Kommunikation &Recht Betriebs-Berater für Medien Telekommunikation Multimedia 9 K&R Editorial: Strategie für einen digitalen europäischen Binnenmarkt Günther H. Oettinger 537 Elektronische Signatur und das besondere elektronische Anwaltspostfach: FördElRV update 2016 Dr. Arnd-Christian Kulow 543 Gegenwart und Zukunft der Alterskennzeichnung von Mobile Apps Felix Hilgert und Philipp Sümmermann 549 Trefferlisten seiteninterner Suchmaschinen in Handelsplattformen und Markenrecht · Dr. Alexander R. Klett und Maria Ottermann 555 Urheberrechtsverletzung durch Werbung für rechtsverletzendes Produkt · Dr. Dennis Voigt 556 Filmen während der Fahrt – der rechtliche Umgang mit Dashcams Michael Terhaag und Christian Schwarz 559 Datenschutzrecht und Webseiten: Welches Recht ist anwendbar und welche Aufsichtsbehörde ist zuständig? · Dr. Carlo Piltz 563 Das medienrechtliche Must-Carry-Regime und das Kartellrecht – ein schwieriges Verhältnis · Prof. Dr. Karl-E. Hain 566 Länderreport Schweiz · Dr. Ursula Widmer 600 LG Frankfurt a. M.: Sofortüberweisung stellt keine zumutbare kostenfreie Zahlungsmöglichkeit dar mit Kommentar von Dr. Martin Schirmbacher 608 Glosse: Nein, nein, nein und nochmals nein! · Michael Schmuck Beihefter 3/2015 Daten als Geschäftsmodell Dr. Flemming Moos, Marian Alexander Arning und Dr. Jens Schefzig 18. Jahrgang September 2015 · Seiten 537– 608 Kommunikation & Recht K &R Beihefter 3/2015 zu Heft 9 Daten als Geschftsmodell Herausgeber: RA Dr. Flemming Moos, RA Marian Alexander Arning, LL.M. und RA Dr. Jens Schefzig, Hamburg Inhaltsbersicht Daten als Geschftsmodell – rechtliche Herausforderungen und Gestaltungsanforderungen im bergang zum Datenzeitalter RA Dr. Flemming Moos, RA Marian Alexander Arning, LL.M. und RA Dr. Jens Schefzig, Hamburg. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2 Datenpools – Big Data datenschutzkonform umsetzen RA Marian Alexander Arning, LL.M., Hamburg. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7 „Geht nicht“ gibt es nicht: Datennutzung als rechtliche Gestaltungsaufgabe RA Dr. Flemming Moos, Hamburg. . . . . . . . . . . . . . . 12 Wem gehçrt das neue l? – Die Sicherung der Rechte an Daten RA Dr. Jens Schefzig, Hamburg . . . . . . . . . . . . . . . . . . . 3 dfv Mediengruppe, Mainzer Landstr. 251, 60326 Frankfurt a. M. 2 Beihefter 3/2015 zu Heft 9 Daten sind das l der Zukunft, diesbezglich sind sich alle Analysten einig. Die Quelle sprudelt dabei fortwhrend, denn dank zunehmender Vernetzung von Mensch und Maschine steigt die Menge der verfgbaren Daten exponentiell. Die Unternehmen mssen die Daten nur noch gewinnbringend verwerten. Das Einsortieren datengetriebener Geschftsmodelle in Schubladen mit den Bezeichnungen „Industrie 4.0“, „Big Data“, „Internet der Dinge“ etc. suggeriert dabei, dass die Unternehmen sich auf schon einigermaßen bekanntem Terrain bewegen und der Umsetzungspfad klar vorge- K &R bergang ins Datenzeitalter in Angriff zu nehmen. Denn durch frhzeitige, aktive rechtliche Gestaltung der Datenhaushaltung lassen sich viele der anderenfalls aufkommenden Probleme vermeiden. Dieser imminente Handlungsbedarf bei den Unternehmen hatte uns veranlasst, im Mai 2015 in unserer Kanzlei eine Vortragsveranstaltung zu ausgewhlten rechtlichen Fragestellungen zu organisieren, die es hierbei aus Unternehmenssicht zu bewltigen gilt. Bei den nachfolgenden drei Beitrgen handelt es sich um die ausformulierten und erweiterten Fassungen der von Rechtsanwlten von RA Dr. Flemming Moos, RA Marian Alexander Arning, LL.M. und RA Dr. Jens Schefzig, Hamburg* Daten als Geschftsmodell – rechtliche Herausforderungen und Gestaltungsanforderungen im bergang zum Datenzeitalter zeichnet ist. Doch dieser Eindruck tuscht. Die Entwicklung der neuen, datengetriebenen Geschftsmodelle steht erst am Anfang – dasselbe gilt auch und gerade fr deren rechtliche Absicherung. Die Verwertung von Daten birgt zahlreiche rechtliche Herausforderungen. Die unklare Lage bezglich der Rechte an Daten, die konkreten Beschrnkungen aus der Zweckbindung von personenbezogenen Daten und die Anforderungen an deren nachhaltige Anonymisierung sind nur drei Beispiele fr derartige offene Punkte. Ein klarer und verlsslicher gesetzlicher Handlungsrahmen ist aber von entscheidender Bedeutung, wenn hiesige Unternehmen ihre Geschftsmodelle erfolgreich an das Datenzeitalter anpassen sollen. Das ist auch dem Gesetzgeber bewusst. So hat die Europische Kommission explizit den „Aufbau einer Datenwirtschaft“ als einen wesentlichen Grundpfeiler ihrer am 6. 5. 2015 verçffentlichten Strategie fr den digitalen Binnenmarkt in Europa benannt. Ihr Ziel ist es hierbei, bereits im Jahr 2016 diverse Initiativen auf den Weg zu bringen, um technische und rechtliche Hindernisse aus dem Weg zu rumen, die u. a. die Klarheit von Datennutzungsrechten und die grenzberschreitende Datennutzung betreffen. Die technische Entwicklung und die außereuropischen Wettbewerber warten aber leider nicht auf den Gesetzgeber. Den Unternehmen bleibt deshalb nichts brig, als schon heute auf Basis des bestehenden Rechtsrahmens den Osborne Clarke auf dieser Veranstaltung gehaltenen Vortrge. Der erste Aspekt, dem in diesem Zusammenhang auf den Grund gegangen wurde, war das Bestehen und die Sicherung von Rechten an Daten. Dieser Problemstellung widmet sich Schefzig in seinem Beitrag: „Wem gehçrt das neue l? – Die Sicherung der Rechte an Daten“. Der zweite Beitrag von Arning mit dem Titel „Datenpools – Big Data datenschutzkonform umsetzen“ behandelt die Umsetzung von Big Data-Anwendungen durch Unternehmen und zeigt auf, welche datenschutzrechtlichen Anforderungen hierbei zu beachten sind und wie Big Data-Projekte datenschutzkonform durchgefhrt werden kçnnen. Der letzte Beitrag mit der berschrift „‚Geht nicht, gibt es nicht: Datennutzung als rechtliche Gestaltungsaufgabe“ wurde von Moos verfasst. Ausgehend von der berlegung, dass in einer datengetriebenen Wirtschaft die Erhebung und Verwendung personenbezogener Daten das Geschftsmodell selbst oder zumindest die wesentliche Grundlage fr die Gestaltung des Produkt- und Dienstangebots darstellen wird, erlutert er anhand von Beispielen aus der Praxis, wie der Datenschutzjurist seiner Aufgabe als strategischer Mitgestalter nachkommen und rechtliche Gestaltungsmçglichkeiten ausnutzen kann. * Mehr ber die Autoren erfahren Sie auf S. 16. K &R 3 Beihefter 3/2015 zu Heft 9 RA Dr. Jens Schefzig, Hamburg* Wem gehçrt das neue l? – Die Sicherung der Rechte an Daten Mit dem steigenden Wert von Daten steigt auch das Interesse von Unternehmen, Daten rechtlich abzusichern. Dieser Beitrag bietet einen berblick darber, welche Rechte an einem Datenbestand existieren kçnnen und welche Mçglichkeiten Unternehmen haben, um diese Rechte aktiv zu gestalten. Dabei orientiert sich der Beitrag an den mçglichen Rechtsobjekten, auf die sich die Rechte beziehen, nmlich (i) den Daten selbst, (ii) der Datenbank, (iii) den Inhalten der Daten und (iv) den Datentrgern. I. Die Bedeutung von Daten fr Unternehmen „Unternehmen mssen sich mit Herausforderungen auseinandersetzen, die primr mit dem Management von Daten zusammenhngen.“ So schreibt es der BITKOM.1 Aus der Perspektive des Juristen ist eine der grçßten Herausforderung beim Management von Daten deren rechtlicher Schutz. Zusehends stellen die Fachabteilungen entsprechende Fragen an die Syndizi: Wem gehçren die Daten? Welche Punkte sind bei der Datenhaltung zu beachten? Existiert ein rechtlicher Schutz gegenber dem Zugriff von Dritten? Wie ist beim Austausch von Daten mit Dritten vorzugehen? Dieser Beitrag bietet einen berblick ber die Antworten auf diese Fragen. Insbesondere stellt er dar, wo sich fr Unternehmen Ansatzpunkte bieten, die Rechte an Daten aktiv zu gestalten. Denn in der juristischen Praxis zeigt sich laufend, dass die versptete Adressierung der oben aufgefhrten Fragen dazu fhrt, dass den betroffenen Unternehmen vermeidbare Kosten entstehen oder sie mçgliche Einnahmen nicht realisieren. II. Abgrenzung der relevanten Rechtsobjekte Daten existieren nicht autonom, sondern bençtigen einen Datentrger. Der besondere Wert von Daten ergibt sich dabei regelmßig nicht aus den Daten als solchen, sondern aus ihren Inhalten, also dem sinnlich wahrnehmbaren Ergebnis, wenn die Daten bestimmungsgemß ausgefhrt werden. Schließlich kann der Wert von Daten zustzlich gesteigert werden, indem sie derart systematisiert werden, dass sie besonders leicht zugnglich und auffindbar sind. Folglich sind bei der rechtlichen Auseinandersetzung vier mçgliche Rechtsobjekte zu unterscheiden: Ein Recht kann sich auf den Datentrger, die systematisierte Darstellung der Daten, den Inhalt der Daten oder letztlich die Daten als solche beziehen. Whrend im juristischen Diskurs eine Differenzierung meist nach mçglichen Rechten und nicht Rechtsobjekten erfolgt, ist fr Unternehmen die umgekehrte Vorgehensweise empfehlenswert. Denn hufig wird ein Unternehmen nicht im Hinblick auf alle Rechtsobjekte eigene Rechte haben. Fr potenzielle Vertragsverhandlungen mit Kooperationspartnern ist es dann essenziell, zu wissen, bei welchem Unternehmen im Hinblick auf welches Rechtsobjekt welches Recht erwchst. Die grundstzliche Unterscheidung der Rechtsobjekte ist deshalb von großer Bedeutung. Die Daten selbst lassen sich als maschinenlesbare, codierte Informationen beschreiben.2 Whrend die Inhalte der Daten die semantische Ebene widerspiegeln, konstituiert die syntaktische Ebene die Daten als solche.3 Die systematisierte Darstellung der Daten, also die Datenbank, kann ebenfalls Bezugspunkt eines Rechts sein. Entscheidend ist dabei, inwiefern die Daten auf gewisse Weise strukturiert sind. Der Schutz folgt dann letztlich aus der Systematisierung der Daten, beziehungsweise der Investition in diese Systematisierung.4 Der Inhalt der Daten betrifft ihre semantische Ebene, er ist das Ergebnis des bestimmungsgemßen Ausfhrens der Daten. Es kann sich beispielsweise um einen Text, ein Musikstck oder ein Video, aber auch um bloße Messpunkte, handeln. Der Datentrger ist das Speichermedium, auf dem die Daten gespeichert sind. Das kann eine CD, eine DVD, eine Festplatte, ein USB-Stick oder ein sonstiges zur Speicherung von Daten geeignetes Gert sein. III. Rechtlicher Schutz der Daten selbst 1. Eigentum Nach § 903 BGB kann der Eigentmer einer Sache, soweit nicht das Gesetz oder Rechte Dritter entgegenstehen, mit der Sache nach Belieben verfahren und andere von jeder Einwirkung ausschließen. Das Eigentumsrecht weist dem Eigentmer die grundstzliche Verfgungsgewalt ber sein Eigentum im Verhltnis zu Dritten zu. Angesichts des eingangs dargestellten Wertes von Daten scheint es naheliegend, dass auch an diesem wertvollen Gut eine entsprechende gesetzlich statuierte Verfgungsgewalt besteht. Der Bezugspunkt des Eigentums ist aber eine Sache im Sinne des Zivilrechts, also nach § 90 BGB ein kçrperlicher Gegenstand. Daten sind keine kçrperlichen Gegenstnde. Aus diesem Grund geht die herrschende Meinung davon aus, dass kein zivilrechtliches Eigentum an Daten existiert.5 Teile der Literatur versuchen mit verschiedenen Anstzen, trotzdem einen wenigstens eigentumshnlichen zivilrechtlichen Schutz von Daten herzuleiten. Einen Anknpfungspunkt stellten dabei stets die strafrechtlichen Regelungen dar, die dem Schutz von Daten dienen, also insbesondere die §§ 202 a und 303 a StGB. Aus § 303 a StGB wurde schon frh auf ein Vollrecht an Daten analog § 903 BGB geschlossen, ohne allerdings die zivilrechtlichen Implikationen nher zu untersuchen.6 In der jngeren Literatur ist dann ein origi* Mehr ber den Autor erfahren Sie auf S. 16. 1 BITKOM, Leitfaden Big Data im Praxiseinsatz – Szenarien, Beispiele, Effekte, S. 11, abrufbar unter https://www.bitkom.org/Bitkom/Publikatio nen/Publikation_4232.html, letzter Abruf: 24. 7. 2015. 2 Zech, CR 2015, 137, 138. 3 Zech, CR 2015, 137, 138. 