar“ ist, ist seit Jahren hoch
umstritten.7 Teilweise wird vertreten, dass Daten fr eine sie
verarbeitende Stelle nur dann personenbezogen sein sollen,
wenn sie selbst die Person, auf die sich die Daten beziehen,
mit verhltnismßig großem Aufwand an Zeit, Kosten und
Arbeitskraft identifizieren kann (sogenannte relative Theorie
des Personenbezugs).8 Andererseits wird vertreten, dass eine
Person schon dann bestimmbar sein soll, wenn irgendeine
beliebige Stelle das jeweilige Datum dieser Person zuordnen
kann (sogenannte absolute Theorie des Personenbezugs).9
Zwar sprechen nach hier vertretener Ansicht gute Grnde
fr die relative Theorie des Personenbezugs, insbesondere
weil die absolute Theorie den Schutzbereich der Datenschutzgesetze zu weit ausdehnt, ohne dass eine Gefahr fr
das durch die Datenschutzgesetze geschtzte Recht der Betroffenen auf informationelle Selbstbestimmung besteht;10 es
bleibt allerdings zu hoffen, dass insoweit eine Entscheidung
des EuGH ber den Personenbezug von IP-Adressen fr
Webseitenbetreiber Rechtssicherheit bringen wird.11
Mithin ist also festzuhalten, dass die Menge an Daten per se
nicht ber die Anwendbarkeit der Datenschutzgesetze entscheidet; vielmehr kann schon ein einziges Datum personenbezogen sein, weshalb die fr die Verarbeitung dieses Datums nach § 3 Abs. 7 BDSG verantwortliche Stelle die einschlgigen datenschutzrechtlichen Anforderungen beachten
muss. Je umfangreicher der Datenbestand ist, desto eher kann
Soweit also bei Big Data-Anwendungen (sinnvoll) darauf
verzichtet werden kann, personenbezogene Daten zu verarbeiten, empfiehlt es sich regelmßig, diesen Weg einzuschlagen, um nicht den Restriktionen der Datenschutzgesetze zu
unterliegen. Whlt eine Stelle diesen Weg, muss sie allerdings penibel darauf achten, dass diese nicht-personenbezogenen, also anonymen Daten whrend ihrer Verarbeitung in
der Big Data-Anwendung auch anonym bleiben. Hierbei
stellen sich bei Big Data insbesondere zwei Herausforderungen:
(1) Anonyme Daten kçnnen durch das Hinzuspeichern weiterer Daten personenbezogen werden. Dies kann sogar der
Fall sein, wenn auch die hinzugespeicherten Daten anonym
sind, sich die betroffene Person aber durch die Kombination
dieser beiden per se anonymen Datenstze bestimmen lsst.
Insoweit steigt auch durch die Kombination der in einer Big
Data-Anwendung verarbeiteten Daten durchaus die Wahrscheinlichkeit, dass Daten personenbezogen werden. Mithin
muss eine Stelle genau prfen, ob die Hinzuspeicherung von
Daten dazu fhren kann, dass Daten personenbezogen werden, was bei der Menge der im Rahmen von Big Data-Anwendungen zu verarbeiteten Daten durchaus aufwndig und
mit Risiken behaftet sein kann. (2) Obwohl mit den heute zur
Verfgung stehenden Analysetechniken eine Identifizierung
der betroffenen Person nicht oder nur mit unverhltnismßigem Aufwand mçglich ist, kann es der Stelle in der Zukunft
gegebenenfalls mçglich sein, die betroffene Person mit neuen
und feineren Analysemethoden zu identifizieren. Entscheidet
sich eine Stelle also dazu, nur anonyme Daten im Rahmen
einer Big Data-Anwendung zu verwenden, muss sie auch
ber die gesamte Zeit des Einsatzes dieser Anwendung hinweg sicherstellen, dass die Daten stets anonym bleiben.
4. Erfordernis einer datenschutzrechtlichen
Erlaubnis beim Umgang mit personenbezogenen
Daten
Mçchte ein Unternehmen bei Big Data-Anwendungen hingegen personenbezogene Daten verarbeiten, bençtigt es
hierfr gem. § 4 Abs. 1 BDSG12 entweder die Erlaubnis
4 Siehe BITKOM (Hrsg.), Big Data im Praxiseinsatz – Szenarien, Beispiele,
Effekte, S. 19 ff., abrufbar unter https://www.bitkom.org/Publikationen/20
12/Leitfaden/Leitfaden-Big-Data-im-Praxiseinsatz_Szenarien_Beispiele_
Effekte/BITKOM_LF_big_data_2012_online(1).pdf.
5 Siehe z. B. Gola/Klug/Kçrffer, in: Gola/Schomerus, BDSG, 12. Aufl.
2015, § 35 Rn. 3.
6 Siehe z. B. Dammann, in: Simitis, BDSG, 8. Aufl. 2014, § 3 Rn. 4; Schaffland/Wiltfang, in: Schaffland/Wiltfang, BDSG, Lfg. 4/14 – VIII/14, § 3
Rn. 4.
7 Siehe hierzu ausfhrlich im Hinblick auf Big Data: Schefzig, K&R 2014,
772 ff.
8 So z. B. LG Berlin, 6. 9. 2007 – 23 S 3/07, K&R 2007, 601 ff. = MMR
2007, 799, 801; Gola/Klug/Kçrffer, in: Gola/Schomerus (Fn. 7), § 3
Rn. 10; Plath/Schreiber, in: Plath, BDSG, 2013, § 3 BDSG Rn. 15; Redeker, IT-Recht, 5. Aufl. 2012, Rn. 935.
9 So z. B. AG Berlin-Mitte, 27. 3. 2007 – 5 C 314/06, K&R 2007, 600, 601 f.;
Dsseldorfer Kreis, Beschluss vom 26./27. 11. 2009 zur datenschutzkonformen Ausgestaltung von Analyseverfahren zur Reichweitenmessung bei
Internet-Angeboten; Schaar, Datenschutz im Internet, 2002, Rn. 174;
Weichert, in: Dubler/Klebe/Wedde/Weichert, BDSG, 4. Aufl. 2014,
§ 3 Rn. 13.
10 Plath/Schreiber, in: Plath (Fn. 8), § 3 Rn. 14; siehe auch ausfhrlich hierzu
im Hinblick auf Big Data: Schefzig, K&R 2014, 772, 773 ff.
11 Siehe zur Vorlagefrage des BGH den Beschluss des BGH v. 28. 10. 2014 –
VI ZR 135/13, K&R 2015, 106 ff. = GRUR 2015, 192 ff.
12 Je nach Art der verwendeten Daten kann dies auch aus spezialgesetzlichen
Datenschutzvorschriften folgen, z. B. aus § 12 Abs. 1 TMG.
K &R
9
Beihefter 3/2015 zu Heft 9
durch den Betroffenen (im Wege einer Einwilligung) oder
durch eine Rechtsvorschrift, die je nach Art der verwendeten
Daten aus verschiedenen datenschutzrechtlichen Gesetzen
stammen kann (z. B. BDSG, TMG oder TKG). Als Rechtsvorschrift kommen hier insbesondere § 28 Abs. 1 S. 1 Nr. 2
BDSG, § 28 Abs. 1 S. 1 Nr. 3 BDSG, § 28 Abs. 3 BDSG und
§ 15 Abs. 3 TMG in Betracht.13 Ob die jeweiligen Tatbestandvoraussetzungen vorliegen, ist im Einzelfall zu untersuchen.
IV. Einhaltung des Zweckbindungsgrundsatzes
als datenschutzrechtliches Erfordernis
Besonders praktisch fr Unternehmen wre es freilich, wenn
sie die bereits bei ihnen vorhandenen Daten im Rahmen von
Big Data-Anwendungen verwenden kçnnten, z. B. im CRMSystem gespeicherte Kundendaten.
Hierbei ist allerdings zu bedenken, dass personenbezogene
Daten grundstzlich nur fr den Zweck verwendet werden
drfen, fr den sie auch erhoben wurden, z. B. zur Durchfhrung eines Vertrages zwischen dem Betroffenen und dem
Unternehmen.14 Sollen die Daten hingegen fr einen anderen
Zweck verwendet werden – was im Rahmen von Big DataAnwendungen oftmals der Fall sein wird –, bedarf dies regelmßig einer gesonderten Erlaubnis durch eine Rechtsvorschrift oder durch die Einwilligung des Betroffenen. In der
Regel wird es fr Unternehmen kaum praktikabel sein, die
Betroffenen – nachdem sie ihre Daten schon erhoben haben –
nochmals nach einer Einwilligung in den Umgang mit ihren
Daten zu einem anderen als dem ursprnglich verfolgten
Zweck zu fragen. Mithin bedarf eine Zwecknderung bei
der Verarbeitung der Daten bei Big Data regelmßig einer
gesetzlichen Erlaubnis. Im Anwendungsbereich des BDSG
kommen hierfr insbesondere § 28 Abs. 2 Nr. 1 und Nr. 2
BDSG in Betracht. Eine Verarbeitung personenbezogener
Daten im Rahmen von Big Data-Anwendungen zu anderen
Zwecken, als fr den diese Daten ursprnglich erhoben wurden, ist danach grundstzlich (nur dann) erlaubt, wenn die
berechtigten Interessen der verantwortlichen Stelle bzw.
eines Dritten die schutzwrdigen Interessen des Betroffenen
berwiegen bzw. es sich um allgemein zugngliche Daten
handelt und ebenfalls die Interessenabwgung zugunsten der
verantwortlichen Stelle ausgeht. Dies ist im jeweiligen Einzelfall zu untersuchen.
