Präsentation

osborneclarke.de
Daten als Geschäftsmodell
Dr. Flemming Moos
Marian Arning, LL.M.
Dr. Jens Schefzig
Osborne Clarke
Hamburg, 21. Mai 2015
1
osborneclarke.de
Unser Team in Hamburg
Dr. Flemming Moos
Partner, Rechtsanwalt
Fachanwalt für IT-Recht
Marian Alexander Arning LL.M.
Rechtsanwalt
Dr. Jens Schefzig
Rechtsanwalt
T +49 40 55436 4054
F +49 40 55436 4505
T +49 40 55436 4054
F +49 40 55436 4505
T +49 40 55436 4054
F +49 40 55436 4505
[email protected]
osborneclarke.com
[email protected]
osborneclarke.com
[email protected]
osborneclarke.com
2
osborneclarke.de
Ihr internationales Expertenteam
Belgien:
Italien:
Ann-Sophie de Graeve
T +32 22 515 93 30
E [email protected]
Frankreich:
Edoardo Tedeschi
T +39 08 5413 1757
E [email protected]
Spanien:
Claire Bouchenard
T +33 1 84 82 45 30
E [email protected]
Deutschland:
Rafael Garcia del Poyo
T +34 91 576 4476
E [email protected]
Niederlande:
Dr. Flemming Moos
T +49 40 55436 4054
E [email protected]
Dr. Ulrich Baumgartner
T +49 89 5434 8078
E [email protected]
Dr. Hendrik Schöttle
T +49 89 5434 8078
E [email protected]
Hong Kong*:
Marcus Vass
M +852 6010 8362
E [email protected]
* Osborne Clarke hat eine strategische Allianz mit John Koh & Co.
Jeroen Lub
T +31 20 702 8616
E [email protected]
Vereinigtes Königreich:
James Mullock
T +44 117 917 3322
E [email protected]
Stephen Groom
T +44 20 7105 7078
E [email protected]
Emily Jones
T +44 117 917 3652
E [email protected]
3
osborneclarke.de
Wem gehört das neue Öl?
Absicherung der Rechte an
Daten
Dr. Jens Schefzig
Osborne Clarke
21. Mai 2015
4
osborneclarke.de
Dr. Jens Schefzig
•
Dr. Jens Schefzig
Rechtsanwalt
berät ausschließlich im IT-Recht und legt dabei einen besonderen Schwerpunkt auf
sämtliche Themen in Verbindung mit Daten; insbesondere berät er bei
•
dem Aufbau von Datenschutzorganisationen und Compliance-Systemen,
•
der rechtskonformen Durchführung von IT-Projekten und
•
der Sicherung der Rechte der Mandanten an den von ihnen generierten Daten.
•
baut auf seiner Erfahrung als Unternehmensberater bei McKinsey&Company auf, um für
seine Mandanten tatsächlich praxisorientierte Lösungen zu bieten.
•
veröffentlicht Fachartikel zum Datenschutzrecht in anerkannten juristischen
Fachzeitschriften.
T +49 40 55436 4054
F +49 40 55436 4505
[email protected]
osborneclarke.com
5
Private & Confidential
osborneclarke.de
Entwicklung des weltweiten Datenvolumens
70
Zettabyte
42
*
**
0,25
2,5
Datenvolumen 2006*
Datenvolumen 2012*
Quelle: BITKOM, Big Data im Praxiseinsatz, 2012
Quelle: Liberman, Zettascale Linguistics, 2012
Datenvolumen 2020
(40 - 100 Zettabyte)*
6
Geschätzte Menge aller
gemals von Menschen
gesprochenen Worte**
osborneclarke.de
Eine Zahl vorab
1.000.000.000.000 EUR*
* Quelle: BCG, The Value of Our Digital Identity, 2012
7
Private & Confidential
osborneclarke.de
Der Begriff der Daten
Syntaktische Ebene (Codierung),
nicht semantische Ebene
(Bedeutung) entscheidend
Daten
Maschinenlesbare
codierte
Informationen
Software ≠ Anwenderdaten
Daten ≠ Datenträger
8
Private & Confidential
osborneclarke.de
Die Assets der meisten bekannten Unternehmen sind durch
gesetzliche Schutzrechte gesichert
The Coca-Cola Company
Markenrecht
Robert Bosch GmbH
Patentrecht
Time Warner Inc.