4 Siehe dazu Ziffer IV. 5 Dorner, CR 2014, 617, 618 ff. 6 Welp, iur 1988, 443, 448; Wolf, MMR 2003, XIV, XVI. 4 nr zivilrechtliches Eigentum an Daten aus 303a StGB konstruiert worden.7 Die im Strafrecht entwickelte Analogie zu § 903 BGB msse auch im Zivilrecht gelten, weil hier eine planwidrige Regelungslcke zu schließen sei.8 Allerdings ist diese Argumentation, soweit ersichtlich, bislang von der brigen Rechtswissenschaft nicht bernommen worden und insbesondere fehlt entsprechende Rechtsprechung. Unternehmen kçnnen sich also, sofern keine gegenteiligen Entscheidungen ergehen oder der Gesetzgeber ttig wird, nicht darauf verlassen, dass ihre Daten durch ein Recht analog § 903 BGB geschtzt wren. 2. Sonstiges Recht i. S. d. § 823 Abs. 1 BGB Ebenso wenig hat die Rechtsprechung bislang ein eigenes Recht an Daten als sonstiges Recht i. S. d. § 823 Abs. 1 BGB anerkannt. Zwar hat der BGH schon 1996 einen Datenbestand als „ein selbstndiges vermçgenswertes Gut“ bezeichnet, das Gericht leitet daraus aber nur ab, dass der Verlust des Datenbestandes fr die Bestimmung der Hçhe des Schadens von Bedeutung ist.9 Ein sonstiges Recht an Daten ergibt sich aus dieser Rechtsprechung nicht. Auch verfassungsrechtlich lsst sich allenfalls eine Tendenz ausmachen, Daten eine hohe Bedeutung beizumessen. Das BVerfG hat in jngerer Zeit aus dem allgemeinen Persçnlichkeitsrecht das Grundrecht auf Gewhrleistung der Vertraulichkeit und Integritt informationstechnischer Systeme hergeleitet und damit verdeutlicht, dass die neue Lebenswirklichkeit der allgegenwrtigen Technik auch neue Rechte mit sich bringt.10 Ausgangspunkt war dabei, dass die Nutzung der Informationstechnik fr die Persçnlichkeit und Entfaltung des Einzelnen eine frher nicht absehbare Bedeutung erlangt habe.11 Die Vertraulichkeit und Integritt der genutzten informationstechnischen Systeme sei deshalb letztlich eine Voraussetzung fr einen effektiven Schutz des allgemeinen Persçnlichkeitsrechts.12 Eine entsprechende Argumentation im Hinblick auf den effektiven Schutz des Vermçgens des Einzelnen hat die Rechtsprechung aber noch nicht entwickelt. Teile der Literatur vertreten hingegen, dass ein Recht des Dateninhabers an seinen Daten als sonstiges Recht i. S. d. § 823 Abs. 1 BGB geschtzt werden msse.13 Kern der Argumentation ist dabei, dass auch in den unkçrperlichen Daten erhebliche Werte verkçrpert sind und eine zunehmende Virtualisierung von Gtern zu verzeichnen sei. Die Ungleichbehandlung von unkçrperlichen und kçrperlichen Gegenstnden sei vor diesem Hintergrund nicht beizubehalten.14 Zwar mag die genannte Position der Literatur auch der Sichtweise von Unternehmen entsprechen, mangels korrespondierender Rechtsprechung ist aber nichtsdestoweniger davon auszugehen, dass Daten nicht durch ein sonstiges Recht i. S. d. § 823 Abs. 1 BGB geschtzt sind. 3. Sach- oder Rechtsfrchte Teilweise werden Daten auch als Sach- oder Rechtsfrchte anderer Sachen, nmlich der jeweiligen Sensoren oder aber des Gegenstands, auf den die Daten sich beziehen, gesehen.15 In Verbindung mit den §§ 953 ff. BGB soll sich deshalb ergeben, dass der Eigentmer des jeweiligen anderen Gegenstands automatisch auch Rechte an den Daten erwirbt. Auch diese Argumentation ist jedoch von der Rechtsprechung, soweit ersichtlich, noch nicht bernommen worden. Sie begegnet ohnehin grundlegenden Bedenken, weil weder § 99 BGB noch die §§ 953 ff. BGB die Sacheigenschaft und damit die „Eigentumsfhigkeit“ der Daten begrnden.16 Sie setzen Beihefter 3/2015 zu Heft 9 K &R diese Eigenschaft der Frchte bzw. Erzeugnisse vielmehr voraus, um darauf aufbauend die zivilrechtliche Zuordnung zu regeln. 4. Geheimnisschutz Der Geheimnisschutz ist sowohl in faktischer17 als auch in rechtlicher Hinsicht18 ein Querschnittsthema. Im gegebenen Rahmen sind erschçpfende Ausfhrungen daher nicht mçglich. Nher soll hier deshalb nur auf den besonders relevanten § 17 UWG eingegangen werden. Schutzgut des § 17 UWG sind Betriebs- und Geschftsgeheimnisse. Grundstzlich ist ein Geschfts- oder Betriebsgeheimnis jede im Zusammenhang mit einem Betrieb stehende Tatsache, die nicht offenkundig, sondern nur einem eng begrenzten Personenkreis bekannt ist und nach dem bekundeten Willen des Betriebsinhabers, der auf einem ausreichenden wirtschaftlichen Interesse beruht, geheim gehalten werden soll.19 Daten sind dann Betriebs- und Geschftsgeheimnisse in diesem Sinne, wenn sie einen Bezug zum Geschftsbetrieb des jeweiligen Unternehmens aufweisen, nicht offenkundig sind sowie nach dem subjektiven Willen und objektiv nachvollziehbaren berechtigten wirtschaftlichen Interesse auch geheim bleiben sollen.20 Bei alleine betriebsintern verfgbaren Daten, die im Rahmen des Geschftsbetriebs gewonnen wurden, beispielsweise Messdaten von Produktionsanlagen, drften diese Voraussetzungen regelmßig erfllt sein. Grundstzlich wird der Wert der Daten oder der in ihnen verborgenen Erkenntnisse indizieren, dass es sich bei ihnen auch um Betriebs- und Geschftsgeheimnisse handelt.21 Entscheidend fr Unternehmen ist es insoweit, den Geheimnisschutz nicht selbst zu beeintrchtigen, indem Daten çffentlich verfgbar gemacht werden. Soweit im Unternehmen ein angemessener faktischer Geheimnisschutz etabliert ist, 22 der den Datenbestand erfasst, wird § 17 UWG regelmßig auch einen rechtlichen Geheimnisschutz bieten. 5. Wettbewerbsrechtlicher Schutz Neben dem bereits dargestellten Geheimnisschutz gemß § 17 UWG kann das Wettbewerbsrecht auch noch in anderer Hinsicht die Datenbestnde eines Unternehmens schtzen. Falls Daten gelçscht oder in anderer Weise unbrauchbar gemacht werden, kann darin eine gezielte Behinderung von Wettbewerbern nach § 4 Nr. 10 UWG liegen.23 Je nach konkreter Ausgestaltung einerseits des Zugriffs auf die Daten und 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 Hoeren, MMR 2013, 486, 487. Hoeren, MMR 2013, 486, 488 f. BGH, 2. 7. 1996 – X ZR 64/94, Rn. 17, NJW 1996, 2924 ff. BVerfG, 27. 2. 2008 – 1 BvR 370/07, K&R 2008, 241 ff.; 1 BvR 595/07, K&R 2008, 241 ff. = NJW 2008, 822 ff. BVerfG, 27. 2. 2008 – 1 BvR 370/07, K&R 2008, 241 ff.; 1 BvR 595/07, K&R 2008, 241 ff. = NJW 2008, 822, 824, Rn. 170. BVerfG, 27. 2. 2008 – 1 BvR 370/07, K&R 2008, 241 ff.; 1 BvR 595/07, K&R 2008, 241 ff. = NJW 2008, 822, 824, Rn. 201. Bartsch, in: Grtzmacher, Recht der Daten und Datenbanken in Unternehmen, 2014, S. 297, 300; Redeker, CR 2011, 634, 638 f.; Spindler, in: Leible/Lehmann/Zech, Unkçrperliche Gter im Zivilrecht, 2011, S. 270, 277 f.; Zech, Information als Schutzgegenstand, 2012, S. 386 f. Bartsch, in: Grtzmacher (Fn. 13), S. 297, 300; Redeker, CR 2011, 634, 638 f. Grosskopf, IPRB 2011, 259, 260. Zech, CR 2015, 137, 142. Ann, GRUR 2014, 12, 14 ff. Dorner, CR 2014, 617, 622 f. Ohly, in: Ohly/Sosnitza, Gesetz gegen den unlauteren Wettbewerb, 6. Aufl. 2014, § 17 UWG, Rn. 5. Dorner, CR 2014, 617, 622. Dorner, CR 2014, 617, 623. Dazu ausfhrlich: Ann, GRUR 2014, 12 ff. Zieger/Smirra, MMR 2013, 418, 421. K &R 5 Beihefter 3/2015 zu Heft 9 andererseits ihrer Verwendung ist denkbar, dass auch die Voraussetzungen anderer wettbewerbsrechtlicher Tatbestnde erfllt sind. 6. Strafrechtlicher Schutz Im Gegensatz zum Zivilrecht bietet das Strafrecht Normen, die originr dem Schutz von Daten dienen. So schtzen die §§ 202 a und 202 b StGB vor dem Aussphen und Abfangen von Daten und § 202 c StGB stellt sogar darauf abzielende Vorbereitungshandlungen unter Strafe. Ergnzt werden diese Vorschriften durch § 303 a StGB, der die rechtswidrige Datenvernderung verbietet. In Verbindung mit § 823 Abs. 2 BGB ergeben sich aus diesen strafrechtlichen Vorschriften fr Unternehmen auch zivilrechtlich durchaus weitgehende Sanktionsmçglichkeiten, falls ihnen durch einen unbefugten Zugriff auf Daten ein Schaden entstanden ist. haufen“ ist aber nicht als Datenbankwerk geschtzt.28 Dieser Trend wird sich angesichts der fortwhrenden Verbesserung von Software voraussichtlich eher verstrken. Letztlich ist außerdem zu beachten, dass das Auslesen einzelner Daten aus einem Datenbankwerk nicht zwangslufig eine Urheberrechtsverletzung darstellt. Eine urheberrechtlich relevante Vervielfltigung liegt nmlich nur vor, wenn das Datenbankwerk als solches betroffen ist.29 Im bernommenen Teil muss noch die in der Auswahl oder Anordnung zum Ausdruck gekommene individuelle Schçpfung erkennbar sein.30 Das drfte schon dann nicht mehr der Fall sein, wenn zwar die Daten komplett ausgelesen, aber beim Lesevorgang in anderer Struktur gespeichert werden. Der dadurch entstehende Datensatz mag dann inhaltlich dem ursprnglichen Datensatz entsprechen, das ursprngliche Datenbankwerk wird in ihm aber nicht erkennbar sein. 2. Datenbankschutz sui generis 7. Zwischenergebnis Zwar kennt die deutsche Rechtsordnung (noch) kein „Dateneigentum“, aber Unternehmen sind trotzdem vor dem unbefugten Zugriff auf Daten geschtzt. Dieser Schutz folgt insbesondere aus geheimnisschutzrechtlichen und strafrechtlichen Regelungen. Problematisch wird die mangelnde dingliche Zuordnung der Daten also primr dann, wenn Dritte bestimmungsgemß auf die Daten zugreifen, wie es in einer arbeitsteiligen Wirtschaft durchaus blich ist. In diesem Fall fehlen gesetzliche Regelungen, die die Verwertung der Daten regeln, weshalb die beteiligten Unternehmen eindeutige vertragliche Absprachen treffen sollten.24 IV. Rechtlicher Schutz der Datenbanken 1. Datenbankwerk An einem Datenbankwerk in seiner Gesamtheit kann ein Urheberrecht bestehen. Das ergibt sich aus § 4 UrhG. Nach § 4 Abs. 1 UrhG werden Sammelwerke, also Sammlungen von Werken, Daten oder anderen unabhngigen Elementen, die aufgrund der Auswahl oder Anordnung der Elemente eine persçnliche geistige Schçpfung sind, wie selbststndige Werke geschtzt. § 4 Abs. 2 S. 1 UrhG konkretisiert diese Voraussetzungen fr den Unterfall des Datenbankwerks dahingehend, dass als Datenbankwerk im Sinne des UrhG ein Sammelwerk geschtzt ist, dessen Elemente systematisch oder methodisch angeordnet und einzeln mit Hilfe elektronischer Mittel oder auf andere Weise zugnglich sind. Auch das Datenbankwerk erhlt seinen Schutz wie das klassische urheberrechtlich geschtzte Werk aufgrund des in ihm verkçrperten schçpferischen Aktes. Zwar gengt insoweit wohl eine eher geringe Schçpfungshçhe, der Datenbankhersteller muss aber eine gewisse Kreativitt oder wenigstens Findigkeit bei der Anordnung der einzelnen Elemente zu dem Datenbankwerk gezeigt haben. Eine bloß alphabetische oder chronologische Sortierung gengt nicht.25 Ein Datenbankwerk muss vielmehr eine verhltnismßig komplexe Struktur aufweisen.26 Da es hier um ein echtes Urheberrecht geht, erwchst dieses immer einer natrlichen Person. Einem Unternehmen kçnnen nur die entsprechenden Nutzungsrechte eingerumt werden. Viele Datensammlungen stellen kein Datenbankwerk dar. Systematisierte Datenbanken verlieren nmlich an Bedeutung, weil moderne Software auch unstrukturierte Daten analysieren kann.27 Unternehmen bençtigen deshalb strukturierte Datenbanken hufig nicht mehr. Ein bloßer „Daten- In den §§ 87 a ff. UrhG ist das Leistungsschutzrecht des Datenbankherstellers sui generis geregelt. Eine geschtzte Datenbank ist gemß § 87 a Abs. 1 S. 1 UrhG eine Sammlung von Werken, Daten oder anderen unabhngigen Elementen, die systematisch oder methodisch angeordnet und einzeln mit Hilfe elektronischer Mittel oder auf andere Weise zugnglich sind und deren Beschaffung, berprfung oder Darstellung eine nach Art und Umfang wesentliche Investition erfordert. Die §§ 87 a ff. UrhG schtzen also die Investition des Datenbankherstellers. Der Datenbankhersteller ist nach § 87 a Abs. 2 UrhG derjenige, der die Investition ttigt. Insoweit unterscheidet sich das Leistungsschutzrecht des Datenbankherstellers sui generis entscheidend von dem Schutz eines Datenbankwerks. Abgestellt wird nicht auf die kreative Konzeptionierung der Datenbank. Deshalb kann das Leistungsschutzrecht sui generis auch ein Unternehmen erwerben. Datenbankhersteller ist, wer das Investitionsrisiko trgt.31 Das soll die Person sein, die die Organisations- und Anordnungsgewalt ber den Datenbankaufbau innehat.32 Schon aus Erwgungsgrund 41 der RL 96/9/EG („Datenbankrichtlinie“), auf der die §§ 87 a ff. UrhG beruhen, ergibt sich, dass im Falle einer Beauftragung eines Auftragnehmers mit der Erstellung einer Datenbank der Auftraggeber Datenbankhersteller i. S. d. § 87 a Abs. 2 UrhG sein soll. Explizite Regelungen sind aber unbedingt empfehlenswert, wenn mehrere Unternehmen gemeinschaftlich eine Datenbank entwickeln, die auch wenigstens teilweise gemeinschaftlich genutzt werden soll. Zwar ist insoweit wohl anerkannt, dass diese Unternehmen dann als BGB-Gesellschaft mit gesamthnderischer Bindung zu sehen sind,33 aber dieses Ergebnis drfte hufig nicht im Interesse aller Beteiligten liegen. Eine klare vertragliche Absprache vermag hier sptere Auseinandersetzungen zu vermeiden. 