Oftmals werden die Voraussetzungen fr die Verarbeitung
personenbezogener Daten zu einem anderen Zweck aber
nicht gegeben sein. In diesem Fall drfen die Daten zumindest nicht in personenbezogener Form zu einem anderen als
dem ursprnglich verfolgten Zweck im Rahmen von Big
Data-Anwendungen verarbeitet werden.
V. Beachtung des Erforderlichkeitsgrundsatzes
Ein weiteres datenschutzrechtliches Grundprinzip, welches
Unternehmen beim Umgang mit personenbezogenen Daten
im Rahmen von Big Data-Anwendungen beachten mssen,
ist der Erforderlichkeitsgrundsatz.15 Demzufolge drfen nur
die personenbezogenen Daten verarbeitet werden, die zur
Erreichung des jeweils verfolgten Zwecks notwendig
sind.16 Dieses Prinzip gilt unabhngig davon, ob sich das
Unternehmen bei der Verarbeitung der personenbezogenen
Daten auf eine Rechtsvorschrift oder auf eine Einwilligung
sttzt.
Diesen Grundsatz mssen Unternehmen bei Big Data-Anwendungen sowohl bei der Bildung der fr die Analysen und
Auswertungen genutzten „Datenpools“ als auch bei der
Durchfhrung der einzelnen Auswertungen und Analysen
beachten. So drfen Unternehmen, wenn sie z. B. Daten zur
Durchfhrung eines Vertrages vom jeweiligen Kunden erheben, nicht ohne gesonderte datenschutzrechtliche Erlaubnis
weitere Daten – die an sich fr die Durchfhrung des Vertrags
nicht bençtigt werden – erheben, nur weil das Unternehmen
die Daten spter fr Auswertungen und Analysen verwenden
mçchte. Die Durchfhrung des Vertrags (i. S. d. § 28 Abs. 1
S. 1 Nr. 1 BDSG) kann den Umgang mit diesen weiteren
Daten jedenfalls nicht rechtfertigen. Eine Erhebung von Daten „auf Vorrat“ ist datenschutzrechtlich also grundstzlich
nicht zulssig. Diesen Grundsatz gilt es auch zu beachten,
wenn Unternehmen Daten direkt zu Zwecken der Durchfhrung bestimmter Auswertungen und Analysen erheben; auch
in diesem Fall drfen grundstzlich nur die Daten erhoben
werden, die anschließend fr die jeweilige Analyse bzw.
Auswertung notwendig sind.
Nichts anderes gilt bei der Durchfhrung der einzelnen Big
Data-Anwendungen; auch hier drfen nur diejenigen Daten
aus dem „Datenpool“ verwendet werden, die fr die jeweilige
Auswertung/Analyse notwendig sind.
VI. Verarbeitung von Big Data auf Grundlage
einer Einwilligung
In vielen Fllen wird sich das Unternehmen fr den Umgang
mit personenbezogenen Daten im Rahmen von Big DataAnwendungen jedoch nicht auf gesetzliche Erlaubnisnormen
sttzen kçnnen, z. B. weil bei der konkreten Anwendung die
schutzwrdigen Interessen der Betroffenen am Ausschluss
des Umgangs mit ihren Daten die berechtigten (wirtschaftlichen) Interessen des Unternehmens berwiegen. Außerdem
kçnnte es sich fr Unternehmen auch nicht als praktikabel
erweisen, nur anonyme Daten zu verwenden. Die Big-DataAnwendung kann etwa den Einsatz von personenbezogenen
Daten erfordern. Dem Unternehmen ist es mçglicherweise
aber auch aufgrund der Menge an verarbeiteten Daten oder
der Verarbeitungsdauer nicht mçglich, ausschließlich anonyme Daten zu verarbeiten.
Vor diesem Hintergrund kçnnten viele Unternehmen geneigt sein, den Umgang mit personenbezogenen Daten im
Rahmen von Big Data-Anwendungen auf die Einwilligung
der betroffenen Personen zu sttzen. Doch auch die Einholung von Einwilligungserklrungen stellt keinen datenschutzrechtlichen Kçnigsweg fr Unternehmen dar, die personenbezogene Daten im Rahmen von Big Data-Anwendungen verarbeiten mçchten. So muss die Einwilligungserklrung den Anforderungen der jeweils anwendbaren gesetzlichen Datenschutzvorschriften gengen, um den Datenumgang rechtfertigen zu kçnnen, z. B. § 4 a BDSG, § 13
Abs. 2 TMG, § 94 TKG, § 67 b Abs. 2 SGB X etc. Gemein
ist diesen gesetzlichen Anforderungen an Einwilligungserklrungen, dass die Einwilligung bestimmt und informiert
sein muss, damit sie den Umgang mit personenbezogenen
Daten, auf die sie sich bezieht, erlauben kann. Zudem ist es
stets erforderlich, dass der Betroffene die Einwilligung
freiwillig erteilt.17
13 Siehe z. B. Ohrtmann/Schwiering, NJW 2014, 2984, 2985 ff.
14 Sogenannter „Zweckbindungsgrundsatz“, siehe hierzu z. B. Wolff, in:
Wolff/Brink, BeckOK Datenschutzrecht, 12. Edition 2015, Grundlagen
und bereichsspezifischer Datenschutz, Prinzipien, Rn. 11 ff.
15 Siehe z. B. Wolff, in: Wolff/Brink (Fn. 14), Grundlagen und bereichsspezifischer Datenschutz, Prinzipien, Rn. 23 ff.
16 Siehe z. B. Wolff, in: Wolff/Brink (Fn. 14), Grundlagen und bereichsspezifischer Datenschutz, Prinzipien, Rn. 23.
17 Zum Erfordernis der Freiwilligkeit der Einwilligung, auf das in diesem
Beitrag nicht nher eingegangen wird, siehe z. B. Simitis, in: Simitis,
BDSG, 8. Aufl. 2014, § 4 a Rn. 62 ff. und Khling, in: Wolff/Brink
(Fn. 14), § 4 a Rn. 35 ff.
10
1. Informiertheit der Einwilligung
Zunchst ist eine Einwilligung also nur dann wirksam, wenn
diese informiert erfolgt ist. Der Betroffene muss sich also ein
genaues Bild davon machen kçnnen, zu welchem Zweck, auf
welche Art und Weise die verantwortliche Stelle mit welchen
personenbezogenen Daten von ihm umgeht. Nur so wird der
Betroffene in eine Lage versetzt, darber zu entscheiden, ob
er dem geplanten Umgang mit seinen Daten zustimmt oder
nicht. Mithin muss das Unternehmen, welches eine Einwilligung von dem Betroffenen einholen mçchte, diesen entsprechend informieren. Mit anderen Worten: Die Betroffenen
mssen noch vor der Einwilligung alle Informationen bekommen, die notwendig sind, um Anlass, Ziel und Folgen der
Verarbeitung korrekt abzuschtzen.18 Hierbei hat die verantwortliche Stelle die Betroffenen regelmßig ber den Verwendungszweck und ber ihre eigene Identitt zu unterrichten, potenzielle Datenempfnger zu benennen, die Verwendungsziele anzugeben, die betroffenen Daten zu umschreiben
sowie ggf. die Speicherdauer anzugeben und ggf. auf die
Folgen der Verweigerung der Einwilligung hinzuweisen.19
Besonders schwierig im Umfeld von Big Data gestaltet sich
oftmals, dass die verantwortliche Stelle den Betroffenen ber
die gesamte beabsichtigte Verwendung der Daten informieren muss.20 Plant ein Unternehmen also z. B. Datenpools zu
bilden, die anschließend fr viele verschiedene Auswertungen verwendet werden sollen, die zudem auch nicht alle fr
denselben Zweck erfolgen, muss das Unternehmen die Betroffenen in der Einwilligungserklrung grundstzlich ber
smtliche mit den Auswertungen verfolgte Zwecke informieren.
2. Bestimmtheit der Einwilligung
Auch das Erfordernis der Bestimmtheit von Einwilligungserklrungen stellt Unternehmen, die den Umgang mit personenbezogenen Daten bei Big Data-Anwendungen auf eine
solche Einwilligung des Betroffenen sttzen mçchten, durchaus vor Herausforderungen.