Urheberrecht
Microsoft Corporation
Rechte an Software
Royal Dutch Shell plc
Bewilligung (Bergrecht)
"Data Enterprises"
???
9
osborneclarke.de
Existiert ein Schutzrecht für Daten?
Eigentum: Daten sind keine Sachen  kein Eigentum
Urheberrecht: Schöpfungshöhe fehlt  Kein Urheberrecht
Wettbewerbsrecht: Potenziell Betriebs- und Geschäftsgeheimnisse 
Reines Abwehrrecht
Strafrecht: Strafbarkeit des Ausspähens u. Abfangens (§ 202a f. StGB)
und des Veränderns von Daten (§ 303a f. StGB)  Reine Abwehrrechte
Sonstiges Recht: Teile der Wissenschaft sehen ein sonstiges Recht
i.S.d § 823 Abs. 1 BGB, aber keine Rechtsprechung  Nicht verlässlich
10
osborneclarke.de
Private & Confidential
§ 87a UrhG
• Abs. 1: "Datenbank im Sinne dieses Gesetzes ist eine Sammlung von Werken,
Daten oder anderen unabhängigen Elementen, die systematisch oder methodisch
angeordnet und einzeln mit Hilfe elektronischer Mittel oder auf andere Weise
zugänglich sind und deren Beschaffung, Überprüfung oder Darstellung eine nach
Art oder Umfang wesentliche Investition erfordert."
• Abs. 2: "Datenbankhersteller im Sinne dieses Gesetzes ist derjenige, der die
Investition im Sinne des Absatzes 1 vorgenommen hat."
11
osborneclarke.de
Recht an Datenbanken
• Tatbestandsmerkmale § 87a Abs. 1 UrhG
–
Sammlung von unabhängigen Elementen
–
Systematische oder methodische Anordnung (in Abgrenzung zum "Datenhaufen")
–
Einzelne Zugänglichkeit der Elemente
–
Wesentliche Investition
 Von Mühe, Zeit und Geld
 Zur Beschaffung, Prüfung und Darstellung der Datenbank
• Recht an der Datenbank insgesamt oder an einem nach Art und Umfang
wesentlichen Teil, § 87b UrhG (nicht an einzelnen Daten)
12
osborneclarke.de
Fazit
Ein verlässliches Recht an
Daten existiert nicht!
13
osborneclarke.de
Private & Confidential
Absicherung von Daten durch vertragliche Regelungen
• Mangels gesetzlicher
Vorschriften sind
vertragliche Regelungen
notwendig
• Fehlende gesetzliche
Vorgaben stellen eine
Chance dar: Der
Spielraum ermöglicht
eine weitgehende
Flexibilität
14
osborneclarke.de
Private & Confidential
Eigenschaften von Daten
Keine Rivalität
► Unbegrenzte Zahl an Nutzern kann
denselben Datensatz simultan verwenden
Keine Exklusivität
► Einmal zugängliche Daten können beliebig
oft aufgerufen und vervielfältigt werden
Keine Abnutzung
► Daten unterliegen im Gegensatz zu
Datenträgern keiner Abnutzung
15
osborneclarke.de
Private & Confidential
Handlungsformen im Hinblick auf Daten
Zugang
► Ausschließlich vs. nicht-ausschließlich
► Definition von Schutzrechten
Nutzung
► Vervielfältigung / Weiterverbreitung
► Analyse
Veränderung
► Beeinträchtigung der Integrität / Zerstörung
► Verfälschung / Manipulation
16
osborneclarke.de
Private & Confidential
Orientierung am Urheber- und am Datenschutzrecht
Absicherung der eigenen Datenbestände durch Regelungen
Parallelen im Datenschutzrecht
Parallelen im Urheberrecht
• Verantwortliche Stelle
• Nutzungsrechte
• Auftragskontrolle
• Lizenzaudits
• Techn./org. Maßnahmen
• Lizenzgebühren
• Weisungsrechte
• Zweckbindung
17
osborneclarke.de
Typische zu regelnde Aspekte
• "Dateninhaberschaft"
• Weitergabe von Daten bzw. Zugang zu Daten
• Rechte zur Analyse (Zwecke)
Der Einzelfall
entscheidet!