24 Ausfhrlich zu einer solchen „Datenlizenz“: Schefzig, in: Taeger, Tagungsband Herbstakademie 2015, Verçffentlichung ausstehend. 25 Gçtz, in: Taeger, BIG DATA & Co., 2014, S. 19, 22. 26 Gçtz, in: Taeger (Fn. 24), S. 19, 22. 27 BITKOM, Big Data im Praxiseinsatz, S. 21, abrufbar unter: https://www. bitkom.org/Bitkom/Publikationen/Publikation_4232.html (letzter Abruf: 27. 7. 2015). 28 Gçtz, in: Taeger (Fn. 24), S. 19, 22. 29 Zieger/Smirra, MMR 2013, 418, 420. 30 Zieger/Smirra, MMR 2013, 418, 420. 31 Erwgungsgrund 41 Richtlinie 96/9/EG „Datenbankrichtlinie“; BGH, 22. 6. 2011 – I ZR 159/10, K&R 2011, 641 ff. = GRUR 2011, 1018, 1020, Rn. 32. 32 Wiebe, in: Spindler/Schuster, Recht der elektronischen Medien, 3. Aufl. 2015, § 87 a UrhG Rn. 18. 33 Wiebe, in: Spindler/Schuster (Fn. 31), 87 a UrhG Rn. 18. 6 Hohe praktische Relevanz hat außerdem die Tatsache, dass die bloße Datenerzeugung keine Investition darstellt, die dazu fhrt, Datenbankhersteller zu sein.34 Wie auch im Wortlaut des § 87 a UrhG deutlich wird, handelt es sich nur bei der Beschaffung bereits existierender Daten um eine solche Investition. Das bedeutet, dass Unternehmen gerade im Hinblick auf diejenigen Daten, die sie als eigene betrachten, weil sie sie selbst eventuell mit erheblichen Investitionen erzeugt haben, sicherstellen mssen, dass das entsprechende sui-generis-Recht nicht einem Kooperationspartner zusteht, mit dem das Unternehmen bei der Datenanalyse zusammenarbeitet. Auch insoweit sind klare Regelungen beraus empfehlenswert. § 87 b UrhG weist dem Datenbankhersteller das ausschließliche Recht zu, die Datenbank insgesamt oder einen nach Art oder Umfang wesentlichen Teil der Datenbank zu vervielfltigen, zu verbreiten und çffentlich wiederzugeben. Geschtzt ist also auch hier die Datenbank als Ganzes oder in wesentlichen Teilen. Einzelne Daten sind nur geschtzt, soweit schon diese einen wesentlichen Teil der Datenbank darstellen.35 Ebenfalls monopolisiert ist gemß § 87 b Abs. 1 S. 2 UrhG aber auch eine systematische Vervielfltigung, Verbreitung oder çffentliche Wiedergabe unwesentlicher Teile der Datenbank, wenn diese Handlungen einer normalen Auswertung der Datenbank zuwiderlaufen oder die berechtigten Interessen des Datenbankherstellers unzumutbar beeintrchtigen. Es gengt insoweit, wenn „Entnahmehandlungen darauf gerichtet sind, die Gesamtheit oder einen wesentlichen Teil des Inhalts der geschtzten Datenbank wieder zu erstellen oder der ffentlichkeit zur Verfgung zu stellen, und wenn dadurch die Investition in die Datenbank schwerwiegend beeintrchtigt wird“.36 3. Sonstige Rechte Die obigen Ausfhrungen zum Schutz von Daten im Wettbewerbsrecht und durch den Geheimnisschutz gelten im Wesentlichen fr Datenbanken entsprechend. V. Rechtlicher Schutz der Inhalte der Daten 1. Schutz aufgrund eines Urheberrechts Das Urheberrecht schtzt schçpferische Werke. Den Schutz von Daten als solchen, deren Schaffung kein kreativer Akt innewohnt, gewhrleistet das Urheberrecht deshalb nicht. Ein Urheberrecht kann aber selbstredend die Inhalte der Daten schtzen. Falls sich in einem Datensatz beispielsweise digitalisierte Musikwerke befinden, besteht an diesen Musikwerken ein Urheberrecht. Der Urheber kann auf Grundlage dieses Urheberrechts den Zugriff Dritter auf die Daten verhindern, falls und soweit der Datenzugriff zugleich einen Eingriff in das Urheberrecht darstellt. Das Urheberrecht schtzt aber nie die Daten als solche. Insbesondere soweit Daten betroffen sind, die bloß tatschliche Ereignisse wiedergeben, wie es beispielsweise bei Produktionsdaten, technischen Leistungswerten oder Nutzungsprofilen der Fall ist, erlangen Unternehmen an den in diesen Daten enthaltenen Erkenntnissen ber das Urheberrecht keinen Schutz. Gerade im fr Deutschland hçchst relevanten Bereich der Industrie 4.037 wird das Urheberrecht deshalb hufig nicht eingreifen. 2. Datenschutz Im Fall personenbezogener Daten sind selbstredend die datenschutzrechtlichen Vorgaben zu beachten. Allerdings „gehçren“ auch personenbezogene Daten nicht den jeweiligen Beihefter 3/2015 zu Heft 9 K &R Betroffenen,38 obwohl auch Vorstçße in der Rechtswissenschaft existieren, die genau das befrworten.39 Da der regulatorische Rahmen des Datenschutzrechts Unternehmen aber sehr nennenswert beschrnkt, sollten sie stets prfen, ob es sich bei den fraglichen Daten tatschlich um personenbezogene Daten handelt. Im Fall des Personenbezugs kann u. a. bei Vorliegen der Voraussetzungen des § 35 BDSG eine Lçschung der Daten geboten sein, die den Wert der Daten fr das Unternehmen ad hoc zunichtemachen wrde. Gerade im Hinblick auf „Big Data“-Anwendungen kann schon diese Prfung des Personenbezugs durchaus komplex sein.40 Gegebenenfalls empfiehlt es sich, durch geeignete Anonymisierungsmaßnahmen den Personenbezug der Daten aufzuheben.41 3. Sonstige Rechte Da die mçglichen Inhalte von Daten hier nicht abschließend beschrieben werden kçnnen, gilt das Gleiche auch fr die mçglicherweise einschlgigen Schutzrechte. Diese richten sich selbstredend nach dem konkreten Inhalt der Daten. Soweit es sich bei den Inhalten beispielsweise um Software handelt, sind die diesbezglichen urheberrechtlichen Vorgaben zu beachten. Daneben gelten auch fr die Dateninhalte die obigen Ausfhrungen42 zum Geheimnisschutz und Wettbewerbsrecht entsprechend. VI. Rechtlicher Schutz des Datentrgers Naturgemß bestehen smtliche aus Eigentum und Besitz folgenden Rechtswirkungen auch im Hinblick auf Datentrger. Von großer Bedeutung ist aber, dass die Rechtsprechung davon ausgeht, dass die Vernderung der auf einem Datentrger aufgezeichneten Daten einen Eingriff nach § 823 Abs. 1 BGB in das Eigentum am Datentrger darstellt. Eine Eigentumsverletzung im Sinne des § 823 Abs. 1 BGB sei nmlich nicht nur bei Zerstçrung und Beschdigung der Sachsubstanz gegeben, sondern bei jeder Einwirkung auf eine Sache, die den Eigentmer daran hindert, mit ihr seinem Wunsch entsprechend zu verfahren.43 Soweit also ein Unternehmen Eigentmer der Datentrger ist, auf denen die eigenen Daten gespeichert sind, genießt es als derartiger Eigentmer einen weitreichenden Schutz gegenber Eingriffen Dritter. Das Eigentum am Datentrger verliert aber mit rasanter Geschwindigkeit an Bedeutung. In Zeiten von zentralen Unternehmensservern, die potenziell von einer Servicegesellschaft betrieben werden, allgegenwrtigen Cloud-Lçsungen und dynamischen Datenbestnden, die ber verschiedene Server verteilt sind, ist nmlich regelmßig schon gar nicht klar, wo bestimmte Daten gespeichert sind. Auch ist hufig der Eigentmer der Server nicht derjenige, der die fraglichen Daten auf diesem Datentrger gespeichert hat. In diesen Fllen empfiehlt es sich, mittels entsprechenden vertraglichen Vereinbarungen zwischen dem „Inhaber“ der zu speichernden Daten und dem Eigentmer des Datentrgers eindeutig zu bestimmen, wie im Falle von Eingriffen Dritter auf 34 35 36 37 38 39 40 41 42 43 BGH, 1. 12. 2010 – I ZR 196/10, GRUR 2012, 756, 757, Rn. 19 m. w. N. BGH, 1. 12. 2010 – I ZR 196/10, GRUR 2012, 756, 758, Rn. 32. BGH, 1. 12. 2010 – I ZR 196/10, GRUR 2012, 756, 758, Rn. 35. Siehe dazu: McKinsey, Industry 4.0 – How to navigate digitization of the manufacturing sector, 2015. Dorner, CR 2014, 617, 619 f. Vgl. die zahlreichen Fundstellen bei Dorner, CR 2014, 617, 619 f., Fn. 36 - 41. Ausfhrlich dazu: Schefzig, in: K&R 2014, 772 ff. Schefzig, in: K&R 2014, 772, 776. Vgl. Ziffern III. 4 und III. 5. OLG Karlsruhe, 7. 11. 1995 – 3 U 15/95, NJW 1996, 201 ff. K &R 7 Beihefter 3/2015 zu Heft 9 die Daten zu verfahren ist.44 Derart kann beispielsweise das Auseinanderfallen von Anspruch und Schaden45 verhindert werden. VII. Ergebnisse und Handlungsempfehlungen Bei der Sicherung der Rechte an Daten sollten Unternehmen zwischen den verschiedenen Rechtsobjekten unterscheiden und sorgfltig bestimmen, wem diese jeweils zugeordnet sind. Soweit es sich dabei jeweils um dieselbe Person handelt, bietet die Rechtsordnung jedenfalls gegenber dem unbefugten Zugriff Dritter schon nach dem gesetzlichen Status Quo einen weitgehenden Schutz. Besondere Vorsicht ist aber in denjenigen Situationen geboten, in denen entweder unterschiedliche Berechtigte im Hin- blick auf die verschiedenen Rechtsobjekte existieren oder Datenbestnde mit anderen Unternehmen gemeinsam verarbeitet werden. In diesen Fllen sind vertragliche Regelungen unbedingt empfehlenswert, um die Daten effektiv abzusichern und andere Unternehmen bei der Verwertung der Daten zu kontrollieren.46 Dieser Beitrag hat dabei verschiedene Ansatzpunkte fr solche Vereinbarungen aufgezeigt. 44 Ein davon abzugrenzendes Problem ist die Datenerhebung mittels Technik, die im fremden Eigentum steht, s. dazu Roßnagel, SVR 2014, 281, 282 ff. 45 Bartsch, in: Grtzmacher (Fn. 13), S. 297, 299. 46 Vgl. zur Ausgestaltung einer vertraglichen „Datenlizenz“ ausfhrlich: Schefzig, in: Taeger, Tagungsband Herbstakademie 2015, Verçffentlichung ausstehend. RA Marian Alexander Arning, LL.M., Hamburg* Datenpools – Big Data datenschutzkonform umsetzen Bei der Konzeption und beim Einsatz von Big Data-Anwendungen mssen Unternehmen die datenschutzrechtlichen Anforderungen beachten, sofern sie hierbei personenbezogene Daten verarbeiten. In diesem Beitrag, der sich zuvorderst an Unternehmensjuristen und betriebliche Datenschutzbeauftragte richtet, werden deshalb die wichtigsten datenschutzrechtlichen Anforderungen an den Einsatz von Big Data-Verfahren sowie kurz die wichtigsten Schritte vorgestellt, wie Big Data-Projekte organisiert werden kçnnen, um die Datenschutz-Compliance bei Big Data-Projekten sicherzustellen. den, anhand bestimmter Biomarker. Infolge dieser Auswertungen wird es immer besser mçglich sein, Patienten nicht (nur) mit einer Standardtherapie, sondern personalisiert unter Beachtung seiner individuellen Prdispositionen zu behandeln, was u. U. einen besseren Therapieerfolg versprechen kann. I. Einfhrung In diesem Beitrag sollen deshalb die wichtigsten datenschutzrechtlichen Anforderungen an den Einsatz von Big DataVerfahren aufgezeigt werden. Viele Unternehmen besitzen eine große Menge an personenbezogenen Daten; Hndler ber ihre Kunden, Versicherungen ber ihre Versicherten, Hersteller ber ihre Lieferanten etc. Hierin liegt ein enormer Wert, den immer mehr Unternehmen nutzen mçchten. Hierbei handelt es sich durchaus auch nicht um reine Zukunftsmusik. So haben bereits viele Unternehmen Geschftsmodelle entwickelt, wie sie durch die Auswertung von Daten innovative Dienste fr Kunden entwickeln kçnnen. Hierbei hilft den Unternehmen die immer weiter fortschreitende Entwicklung der Technik, mit der immer grçßere, unterschiedlich strukturierte Datenstze immer genauer untersucht werden kçnnen. Die Einsatzmçglichkeiten von „Big Data“ sind dabei ußerst vielfltig. So verwenden Unternehmen Big-Data-Methoden zum Beispiel zur genauen Berechnung der Kreditwrdigkeit von Konsumenten.1 Andere Unternehmen setzen Big-Data zum Beispiel im Rahmen des sogenannten Online Behavioural Advertising ein, um Webseitennutzern noch zielgerichteter interessenbasierte Werbung anzeigen zu kçnnen.2 Doch ersetzt bzw. verfeinert Big Data nicht nur klassische Datenanalyseverfahren, wie z. B. das Scoring, sondern es ermçglicht auch die Entwicklung ganz neuartiger Verfahren, z. B. im Rahmen der personalisierten Medizin. So ermçglichen Big Data-Verfahren z. B. die Auswertung von Datenpools, in denen sich Daten aus den unterschiedlichsten Quellen befin- Es gibt mithin eine Vielzahl an verschiedenen Einsatzmçglichkeiten von Big Data, weswegen diese Technologie fr Unternehmen besonders interessant ist, um neue Geschftsmodelle zu entwickeln. Sptestens vor diesem Hintergrund wird es offensichtlich, warum Daten immer çfter als „das neue l“ bezeichnet werden. II. Big Data – Eine Begriffsdefinition Um die datenschutzrechtlichen Implikationen von Big Data besser darstellen und nachvollziehen zu kçnnen, empfiehlt es sich, zunchst den Begriff „Big Data“ zu definieren. So existiert eine Vielzahl verschiedener Definitionen von diesem Begriff. Teilweise wird der Begriff zum Beispiel im wçrtlichen Sinne dahingehend verstanden, dass er (schlicht) eine große Menge an Daten bezeichnet.3 Dieses Begriffsverstndnis trgt dem mit Big Data verbundenen technischen Fortschritt jedoch nicht ausreichend Rechnung. Im vorliegenden Beitrag wird der Begriff deshalb in bereinstimmung mit der vom Bitkom verwendeten Definition dahingehend verstanden, dass Big Data „den Einsatz großer Datenmengen aus vielfltigen Quellen mit einer hohen Verarbeitungsgeschwindigkeit zur Erzeugung wirtschaftlichen Nutzens“ be* Mehr ber den Autor erfahren Sie auf S. 16. 