Das Bestimmtheitserfordernis steht in engem Zusammenhang mit dem soeben beschriebenen Erfordernis der Informiertheit der Einwilligung. So ist der Betroffene vor dem
Hintergrund seines grundrechtlich geschtzten Rechts auf
informationelle Selbstbestimmung nicht nur ber den geplanten Umgang mit seinen Daten zu informieren, damit er eine
Entscheidung darber treffen kann, ob er dem zustimmt oder
nicht; vielmehr muss er auch die Tragweite seiner konkreten
Einwilligungserklrung berblicken kçnnen, mit anderen
Worten also verstehen, was er der verantwortlichen Stelle
erlaubt (und was nicht). Vor diesem Hintergrund sind Einwilligungserklrungen nur dann wirksam, wenn sie klar zu
erkennen geben, unter welchen Bedingungen sich die Betroffenen mit der Verarbeitung welcher Daten einverstanden
erklrt haben.21 Mithin sind pauschale Einwilligungserklrungen oder sogenannte Blankoeinwilligungen unwirksam
und vermçgen den Umgang mit personenbezogenen Daten
nicht zu rechtfertigen.22
3. Praktische Umsetzung
Mçchte ein Unternehmen personenbezogene Daten fr eine
Big Data-Anwendung verwenden, fr die die Verarbeitungszwecke und auch die sonstigen – im Rahmen von
Einwilligungserklrungen maßgeblichen – Parameter bereits feststehen, stellt die Einwilligung des Betroffenen
regelmßig eine rechtssichere Lçsung zur Rechtfertigung
des Umgangs mit dessen personenbezogenen Daten in diesem Zusammenhang dar. In diesem Fall sind mit dem
Beihefter 3/2015 zu Heft 9
K &R
Entwurf und der Einholung der Einwilligungserklrung
i. d. R. keine besonderen Schwierigkeiten verbunden. Zu
beachten ist bei der Gestaltung der Big Data-Anwendung
aber insbesondere, dass der Betroffene seine Einwilligung
grundstzlich jederzeit (mit der Wirkung fr die Zukunft)
widerrufen kann, woraufhin das Unternehmen die betroffenen Daten regelmßig nicht weiter verwenden darf und lçschen muss.23
Zudem kommt es fr Unternehmen i. d. R. nur zu dem
Zeitpunkt in Betracht, Einwilligungserklrungen bei Betroffenen einzuholen, wenn sie die Daten beim Betroffenen
erheben; hat ein Unternehmen bereits Daten ohne eine
entsprechende Einwilligung (z. B. auf Grundlage einer
Rechtsvorschrift wie § 28 Abs. 1 S. 1 Nr. 1 BDSG oder einer
anderen Einwilligung, die den Umgang mit den Daten in Big
Data-Anwendungen nicht zu rechtfertigen vermag) – z. B. in
einem CRM-System oder in unstrukturierter Form – gespeichert und mçchte es diese nun auf Grundlage einer Einwilligung der Betroffenen im Rahmen von Big Data-Anwendungen (weiter-)verarbeiten, msste es smtliche Betroffenen
hierzu anschreiben und von ihnen eine Einwilligung einholen. Dies gestaltet sich jedoch regelmßig zu aufwndig.
Mithin sollten Unternehmen sich bereits vor Erhebung von
Daten beim Betroffenen darber im Klaren sein, ob sie deren
Daten (ggf. auch zu einem spteren Zeitpunkt) auf Grundlage
einer Einwilligung verarbeiten wollen. In diesem Fall ist es
ratsam, die Einwilligung bereits zu diesem Zeitpunkt einzuholen.
Soweit das Unternehmen zum Zeitpunkt der Einholung der
Einwilligungserklrung noch nicht weiß, zu welchen Analysen, Zwecken etc. es die Daten der Betroffenen verwenden
mçchte, gestaltet es sich zudem auch anspruchsvoll, den
Inhalt der Einwilligungserklrung so zu gestalten, dass diese
wirksam ist und den Umgang mit personenbezogenen Daten
zu rechtfertigen vermag. In diesem Fall mssen Unternehmen, die den Datenumgang im Rahmen von Big Data-Anwendungen auf eine Einwilligung der Betroffenen sttzen
wollen, eine oftmals schwierige Gratwanderung vollbringen,
die Einwilligungserklrung so flexibel wie mçglich zu gestalten, um die Daten mçglichst umfassend verarbeiten zu
kçnnen, sie dabei aber nicht so vage und pauschal formulieren, dass sie den Anforderungen an die Informiert- und Bestimmtheit nicht mehr gengt und den Datenumgang somit
nicht mehr zu rechtfertigen vermag.
Wo die Grenze zwischen (maximal zulssiger) Flexibilitt
und (rechtlich notwendiger) Informiert- und Bestimmtheit
liegt, ist im Einzelfall zu bestimmen und stellt die verantwortliche Stelle oftmals vor Herausforderungen, zumal sich
diese Grenze auch nicht allgemeingltig bestimmen lsst. Je
flexibler eine Einwilligungserklrung gestaltet wird, desto
hçher ist die damit einhergehende Rechtsunsicherheit, ob die
Einwilligung noch den datenschutzrechtlichen Anforderungen entspricht.
Die folgende Klausel aus den „Datenschutzrichtlinien“ von
Apple hat das LG Berlin z. B. fr zu pauschal und damit fr
unwirksam gehalten:24
18
19
20
21
Siehe z. B. Simitis, in: Simitis (Fn. 17), § 4 a Rn. 70 m. w. N.
Siehe Khling, in: Wolff/Brink (Fn. 14), § 4 a Rn. 43 m. w. N.
Siehe z. B. Simitis, in: Simitis (Fn. 17), § 4 a Rn. 72.
Siehe z. B. Simitis, in: Simitis (Fn. 17), § 4 a Rn. 77; Khling, in: Wolff/
Brink (Fn. 14), § 4 a Rn. 44.
22 Siehe z. B. Simitis, in: Simitis (Fn. 17), § 4 a Rn. 77.
23 Etwas anderes kann ggf. gelten, wenn das Unternehmen den Datenumgang
auch auf eine gesetzliche Erlaubnisnorm sttzen kann.
24 LG Berlin, 30. 4. 2013 – 15 O 92/12, K&R 2013, 411 ff. = ZD 2013, 451 ff.
K &R
11
Beihefter 3/2015 zu Heft 9
„Wir nutzen personenbezogene Daten auch als Untersttzung, um unsere Produkte, Dienste, Inhalte und Werbung
zu entwickeln, anzubieten und zu verbessern. [...]
Wir kçnnen personenbezogene Daten auch fr interne Zwecke nutzen, wie zur [...] Datenanalyse und Forschung, um
Apples Produkte, Dienste und die Kommunikation mit Kunden zu verbessern.“
Ggf. kçnnen beim Entwurf der Einwilligungserklrungen
Anleihen aus dem Bereich der medizinischen Forschung
genommen werden, da auch in diesem Bereich zum Zeitpunkt der Erhebung der Daten und dem Einholen der Einwilligungserklrungen (von den Patienten) oftmals noch
nicht genau feststeht, wie, durch wen und fr welche Zwecke
die erhobenen (Patienten-)Daten verwendet werden. So
scheint es vor diesem Hintergrund in diesem Bereich durchaus anerkannt, dass Daten auf Grundlage von einem sogenannten „broad consent“ oder einem „tiered consent“ verarbeitet werden.25 Bei einem „broad consent“ erteilt der
Betroffene – vereinfacht ausgedrckt – zwar eine gewisse
Pauschaleinwilligung; das „Defizit“ an Bestimmt- und Informiertheit wird jedoch durch strenge Vorgaben fr die
(zuknftige) Verarbeitung der Daten „ausgeglichen“, z. B.
im Forschungsbereich durch die Einbindung von EthikKommissionen.26 Außerhalb des Bereichs der medizinischen
Forschung kçnnten insoweit z. B. die Verwendung von Verschlsselungsverfahren oder Pseudonymisierungskonzepte
in Betracht kommen. Auch beim sogenannten „tiered consent“ besteht ein gewisses „Bestimmtheits- und Informationsdefizit“, als dass der Betroffene nicht ber smtliche
(zuknftigen) Datenumgnge und Verarbeitungszwecke aufgeklrt wird/werden kann. Hier wird das Defizit jedoch
dadurch „kompensiert“, dass dem Betroffenen – vereinfacht
ausgedrckt – verschiedene abgestufte Wahlmçglichkeiten
erçffnet werden, wie seine Daten verarbeitet werden kçnnen
sollen (z. B. fr bestimmte „Zweckbereiche“ (wie hnliche
Projekte), nur fr das konkrete Projekt, nur pseudonymisiert
fr andere Projekte etc.).27
fertige Anwendungen im Nachhinein noch an datenschutzrechtliche Anforderungen anzupassen.
Um Big Data-Anwendungen also datenschutzkonform auszugestalten, ist es Unternehmen mithin dringend als Best
Practice anzuraten, das Big Data-Projekt so zu organisieren,
dass whrend der gesamten Projektphase ein stndiger Dialog
zwischen den aus technischer und wirtschaftlicher Sicht Projektverantwortlichen und den fr die Einhaltung des Datenschutzes verantwortlichen Personen, insbesondere dem betrieblichen Datenschutzbeauftragten und, soweit vorhanden,
der Rechtsabteilung, gewhrleistet ist. Hierzu kann es auch
gehçren, externen Rechtsrat einzuholen.