• Vervielfältigungsrechte
• Sicherung der Daten (TOM)
• Vertragsstrafen
• Kontroll-/Auditrechte
18
Private & Confidential
osborneclarke.de
Private & Confidential
Adressaten der vertraglichen Regelungen
• Entsprechende Regelungen sollten
entlang des Datenflusses
ausgerichtet sein
• Entscheidend ist jeweils der
faktische Zugang zu Daten
19
osborneclarke.de
Take Aways
Daten stellen einen erheblichen Wert dar
Ein gesetzliches, umfassendes Schutzrecht existiert nicht
Eine vertragliche Absicherung ist erforderlich
Orientierung bieten insbesondere das Datenschutzrecht und das Urheberrecht
Das Vertragsgefüge orientiert sich an den Datenflüssen
20
osborneclarke.de
Fragen und Diskussion
21
osborneclarke.com
Datenpools – Big Data
datenschutzkonform umsetzen
Daten als Geschäftsmodell
Marian Arning, LL.M.
Hamburg, 21. Mai 2015
22
osborneclarke.com
Marian Arning, LL.M.
• Tätigkeitsschwerpunkt im Datenschutz- und IT-Recht
• Besonderer Fokus: Beratung von internationalen Konzernen und nationalen
Unternehmen, insb. aus der Finanz- und Versicherungsbranche sowie aus der
Gesundheitswirtschaft, in allen Bereichen des Datenschutz- und IT-Rechts (z.B. zu
internationalen Datentransfers, Outsourcing, zur Verarbeitung von Mitarbeiter- und
Kundendaten etc.)
• Externer Datenschutzbeauftragter
• Seit Anfang 2014 Rechtsanwalt bei Osborne Clarke, zuvor mehrjährige Tätigkeit bei
einer anderen internationalen Wirtschaftsrechtskanzlei
Marian Alexander Arning, LL.M.
• Promotion über die elektronische Gesundheitskarte
Rechtsanwalt
T.: +49 (0)40 55436 4056
E.: [email protected]
23
osborneclarke.com
Datenschutzrechtliche Implikationen von Big Data
24
osborneclarke.com
Datenschutzrechtliche Implikationen von Big Data
"Das erste, was wir tun,
lasst uns alle Anwälte töten!"
Shakespeare – Heinrich VI.
25
osborneclarke.com
Reale Anwendungsszenarien im Unternehmen
Fintech
OBA
Gesundheit
Kreditech nutzt Big Data
Technologie (über 20,000
dynamische Datenpunkte)
um über Jedermann
weltweit ein Kreditscoring
zu erstellen (auch die 4
Mrd. Menschen ohne
Kreditrating)
Diverse Anbieter von
Online-Werbung bieten
die Ausspielung
interessenbasierter
Werbung in Echtzeit
(Programmatic Buying /
Realtime Advertising)
Ermöglichung
personalisierter Medizin /
Therapie durch Integration
unterschiedlicher,
Datenquellen aus
Prävention, Diagnostik
und Therapie
26
osborneclarke.com
Spezifika von Big Data
Quelle: BITKOM, Big Data Leitfaden
27
osborneclarke.com
Datenmenge – Anwendbarkeit der Datenschutzgesetze
•
Reine "Menge" an Daten wirkt sich grundsätzlich nicht auf die
datenschutzrechtliche Zulässigkeit der Verarbeitung aus
•
Schon eine Einzelangabe kann ein personenbezogenes Datum sein:
"Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche
Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person"
28
Private & Confidential
osborneclarke.com
Datenmenge – Anwendbarkeit der Datenschutzgesetze
•
Datenschutzgesetze sind auf anonyme Daten nicht anwendbar
•
Anonym sind Daten dann, wenn sich der Personenbezug nicht mit einem
verhältnismäßigem Aufwand an Zeit, Kosten und Arbeitskraft herstellen lässt
 Einzelfallentscheidung
 ggf. von Stelle zu Stelle unterschiedlich
29
Private & Confidential
osborneclarke.com
Datenmenge – Anwendbarkeit der Datenschutzgesetze
•
durch Verknüpfung (z.B. im Rahmen
von Big Data-Anwendungen) evtl. Begründung
des Personenbezugs für andere, bereits
vorhandene Daten
30
osborneclarke.com
Datenvielfalt / Analytics
•
Verarbeitungsverbot mit Erlaubnisvorbehalt:
Erlaubnis für den Datenumgang erforderlich:
•
Einwilligung
•
Rechtsvorschrift
(Vielzahl an verschiedenen Datenschutzgesetzen, z.B. BDSG, TMG, TKG etc.)