1 Siehe z. B. Diemer, What is Big Data? For Banking and Beyond, abrufbar unter: https://www.kreditech.com/blog/what-is-big-data-for-banking-andbeyond/. 2 Siehe hierzu ausfhrlich Arning/Moos, ZD 2014, 242 ff. 3 Siehe zur Diskussion ber den Begriff „Big Data“ z. B. Gloster, Von Big Data reden, aber Small Data meinen, abrufbar unter: http://www.computer woche.de/a/von-big-data-reden-aber-small-data-meinen,3068465. 8 zeichnet.4 Erst durch diese Begriffsdefinition werden der technische Fortschritt, die wirtschaftlichen Vorteile, aber auch die rechtlichen Herausforderungen von Big Data deutlich. Beihefter 3/2015 zu Heft 9 K &R freilich oftmals die Bezugsperson bestimmt werden. Mit steigender Datenmenge steigt deshalb auch das Risiko, dass ein Personenbezug entsteht. 3. Beibehaltung der Anonymitt der Daten III. Anwendbarkeit der Datenschutzgesetze auf Big Data-Anwendungen 1. Bloße Datenmenge nicht entscheidend Als erstes Merkmal erfordert „Big Data“ den Einsatz großer Datenmengen. Auch wenn man dies durchaus vermuten kçnnte, ist es fr die Anwendbarkeit der Datenschutzgesetze zunchst einmal unerheblich, ob eine Stelle nur ein Datum oder eine sehr große Menge an Daten verarbeitet. Mit anderen Worten: Die Menge von Daten ist per se keine datenschutzrechtliche Kategorie. Entscheidend fr die Anwendbarkeit der Datenschutzgesetze ist stets, dass personenbezogene Daten verarbeitet werden. Dies sind nach § 3 Abs. 1 BDSG Einzelangaben ber persçnliche oder sachliche Verhltnisse einer bestimmten oder bestimmbaren natrlichen Person (Betroffener). Der Begriff der „Einzelangabe“ ist dabei relativ weit und umfasst Informationen, die sich auf eine bestimmte – einzelne – natrliche Person beziehen oder geeignet sind, einen Bezug zu ihr herzustellen.5 Eine solche Information kann auch schon in einer einzigen Angabe enthalten sein. Mithin stellt der Begriff keine Anforderungen an die Menge der zu verarbeitenden Informationen zu einer einzelnen Person. So ist es in der juristischen Literatur dann auch unumstritten, dass die Datenschutzgesetze bereits dann anwendbar sind, wenn (nur) ein personenbezogenes Datum verarbeitet wird, auch wenn der Gesetzgeber von „Einzelangaben“ und „personenbezogenen Daten“ im Plural spricht.6 2. Personenbezogene Daten vs. anonyme Daten Ob eine datenverarbeitende Stelle die datenschutzrechtlichen Bestimmungen beachten muss, bestimmt sich zuvorderst daran, ob die Person bestimmbar ist, auf die sich die jeweils verarbeiteten Daten beziehen. Wann eine Person im datenschutzrechtlichen Sinn „bestimmbar“ ist, ist seit Jahren hoch umstritten.7 Teilweise wird vertreten, dass Daten fr eine sie verarbeitende Stelle nur dann personenbezogen sein sollen, wenn sie selbst die Person, auf die sich die Daten beziehen, mit verhltnismßig großem Aufwand an Zeit, Kosten und Arbeitskraft identifizieren kann (sogenannte relative Theorie des Personenbezugs).8 Andererseits wird vertreten, dass eine Person schon dann bestimmbar sein soll, wenn irgendeine beliebige Stelle das jeweilige Datum dieser Person zuordnen kann (sogenannte absolute Theorie des Personenbezugs).9 Zwar sprechen nach hier vertretener Ansicht gute Grnde fr die relative Theorie des Personenbezugs, insbesondere weil die absolute Theorie den Schutzbereich der Datenschutzgesetze zu weit ausdehnt, ohne dass eine Gefahr fr das durch die Datenschutzgesetze geschtzte Recht der Betroffenen auf informationelle Selbstbestimmung besteht;10 es bleibt allerdings zu hoffen, dass insoweit eine Entscheidung des EuGH ber den Personenbezug von IP-Adressen fr Webseitenbetreiber Rechtssicherheit bringen wird.11 Mithin ist also festzuhalten, dass die Menge an Daten per se nicht ber die Anwendbarkeit der Datenschutzgesetze entscheidet; vielmehr kann schon ein einziges Datum personenbezogen sein, weshalb die fr die Verarbeitung dieses Datums nach § 3 Abs. 7 BDSG verantwortliche Stelle die einschlgigen datenschutzrechtlichen Anforderungen beachten muss. Je umfangreicher der Datenbestand ist, desto eher kann Soweit also bei Big Data-Anwendungen (sinnvoll) darauf verzichtet werden kann, personenbezogene Daten zu verarbeiten, empfiehlt es sich regelmßig, diesen Weg einzuschlagen, um nicht den Restriktionen der Datenschutzgesetze zu unterliegen. Whlt eine Stelle diesen Weg, muss sie allerdings penibel darauf achten, dass diese nicht-personenbezogenen, also anonymen Daten whrend ihrer Verarbeitung in der Big Data-Anwendung auch anonym bleiben. Hierbei stellen sich bei Big Data insbesondere zwei Herausforderungen: (1) Anonyme Daten kçnnen durch das Hinzuspeichern weiterer Daten personenbezogen werden. Dies kann sogar der Fall sein, wenn auch die hinzugespeicherten Daten anonym sind, sich die betroffene Person aber durch die Kombination dieser beiden per se anonymen Datenstze bestimmen lsst. Insoweit steigt auch durch die Kombination der in einer Big Data-Anwendung verarbeiteten Daten durchaus die Wahrscheinlichkeit, dass Daten personenbezogen werden. Mithin muss eine Stelle genau prfen, ob die Hinzuspeicherung von Daten dazu fhren kann, dass Daten personenbezogen werden, was bei der Menge der im Rahmen von Big Data-Anwendungen zu verarbeiteten Daten durchaus aufwndig und mit Risiken behaftet sein kann. (2) Obwohl mit den heute zur Verfgung stehenden Analysetechniken eine Identifizierung der betroffenen Person nicht oder nur mit unverhltnismßigem Aufwand mçglich ist, kann es der Stelle in der Zukunft gegebenenfalls mçglich sein, die betroffene Person mit neuen und feineren Analysemethoden zu identifizieren. Entscheidet sich eine Stelle also dazu, nur anonyme Daten im Rahmen einer Big Data-Anwendung zu verwenden, muss sie auch ber die gesamte Zeit des Einsatzes dieser Anwendung hinweg sicherstellen, dass die Daten stets anonym bleiben. 4. Erfordernis einer datenschutzrechtlichen Erlaubnis beim Umgang mit personenbezogenen Daten Mçchte ein Unternehmen bei Big Data-Anwendungen hingegen personenbezogene Daten verarbeiten, bençtigt es hierfr gem. § 4 Abs. 1 BDSG12 entweder die Erlaubnis 4 Siehe BITKOM (Hrsg.), Big Data im Praxiseinsatz – Szenarien, Beispiele, Effekte, S. 19 ff., abrufbar unter https://www.bitkom.org/Publikationen/20 12/Leitfaden/Leitfaden-Big-Data-im-Praxiseinsatz_Szenarien_Beispiele_ Effekte/BITKOM_LF_big_data_2012_online(1).pdf. 5 Siehe z. B. Gola/Klug/Kçrffer, in: Gola/Schomerus, BDSG, 12. Aufl. 2015, § 35 Rn. 3. 6 Siehe z. B. Dammann, in: Simitis, BDSG, 8. Aufl. 2014, § 3 Rn. 4; Schaffland/Wiltfang, in: Schaffland/Wiltfang, BDSG, Lfg. 4/14 – VIII/14, § 3 Rn. 4. 7 Siehe hierzu ausfhrlich im Hinblick auf Big Data: Schefzig, K&R 2014, 772 ff. 8 So z. B. LG Berlin, 6. 9. 2007 – 23 S 3/07, K&R 2007, 601 ff. = MMR 2007, 799, 801; Gola/Klug/Kçrffer, in: Gola/Schomerus (Fn. 7), § 3 Rn. 10; Plath/Schreiber, in: Plath, BDSG, 2013, § 3 BDSG Rn. 15; Redeker, IT-Recht, 5. Aufl. 2012, Rn. 935. 9 So z. B. AG Berlin-Mitte, 27. 3. 2007 – 5 C 314/06, K&R 2007, 600, 601 f.; Dsseldorfer Kreis, Beschluss vom 26./27. 11. 2009 zur datenschutzkonformen Ausgestaltung von Analyseverfahren zur Reichweitenmessung bei Internet-Angeboten; Schaar, Datenschutz im Internet, 2002, Rn. 174; Weichert, in: Dubler/Klebe/Wedde/Weichert, BDSG, 4. Aufl. 2014, § 3 Rn. 13. 10 Plath/Schreiber, in: Plath (Fn. 8), § 3 Rn. 14; siehe auch ausfhrlich hierzu im Hinblick auf Big Data: Schefzig, K&R 2014, 772, 773 ff. 11 Siehe zur Vorlagefrage des BGH den Beschluss des BGH v. 28. 10. 2014 – VI ZR 135/13, K&R 2015, 106 ff. = GRUR 2015, 192 ff. 12 Je nach Art der verwendeten Daten kann dies auch aus spezialgesetzlichen Datenschutzvorschriften folgen, z. B. aus § 12 Abs. 1 TMG. K &R 9 Beihefter 3/2015 zu Heft 9 durch den Betroffenen (im Wege einer Einwilligung) oder durch eine Rechtsvorschrift, die je nach Art der verwendeten Daten aus verschiedenen datenschutzrechtlichen Gesetzen stammen kann (z. B. BDSG, TMG oder TKG). Als Rechtsvorschrift kommen hier insbesondere § 28 Abs. 1 S. 1 Nr. 2 BDSG, § 28 Abs. 1 S. 1 Nr. 3 BDSG, § 28 Abs. 3 BDSG und § 15 Abs. 3 TMG in Betracht.13 Ob die jeweiligen Tatbestandvoraussetzungen vorliegen, ist im Einzelfall zu untersuchen. IV. Einhaltung des Zweckbindungsgrundsatzes als datenschutzrechtliches Erfordernis Besonders praktisch fr Unternehmen wre es freilich, wenn sie die bereits bei ihnen vorhandenen Daten im Rahmen von Big Data-Anwendungen verwenden kçnnten, z. B. im CRMSystem gespeicherte Kundendaten. Hierbei ist allerdings zu bedenken, dass personenbezogene Daten grundstzlich nur fr den Zweck verwendet werden drfen, fr den sie auch erhoben wurden, z. B. zur Durchfhrung eines Vertrages zwischen dem Betroffenen und dem Unternehmen.14 Sollen die Daten hingegen fr einen anderen Zweck verwendet werden – was im Rahmen von Big DataAnwendungen oftmals der Fall sein wird –, bedarf dies regelmßig einer gesonderten Erlaubnis durch eine Rechtsvorschrift oder durch die Einwilligung des Betroffenen. In der Regel wird es fr Unternehmen kaum praktikabel sein, die Betroffenen – nachdem sie ihre Daten schon erhoben haben – nochmals nach einer Einwilligung in den Umgang mit ihren Daten zu einem anderen als dem ursprnglich verfolgten Zweck zu fragen. Mithin bedarf eine Zwecknderung bei der Verarbeitung der Daten bei Big Data regelmßig einer gesetzlichen Erlaubnis. Im Anwendungsbereich des BDSG kommen hierfr insbesondere § 28 Abs. 2 Nr. 1 und Nr. 2 BDSG in Betracht. Eine Verarbeitung personenbezogener Daten im Rahmen von Big Data-Anwendungen zu anderen Zwecken, als fr den diese Daten ursprnglich erhoben wurden, ist danach grundstzlich (nur dann) erlaubt, wenn die berechtigten Interessen der verantwortlichen Stelle bzw. eines Dritten die schutzwrdigen Interessen des Betroffenen berwiegen bzw. es sich um allgemein zugngliche Daten handelt und ebenfalls die Interessenabwgung zugunsten der verantwortlichen Stelle ausgeht. Dies ist im jeweiligen Einzelfall zu untersuchen. Oftmals werden die Voraussetzungen fr die Verarbeitung personenbezogener Daten zu einem anderen Zweck aber nicht gegeben sein. In diesem Fall drfen die Daten zumindest nicht in personenbezogener Form zu einem anderen als dem ursprnglich verfolgten Zweck im Rahmen von Big Data-Anwendungen verarbeitet werden. V. Beachtung des Erforderlichkeitsgrundsatzes Ein weiteres datenschutzrechtliches Grundprinzip, welches Unternehmen beim Umgang mit personenbezogenen Daten im Rahmen von Big Data-Anwendungen beachten mssen, ist der Erforderlichkeitsgrundsatz.15 Demzufolge drfen nur die personenbezogenen Daten verarbeitet werden, die zur Erreichung des jeweils verfolgten Zwecks notwendig sind.16 Dieses Prinzip gilt unabhngig davon, ob sich das Unternehmen bei der Verarbeitung der personenbezogenen Daten auf eine Rechtsvorschrift oder auf eine Einwilligung sttzt. Diesen Grundsatz mssen Unternehmen bei Big Data-Anwendungen sowohl bei der Bildung der fr die Analysen und Auswertungen genutzten „Datenpools“ als auch bei der Durchfhrung der einzelnen Auswertungen und Analysen beachten. So drfen Unternehmen, wenn sie z. B. Daten zur Durchfhrung eines Vertrages vom jeweiligen Kunden