Whrend der Projektphase kçnnen in diesem Zusammenhang
insbesondere die folgenden Schritte aus datenschutzrechtlicher Sicht erforderlich sein:
1. Bewusstseinsbildung durch den betrieblichen Datenschutzbeauftragten,
2. Privacy Impact Assessment/Vorabkontrolle,
3. eventuell interner oder externer Rechtsrat; ggf. Abstimmung mit der zustndigen Datenschutzaufsichtsbehçrde,
4. Definition von datenschutzrechtlichen Kriterien/Vorgaben, z. B. von Pseudonymisierung, eines Lçsch- und
Sperrkonzepts, zur Sicherstellung der Betroffenenrechte,
5. Information/Mitbestimmung des Betriebsrats; Information der Betroffenen,
6. Programmierung des Systems, ggf. vertragliche Umsetzung (Auftragsdatenverarbeitung etc.),
7. bei wesentlichen nderungen: ggf. erneuter Dialog mit
den Projektverantwortlichen,
8. kontinuierliche Prfung des Systems auf Einhaltung der
datenschutzrechtlichen Vorgaben,
9. Endabnahme und Ergnzung des Verfahrensverzeichnisses.29
VIII. Fazit
Allerdings ist zu beachten, dass die Datenschutzaufsichtsbehçrden dem Umgang mit Daten zu medizinischen Forschungszwecken durchaus offener gegenberstehen und
mithin bereit sind, die datenschutzrechtlichen Vorgaben
weniger restriktiv auszulegen, als dies beim Datenumgang
zu anderen Zwecken der Fall ist.28 Mit anderen Worten
kçnnen die Konzepte des „broad consent“ und des „tiered
consent“ nicht ohne weiteres auf andere Bereiche als den
medizinischen Forschungsbereich bertragen werden. Allerdings kçnnen diese Konzepte ggf. zumindest ein Stck
weit als Beispiel fr Mçglichkeiten dienen, wie Einwilligungserklrungen flexibel gestaltet werden kçnnen, ohne
dass diese dabei aufgrund ihrer Pauschalitt unwirksam
werden.
Big Data bietet Unternehmen enorme neue Mçglichkeiten,
(personenbezogene) Daten zu analysieren und auszuwerten
und so datengetriebene Geschftsmodelle zu entwickeln.
Soweit hierbei personenbezogene Daten verwendet werden,
mssen Unternehmen die datenschutzrechtlichen Vorgaben
an den Umgang mit personenbezogenen Daten beachten.
Insbesondere wenn zum Zeitpunkt der Datenerhebung noch
nicht feststeht, wie und zu welchen Zwecken das Unternehmen die Daten verarbeiten mçchte, stellen sich hierbei
durchaus datenschutzrechtliche Herausforderungen. Soweit
Unternehmen auf den Umgang mit personenbezogenen Daten verzichten (und die Anonymitt der Daten sicherstellen)
kçnnen, ist ihnen daher anzuraten, auch tatschlich keine
personenbezogenen Daten zu verwenden. Aber auch wenn
VII. Sicherstellung der Datenschutz-Compliance
in Big Data-Projekten
25 Siehe hierzu auch den Entwurf fr die EU-Datenschutzgrundverordnung
in der Fassung des Rats der Europischen Union, die in Erwgungsgrund
25 a fr die wissenschaftliche Forschung ebenfalls die genannten Einwilligungsformen fr ausreichend zu erachten scheint.
26 Siehe zum Konzept des „broad consent“ ausfhrlich: Forg/Kollek/Arning/Krgel/Petersen, Ethical and Legal Requirements for Transnational
Genetic Research, 2010, Rn. 48 ff.
27 Siehe zum Konzept des „tiered consent“ ausfhrlich: Forg/Kollek/Arning/Krgel/Petersen (Fn. 26), Rn. 57 ff.
28 Auch Erwgungsgrund 25 a des Entwurfs fr die EU-Datenschutzgrundverordnung in der Fassung des Rats der Europischen Union befasst sich
nur im Hinblick auf den Bereich der wissenschaftlichen Forschung mit
diesen Einwilligungskonzepten.
29 Die Darstellung basiert auf BITKOM (Hrsg.), Management von Big-DataProjekten, S. 24 ff.; abrufbar unter: https://www.bitkom.org/Publikationen/
2013/Leitfaden/Management-von-Big-Data-Projekten/130618_Manage
ment-von-Big-Data-Projekten.pdf.
Mçchten Unternehmen (personenbezogene) Daten im Rahmen von Big Data-Anwendungen verwenden, stellt dies das
Unternehmen mithin oftmals vor datenschutzrechtliche Herausforderungen, insbesondere wenn viele Daten von verschiedenen Betroffenen aus vielen verschiedenen Quellen
hierzu verarbeitet werden. Vor diesem Hintergrund sollten
die datenschutzrechtlichen Implikationen whrend des gesamten Projekts genau beachtet und bereits bei der Gestaltung der Anwendung bercksichtigt werden, da es oftmals
nur unter großem Aufwand noch mçglich sein wird, bereits
12
ein Unternehmen personenbezogene Daten verarbeiten
mçchte, gibt es verschiedene Mçglichkeiten, die Datenschutzkonformitt dieser Big Data-Anwendungen zu gewhrleisten. Ein wesentlicher Faktor zur Sicherstellung
der Datenschutzkonformitt derartiger Anwendungen be-
Beihefter 3/2015 zu Heft 9
K &R
steht jedenfalls darin, die datenschutzrechtlichen Implikationen bereits bei der Konzeption der Anwendung zu bercksichtigen und whrend des jeweiligen Projekts fr einen
stndigen Dialog mit datenschutzrechtlichen Experten zu
sorgen.
RA Dr. Flemming Moos, Hamburg*
„Geht nicht“ gibt es nicht: Datennutzung als rechtliche
Gestaltungsaufgabe
Das Schlagwort der „Data Driven Economy“ fhrt deutlich
vor Augen, dass die Bedeutung von Daten fr die Geschftsmodelle der Zukunft kaum unterschtzt werden kann. In einer
datengetriebenen Wirtschaft ist die Sammlung, Auswertung,
Analyse, Weitergabe, Verçffentlichung und sonstige Nutzung
personenbezogener Daten zentraler Bestandteil der Unternehmensttigkeit; sei es weil der Umgang mit den Daten
selbst das Geschftsmodell darstellt, sei es weil Daten die
Grundlage fr die Gestaltung des Produkt- und Dienstangebots darstellen. Letzteres wird vor allem im Rahmen der
Erbringung personalisierter, auf den Nutzer zugeschnittener
Dienste relevant werden. Die Unternehmen kçnnen sich deshalb immer weniger darauf beschrnken, die Datenschutzkonformitt ihres Tuns als eine „Compliance-Aufgabe“ unter
vielen zu betrachten, die sie bei ihrem betrieblichen Datenschutzbeauftragten „abladen“. Schon die Auswahl und Ausgestaltung der Geschftsmodelle muss sich zunehmend daran
orientieren, was datenschutzrechtlich mçglich ist. Der Datenschutzjurist wird dadurch zum strategischen Mitgestalter.
Gestaltungsmçglichkeiten gibt es dabei zuhauf, sie mssen
allerdings auch erkannt und ausgenutzt werden. In diesem
Beitrag soll anhand einiger praxisrelevanter Beispiele aufgezeigt werden, durch welche Gestaltungsmaßnahmen datenschutzrechtliche Klippen umschifft werden kçnnen, um datengetriebene Geschftsmodelle auf ein rechtssicheres Fundament zu stellen.
I. Der Umgang mit Daten als Compliance-Aufgabe
Der Umgang mit personenbezogenen Daten wird durch Daten
verarbeitende Unternehmen traditionell als reine ComplianceAufgabe verstanden. Die rechtliche Prfung beschrnkt sich
hierbei in vielen Fllen darauf, ein von der Fachabteilung
ersonnenes Verarbeitungsszenario daraufhin zu prfen, ob es
datenschutzrechtlich zulssig ist oder nicht. Typische Fragestellungen sind hierbei etwa, ob eine bestimmte Werbemaßnahme unter Verwendung bestimmter Daten erfolgen darf
oder ob ein definierter Datensatz fr definierte Zwecke an
die Muttergesellschaft bermittelt werden darf.