•
Zweckbindungsgrundsatz:
Daten dürfen grdsl. nur für den Zweck verwendet werden, für den sie erhoben wurden, es sei
denn: Erlaubnis zur Zweckänderung (siehe 1.)
31
osborneclarke.com
Private & Confidential
Datenvielfalt / Analytics
•
Erforderlichkeitsgrundsatz
Es dürfen grdsl. nur die Daten erhoben werden, die für die Erreichung des jeweiligen Zwecks
erforderlich sind  grds. Keine Erhebung auf Vorrat
•
Trennungsgebot
insb. kein Konzernprivileg
32
osborneclarke.com
Einwilligung
• Nach § 4a BDSG muss die Einwilligung informiert und bestimmt sein

i.d.R. muss jeder spezifische Datenumgang (z.B. jeder Zweck, potentielle
Übermittlungsempfänger etc.) beschrieben werden
• Grdsl. (mit Wirkung für die Zukunft) widerrufbar
33
osborneclarke.com
Einwilligung
• LG Berlin zu Datenschutzklauseln von Apple:
"Wir nutzen personenbezogene Daten auch als Unterstützung, um unsere Produkte, Dienste,
Inhalte und Werbung zu entwickeln, anzubieten und zu verbessern. Wir können
personenbezogene Daten auch für interne Zwecke nutzen, wie zur Datenanalyse und
Forschung, um Apples Produkte, Dienste und die Kommunikation mit Kunden zu verbessern."
Unwirksame Pauschaleinwilligung ohne Spezifizierung der Daten und der Nutzungen
34
osborneclarke.com
Sicherstellung von Datenschutz-Compliance bei der
Durchführung von Big Data Projekten
35
osborneclarke.com
Best Practice: Ablauf von Big Data Projekten als ständiger
Dialog
Bewusstseinsbildung
durch DSB
Vorphase
Evtl. Interner o. externer
Rechtsrat; evtl. DSBehörde
Planung II
Planung I
Privacy Impact
Assessment /
Vorabkontrolle
Betriebsrat; ggfs.
Betroffene
Information
Planung III
Definition von Kriterien /
Vorgaben; z.B.
Pseudonymisierung, Sperrund Löschkonzept,
Betroffenenrechte
Bei wesentl. Änderung
d. Analyse: Erneuter
Dialog
Umsetzung II
Umsetzung I
Programmierung des
Systems; ggf.
vertragliche
Umsetzung (ADV etc.)
Endabnahme;
Ergänzung
Verfahrensverzeichnis
Go Live
Durchführung
Kontinuierliche Prüfung
auf Einhaltung der
Datenschutz-Vorgaben
Projektphase
Tätigkeit
36
Private & Confidential
osborneclarke.com
Take Aways
Big Data = Personal Data? – sehr komplexe Prüfung
Wirksame Einwilligung kaum zu realisieren
Datenschutzmaßnahmen vorab definieren / Best Practices
Datenschutz in Projektplanung einbeziehen
37
osborneclarke.com
Private & Confidential
38
osborneclarke.com
Private & Confidential
Fragen und Diskussion
39
osborneclarke.de
"Geht nicht" gibt es nicht
Datennutzung als rechtliche
Gestaltungsaufgabe
Dr. Flemming Moos
Hamburg, 21. Mai 2015
40
osborneclarke.de
Dr. Flemming Moos
•
Seit über 14 Jahren Beratung von deutschen und internationalen Unternehmen in der
gesamten Bandbreite des Datenschutzrechts; insbesondere bei
•
der datenschutzkonformen Ausgestaltung neuer Geschäftsmodelle,
•
der Realisierung von Datenschutz- und Datennutzungsprojekten aller Art
•
der Konzeptionierung und Durchführung von Datenschutzaudits
•
anerkannter Schlichter an der Hamburger Schlichtungsstelle für IT-Streitigkeiten und beim
Unabhängigen Landeszentrum für Datenschutz in Schleswig-Holstein anerkannter
Gutachter für IT-Produkte (rechtlich).