erheben, nicht ohne gesonderte datenschutzrechtliche Erlaubnis weitere Daten – die an sich fr die Durchfhrung des Vertrags nicht bençtigt werden – erheben, nur weil das Unternehmen die Daten spter fr Auswertungen und Analysen verwenden mçchte. Die Durchfhrung des Vertrags (i. S. d. § 28 Abs. 1 S. 1 Nr. 1 BDSG) kann den Umgang mit diesen weiteren Daten jedenfalls nicht rechtfertigen. Eine Erhebung von Daten „auf Vorrat“ ist datenschutzrechtlich also grundstzlich nicht zulssig. Diesen Grundsatz gilt es auch zu beachten, wenn Unternehmen Daten direkt zu Zwecken der Durchfhrung bestimmter Auswertungen und Analysen erheben; auch in diesem Fall drfen grundstzlich nur die Daten erhoben werden, die anschließend fr die jeweilige Analyse bzw. Auswertung notwendig sind. Nichts anderes gilt bei der Durchfhrung der einzelnen Big Data-Anwendungen; auch hier drfen nur diejenigen Daten aus dem „Datenpool“ verwendet werden, die fr die jeweilige Auswertung/Analyse notwendig sind. VI. Verarbeitung von Big Data auf Grundlage einer Einwilligung In vielen Fllen wird sich das Unternehmen fr den Umgang mit personenbezogenen Daten im Rahmen von Big DataAnwendungen jedoch nicht auf gesetzliche Erlaubnisnormen sttzen kçnnen, z. B. weil bei der konkreten Anwendung die schutzwrdigen Interessen der Betroffenen am Ausschluss des Umgangs mit ihren Daten die berechtigten (wirtschaftlichen) Interessen des Unternehmens berwiegen. Außerdem kçnnte es sich fr Unternehmen auch nicht als praktikabel erweisen, nur anonyme Daten zu verwenden. Die Big-DataAnwendung kann etwa den Einsatz von personenbezogenen Daten erfordern. Dem Unternehmen ist es mçglicherweise aber auch aufgrund der Menge an verarbeiteten Daten oder der Verarbeitungsdauer nicht mçglich, ausschließlich anonyme Daten zu verarbeiten. Vor diesem Hintergrund kçnnten viele Unternehmen geneigt sein, den Umgang mit personenbezogenen Daten im Rahmen von Big Data-Anwendungen auf die Einwilligung der betroffenen Personen zu sttzen. Doch auch die Einholung von Einwilligungserklrungen stellt keinen datenschutzrechtlichen Kçnigsweg fr Unternehmen dar, die personenbezogene Daten im Rahmen von Big Data-Anwendungen verarbeiten mçchten. So muss die Einwilligungserklrung den Anforderungen der jeweils anwendbaren gesetzlichen Datenschutzvorschriften gengen, um den Datenumgang rechtfertigen zu kçnnen, z. B. § 4 a BDSG, § 13 Abs. 2 TMG, § 94 TKG, § 67 b Abs. 2 SGB X etc. Gemein ist diesen gesetzlichen Anforderungen an Einwilligungserklrungen, dass die Einwilligung bestimmt und informiert sein muss, damit sie den Umgang mit personenbezogenen Daten, auf die sie sich bezieht, erlauben kann. Zudem ist es stets erforderlich, dass der Betroffene die Einwilligung freiwillig erteilt.17 13 Siehe z. B. Ohrtmann/Schwiering, NJW 2014, 2984, 2985 ff. 14 Sogenannter „Zweckbindungsgrundsatz“, siehe hierzu z. B. Wolff, in: Wolff/Brink, BeckOK Datenschutzrecht, 12. Edition 2015, Grundlagen und bereichsspezifischer Datenschutz, Prinzipien, Rn. 11 ff. 15 Siehe z. B. Wolff, in: Wolff/Brink (Fn. 14), Grundlagen und bereichsspezifischer Datenschutz, Prinzipien, Rn. 23 ff. 16 Siehe z. B. Wolff, in: Wolff/Brink (Fn. 14), Grundlagen und bereichsspezifischer Datenschutz, Prinzipien, Rn. 23. 17 Zum Erfordernis der Freiwilligkeit der Einwilligung, auf das in diesem Beitrag nicht nher eingegangen wird, siehe z. B. Simitis, in: Simitis, BDSG, 8. Aufl. 2014, § 4 a Rn. 62 ff. und Khling, in: Wolff/Brink (Fn. 14), § 4 a Rn. 35 ff. 10 1. Informiertheit der Einwilligung Zunchst ist eine Einwilligung also nur dann wirksam, wenn diese informiert erfolgt ist. Der Betroffene muss sich also ein genaues Bild davon machen kçnnen, zu welchem Zweck, auf welche Art und Weise die verantwortliche Stelle mit welchen personenbezogenen Daten von ihm umgeht. Nur so wird der Betroffene in eine Lage versetzt, darber zu entscheiden, ob er dem geplanten Umgang mit seinen Daten zustimmt oder nicht. Mithin muss das Unternehmen, welches eine Einwilligung von dem Betroffenen einholen mçchte, diesen entsprechend informieren. Mit anderen Worten: Die Betroffenen mssen noch vor der Einwilligung alle Informationen bekommen, die notwendig sind, um Anlass, Ziel und Folgen der Verarbeitung korrekt abzuschtzen.18 Hierbei hat die verantwortliche Stelle die Betroffenen regelmßig ber den Verwendungszweck und ber ihre eigene Identitt zu unterrichten, potenzielle Datenempfnger zu benennen, die Verwendungsziele anzugeben, die betroffenen Daten zu umschreiben sowie ggf. die Speicherdauer anzugeben und ggf. auf die Folgen der Verweigerung der Einwilligung hinzuweisen.19 Besonders schwierig im Umfeld von Big Data gestaltet sich oftmals, dass die verantwortliche Stelle den Betroffenen ber die gesamte beabsichtigte Verwendung der Daten informieren muss.20 Plant ein Unternehmen also z. B. Datenpools zu bilden, die anschließend fr viele verschiedene Auswertungen verwendet werden sollen, die zudem auch nicht alle fr denselben Zweck erfolgen, muss das Unternehmen die Betroffenen in der Einwilligungserklrung grundstzlich ber smtliche mit den Auswertungen verfolgte Zwecke informieren. 2. Bestimmtheit der Einwilligung Auch das Erfordernis der Bestimmtheit von Einwilligungserklrungen stellt Unternehmen, die den Umgang mit personenbezogenen Daten bei Big Data-Anwendungen auf eine solche Einwilligung des Betroffenen sttzen mçchten, durchaus vor Herausforderungen. Das Bestimmtheitserfordernis steht in engem Zusammenhang mit dem soeben beschriebenen Erfordernis der Informiertheit der Einwilligung. So ist der Betroffene vor dem Hintergrund seines grundrechtlich geschtzten Rechts auf informationelle Selbstbestimmung nicht nur ber den geplanten Umgang mit seinen Daten zu informieren, damit er eine Entscheidung darber treffen kann, ob er dem zustimmt oder nicht; vielmehr muss er auch die Tragweite seiner konkreten Einwilligungserklrung berblicken kçnnen, mit anderen Worten also verstehen, was er der verantwortlichen Stelle erlaubt (und was nicht). Vor diesem Hintergrund sind Einwilligungserklrungen nur dann wirksam, wenn sie klar zu erkennen geben, unter welchen Bedingungen sich die Betroffenen mit der Verarbeitung welcher Daten einverstanden erklrt haben.21 Mithin sind pauschale Einwilligungserklrungen oder sogenannte Blankoeinwilligungen unwirksam und vermçgen den Umgang mit personenbezogenen Daten nicht zu rechtfertigen.22 3. Praktische Umsetzung Mçchte ein Unternehmen personenbezogene Daten fr eine Big Data-Anwendung verwenden, fr die die Verarbeitungszwecke und auch die sonstigen – im Rahmen von Einwilligungserklrungen maßgeblichen – Parameter bereits feststehen, stellt die Einwilligung des Betroffenen regelmßig eine rechtssichere Lçsung zur Rechtfertigung des Umgangs mit dessen personenbezogenen Daten in diesem Zusammenhang dar. In diesem Fall sind mit dem Beihefter 3/2015 zu Heft 9 K &R Entwurf und der Einholung der Einwilligungserklrung i. d. R. keine besonderen Schwierigkeiten verbunden. Zu beachten ist bei der Gestaltung der Big Data-Anwendung aber insbesondere, dass der Betroffene seine Einwilligung grundstzlich jederzeit (mit der Wirkung fr die Zukunft) widerrufen kann, woraufhin das Unternehmen die betroffenen Daten regelmßig nicht weiter verwenden darf und lçschen muss.23 Zudem kommt es fr Unternehmen i. d. R. nur zu dem Zeitpunkt in Betracht, Einwilligungserklrungen bei Betroffenen einzuholen, wenn sie die Daten beim Betroffenen erheben; hat ein Unternehmen bereits Daten ohne eine entsprechende Einwilligung (z. B. auf Grundlage einer Rechtsvorschrift wie § 28 Abs. 1 S. 1 Nr. 1 BDSG oder einer anderen Einwilligung, die den Umgang mit den Daten in Big Data-Anwendungen nicht zu rechtfertigen vermag) – z. B. in einem CRM-System oder in unstrukturierter Form – gespeichert und mçchte es diese nun auf Grundlage einer Einwilligung der Betroffenen im Rahmen von Big Data-Anwendungen (weiter-)verarbeiten, msste es smtliche Betroffenen hierzu anschreiben und von ihnen eine Einwilligung einholen. Dies gestaltet sich jedoch regelmßig zu aufwndig. Mithin sollten Unternehmen sich bereits vor Erhebung von Daten beim Betroffenen darber im Klaren sein, ob sie deren Daten (ggf. auch zu einem spteren Zeitpunkt) auf Grundlage einer Einwilligung verarbeiten wollen. In diesem Fall ist es ratsam, die Einwilligung bereits zu diesem Zeitpunkt einzuholen. Soweit das Unternehmen zum Zeitpunkt der Einholung der Einwilligungserklrung noch nicht weiß, zu welchen Analysen, Zwecken etc. es die Daten der Betroffenen verwenden mçchte, gestaltet es sich zudem auch anspruchsvoll, den Inhalt der Einwilligungserklrung so zu gestalten, dass diese wirksam ist und den Umgang mit personenbezogenen Daten zu rechtfertigen vermag. In diesem Fall mssen Unternehmen, die den Datenumgang im Rahmen von Big Data-Anwendungen auf eine Einwilligung der Betroffenen sttzen wollen, eine oftmals schwierige Gratwanderung vollbringen, die Einwilligungserklrung so flexibel wie mçglich zu gestalten, um die Daten mçglichst umfassend verarbeiten zu kçnnen, sie dabei aber nicht so vage und pauschal formulieren, dass sie den Anforderungen an die Informiert- und Bestimmtheit nicht mehr gengt und den Datenumgang somit nicht mehr zu rechtfertigen vermag. Wo die Grenze zwischen (maximal zulssiger) Flexibilitt und (rechtlich notwendiger) Informiert- und Bestimmtheit liegt, ist im Einzelfall zu bestimmen und stellt die verantwortliche Stelle oftmals vor Herausforderungen, zumal sich diese Grenze auch nicht allgemeingltig bestimmen lsst. Je flexibler eine Einwilligungserklrung gestaltet wird, desto hçher ist die damit einhergehende Rechtsunsicherheit, ob die Einwilligung noch den datenschutzrechtlichen Anforderungen entspricht. Die folgende Klausel aus den „Datenschutzrichtlinien“ von Apple hat das LG Berlin z. B. fr zu pauschal und damit fr unwirksam gehalten:24 18 19 20 21 Siehe z. B. Simitis, in: Simitis (Fn. 17), § 4 a Rn. 70 m. w. N. Siehe Khling, in: Wolff/Brink (Fn. 14), § 4 a Rn. 43 m. w. N. Siehe z. B. Simitis, in: Simitis (Fn. 17), § 4 a Rn. 72. Siehe z. B. Simitis, in: Simitis (Fn. 17), § 4 a Rn. 77; Khling, in: Wolff/ Brink (Fn. 14), § 4 a Rn. 44. 22 Siehe z. B. Simitis, in: Simitis (Fn. 17), § 4 a Rn. 77. 23 Etwas anderes kann ggf. gelten, wenn das Unternehmen den Datenumgang auch auf eine gesetzliche Erlaubnisnorm sttzen kann. 24 LG Berlin, 30. 4. 2013 – 15 O 92/12, K&R 2013, 411 ff. = ZD 2013, 451 ff. K &R 11 Beihefter 3/2015 zu Heft 9 „Wir nutzen personenbezogene Daten auch als Untersttzung, um unsere Produkte, Dienste, Inhalte und Werbung zu entwickeln, anzubieten und zu verbessern. [...] Wir kçnnen personenbezogene Daten auch fr interne Zwecke nutzen, wie zur [...] Datenanalyse und Forschung, um Apples Produkte, Dienste und die Kommunikation mit Kunden zu verbessern.