Der Ausgangspunkt und rechtliche Programmsatz, der der
Einnahme dieser Compliance-Perspektive zugrunde liegt, ist
das in § 4 Abs. 1 BDSG verankerte Datenverarbeitungsverbot
mit Erlaubnisvorbehalt. Insofern ist an einer solchen Vorgehensweise nichts auszusetzen; im Gegenteil: die Gesetzeslage verlangt sogar diese Zulssigkeitsprfung im Einzelfall,
und deren Bedeutung wird knftig eher noch zunehmen:
Nach dem Gesetzentwurf der Bundesregierung fr ein Gesetz
zur Verbesserung der zivilrechtlichen Durchsetzung von verbraucherschtzenden Vorschriften des Datenschutzrechts
soll das Verbandsklagerecht nach § 2 UKlaG auf Vorschriften ausgedehnt werden, die fr die Erhebung, Verarbeitung
oder Nutzung personenbezogener Daten eines Verbrauchers
durch einen Unternehmer gelten.1 Zuwiderhandlungen gegen
bestimmte Datenschutzvorschriften – vor allem auch im Zusammenhang mit dem Erstellen von Persçnlichkeits- und
Nutzungsprofilen und dem Handel mit Daten – kçnnen deshalb knftig auch durch Verbraucherschutz- und Wettbewerbsverbnde sanktioniert werden. Die derzeit im Trilog
verhandelten Entwrfe der Datenschutz-Grundverordnung
sehen Bußgelder fr Datenschutzverstçße in einer Hçhe
von bis zu 100 Mio. Euro oder 5 % des weltweiten Jahresumsatzes des jeweiligen Unternehmens vor.2 Die „Compliance-Perspektive“ verliert also keinesfalls ihre Bedeutung.
II. Perspektivenwechsel durch Daten
als Wirtschaftsgut
In der datengetriebenen Wirtschaft wird es fr die Unternehmen und ihre Datenschutzjuristen allerdings nicht mehr ausreichend sein, ihre Ttigkeit auf reaktive Zulssigkeitsprfungen zu beschrnken, weil Datenverwendungen nicht mehr
nur die Modalitt der Kundenansprache bestimmen, sondern
die Produkte und die dahinter liegenden Geschftsmodelle
selbst. Datenschutzrechtliche Fragen stellen sich deshalb
typischerweise nicht erst am Ende der Wertschçpfungskette,
wo es darum geht, das fertige Produkt so oder so an den
Kunden zu bringen, sondern am Anfang, wenn es darum geht,
das Produkt selbst zu definieren; z. B. weil es eben kein
Massenprodukt mehr ist, sondern ein fr jeden Kunden individualisiertes, auf Basis der Analyse (personenbezogener)
Daten generiertes oder zumindest optimiertes Produkt. Einige solcher datengetriebenen Geschftsmodelle sind bereits in
die Praxis umgesetzt oder stehen vor ihrer Einfhrung; z. B.
* Mehr ber den Autor erfahren Sie auf S. 16.
1 Gesetzentwurf der Bundesregierung: Entwurf eines Gesetzes zur Verbesserung der zivilrechtlichen Durchsetzung von verbraucherschtzenden
Vorschriften des Datenschutzrechts, BT-Drs. 18/4631, 15. 4. 2015; hierzu:
Moos, K&R 2015, 158, 160.
2 Vgl. Art. 79 Abs. 2a lit. c DS-GVO in der Fassung des Beschlusses des
Europischen Parlaments vom 12. 4. 2014; zu allen Entwrfen siehe die
vom Bayerischen Landesamt fr Datenschutzaufsicht vorgehaltene Synopse: http://www.lda.bayern.de/lda/datenschutzaufsicht/lda_daten/BayL
DA_Synopse_DS-GVO_KOMM-EU-Parlament-Rat_150623TK.pdf.
K &R
Beihefter 3/2015 zu Heft 9
13
„Pay-as-you-Drive“-Tarife von Kfz-Versicherungen,3 Online-Bonittsprfungen4 oder neue, datengetriebene Formen
der Werbeausspielung im Internet (Programmatic Buying/
Realtime Advertising).5 Diese Angebote sind allerdings erst
die Vorboten der Datenwirtschaft – es geht anerkanntermaßen um die nchste industrielle Revolution auf Basis von Big
Data.6 Alle Unternehmen werden sich den Herausforderungen stellen und eine Umstellung auf datenbasierte Geschftsmodelle erwgen mssen.
In diesem Zuge muss sich die Perspektive erweitern, mit der
bislang in aller Regel datenschutzrechtliche Fragen im Unternehmen adressiert worden sind; den Datenschutzjuristen
kommt verstrkt die Aufgabe zu, die Kommerzialisierung
von (personenbezogenen) Daten zu ermçglichen und mitzuhelfen, tragfhige Konzepte fr die Realisierung der datengetriebenen Produkte und Geschftsmodelle zu entwickeln.
Das bedingt oftmals nicht nur einen neuen Denkansatz, sondern kann in manchen Unternehmen auch organisatorische
Umgestaltungen notwendig machen. Das gilt insbesondere in
den Unternehmen, in denen bisher die Datenschutzbeauftragten gemß § 4 f BDSG die alleinigen Know-how-Trger im
Datenschutzrecht und die alleinigen Statthalter fr die Bearbeitung datenschutzrechtlicher Fragen sind. Mit ihrer Stellung und Funktion im Unternehmen als internem Kontrollorgan drfte die weitere Aufgabe eines „Datenverarbeitungsstrategen“ regelmßig unvereinbar sein. Jedenfalls werden
sich in vielen Fllen Arbeitsablufe ndern mssen. Wegen
der gesteigerten strategischen Bedeutung der Datenerhebungen und -verwendungen mssen die Datenschutzrechtler
Konzepte und Prozesse mitgestalten und deshalb von Anfang
an dabei sein.
Rahmen von Unternehmenstransaktionen. Gerade datengetriebene Geschftsmodelle werden nicht selten von Startups
oder anderen jungen Unternehmen ersonnen und implementiert, die dann das Ziel von Akquisebemhungen grçßerer,
etablierter Unternehmen werden. Kommt es zu einem Unternehmenserwerb, ist aus der Sicht des Kufers entscheidend,
dass die Kundendaten datenschutzkonform auf ihn bergehen. Hierauf ist die datenschutzrechtliche Strukturierung gegebenenfalls auszurichten.
III. Ermçglichung von Datenerhebungen und
-verwendungen als Gestaltungsaufgabe
b) Erwerb von Nutzungsrechten bei Asset Deal
Anders liegt es bei einem so genannten Asset Deal, bei dem
der Erwerber einzelne Vermçgensgegenstnde des Unternehmens erwirbt. Werden auf diese Weise Kundenverhltnisse bertragen, so kçnnen bei dem Erwerber entsprechende
Befugnisse zum Umgang mit solchen Kundendaten begrndet werden. Damit die Weitergabe der personenbezogenen
Kundendaten an den Erwerber aber berhaupt zulssig ist,
bedarf es in diesen Fllen einer datenschutzrechtlichen Erlaubnisvorschrift. Fr Kundendaten kommt hier grundstzlich § 28 Abs. 1 S. 1 Nr. 1 oder Nr. 2 BDSG in Betracht.9 Bei
Kundendaten allerdings, die aus Online-Geschftsmodellen
stammen, besteht eine gewisse Unsicherheit: Angesichts der
Spezialregelungen im TMG, dessen Erlaubnisvorschriften
keine Interessenabwgung vorsehen, mag angezweifelt werden, ob die §§ 14, 15 TMG eine bertragung der Daten
rechtfertigen kçnnen, oder ob ungeachtet des § 12 Abs. 1
TMG fr die bermittlung im Rahmen des Unternehmenskaufs ergnzend auf das BDSG zurckgegriffen werden darf.
Richtigerweise wird man zwar aus dem Urteil des EuGH in
Sachen ASNEF/FECEMED10 folgern kçnnen, dass sich die
Zulssigkeit einer bermittlung von Daten immer auf Basis
Inhaltlich wird es fr den Datenschutzjuristen in einem Unternehmen, welches datengetriebene Geschftsmodelle umsetzt, darum gehen, das Modell so zu gestalten, dass es im
Einklang mit den datenschutzrechtlichen Vorschriften steht
und insbesondere die damit einhergehenden Datenerhebungen und -verwendungen datenschutzrechtlich zulssig sind.
Hierbei wird freilich Kreativitt gefragt sein. Es ist zwar
einerseits ein großes Dilemma des Datenschutzrechts, dass
der genaue Gegenstand und Umfang zahlreicher Ge- und
Verbote unklar ist, weil die Gesetze viele unbestimmte
Rechtsbegriffe enthalten, fr die es zumeist an hçchstrichterlicher Konturierung mangelt. Das schafft andererseits aber
auch Mçglichkeiten fr Unternehmen, die Interpretationsspielrume zu nutzen und – natrlich ohne die Grenzen zu
berschreiten – Lçsungen zu erarbeiten, die den gesetzlichen
Anforderungen entsprechen.
Im Nachfolgenden werden beispielhaft drei praxisrelevante
Szenarien betrachtet. Gemein ist ihnen die Zielsetzung, bestimmte Erhebungen oder Verwendungen personenbezogener Daten zu ermçglichen, wie sie kennzeichnend fr datengetriebene Geschftsmodelle sind. Es zeigt sich, dass es sich
bei der Frage der Datenschutzkonformitt keineswegs um
Schwarz-Weiß-Betrachtungen handelt. Vielmehr gibt es oftmals eine Reihe alternativer Gestaltungen, so dass im Einzelfall geeignete datenschutzrechtliche Strukturierungen gefunden werden kçnnen.