•
Autor des Handbuchs „Datenschutzrecht - schnell erfasst“, Herausgeber des Handbuchs
„Datennutzungs- und Datenschutzverträge“; Kommentator in mehreren
Datenschutzkommentaren.
•
Laut Juve Handbuch Wirtschaftskanzleien 2014/15 ein "führender Name im Datenschutz"
und im aktuellen Handelsblatt-Ranking für 2014 als einer von „Germany’s Best Lawyers“
für den Bereich Informationstechnologie gelistet.
41
osborneclarke.de
Der Umgang mit Daten als Compliance-Aufgabe
• Der Umgang mit (personenbezogenen) Daten wird im Unternehmen traditionell als
reine Compliance-Aufgabe verstanden.
• Zulässigkeitsprüfung bestimmter, von den Fachabteilungen gewünschter
Datenumgänge
– "Darf ich diese Kundendaten zu Werbezwecken nutzen?"
– "Darf ich diese Kundendaten an die Schwestergesellschaft übermitteln?"
• Ausgangspunkt und Denkansatz für (und oftmals auch erschöpfender Inhalt) der
rechtlichen Prüfung: Datenverarbeitungsverbot mit Erlaubnisvorbehalt
42
osborneclarke.de
Die Data Driven Economy ist schon da
Datafiziert
Computer entscheiden über Kredite, Algorithmen erkennen frühzeitig, ob Frauen
schwanger sind: Derzeit verändert sich etwas Grundsätzliches im Verhältnis von Mensch
und Maschine. Sogenannte Big-Data-Technologie kann mit Hochleistungsrechnern und
neuartiger Software ungeheure Datenmengen verarbeiten, die aus den unterschiedlichsten
Quellen stammen. Die Folgen für Wirtschaft, Wissenschaft und Gesellschaft werden
gewaltig sein.
Es geht um das Ende der Privatsphäre und um die nächste industrielle Revolution. Sie
wird unser Leben ähnlich verändern wie die Erfindung der Dampfmaschine.
Süddeutsche Zeitung, 25. April 2015
43
osborneclarke.de
…das hat mittlerweile auch der Gesetzgeber erkannt (1)
EUROPÄISCHE KOMMISSION, Strategie für einen digitalen Binnenmarkt für Europa,
Brüssel, den 6.5.2015 - COM(2015) 192 final:
4.1
Aufbau einer Datenwirtschaft
[…] Wir werden daher eine Reihe von technischen und rechtlichen Hindernissen aus dem Weg
räumen müssen, wenn wir das Potenzial der Digital- und Datentechnik voll ausschöpfen wollen.
Durch eine […] mangelnde Klarheit der Datennutzungsrechte wird die Entwicklung einer
grenzüberschreitenden Nutzung von Daten und neuer Technologieanwendungen (z.B. Text- und
Data-Mining) zusätzlich erschwert.
44
osborneclarke.de
…das hat mittlerweile auch der Gesetzgeber erkannt (2)
EUROPÄISCHE KOMMISSION, Strategie für einen digitalen Binnenmarkt für Europa,
Brüssel, den 6.5.2015 - COM(2015) 192 final:
4.1
Aufbau einer Datenwirtschaft
Im Jahr 2016 wird die Kommission eine europäische Initiative zum „freien Datenfluss“
vorschlagen, in der sie sich mit Beschränkungen des freien Datenverkehrs aus anderen Gründen
als dem Schutz personenbezogener Daten in der EU sowie mit nicht gerechtfertigten
Beschränkungen in Bezug auf den Speicher- und Verarbeitungsort der Daten befassen wird.
Darin wird sie auch auf die neuen Fragen des Eigentums an Daten, der Interoperabilität,
ihrer Nutzbarkeit und des Zugangs zu den Daten in bestimmten Situationen eingehen, z.B.
Daten, die in Beziehungen zwischen Unternehmen und zwischen Unternehmen und Verbrauchern
anfallen wie auch Daten, die von Maschinen und im Zusammenwirken zwischen Maschinen
erzeugt werden.