“ Ggf. kçnnen beim Entwurf der Einwilligungserklrungen Anleihen aus dem Bereich der medizinischen Forschung genommen werden, da auch in diesem Bereich zum Zeitpunkt der Erhebung der Daten und dem Einholen der Einwilligungserklrungen (von den Patienten) oftmals noch nicht genau feststeht, wie, durch wen und fr welche Zwecke die erhobenen (Patienten-)Daten verwendet werden. So scheint es vor diesem Hintergrund in diesem Bereich durchaus anerkannt, dass Daten auf Grundlage von einem sogenannten „broad consent“ oder einem „tiered consent“ verarbeitet werden.25 Bei einem „broad consent“ erteilt der Betroffene – vereinfacht ausgedrckt – zwar eine gewisse Pauschaleinwilligung; das „Defizit“ an Bestimmt- und Informiertheit wird jedoch durch strenge Vorgaben fr die (zuknftige) Verarbeitung der Daten „ausgeglichen“, z. B. im Forschungsbereich durch die Einbindung von EthikKommissionen.26 Außerhalb des Bereichs der medizinischen Forschung kçnnten insoweit z. B. die Verwendung von Verschlsselungsverfahren oder Pseudonymisierungskonzepte in Betracht kommen. Auch beim sogenannten „tiered consent“ besteht ein gewisses „Bestimmtheits- und Informationsdefizit“, als dass der Betroffene nicht ber smtliche (zuknftigen) Datenumgnge und Verarbeitungszwecke aufgeklrt wird/werden kann. Hier wird das Defizit jedoch dadurch „kompensiert“, dass dem Betroffenen – vereinfacht ausgedrckt – verschiedene abgestufte Wahlmçglichkeiten erçffnet werden, wie seine Daten verarbeitet werden kçnnen sollen (z. B. fr bestimmte „Zweckbereiche“ (wie hnliche Projekte), nur fr das konkrete Projekt, nur pseudonymisiert fr andere Projekte etc.).27 fertige Anwendungen im Nachhinein noch an datenschutzrechtliche Anforderungen anzupassen. Um Big Data-Anwendungen also datenschutzkonform auszugestalten, ist es Unternehmen mithin dringend als Best Practice anzuraten, das Big Data-Projekt so zu organisieren, dass whrend der gesamten Projektphase ein stndiger Dialog zwischen den aus technischer und wirtschaftlicher Sicht Projektverantwortlichen und den fr die Einhaltung des Datenschutzes verantwortlichen Personen, insbesondere dem betrieblichen Datenschutzbeauftragten und, soweit vorhanden, der Rechtsabteilung, gewhrleistet ist. Hierzu kann es auch gehçren, externen Rechtsrat einzuholen. Whrend der Projektphase kçnnen in diesem Zusammenhang insbesondere die folgenden Schritte aus datenschutzrechtlicher Sicht erforderlich sein: 1. Bewusstseinsbildung durch den betrieblichen Datenschutzbeauftragten, 2. Privacy Impact Assessment/Vorabkontrolle, 3. eventuell interner oder externer Rechtsrat; ggf. Abstimmung mit der zustndigen Datenschutzaufsichtsbehçrde, 4. Definition von datenschutzrechtlichen Kriterien/Vorgaben, z. B. von Pseudonymisierung, eines Lçsch- und Sperrkonzepts, zur Sicherstellung der Betroffenenrechte, 5. Information/Mitbestimmung des Betriebsrats; Information der Betroffenen, 6. Programmierung des Systems, ggf. vertragliche Umsetzung (Auftragsdatenverarbeitung etc.), 7. bei wesentlichen nderungen: ggf. erneuter Dialog mit den Projektverantwortlichen, 8. kontinuierliche Prfung des Systems auf Einhaltung der datenschutzrechtlichen Vorgaben, 9. Endabnahme und Ergnzung des Verfahrensverzeichnisses.29 VIII. Fazit Allerdings ist zu beachten, dass die Datenschutzaufsichtsbehçrden dem Umgang mit Daten zu medizinischen Forschungszwecken durchaus offener gegenberstehen und mithin bereit sind, die datenschutzrechtlichen Vorgaben weniger restriktiv auszulegen, als dies beim Datenumgang zu anderen Zwecken der Fall ist.28 Mit anderen Worten kçnnen die Konzepte des „broad consent“ und des „tiered consent“ nicht ohne weiteres auf andere Bereiche als den medizinischen Forschungsbereich bertragen werden. Allerdings kçnnen diese Konzepte ggf. zumindest ein Stck weit als Beispiel fr Mçglichkeiten dienen, wie Einwilligungserklrungen flexibel gestaltet werden kçnnen, ohne dass diese dabei aufgrund ihrer Pauschalitt unwirksam werden. Big Data bietet Unternehmen enorme neue Mçglichkeiten, (personenbezogene) Daten zu analysieren und auszuwerten und so datengetriebene Geschftsmodelle zu entwickeln. Soweit hierbei personenbezogene Daten verwendet werden, mssen Unternehmen die datenschutzrechtlichen Vorgaben an den Umgang mit personenbezogenen Daten beachten. Insbesondere wenn zum Zeitpunkt der Datenerhebung noch nicht feststeht, wie und zu welchen Zwecken das Unternehmen die Daten verarbeiten mçchte, stellen sich hierbei durchaus datenschutzrechtliche Herausforderungen. Soweit Unternehmen auf den Umgang mit personenbezogenen Daten verzichten (und die Anonymitt der Daten sicherstellen) kçnnen, ist ihnen daher anzuraten, auch tatschlich keine personenbezogenen Daten zu verwenden. Aber auch wenn VII. Sicherstellung der Datenschutz-Compliance in Big Data-Projekten 25 Siehe hierzu auch den Entwurf fr die EU-Datenschutzgrundverordnung in der Fassung des Rats der Europischen Union, die in Erwgungsgrund 25 a fr die wissenschaftliche Forschung ebenfalls die genannten Einwilligungsformen fr ausreichend zu erachten scheint. 26 Siehe zum Konzept des „broad consent“ ausfhrlich: Forg/Kollek/Arning/Krgel/Petersen, Ethical and Legal Requirements for Transnational Genetic Research, 2010, Rn. 48 ff. 27 Siehe zum Konzept des „tiered consent“ ausfhrlich: Forg/Kollek/Arning/Krgel/Petersen (Fn. 26), Rn. 57 ff. 28 Auch Erwgungsgrund 25 a des Entwurfs fr die EU-Datenschutzgrundverordnung in der Fassung des Rats der Europischen Union befasst sich nur im Hinblick auf den Bereich der wissenschaftlichen Forschung mit diesen Einwilligungskonzepten. 29 Die Darstellung basiert auf BITKOM (Hrsg.), Management von Big-DataProjekten, S. 24 ff.; abrufbar unter: https://www.bitkom.org/Publikationen/ 2013/Leitfaden/Management-von-Big-Data-Projekten/130618_Manage ment-von-Big-Data-Projekten.pdf. Mçchten Unternehmen (personenbezogene) Daten im Rahmen von Big Data-Anwendungen verwenden, stellt dies das Unternehmen mithin oftmals vor datenschutzrechtliche Herausforderungen, insbesondere wenn viele Daten von verschiedenen Betroffenen aus vielen verschiedenen Quellen hierzu verarbeitet werden. Vor diesem Hintergrund sollten die datenschutzrechtlichen Implikationen whrend des gesamten Projekts genau beachtet und bereits bei der Gestaltung der Anwendung bercksichtigt werden, da es oftmals nur unter großem Aufwand noch mçglich sein wird, bereits 12 ein Unternehmen personenbezogene Daten verarbeiten mçchte, gibt es verschiedene Mçglichkeiten, die Datenschutzkonformitt dieser Big Data-Anwendungen zu gewhrleisten. Ein wesentlicher Faktor zur Sicherstellung der Datenschutzkonformitt derartiger Anwendungen be- Beihefter 3/2015 zu Heft 9 K &R steht jedenfalls darin, die datenschutzrechtlichen Implikationen bereits bei der Konzeption der Anwendung zu bercksichtigen und whrend des jeweiligen Projekts fr einen stndigen Dialog mit datenschutzrechtlichen Experten zu sorgen. RA Dr. Flemming Moos, Hamburg* „Geht nicht“ gibt es nicht: Datennutzung als rechtliche Gestaltungsaufgabe Das Schlagwort der „Data Driven Economy“ fhrt deutlich vor Augen, dass die Bedeutung von Daten fr die Geschftsmodelle der Zukunft kaum unterschtzt werden kann. In einer datengetriebenen Wirtschaft ist die Sammlung, Auswertung, Analyse, Weitergabe, Verçffentlichung und sonstige Nutzung personenbezogener Daten zentraler Bestandteil der Unternehmensttigkeit; sei es weil der Umgang mit den Daten selbst das Geschftsmodell darstellt, sei es weil Daten die Grundlage fr die Gestaltung des Produkt- und Dienstangebots darstellen. Letzteres wird vor allem im Rahmen der Erbringung personalisierter, auf den Nutzer zugeschnittener Dienste relevant werden. Die Unternehmen kçnnen sich deshalb immer weniger darauf beschrnken, die Datenschutzkonformitt ihres Tuns als eine „Compliance-Aufgabe“ unter vielen zu betrachten, die sie bei ihrem betrieblichen Datenschutzbeauftragten „abladen“. Schon die Auswahl und Ausgestaltung der Geschftsmodelle muss sich zunehmend daran orientieren, was datenschutzrechtlich mçglich ist. Der Datenschutzjurist wird dadurch zum strategischen Mitgestalter. Gestaltungsmçglichkeiten gibt es dabei zuhauf, sie mssen allerdings auch erkannt und ausgenutzt werden. In diesem Beitrag soll anhand einiger praxisrelevanter Beispiele aufgezeigt werden, durch welche Gestaltungsmaßnahmen datenschutzrechtliche Klippen umschifft werden kçnnen, um datengetriebene Geschftsmodelle auf ein rechtssicheres Fundament zu stellen. I. Der Umgang mit Daten als Compliance-Aufgabe Der Umgang mit personenbezogenen Daten wird durch Daten verarbeitende Unternehmen traditionell als reine ComplianceAufgabe verstanden. Die rechtliche Prfung beschrnkt sich hierbei in vielen Fllen darauf, ein von der Fachabteilung ersonnenes Verarbeitungsszenario daraufhin zu prfen, ob es datenschutzrechtlich zulssig ist oder nicht. Typische Fragestellungen sind hierbei etwa, ob eine bestimmte Werbemaßnahme unter Verwendung bestimmter Daten erfolgen darf oder ob ein definierter Datensatz fr definierte Zwecke an die Muttergesellschaft bermittelt werden darf. Der Ausgangspunkt und rechtliche Programmsatz, der der Einnahme dieser Compliance-Perspektive zugrunde liegt, ist das in § 4 Abs. 1 BDSG verankerte Datenverarbeitungsverbot mit Erlaubnisvorbehalt. Insofern ist an einer solchen Vorgehensweise nichts auszusetzen; im Gegenteil: die Gesetzeslage verlangt sogar diese Zulssigkeitsprfung im Einzelfall, und deren Bedeutung wird knftig eher noch zunehmen: Nach dem Gesetzentwurf der Bundesregierung fr ein Gesetz zur Verbesserung der zivilrechtlichen Durchsetzung von verbraucherschtzenden Vorschriften des Datenschutzrechts soll das Verbandsklagerecht nach § 2 UKlaG auf Vorschriften ausgedehnt werden, die fr die Erhebung, Verarbeitung oder Nutzung personenbezogener Daten eines Verbrauchers durch einen Unternehmer gelten.1 Zuwiderhandlungen gegen bestimmte Datenschutzvorschriften – vor allem auch im Zusammenhang mit dem Erstellen von Persçnlichkeits- und Nutzungsprofilen und dem Handel mit Daten – kçnnen deshalb knftig auch durch Verbraucherschutz- und Wettbewerbsverbnde sanktioniert werden. Die derzeit im Trilog verhandelten Entwrfe der Datenschutz-Grundverordnung sehen Bußgelder fr Datenschutzverstçße in einer Hçhe von bis zu 100 Mio. Euro oder 5 % des weltweiten Jahresumsatzes des jeweiligen Unternehmens vor.2 Die „Compliance-Perspektive“ verliert also keinesfalls ihre Bedeutung. II. Perspektivenwechsel durch Daten als Wirtschaftsgut In der datengetriebenen Wirtschaft wird es fr die Unternehmen und ihre Datenschutzjuristen allerdings nicht mehr ausreichend sein, ihre Ttigkeit auf reaktive Zulssigkeitsprfungen zu beschrnken, weil Datenverwendungen nicht mehr nur die Modalitt der Kundenansprache bestimmen, sondern die Produkte und die dahinter liegenden Geschftsmodelle selbst. Datenschutzrechtliche Fragen stellen sich deshalb typischerweise nicht erst am Ende der Wertschçpfungskette, wo es darum geht, das fertige Produkt so oder so an den Kunden zu bringen, sondern am Anfang, wenn es darum geht, das Produkt selbst zu definieren; z. B. weil es eben kein Massenprodukt mehr ist, sondern ein fr jeden Kunden individualisiertes, auf Basis der Analyse (personenbezogener) Daten generiertes oder zumindest optimiertes Produkt. Einige solcher datengetriebenen Geschftsmodelle sind bereits in die Praxis umgesetzt oder stehen vor ihrer Einfhrung; z. B. * Mehr ber den Autor erfahren Sie auf S. 16. 1 Gesetzentwurf der Bundesregierung: Entwurf eines Gesetzes zur Verbesserung der zivilrechtlichen Durchsetzung von verbraucherschtzenden Vorschriften des Datenschutzrechts, BT-Drs. 18/4631, 15. 4. 2015; hierzu: Moos, K&R 2015, 158, 160. 2 Vgl. Art. 79 Abs. 2a lit. c DS-GVO in der Fassung des Beschlusses des Europischen Parlaments vom 12. 4. 