1. Erwerb von Kundendaten im Rahmen
von Transaktionen
Eine in der Praxis hufig relevante Fragestellung in diesem
Zusammenhang betrifft den Erwerb von Kundendaten im
a) Kein Erwerb von Nutzungsrechten durch
Gesellschaftserwerb
Entgegen einer landlufigen Fehlvorstellung außerhalb von
datenschutzrechtlichen Fachkreisen begrndet ein reiner Anteilserwerb an einer Gesellschaft keine datenschutzrechtlichen Nutzungsbefugnisse zugunsten des Erwerbers an den
Kundendaten der (neuen) Tochtergesellschaft. Datenschutzrechtlich liegt das freilich auf der Hand, da das so genannte
„Target“ als datenschutzrechtlich verantwortliche Stelle ja
unverndert erhalten bleibt und sich nur der Anteilsinhaber
ndert. Weil es im deutschen Datenschutzrecht aber kein
Konzernprivileg gibt, welches Datenweitergaben zwischen
verbundenen Unternehmen dem Grundsatz des Datenverarbeitungsverbots mit Erlaubnisvorbehalt entzçge, werden
entsprechende Datenweitergaben nicht allein deshalb zulssig, weil es nun eine neue gesellschaftsrechtliche Verbindung
gibt.7 Weil das BDSG jedes rechtlich selbstndige Unternehmen innerhalb einer Unternehmensgruppe als eigenstndige
Stelle im Sinne von § 3 Abs. 7 BDSG einstuft, 8 erwirbt der
Unternehmenskufer bei einer solchen Gestaltung deshalb
keine eigenen Nutzungsrechte an den Kundendaten.
3 Siehe hierzu z. B. den „S-Drive“-Tarif der Sparkassen-Direktversicherung; www.sparkassen-direkt.de/telematik/mehr.html.
4 Siehe hierzu z. B. das Angebot von Zest Finance unter www.zestfinance.
com; allgemein dazu: Kchemann, Alle Daten sind Kreditdaten, in: F.A.Z.
v. 7. 11. 2014.
5 Siehe dazu: Arning/Moos, ZD 2014, 242 ff.
6 Siehe hierzu anschaulich den Beitrag „Datafiziert“, in: Sddeutsche Zeitung vom 25. 4. 2015, S. 36.
7 Moos/Zeiter, in: Forg/Helfrich/Schneider (Hrsg.), Betrieblicher Datenschutz, 2014, Teil V. Kap. 1 Rn. 6.
8 Buchner, in: Taeger/Gabel, BDSG, 2. Aufl. 2013, § 3 Rn. 53.
9 Schrçder, in: Forg/Helfrich/Schneider (Fn. 7), Teil V. Kap. 4 Rn. 37.
10 EuGH, 24. 11. 2011 – verb. Rs. C-468/10; C-469/10, K&R 2012, 40 ff. =
ZD 2012, 33 ff.
14
einer Abwgung der Interessen des Betroffenen und der verantwortlichen Stelle ergeben kçnnen muss und dass deshalb
die strengeren Regelungen des TMG, die eine solche Interessenabwgung nicht vorsehen, richtlinienkonform in dem
Sinne auszulegen sind, dass sie eine bermittlung von Bestands- und Nutzungsdaten auf Basis einer Interessenabwgung ermçglichen. Eine rechtliche Unsicherheit bleibt allerdings, zumal teilweise generell eine Einwilligung der Kunden
in die bermittlung ihrer Daten im Rahmen von Unternehmensverkufen verlangt wird.11
Auch das Ergebnis der Interessenabwgung ist stark einzelfallgeprgt und hngt nicht nur von der Beurteilung ab,
welche Datenbermittlungen tatschlich „erforderlich“ sind,
sondern natrlich auch von den Verwendungszwecken; soll
etwa – wie dies blich ist – auch eine Verwendung zu Werbezwecken erfolgen, wre evtl. § 28 Abs. 3 BDSG einschlgig.12
Als Schlussfolgerung bleibt, dass hier – je nach betroffenen
Datenarten und Verwendungszwecken – komplexe datenschutzrechtliche Prfungen anzustellen sein kçnnen, um die
Transaktion datenschutzkonform zu strukturieren.
c) Erwerb von Nutzungsrechten durch Unternehmensumwandlungen
Es lohnt sich deshalb in manchen Fllen, nach Alternativen
zu suchen, die datenschutzrechtlich eine grçßere Sicherheit
bieten. Eine Lçsung kann z. B. in einer Unternehmensumwandlung nach dem Umwandlungsgesetz liegen.
Entgegen einer vereinzelt gebliebenen Ansicht13 unterliegen
Datenweitergaben im Rahmen von Umwandlungen nach
UmwG nmlich keinen datenschutzrechtlichen Beschrnkungen.14 Bei solchen Umwandlungen, wie z. B. Verschmelzungen, Aufspaltungen, Abspaltungen und Ausgliederungen
geht die Verfgungsbefugnis ber die Daten im Rahmen
einer Gesamtrechtsnachfolge automatisch auf den neuen
Rechtstrger ber, ohne dass eine bermittlung im Sinne
von § 3 Abs. 4 S. 2 Nr. 3 BDSG vorlge.15
In der Praxis ist die Datenschutzkonformitt der Erlangung
der Kundendaten in der Regel natrlich nur eine Gestaltungsanforderung unter vielen; daneben treten zumeist steuerliche,
finanzielle und unternehmensorganisatorische Faktoren. Nur
wenn man den Transaktionsjuristen aber den Kanon der
datenschutzrechtlichen Mçglichkeiten komplett aufzeigt,
kann eine sinnvolle Gesamtstrategie fr die Unternehmenstransaktion gefunden werden.
2. Schaffung von Verarbeitungsgrundlagen durch
Vertragsgestaltung
Ein weiteres, sehr bedeutsames Feld, in dem die Datenschutzjuristen knftig verstrkt gefordert sein werden, ist dasjenige
der proaktiven, datenschutzkonformen Ausgestaltung des
eigenen Geschftsmodells. Auch hier ist es mitnichten so,
dass es um reine Entweder-oder-Entscheidungen geht. Vor
allem im Rahmen der Vertragsgestaltung erçffnen sich Mçglichkeiten –, ja teilweise auch Notwendigkeiten – durch sorgsame Vertragsformulierungen bestimmten Umgngen mit
Kundendaten eine rechtliche Basis zu geben.
Der Aufsatzpunkt fr solche Strategien sind diejenigen Datenschutzvorschriften des BDSG oder anderer bereichsspezifischer Gesetze, die entweder die Erhebung und Verwendung
von Kundendaten zur Vertragsdurchfhrung oder auf der
Basis von Interessenabwgungen gestatten; etwa § 28 Abs. 1
S. 1 Nr. 1 und Nr. 2 BDSG.
Beihefter 3/2015 zu Heft 9
K &R
a) Definition und Leistungsbeschreibung fr personalisierte
Dienste
Ein gutes Anwendungsbeispiel hierfr bilden personalisierte
Dienste, wie sie fr die knftige Datenwirtschaft kennzeichnend sein werden. Ganz generell ist es mçglich, die Leistungsbeschreibungen der jeweiligen Dienste so zu formulieren, dass die Datenverwendungen zur Personalisierung des
jeweiligen Dienstangebots noch vom Vertragszweck mit
abgedeckt sind. Dabei kann § 28 Abs. 1 S. 1 Nr. 1 BDSG aber
wohl nur als Rechtsgrundlage herangezogen werden, wenn
und soweit die entsprechende Leistungsbeschreibung die
Produktoptimierung bzw. Personalisierung als Teil der Leistung beschreibt und damit das Kriterium der Erforderlichkeit
in § 28 Abs. 1 S. 1 Nr. 1 BDSG erfllt ist. Hierauf ist bei der
Vertragsgestaltung besonders zu achten.