45
osborneclarke.de
Aktuelle Bedeutung von Daten als Wirtschaftsgut
46
osborneclarke.de
Die Schere im Kopf des Unternehmensjuristen
•
•
•
•
Schutz der Kunden
und Mitarbeiter
Rechtfertigung von
Eingriffen in das
Recht auf
informationelle
Selbstbestimmung
Erforderlichkeit,
Transparenz,
Zweckbindung
Datenvermeidung
und
Datensparsamkeit
• Wirtschaftliches
Unternehmensinteresse
• Ermöglichung neuer
datengetriebener
Geschäftsmodelle
• Erhebung und Nutzung
zusätzlicher Daten
• Verknüpfung
bestehender
Datensammlungen
• Kommerzialisierung von
Daten
Rechtsabteilung
47
osborneclarke.de
Datenerhebungen und -nutzungen als Gestaltungsaufgabe
• Wie können beide Perspektiven in Einklang gebracht werden?
• Es gibt Gestaltungsmöglichkeiten!
• Drei Praxisbeispiele:
– Erwerb von "Nutzungsrechten" an Kundendaten in M&A-Transaktionen
– "Schaffung" einer Rechtsgrundlage für eigene Datennutzungen durch
Vertragsgestaltung
– Data Sharing mit separaten rechtlichen Einheiten
48
osborneclarke.de
Beispiel 1. Erwerb von Kundendaten durch M&A (1)
Käufer
Target
Käufer
Kunden
Reiner Anteilserwerb begründet
keine Nutzungsbefugnisse
Target
Kunden
Erlaubnispflichtige Datenübermittlung
49
osborneclarke.de
Beispiel 1. Erwerb von Kundendaten durch M&A (2)
Käufer
Target
• Bildung eines Rechtsträgers durch
Verschmelzung nach dem
Umwandlungsgesetz
• Eine rechtliche Einheit als
datenschutzrechtlich verantwortliche
Stelle
Kunden
Keine erlaubnispflichtige Datenübermittlung
50
osborneclarke.de
Beispiel 2: Rechtsgrundlage durch Vertragsgestaltung
• Verwendung der
Kundendaten zur
Diensterbringung
Unternehmen
– Beispiel: Triple Play
• Regelmäßig
datenschutzrechtlich
zulässig
– Herausforderungen:
Zweckbindung / Verknüpfung von
Daten / Trennungsgebot
• Personalisierung des
Dienstangebots
• Was ist der "Dienst"?
• U.a. bestimmt durch die
Leistungsbeschreibung
• Ausweitung des Dienstes /
Kombinierung von Diensten
Kunde
– Beispiel: Google Now
– Herausforderung: Erforderlichkeit
51
osborneclarke.de
Beispiel 3. Data Sharing (1)
Unternehmen
1
Dienst 1
• Auch im Konzern keine privilegierte
Datenweitergabe
Datenweitergabe?
Unternehmen
2
• Die beiden Unternehmen sind
datenschutzrechtlich separat zu
betrachtende Stellen
Kunden
Erlaubnispflichtige Übermittlung
52
osborneclarke.de
Beispiel 3. Data Sharing (2)
• Betrieb eines gemeinsamen Dienstes
durch zwei Gesellschaften als "gemeinsam
verantwortliche Stelle"
Unternehmen
1
Gemeinsamer
Dienst
Unternehmen
2
Kunden
• Setzt gemeinsame Entscheidung über
Mittel und Zwecke der Datenverarbeitung
voraus
• Ermöglicht grds. Verwendung der Daten
durch beide Unternehmen
Erfordert sorgfältige Ausgestaltung
53
osborneclarke.de
Take Aways
Nutzung von Daten als Wirtschaftsgut verlangt Abkehr von reiner CompliancePerspektive
"Geht nicht" gibt es nicht immer – sogar seltener als man denkt!
Erkennen von Gestaltungsoptionen und deren Ausnutzung
Frühzeitige Einbeziehung des Datenschutzjuristen ist unverzichtbar
Sorgfältige (datenschutz-)rechtliche Ausgestaltung bleibt wichtig
54
osborneclarke.de
Fragen und Diskussion
55