2014; zu allen Entwrfen siehe die vom Bayerischen Landesamt fr Datenschutzaufsicht vorgehaltene Synopse: http://www.lda.bayern.de/lda/datenschutzaufsicht/lda_daten/BayL DA_Synopse_DS-GVO_KOMM-EU-Parlament-Rat_150623TK.pdf. K &R Beihefter 3/2015 zu Heft 9 13 „Pay-as-you-Drive“-Tarife von Kfz-Versicherungen,3 Online-Bonittsprfungen4 oder neue, datengetriebene Formen der Werbeausspielung im Internet (Programmatic Buying/ Realtime Advertising).5 Diese Angebote sind allerdings erst die Vorboten der Datenwirtschaft – es geht anerkanntermaßen um die nchste industrielle Revolution auf Basis von Big Data.6 Alle Unternehmen werden sich den Herausforderungen stellen und eine Umstellung auf datenbasierte Geschftsmodelle erwgen mssen. In diesem Zuge muss sich die Perspektive erweitern, mit der bislang in aller Regel datenschutzrechtliche Fragen im Unternehmen adressiert worden sind; den Datenschutzjuristen kommt verstrkt die Aufgabe zu, die Kommerzialisierung von (personenbezogenen) Daten zu ermçglichen und mitzuhelfen, tragfhige Konzepte fr die Realisierung der datengetriebenen Produkte und Geschftsmodelle zu entwickeln. Das bedingt oftmals nicht nur einen neuen Denkansatz, sondern kann in manchen Unternehmen auch organisatorische Umgestaltungen notwendig machen. Das gilt insbesondere in den Unternehmen, in denen bisher die Datenschutzbeauftragten gemß § 4 f BDSG die alleinigen Know-how-Trger im Datenschutzrecht und die alleinigen Statthalter fr die Bearbeitung datenschutzrechtlicher Fragen sind. Mit ihrer Stellung und Funktion im Unternehmen als internem Kontrollorgan drfte die weitere Aufgabe eines „Datenverarbeitungsstrategen“ regelmßig unvereinbar sein. Jedenfalls werden sich in vielen Fllen Arbeitsablufe ndern mssen. Wegen der gesteigerten strategischen Bedeutung der Datenerhebungen und -verwendungen mssen die Datenschutzrechtler Konzepte und Prozesse mitgestalten und deshalb von Anfang an dabei sein. Rahmen von Unternehmenstransaktionen. Gerade datengetriebene Geschftsmodelle werden nicht selten von Startups oder anderen jungen Unternehmen ersonnen und implementiert, die dann das Ziel von Akquisebemhungen grçßerer, etablierter Unternehmen werden. Kommt es zu einem Unternehmenserwerb, ist aus der Sicht des Kufers entscheidend, dass die Kundendaten datenschutzkonform auf ihn bergehen. Hierauf ist die datenschutzrechtliche Strukturierung gegebenenfalls auszurichten. III. Ermçglichung von Datenerhebungen und -verwendungen als Gestaltungsaufgabe b) Erwerb von Nutzungsrechten bei Asset Deal Anders liegt es bei einem so genannten Asset Deal, bei dem der Erwerber einzelne Vermçgensgegenstnde des Unternehmens erwirbt. Werden auf diese Weise Kundenverhltnisse bertragen, so kçnnen bei dem Erwerber entsprechende Befugnisse zum Umgang mit solchen Kundendaten begrndet werden. Damit die Weitergabe der personenbezogenen Kundendaten an den Erwerber aber berhaupt zulssig ist, bedarf es in diesen Fllen einer datenschutzrechtlichen Erlaubnisvorschrift. Fr Kundendaten kommt hier grundstzlich § 28 Abs. 1 S. 1 Nr. 1 oder Nr. 2 BDSG in Betracht.9 Bei Kundendaten allerdings, die aus Online-Geschftsmodellen stammen, besteht eine gewisse Unsicherheit: Angesichts der Spezialregelungen im TMG, dessen Erlaubnisvorschriften keine Interessenabwgung vorsehen, mag angezweifelt werden, ob die §§ 14, 15 TMG eine bertragung der Daten rechtfertigen kçnnen, oder ob ungeachtet des § 12 Abs. 1 TMG fr die bermittlung im Rahmen des Unternehmenskaufs ergnzend auf das BDSG zurckgegriffen werden darf. Richtigerweise wird man zwar aus dem Urteil des EuGH in Sachen ASNEF/FECEMED10 folgern kçnnen, dass sich die Zulssigkeit einer bermittlung von Daten immer auf Basis Inhaltlich wird es fr den Datenschutzjuristen in einem Unternehmen, welches datengetriebene Geschftsmodelle umsetzt, darum gehen, das Modell so zu gestalten, dass es im Einklang mit den datenschutzrechtlichen Vorschriften steht und insbesondere die damit einhergehenden Datenerhebungen und -verwendungen datenschutzrechtlich zulssig sind. Hierbei wird freilich Kreativitt gefragt sein. Es ist zwar einerseits ein großes Dilemma des Datenschutzrechts, dass der genaue Gegenstand und Umfang zahlreicher Ge- und Verbote unklar ist, weil die Gesetze viele unbestimmte Rechtsbegriffe enthalten, fr die es zumeist an hçchstrichterlicher Konturierung mangelt. Das schafft andererseits aber auch Mçglichkeiten fr Unternehmen, die Interpretationsspielrume zu nutzen und – natrlich ohne die Grenzen zu berschreiten – Lçsungen zu erarbeiten, die den gesetzlichen Anforderungen entsprechen. Im Nachfolgenden werden beispielhaft drei praxisrelevante Szenarien betrachtet. Gemein ist ihnen die Zielsetzung, bestimmte Erhebungen oder Verwendungen personenbezogener Daten zu ermçglichen, wie sie kennzeichnend fr datengetriebene Geschftsmodelle sind. Es zeigt sich, dass es sich bei der Frage der Datenschutzkonformitt keineswegs um Schwarz-Weiß-Betrachtungen handelt. Vielmehr gibt es oftmals eine Reihe alternativer Gestaltungen, so dass im Einzelfall geeignete datenschutzrechtliche Strukturierungen gefunden werden kçnnen. 1. Erwerb von Kundendaten im Rahmen von Transaktionen Eine in der Praxis hufig relevante Fragestellung in diesem Zusammenhang betrifft den Erwerb von Kundendaten im a) Kein Erwerb von Nutzungsrechten durch Gesellschaftserwerb Entgegen einer landlufigen Fehlvorstellung außerhalb von datenschutzrechtlichen Fachkreisen begrndet ein reiner Anteilserwerb an einer Gesellschaft keine datenschutzrechtlichen Nutzungsbefugnisse zugunsten des Erwerbers an den Kundendaten der (neuen) Tochtergesellschaft. Datenschutzrechtlich liegt das freilich auf der Hand, da das so genannte „Target“ als datenschutzrechtlich verantwortliche Stelle ja unverndert erhalten bleibt und sich nur der Anteilsinhaber ndert. Weil es im deutschen Datenschutzrecht aber kein Konzernprivileg gibt, welches Datenweitergaben zwischen verbundenen Unternehmen dem Grundsatz des Datenverarbeitungsverbots mit Erlaubnisvorbehalt entzçge, werden entsprechende Datenweitergaben nicht allein deshalb zulssig, weil es nun eine neue gesellschaftsrechtliche Verbindung gibt.7 Weil das BDSG jedes rechtlich selbstndige Unternehmen innerhalb einer Unternehmensgruppe als eigenstndige Stelle im Sinne von § 3 Abs. 7 BDSG einstuft, 8 erwirbt der Unternehmenskufer bei einer solchen Gestaltung deshalb keine eigenen Nutzungsrechte an den Kundendaten. 3 Siehe hierzu z. B. den „S-Drive“-Tarif der Sparkassen-Direktversicherung; www.sparkassen-direkt.de/telematik/mehr.html. 4 Siehe hierzu z. B. das Angebot von Zest Finance unter www.zestfinance. com; allgemein dazu: Kchemann, Alle Daten sind Kreditdaten, in: F.A.Z. v. 7. 11. 2014. 5 Siehe dazu: Arning/Moos, ZD 2014, 242 ff. 6 Siehe hierzu anschaulich den Beitrag „Datafiziert“, in: Sddeutsche Zeitung vom 25. 4. 2015, S. 36. 7 Moos/Zeiter, in: Forg/Helfrich/Schneider (Hrsg.), Betrieblicher Datenschutz, 2014, Teil V. Kap. 1 Rn. 6. 8 Buchner, in: Taeger/Gabel, BDSG, 2. Aufl. 2013, § 3 Rn. 53. 9 Schrçder, in: Forg/Helfrich/Schneider (Fn. 7), Teil V. Kap. 4 Rn. 37. 10 EuGH, 24. 11. 2011 – verb. Rs. C-468/10; C-469/10, K&R 2012, 40 ff. = ZD 2012, 33 ff. 14 einer Abwgung der Interessen des Betroffenen und der verantwortlichen Stelle ergeben kçnnen muss und dass deshalb die strengeren Regelungen des TMG, die eine solche Interessenabwgung nicht vorsehen, richtlinienkonform in dem Sinne auszulegen sind, dass sie eine bermittlung von Bestands- und Nutzungsdaten auf Basis einer Interessenabwgung ermçglichen. Eine rechtliche Unsicherheit bleibt allerdings, zumal teilweise generell eine Einwilligung der Kunden in die bermittlung ihrer Daten im Rahmen von Unternehmensverkufen verlangt wird.11 Auch das Ergebnis der Interessenabwgung ist stark einzelfallgeprgt und hngt nicht nur von der Beurteilung ab, welche Datenbermittlungen tatschlich „erforderlich“ sind, sondern natrlich auch von den Verwendungszwecken; soll etwa – wie dies blich ist – auch eine Verwendung zu Werbezwecken erfolgen, wre evtl. § 28 Abs. 3 BDSG einschlgig.12 Als Schlussfolgerung bleibt, dass hier – je nach betroffenen Datenarten und Verwendungszwecken – komplexe datenschutzrechtliche Prfungen anzustellen sein kçnnen, um die Transaktion datenschutzkonform zu strukturieren. c) Erwerb von Nutzungsrechten durch Unternehmensumwandlungen Es lohnt sich deshalb in manchen Fllen, nach Alternativen zu suchen, die datenschutzrechtlich eine grçßere Sicherheit bieten. Eine Lçsung kann z. B. in einer Unternehmensumwandlung nach dem Umwandlungsgesetz liegen. Entgegen einer vereinzelt gebliebenen Ansicht13 unterliegen Datenweitergaben im Rahmen von Umwandlungen nach UmwG nmlich keinen datenschutzrechtlichen Beschrnkungen.14 Bei solchen Umwandlungen, wie z. B. Verschmelzungen, Aufspaltungen, Abspaltungen und Ausgliederungen geht die Verfgungsbefugnis ber die Daten im Rahmen einer Gesamtrechtsnachfolge automatisch auf den neuen Rechtstrger ber, ohne dass eine bermittlung im Sinne von § 3 Abs. 4 S. 2 Nr. 3 BDSG vorlge.15 In der Praxis ist die Datenschutzkonformitt der Erlangung der Kundendaten in der Regel natrlich nur eine Gestaltungsanforderung unter vielen; daneben treten zumeist steuerliche, finanzielle und unternehmensorganisatorische Faktoren. Nur wenn man den Transaktionsjuristen aber den Kanon der datenschutzrechtlichen Mçglichkeiten komplett aufzeigt, kann eine sinnvolle Gesamtstrategie fr die Unternehmenstransaktion gefunden werden. 2. Schaffung von Verarbeitungsgrundlagen durch Vertragsgestaltung Ein weiteres, sehr bedeutsames Feld, in dem die Datenschutzjuristen knftig verstrkt gefordert sein werden, ist dasjenige der proaktiven, datenschutzkonformen Ausgestaltung des eigenen Geschftsmodells. Auch hier ist es mitnichten so, dass es um reine Entweder-oder-Entscheidungen geht. Vor allem im Rahmen der Vertragsgestaltung erçffnen sich Mçglichkeiten –, ja teilweise auch Notwendigkeiten – durch sorgsame Vertragsformulierungen bestimmten Umgngen mit Kundendaten eine rechtliche Basis zu geben. Der Aufsatzpunkt fr solche Strategien sind diejenigen Datenschutzvorschriften des BDSG oder anderer bereichsspezifischer Gesetze, die entweder die Erhebung und Verwendung von Kundendaten zur Vertragsdurchfhrung oder auf der Basis von Interessenabwgungen gestatten; etwa § 28 Abs. 1 S. 1 Nr. 1 und Nr. 2 BDSG. Beihefter 3/2015 zu Heft 9 K &R a) Definition und Leistungsbeschreibung fr personalisierte Dienste Ein gutes Anwendungsbeispiel hierfr bilden personalisierte Dienste, wie sie fr die knftige Datenwirtschaft kennzeichnend sein werden. Ganz generell ist es mçglich, die Leistungsbeschreibungen der jeweiligen Dienste so zu formulieren, dass die Datenverwendungen zur Personalisierung des jeweiligen Dienstangebots noch vom Vertragszweck mit abgedeckt sind. Dabei kann § 28 Abs. 1 S. 1 Nr. 1 BDSG aber wohl nur als Rechtsgrundlage herangezogen werden, wenn und soweit die entsprechende Leistungsbeschreibung die Produktoptimierung bzw. Personalisierung als Teil der Leistung beschreibt und damit das Kriterium der Erforderlichkeit in § 28 Abs. 1 S. 1 Nr. 1 BDSG erfllt ist. Hierauf ist bei der Vertragsgestaltung besonders zu achten. Der Maßstab fr die Erforderlichkeit ist das konkrete Vertragsverhltnis zwischen Dienstnutzer und dem datenverarbeitenden Unternehmen.16 Prinzipiell sind nach § 28 Abs. 1 BDSG solche Datenerhebungen, -verarbeitungen und -nutzungen gerechtfertigt, die der Erfllung des jeweiligen Geschftszwecks dienen. Entsprechende Vertragszwecke werden gerade anhand der vertraglichen Grundlagen ermittelt.17 Es ist im Hinblick auf Vertragsverhltnisse nach wohl herrschender Meinung nach objektiven Kriterien festzustellen, ob die Verwendung der Daten in dem Sinne notwendig ist, dass nur dadurch die Rechte aus dem Vertrag geltend gemacht und die Pflichten erfllt werden kçnnen.18 In diesem Rahmen steht es der verantwortlichen Stelle gemß § 28 Abs. 1 S. 2 BDSG frei, die Verwendungszwecke der Daten selbst festzulegen und damit auch den Rahmen festzulegen, innerhalb dessen sich die Verarbeitung oder Nutzung der Daten vollziehen muss.19 Der gleichen Logik wie § 28 Abs. 1 BDSG folgt auch § 15 TMG. Im Rahmen der Erbringung der Dienste ist die akzessorische Datenverarbeitung gerechtfertigt.20 Wenn die vertraglichen Pflichten also entsprechend formuliert sind, kann die Vertragsdurchfhrung auch die Verwendung entsprechender Kundendaten einschließlich der Nutzung und Verwendung von „Big Data“ rechtfertigen. Voraussetzung hierfr ist aber, dass die dem jeweiligen Unternehmen obliegende Leistungspflicht die Personalisierung des Dienstes anhand der Datenanalysen mçglichst konkret und eindeutig beschreibt. b) Besondere Gestaltungsanforderungen bei kombinierten Dienstangeboten Besondere Gestaltungsanforderungen ergeben sich dabei typischerweise bei kombinierten Dienstangeboten; also in Fllen, in denen mehrere grundstzlich auch einzeln abtrennbare Funktionen oder Services zu einem Dienst zusammengefasst werden. Es liegt zwar grundstzlich in der Deutungshoheit der verantwortlichen Stelle, den Gegenstand des eigenen Dienstes zu bestimmen. Wegen des Zweckbindungsgrundsatzes und des Trennungsgebots ist hierbei aber ganz besonders den (objektivierten) Nutzererwartungen im Hinblick auf mçgliche Zusammenfhrungen und dienstbergreifende Da11 12 13 14 15 16 17 18 19 20 Simitis, in: Simitis, BDSG, 7. Aufl. 2011, § 28 Rn. 68. Plath, in: Plath, BDSG, 2013, § 28 Rn. 68. Wengert/Widmann/Wengert, NJW 2000, 1289 ff. Moos/Zeiter, in: Forg/Helfrich/Schneider (Fn. 7), Teil V. Kap. 1 Rn. 37. Plath, in: Plath (Fn. 12), § 28 Rn. 69; Dammann, in: Simitis (Fn. 11), § 3 Rn. 144; Schaffland, NJW 2002, 1539, 1540 f. Plath, in: Plath (Fn. 12), § 28 Rn. 19. Taeger, in: Taeger/Gabel (Fn. 8), § 28 Rn. 48. Taeger, in: Taeger/Gabel (Fn. 8), § 28 Rn. 47; Plath, in: Plath (Fn. 12), § 28 Rn. 21; LG Kçln, 9. 