Der Maßstab fr die Erforderlichkeit ist das konkrete Vertragsverhltnis zwischen Dienstnutzer und dem datenverarbeitenden Unternehmen.16 Prinzipiell sind nach § 28 Abs. 1
BDSG solche Datenerhebungen, -verarbeitungen und -nutzungen gerechtfertigt, die der Erfllung des jeweiligen Geschftszwecks dienen. Entsprechende Vertragszwecke werden gerade anhand der vertraglichen Grundlagen ermittelt.17
Es ist im Hinblick auf Vertragsverhltnisse nach wohl herrschender Meinung nach objektiven Kriterien festzustellen, ob
die Verwendung der Daten in dem Sinne notwendig ist, dass
nur dadurch die Rechte aus dem Vertrag geltend gemacht und
die Pflichten erfllt werden kçnnen.18 In diesem Rahmen
steht es der verantwortlichen Stelle gemß § 28 Abs. 1 S. 2
BDSG frei, die Verwendungszwecke der Daten selbst festzulegen und damit auch den Rahmen festzulegen, innerhalb
dessen sich die Verarbeitung oder Nutzung der Daten vollziehen muss.19 Der gleichen Logik wie § 28 Abs. 1 BDSG
folgt auch § 15 TMG. Im Rahmen der Erbringung der Dienste
ist die akzessorische Datenverarbeitung gerechtfertigt.20
Wenn die vertraglichen Pflichten also entsprechend formuliert sind, kann die Vertragsdurchfhrung auch die Verwendung entsprechender Kundendaten einschließlich der Nutzung und Verwendung von „Big Data“ rechtfertigen. Voraussetzung hierfr ist aber, dass die dem jeweiligen Unternehmen obliegende Leistungspflicht die Personalisierung des
Dienstes anhand der Datenanalysen mçglichst konkret und
eindeutig beschreibt.
b) Besondere Gestaltungsanforderungen bei kombinierten
Dienstangeboten
Besondere Gestaltungsanforderungen ergeben sich dabei typischerweise bei kombinierten Dienstangeboten; also in Fllen, in denen mehrere grundstzlich auch einzeln abtrennbare
Funktionen oder Services zu einem Dienst zusammengefasst
werden. Es liegt zwar grundstzlich in der Deutungshoheit
der verantwortlichen Stelle, den Gegenstand des eigenen
Dienstes zu bestimmen. Wegen des Zweckbindungsgrundsatzes und des Trennungsgebots ist hierbei aber ganz besonders den (objektivierten) Nutzererwartungen im Hinblick auf
mçgliche Zusammenfhrungen und dienstbergreifende Da11
12
13
14
15
16
17
18
19
20
Simitis, in: Simitis, BDSG, 7. Aufl. 2011, § 28 Rn. 68.
Plath, in: Plath, BDSG, 2013, § 28 Rn. 68.
Wengert/Widmann/Wengert, NJW 2000, 1289 ff.
Moos/Zeiter, in: Forg/Helfrich/Schneider (Fn. 7), Teil V. Kap. 1 Rn. 37.
Plath, in: Plath (Fn. 12), § 28 Rn. 69; Dammann, in: Simitis (Fn. 11), § 3
Rn. 144; Schaffland, NJW 2002, 1539, 1540 f.
Plath, in: Plath (Fn. 12), § 28 Rn. 19.
Taeger, in: Taeger/Gabel (Fn. 8), § 28 Rn. 48.
Taeger, in: Taeger/Gabel (Fn. 8), § 28 Rn. 47; Plath, in: Plath (Fn. 12),
§ 28 Rn. 21; LG Kçln, 9. 5. 2007 – 26 O 358/05, BeckRS 2007, 10750.
Simitis, in: Simitis (Fn. 11), § 28 Rn. 23.
Zscherpe, in: Taeger/Gabel (Fn. 8), § 15 TMG, Rn. 8.
K &R
Beihefter 3/2015 zu Heft 9
tenverwendungen Rechnung zu tragen – auch auf diese kann
man freilich durch die Beschreibung des Dienstes und die
Gestaltung des Nutzungsvertrages Einfluss nehmen.
3. Teilen und gemeinsame Verarbeitung von Daten
Ein weiteres Gestaltungsbeispiel betrifft die datenschutzrechtliche Absicherung des Teilens bzw. der gemeinsamen
Verarbeitung von Daten durch unterschiedliche Stellen, etwa
innerhalb einer Unternehmensgruppe oder im Rahmen von
Kooperationen mit externen Partnern.
Dem BDSG liegt hierbei oberflchlich ein klar umrissenes
Rollenmodell zugrunde. Es unterscheidet zwischen dem Betroffenen, der verantwortlichen Stelle und Dritten. Daneben
finden noch der Auftragsdatenverarbeiter und sonstige
„Empfnger“ von Daten ausdrckliche gesetzliche Anerkennung. Verantwortliche Stelle ist gemß § 3 Abs. 7 BDSG jede
Person oder Stelle, die personenbezogene Daten fr sich
selbst erhebt, verarbeitet oder nutzt oder dies durch andere
im Auftrag vornehmen lsst. Dritter ist gemß § 3 Abs. 8 S. 2,
3 BDSG jede Person oder Stelle außerhalb der verantwortlichen Stelle mit Ausnahme des Betroffenen und der Auftragsdatenverarbeiter. In Umsetzung von Art. 2 lit. g RL 95/
46/EG wurde in das BDSG nachtrglich noch der Begriff des
„Empfngers“ eingefhrt. Empfnger ist nach § 3 Abs. 8
BDSG jede Person oder Stelle, die Daten erhlt. Im Unterschied zu dem „Dritten“ soll es sich bei dem „Empfnger“
aber nicht um eine Stelle außerhalb der verantwortlichen
Stelle handeln, so dass eine Datenweitergabe an einen Empfnger keine (erlaubnispflichtige) bermittlung darstellt.
Empfnger sind vor allem Auftragsdatenverarbeiter.21
Besteht also die Zielvorstellung des Unternehmens darin,
dass mehrere separate rechtliche Unternehmenseinheiten bestimmte personenbezogene Daten verwenden sollen, wird
man standardmßig eine bermittlung der entsprechenden
Daten zwischen den beteiligten Stellen in Betracht ziehen.
a) Datenbermittlungen zwischen verantwortlichen Stellen
Bei einer solchen bermittlung handelt es sich aber wiederum – mangels Konzernprivileg auch innerhalb einer Unternehmensgruppe – um einen nach § 4 Abs. 1 BDSG erlaubnispflichtigen Datenumgang.
Dabei ist es durchaus denkbar, dass hierfr ein gesetzlicher
Erlaubnistatbestand einschlgig ist; so kann etwa § 28 Abs. 1
i.V. m. Abs. 2 BDSG eine bermittlung von Kundendaten fr
andere Zwecke durchaus rechtfertigen, wobei hier durch eine
entsprechende Gestaltung des Vertrages zwischen den an der
bermittlung beteiligten Stellen auch grundstzlich den berechtigten Interessen der Betroffenen Rechnung getragen
werden kann.22 Erneut ist aber eine diffizile Einzelfallprfung notwendig, die gegebenenfalls dazu fhrt, dass bestimmte Datenbermittlungen mangels Rechtsgrundlage
nicht erfolgen drften.
b) Begrndung einer gemeinsam verantwortlichen Stelle
An diesem Punkt stellt sich erneut die Frage nach mçglichen
Alternativgestaltungen. Eine Variante kann die Begrndung
einer gemeinsam verantwortlichen Stelle sein.
aa) Anforderungen an die Ausgestaltung
Nach § 3 Abs. 7 BDSG i.V. m. Art. 2 lit. d der EU-Datenschutzrichtlinie 95/46/EG kçnnen nmlich – entgegen dem
insoweit richtlinienkonform auszulegenden Wortlaut des
BDSG23 – mehrere Stellen zusammen fr einen Datenumgang
datenschutzrechtlich verantwortlich sein. Voraussetzung fr
15
eine gemeinsame Verantwortlichkeit ist dabei, dass verschiedene Parteien im Zusammenhang mit spezifischen Verarbeitungen entweder ber den Zweck oder ber wesentliche Elemente der Mittel entscheiden, die einen fr die Verarbeitung
Verantwortlichen kennzeichnen.24 Als ein prgnantes Beispiel fhrt die Artikel-29-Datenschutzgruppe einen Fall an,
in dem verschiedene Akteure beschließen, eine gemeinsame
Infrastruktur fr die Erreichung ihrer jeweiligen individuellen
Zwecke einzurichten, und bejaht dies beispielsweise, wenn
ein Reisebro, eine Hotelkette und eine Fluggesellschaft eine
gemeinsame Internet-Plattform einrichten wollen, um ihre
Zusammenarbeit bei der Verwaltung der Reisereservierungen
zu verbessern und ihre Kundendaten gemeinsam zu nutzen,
um integrierte Werbeaktionen durchzufhren.
Die Beteiligung der Parteien an den gemeinsamen Entscheidungen im Hinblick auf die Mittel und Zwecke der Datenverarbeitung kann jedoch verschiedene Formen aufweisen
und muss nicht gleichmßig verteilt sein. Nach Ansicht der
Art. 29-Datenschutzgruppe sind insbesondere die folgenden
Faktoren entscheidend dafr, ob eine Stelle ber die Zwecke
und wesentlichen Elemente der Mittel der Datenverarbeitung
(mit) entscheidet:
• Vertragliche Vereinbarungen zwischen den beteiligten
Parteien,
• Grad der tatschlich von einer Partei ausgebten Kontrolle,
• der den betroffenen Personen (vorliegend der den Nutzern) vermittelte Eindruck,
• die berechtigten Erwartungen der betroffenen Personen
aufgrund der Außenwirkung.
Es bedarf hierfr einer Gesamtbetrachtung dieser Faktoren.