5. 2007 – 26 O 358/05, BeckRS 2007, 10750. Simitis, in: Simitis (Fn. 11), § 28 Rn. 23. Zscherpe, in: Taeger/Gabel (Fn. 8), § 15 TMG, Rn. 8. K &R Beihefter 3/2015 zu Heft 9 tenverwendungen Rechnung zu tragen – auch auf diese kann man freilich durch die Beschreibung des Dienstes und die Gestaltung des Nutzungsvertrages Einfluss nehmen. 3. Teilen und gemeinsame Verarbeitung von Daten Ein weiteres Gestaltungsbeispiel betrifft die datenschutzrechtliche Absicherung des Teilens bzw. der gemeinsamen Verarbeitung von Daten durch unterschiedliche Stellen, etwa innerhalb einer Unternehmensgruppe oder im Rahmen von Kooperationen mit externen Partnern. Dem BDSG liegt hierbei oberflchlich ein klar umrissenes Rollenmodell zugrunde. Es unterscheidet zwischen dem Betroffenen, der verantwortlichen Stelle und Dritten. Daneben finden noch der Auftragsdatenverarbeiter und sonstige „Empfnger“ von Daten ausdrckliche gesetzliche Anerkennung. Verantwortliche Stelle ist gemß § 3 Abs. 7 BDSG jede Person oder Stelle, die personenbezogene Daten fr sich selbst erhebt, verarbeitet oder nutzt oder dies durch andere im Auftrag vornehmen lsst. Dritter ist gemß § 3 Abs. 8 S. 2, 3 BDSG jede Person oder Stelle außerhalb der verantwortlichen Stelle mit Ausnahme des Betroffenen und der Auftragsdatenverarbeiter. In Umsetzung von Art. 2 lit. g RL 95/ 46/EG wurde in das BDSG nachtrglich noch der Begriff des „Empfngers“ eingefhrt. Empfnger ist nach § 3 Abs. 8 BDSG jede Person oder Stelle, die Daten erhlt. Im Unterschied zu dem „Dritten“ soll es sich bei dem „Empfnger“ aber nicht um eine Stelle außerhalb der verantwortlichen Stelle handeln, so dass eine Datenweitergabe an einen Empfnger keine (erlaubnispflichtige) bermittlung darstellt. Empfnger sind vor allem Auftragsdatenverarbeiter.21 Besteht also die Zielvorstellung des Unternehmens darin, dass mehrere separate rechtliche Unternehmenseinheiten bestimmte personenbezogene Daten verwenden sollen, wird man standardmßig eine bermittlung der entsprechenden Daten zwischen den beteiligten Stellen in Betracht ziehen. a) Datenbermittlungen zwischen verantwortlichen Stellen Bei einer solchen bermittlung handelt es sich aber wiederum – mangels Konzernprivileg auch innerhalb einer Unternehmensgruppe – um einen nach § 4 Abs. 1 BDSG erlaubnispflichtigen Datenumgang. Dabei ist es durchaus denkbar, dass hierfr ein gesetzlicher Erlaubnistatbestand einschlgig ist; so kann etwa § 28 Abs. 1 i.V. m. Abs. 2 BDSG eine bermittlung von Kundendaten fr andere Zwecke durchaus rechtfertigen, wobei hier durch eine entsprechende Gestaltung des Vertrages zwischen den an der bermittlung beteiligten Stellen auch grundstzlich den berechtigten Interessen der Betroffenen Rechnung getragen werden kann.22 Erneut ist aber eine diffizile Einzelfallprfung notwendig, die gegebenenfalls dazu fhrt, dass bestimmte Datenbermittlungen mangels Rechtsgrundlage nicht erfolgen drften. b) Begrndung einer gemeinsam verantwortlichen Stelle An diesem Punkt stellt sich erneut die Frage nach mçglichen Alternativgestaltungen. Eine Variante kann die Begrndung einer gemeinsam verantwortlichen Stelle sein. aa) Anforderungen an die Ausgestaltung Nach § 3 Abs. 7 BDSG i.V. m. Art. 2 lit. d der EU-Datenschutzrichtlinie 95/46/EG kçnnen nmlich – entgegen dem insoweit richtlinienkonform auszulegenden Wortlaut des BDSG23 – mehrere Stellen zusammen fr einen Datenumgang datenschutzrechtlich verantwortlich sein. Voraussetzung fr 15 eine gemeinsame Verantwortlichkeit ist dabei, dass verschiedene Parteien im Zusammenhang mit spezifischen Verarbeitungen entweder ber den Zweck oder ber wesentliche Elemente der Mittel entscheiden, die einen fr die Verarbeitung Verantwortlichen kennzeichnen.24 Als ein prgnantes Beispiel fhrt die Artikel-29-Datenschutzgruppe einen Fall an, in dem verschiedene Akteure beschließen, eine gemeinsame Infrastruktur fr die Erreichung ihrer jeweiligen individuellen Zwecke einzurichten, und bejaht dies beispielsweise, wenn ein Reisebro, eine Hotelkette und eine Fluggesellschaft eine gemeinsame Internet-Plattform einrichten wollen, um ihre Zusammenarbeit bei der Verwaltung der Reisereservierungen zu verbessern und ihre Kundendaten gemeinsam zu nutzen, um integrierte Werbeaktionen durchzufhren. Die Beteiligung der Parteien an den gemeinsamen Entscheidungen im Hinblick auf die Mittel und Zwecke der Datenverarbeitung kann jedoch verschiedene Formen aufweisen und muss nicht gleichmßig verteilt sein. Nach Ansicht der Art. 29-Datenschutzgruppe sind insbesondere die folgenden Faktoren entscheidend dafr, ob eine Stelle ber die Zwecke und wesentlichen Elemente der Mittel der Datenverarbeitung (mit) entscheidet: • Vertragliche Vereinbarungen zwischen den beteiligten Parteien, • Grad der tatschlich von einer Partei ausgebten Kontrolle, • der den betroffenen Personen (vorliegend der den Nutzern) vermittelte Eindruck, • die berechtigten Erwartungen der betroffenen Personen aufgrund der Außenwirkung. Es bedarf hierfr einer Gesamtbetrachtung dieser Faktoren. Zwar kçnnen vertragliche Regelungen alleine die Verantwortlichkeit fr eine Datenverarbeitung mçglicherweise nicht determinieren, da die Parteien die Verantwortung sonst einfach nach eigenem Gutdnken zuweisen kçnnten. In diesem Sinne ist wohl auch eine Entscheidung des OVG Schleswig zu verstehen, in der das Gericht fr die Frage, ob mehrere Stellen gemeinsam fr die Datenverarbeitung Verantwortliche sind, entscheidend auf die Kontrolle und die Einflussnahmemçglichkeit auf die Datenverarbeitung abstellt.25 Dennoch misst die Artikel-29-Datenschutzgruppe der Vertragsgestaltung zwischen den beteiligten Parteien besonderes Gewicht im Hinblick auf die Bestimmung der verantwortlichen Stelle bei und hat auch einen rechtlichen Einfluss einer Partei auf eine Datenverarbeitung als erheblichen Faktor bei der Bestimmung der verantwortlichen Stelle anerkannt.26 Wenn die vertraglichen Bestimmungen die Realitt also korrekt widerspiegeln (also die rechtlich benannte verantwortliche Stelle die Datenverarbeitung auch tatschlich wirksam kontrolliert), spricht nach Ansicht der Artikel-29-Datenschutzgruppe nichts dagegen, sich bei der Bestimmung der verantwortlichen Stelle an den Vertragsregelungen zu orientieren. 21 Buchner, in: Taeger/Gabel (Fn. 8), § 3 Rn. 55. 22 Moos, in: von dem Bussche/Voigt (Hrsg.), Konzerndatenschutz, Teil 3, Kap. 4, R. 3; Gabel, in: Moos (Hrsg.), Datennutzungs- und Datenschutzvertrge, 2013, Teil 6 I. Rn. 5 f. 23 VG Schleswig, 9. 10. 2013 – 8 A 14/12, K&R 2013, 824 ff. = ZD 2014, 51, 53; dazu Moos, K&R 2014, S. 149, 149 f. 24 Siehe z. B. Art. 29-Datenschutzgruppe, Stellungnahme 1/2010 zu den Begriffen „fr die Verarbeitung Verantwortlicher“ und „Auftragsdatenverarbeiter“, WP 169, S. 23, abrufbar unter: http://ec.europa.eu/justice/ policies/privacy/docs/wpdocs/2010/wp169_de.pdf. 25 OVG Schleswig, 4. 9. 2014 – 4 LB 20/13, ZD 2014, 643 ff.; dazu Moos, K&R 2015, 158, 165. 26 Artikel 29-Datenschutzgruppe, Stellungnahme 1/2010 zu den Begriffen „fr die Verarbeitung Verantwortlicher“ und „Auftragsdatenverarbeiter“, WP 169, S. 14. 16 Die Artikel-29-Datenschutzgruppe gesteht den Beteiligten hierbei ausdrcklich ein gewisses Maß an vertraglicher Gestaltungsfreiheit zu; insbesondere im Hinblick auf die wechselseitige Verteilung und Zuweisung von Verpflichtungen und Verantwortlichkeiten, solange eine vollstndige Einhaltung der Rechtsvorschriften gewhrleistet ist; sie fordert die fr die Verarbeitung Verantwortlichen sogar auf, vertragliche Regelungen ber die Art und Weise zu treffen, wie sie gemeinsame Verantwortung ausben.27 bb) Rechtsfolgen Bei Datenweitergaben zwischen den mitverantwortlichen Stellen handelt es sich nicht um erlaubnispflichtige bermittlungen, da sie im Verhltnis zueinander nicht „Dritte“ im Sinne von § 3 Abs. 8 S. 2, 3 BDSG sind. Der Partner, der als mitverantwortliche Stelle fungiert, darf die Daten so verwenden, wie es eine alleinig verantwortliche Stelle drfte (vorbehaltlich etwaiger interner Verwendungsbeschrnkungen im Vertrag mit der anderen mitverantwortlichen Stelle). Wichtig ist es nur, hinreichende Transparenz fr die Betroffenen ebenso wie eine bereinstimmung mit den Verarbeitungsrealitten zu schaffen. cc) Ausblick Es ist abzusehen, dass sich im Zuge der Etablierung des Internets der Dinge, Connected Cars, Smart Grids und von Big Data-Anwendungen in viel grçßerem Maße plurale Verantwortlichkeiten fr den Umgang mit Daten ergeben werden und eine Abgrenzung der Verantwortlichkeitssphren fr verteilte Datenverarbeitungen schwieriger wird.28 Alleinverantwortlichkeiten wird es in einigen Fllen nicht mehr geben (kçnnen). Ein Mehr an rechtlicher Sicherheit lsst sich durch eine proaktive Gestaltung der Beteiligten erzielen. Das zwar von der EG-Datenschutzrichtlinie anerkannte, mangels Umsetzung im Wortlaut des BDSG in Deutschland allerdings bisher nur stiefmtterlich betrachtete Konzept der „gemeinsam verantwortlichen Stellen“ kçnnte und sollte deshalb in solchen Fllen von den Beteiligten verstrkt fruchtbar gemacht werden. 27 Artikel 29-Datenschutzgruppe, Stellungnahme 1/2010 zu den Begriffen „fr die Verarbeitung Verantwortlicher“ und „Auftragsdatenverarbeiter“, WP 169, S. 17. 28 Moos, in: Leible/Kutschke, Der Schutz der Persçnlichkeit im Internet, 2013, 143, 159. Beihefter 3/2015 zu Heft 9 K &R IV. Fazit Die zunehmende Nutzung von Daten als Wirtschaftsgut erfordert eine Abkehr von einer reinen Compliance-Perspektive bei der datenschutzrechtlichen Bewertung des Datenumgangs im Unternehmen. Datenschutzjuristen mssen dabei helfen, datengetriebene Geschftsmodelle auszuarbeiten und von Beginn an so aufzusetzen, dass sie im Einklang mit den Datenschutzvorgaben umgesetzt werden kçnnen. Hierbei kommt der gestalterischen Ttigkeit eine wachsende Bedeutung zu. Die gesetzlichen Regelungen halten diverse Gestaltungsoptionen bereit, die es zur Umsetzung datengetriebener Geschftsmodelle auszunutzen gilt. Essentiell ist hierbei eine frhzeitige Einbeziehung der Datenschutzjuristen und eine sorgfltige datenschutzrechtliche Ausgestaltung von Beginn an. Dr. Flemming Moos FA fr IT-Recht und Partner in der Kanzlei Osborne Clarke. Seit 2001 als RA mit den Beratungsschwerpunkten Datenschutz- und IT-Recht ttig. Im Juve Handbuch 2014 als „fhrender Name im Datenschutz“ benannt. Beim ULD Schleswig-Holstein anerkannter Sachverstndiger fr IT-Produkte (rechtlich) und anerkannter Schlichter an der Hamburger Schlichtungsstelle fr IT-Streitigkeiten; Mitglied der DGRI, der HDG und der IAPP. RA Marian Alexander Arning, LL.M. ist Rechtsanwalt bei der Kanzlei Osborne Clarke in Hamburg. Spezialisiert auf Datenschutz- und ITRecht mit besonderem Schwerpunkt im Gesundheitsbereich, insb. eHealth. Studium an der Universitt Hannover, Masterstudium an den Universitten Hannover und Leuven; 2006 - 2008 wiss. Mitarbeiter am Institut fr Rechtsinformatik der Universitt Hannover. Promotion ber die elektronische Gesundheitskarte. Dr. Jens Schefzig Studium an den Universitten Trier und Sheffield sowie der Christian-Albrechts-Universitt zu Kiel; 2010 - 2013 Rechtsreferendariat am Hanseatischen OLG Hamburg; Promotion an der Christian-Albrechts-Universitt zu Kiel und Zulassung zum Rechtsanwalt in 2013; seit 2014 Rechtsanwalt im Hamburger Bro der Kanzlei Osborne Clarke; Schwerpunktbereich: IT- und Datenschutzrecht. Die internationale Kanzlei Osborne Clarke bert umfassend im Wirtschafts- und Steuerrecht – in Deutschland mit mehr als 120 Rechtsanwlten aus Berlin, Hamburg, Kçln und Mnchen. Ihre Lçsungen prgen besonderes BranchenKnow-how und wirtschaftlichen Mehrwert. Das renommierte Team Datenschutz bert nationale und internationale Unternehmen in der gesamten Bandbreite des Datenschutzrechts sowie zur Nutzung von Daten, einschließlich der rechtlichen Gestaltung von Datenanalyseprojekten, der Strukturierung internationaler Datenflsse, der Durchfhrung von Datenschutzaudits sowie in Compliance-Fllen. Osborne Clarke war 2012 Kanzlei des Jahres fr IT-Recht und ist azur Top-Arbeitgeber fr Datenschutz.
© Copyright 2024 ExpyDoc