Zwar kçnnen vertragliche Regelungen alleine die Verantwortlichkeit fr eine Datenverarbeitung mçglicherweise
nicht determinieren, da die Parteien die Verantwortung sonst
einfach nach eigenem Gutdnken zuweisen kçnnten. In diesem Sinne ist wohl auch eine Entscheidung des OVG Schleswig zu verstehen, in der das Gericht fr die Frage, ob mehrere
Stellen gemeinsam fr die Datenverarbeitung Verantwortliche sind, entscheidend auf die Kontrolle und die Einflussnahmemçglichkeit auf die Datenverarbeitung abstellt.25 Dennoch misst die Artikel-29-Datenschutzgruppe der Vertragsgestaltung zwischen den beteiligten Parteien besonderes Gewicht im Hinblick auf die Bestimmung der verantwortlichen
Stelle bei und hat auch einen rechtlichen Einfluss einer Partei
auf eine Datenverarbeitung als erheblichen Faktor bei der
Bestimmung der verantwortlichen Stelle anerkannt.26 Wenn
die vertraglichen Bestimmungen die Realitt also korrekt
widerspiegeln (also die rechtlich benannte verantwortliche
Stelle die Datenverarbeitung auch tatschlich wirksam kontrolliert), spricht nach Ansicht der Artikel-29-Datenschutzgruppe nichts dagegen, sich bei der Bestimmung der verantwortlichen Stelle an den Vertragsregelungen zu orientieren.
21 Buchner, in: Taeger/Gabel (Fn. 8), § 3 Rn. 55.
22 Moos, in: von dem Bussche/Voigt (Hrsg.), Konzerndatenschutz, Teil 3,
Kap. 4, R. 3; Gabel, in: Moos (Hrsg.), Datennutzungs- und Datenschutzvertrge, 2013, Teil 6 I. Rn. 5 f.
23 VG Schleswig, 9. 10. 2013 – 8 A 14/12, K&R 2013, 824 ff. = ZD 2014, 51,
53; dazu Moos, K&R 2014, S. 149, 149 f.
24 Siehe z. B. Art. 29-Datenschutzgruppe, Stellungnahme 1/2010 zu den
Begriffen „fr die Verarbeitung Verantwortlicher“ und „Auftragsdatenverarbeiter“, WP 169, S. 23, abrufbar unter: http://ec.europa.eu/justice/
policies/privacy/docs/wpdocs/2010/wp169_de.pdf.
25 OVG Schleswig, 4. 9. 2014 – 4 LB 20/13, ZD 2014, 643 ff.; dazu Moos,
K&R 2015, 158, 165.
26 Artikel 29-Datenschutzgruppe, Stellungnahme 1/2010 zu den Begriffen
„fr die Verarbeitung Verantwortlicher“ und „Auftragsdatenverarbeiter“,
WP 169, S. 14.
16
Die Artikel-29-Datenschutzgruppe gesteht den Beteiligten
hierbei ausdrcklich ein gewisses Maß an vertraglicher Gestaltungsfreiheit zu; insbesondere im Hinblick auf die wechselseitige Verteilung und Zuweisung von Verpflichtungen
und Verantwortlichkeiten, solange eine vollstndige Einhaltung der Rechtsvorschriften gewhrleistet ist; sie fordert die
fr die Verarbeitung Verantwortlichen sogar auf, vertragliche
Regelungen ber die Art und Weise zu treffen, wie sie
gemeinsame Verantwortung ausben.27
bb) Rechtsfolgen
Bei Datenweitergaben zwischen den mitverantwortlichen
Stellen handelt es sich nicht um erlaubnispflichtige bermittlungen, da sie im Verhltnis zueinander nicht „Dritte“ im
Sinne von § 3 Abs. 8 S. 2, 3 BDSG sind. Der Partner, der als
mitverantwortliche Stelle fungiert, darf die Daten so verwenden, wie es eine alleinig verantwortliche Stelle drfte (vorbehaltlich etwaiger interner Verwendungsbeschrnkungen im
Vertrag mit der anderen mitverantwortlichen Stelle). Wichtig
ist es nur, hinreichende Transparenz fr die Betroffenen
ebenso wie eine bereinstimmung mit den Verarbeitungsrealitten zu schaffen.
cc) Ausblick
Es ist abzusehen, dass sich im Zuge der Etablierung des
Internets der Dinge, Connected Cars, Smart Grids und von
Big Data-Anwendungen in viel grçßerem Maße plurale Verantwortlichkeiten fr den Umgang mit Daten ergeben werden
und eine Abgrenzung der Verantwortlichkeitssphren fr
verteilte Datenverarbeitungen schwieriger wird.28 Alleinverantwortlichkeiten wird es in einigen Fllen nicht mehr geben
(kçnnen). Ein Mehr an rechtlicher Sicherheit lsst sich durch
eine proaktive Gestaltung der Beteiligten erzielen. Das zwar
von der EG-Datenschutzrichtlinie anerkannte, mangels Umsetzung im Wortlaut des BDSG in Deutschland allerdings
bisher nur stiefmtterlich betrachtete Konzept der „gemeinsam verantwortlichen Stellen“ kçnnte und sollte deshalb in
solchen Fllen von den Beteiligten verstrkt fruchtbar gemacht werden.
27 Artikel 29-Datenschutzgruppe, Stellungnahme 1/2010 zu den Begriffen
„fr die Verarbeitung Verantwortlicher“ und „Auftragsdatenverarbeiter“, WP 169, S. 17.
28 Moos, in: Leible/Kutschke, Der Schutz der Persçnlichkeit im Internet,
2013, 143, 159.
Beihefter 3/2015 zu Heft 9
K &R
IV. Fazit
Die zunehmende Nutzung von Daten als Wirtschaftsgut erfordert eine Abkehr von einer reinen Compliance-Perspektive bei der datenschutzrechtlichen Bewertung des Datenumgangs im Unternehmen. Datenschutzjuristen mssen dabei
helfen, datengetriebene Geschftsmodelle auszuarbeiten und
von Beginn an so aufzusetzen, dass sie im Einklang mit den
Datenschutzvorgaben umgesetzt werden kçnnen. Hierbei
kommt der gestalterischen Ttigkeit eine wachsende Bedeutung zu. Die gesetzlichen Regelungen halten diverse Gestaltungsoptionen bereit, die es zur Umsetzung datengetriebener
Geschftsmodelle auszunutzen gilt. Essentiell ist hierbei eine
frhzeitige Einbeziehung der Datenschutzjuristen und eine
sorgfltige datenschutzrechtliche Ausgestaltung von Beginn
an.
Dr. Flemming Moos
FA fr IT-Recht und Partner in der Kanzlei Osborne Clarke. Seit 2001 als RA mit den Beratungsschwerpunkten Datenschutz- und IT-Recht ttig.
Im Juve Handbuch 2014 als „fhrender Name im
Datenschutz“ benannt. Beim ULD Schleswig-Holstein anerkannter Sachverstndiger fr IT-Produkte (rechtlich) und anerkannter Schlichter an der Hamburger
Schlichtungsstelle fr IT-Streitigkeiten; Mitglied der DGRI, der
HDG und der IAPP.
RA Marian Alexander Arning, LL.M.
ist Rechtsanwalt bei der Kanzlei Osborne Clarke in
Hamburg. Spezialisiert auf Datenschutz- und ITRecht mit besonderem Schwerpunkt im Gesundheitsbereich, insb. eHealth. Studium an der Universitt Hannover, Masterstudium an den Universitten Hannover und Leuven; 2006 - 2008 wiss. Mitarbeiter am Institut fr Rechtsinformatik der Universitt Hannover.
Promotion ber die elektronische Gesundheitskarte.
Dr. Jens Schefzig
Studium an den Universitten Trier und Sheffield
sowie der Christian-Albrechts-Universitt zu Kiel;
2010 - 2013 Rechtsreferendariat am Hanseatischen
OLG Hamburg; Promotion an der Christian-Albrechts-Universitt zu Kiel und Zulassung zum
Rechtsanwalt in 2013; seit 2014 Rechtsanwalt im
Hamburger Bro der Kanzlei Osborne Clarke; Schwerpunktbereich:
IT- und Datenschutzrecht.
Die internationale Kanzlei Osborne Clarke bert umfassend
im Wirtschafts- und Steuerrecht – in Deutschland mit mehr
als 120 Rechtsanwlten aus Berlin, Hamburg, Kçln und
Mnchen. Ihre Lçsungen prgen besonderes BranchenKnow-how und wirtschaftlichen Mehrwert. Das renommierte Team Datenschutz bert nationale und internationale Unternehmen in der gesamten Bandbreite des Datenschutzrechts sowie zur Nutzung von Daten, einschließlich
der rechtlichen Gestaltung von Datenanalyseprojekten, der
Strukturierung internationaler Datenflsse, der Durchfhrung von Datenschutzaudits sowie in Compliance-Fllen.
Osborne Clarke war 2012 Kanzlei des Jahres fr IT-Recht
und ist azur Top-Arbeitgeber fr Datenschutz.

ANGABEN MANDANT Name, Vorname (bzw. Firma) Straße PLZ, Ort

Agenda Big Data Roundtable

Hunde-Motel Lüzimaad

Füllkörper Chip - hel-x.eu

PDF Version

GPM LS 1-2016 Big Data neu.indd

Plakat

INFO - Gutenstein

Page 1 Investmentmanager/in Immobilien – Stellenausschreibung