Nachgelesen, Wissensbox Recht

Datenhoheit und deren rechtliche GrundlageDatenhoheit und deren rechtliche Grundlage

Datenhoheit wird oft benannt, wenn es um rechtspolitische Forderungen zu neuen oder geplanten gesetzlichen Regelungen geht. Doch bedeutet Datenhoheit ein Eigentum an Daten? Ist man überhaupt „Herr seiner Daten“ und wenn ja, wie kann man es bleiben? Wir klären auf.

Ein wichtiges Schlagwort der Digitalisierung ist die Datenhoheit. Diese wird oft benannt, wenn es um rechtspolitische Forderungen zu neuen oder geplanten gesetzlichen Regelungen geht. Leider wird dabei selten erläutert, was darunter zu verstehen ist und wie eine solche Datenhoheit umzusetzen sei. Ist man überhaupt „Herr seiner Daten“ und wenn ja, wie kann man es bleiben? Gibt es ein Eigentum an Daten, ist dieses bedeutungsgleich zur Datenhoheit und ließe sich dieses übertragen? Diese Fragen klären wir in der gebotenen Tiefe und geben einen kurzen Überblick zu Vorhaben auf EU-Ebene.

In diesem Nachgelesen lesen Sie:

Ob Datenhoheit ein Eigentum an Daten bedeutet?
Was sich hinter dem gesetzlichen Zuweisungsregime verbirgt?
Was ein vertragliches Zuweisungsregime meint?
Worin sich Datenkauf- und Datenlizenzverträge unterscheiden?
Welche Regelungsvorhaben auf EU-Ebene existieren?
Welches Fazit zur Datenhoheit wir ziehen?

Bedeutet Datenhoheit ein Eigentum an Daten?

Zunächst soll die Frage nach dem Eigentum an Daten erörtert werden. Eigentum gem. § 903 Bürgerliches Gesetzbuch (BGB) ist das umfassendste Sachherrschaftsrecht, welches die Zivilrechtsordnung kennt. Es gewährt dem Eigentümer die unbeschränkte Macht zur rechtlichen und tatsächlichen Einwirkungen auf eine Sache.^[1] Diese Definition verrät bereits, dass Eigentum nur an Sachen begründet werden kann. Sachen sind gem. § 90 BGB nur körperliche Gegenstände, also physische Dinge. Daten hingegen werden als digitale Informationen, die elektronisch in einem maschinenlesbaren Format verarbeitet werden, definiert. Eigentum kann demnach nicht an Daten begründet werden, da es ihnen an der Körperlichkeit fehlt.

Eigentum an Daten kann auch nicht über die Brücke des Datenträgers geschaffen werden. Datenträger, wie CDs oder USB-Sticks sind körperliche Gegenstände und an ihnen kann Eigentum begründet werden. Dem Eigentum am Datenträger folgt jedoch kein Eigentum an den Daten, die sich auf ihm befinden.^[2] Zwar gewährt der Datenträger eine gewisse Art der Zugangsbeschränkung und auch der Sicherheit der sich auf ihm befindlichen Daten. Doch ist darin kein Eigentum zu erblicken.

Wie bereits erwähnt, lassen sich Daten als digitale Informationen definieren. Die Hoheit über Daten beschreibt demnach eine Herrschaftsbeziehung zu diesen Daten. Also eine Art Zuordnung, die geeignet ist, sie von anderen zu unterscheiden. Die Zuordnung von Daten geschieht über gesetzliche oder vertragliche Zuweisungsregime, welche die jeweiligen Nutzungs- und Ausschließlichkeitsrechte zuweisen.

Gesetzliche Zuweisungsregime

Eines der wohl bekanntesten gesetzlichen Zuweisungsregime ist die Datenschutzgrundverordnung (DSGVO). Sie weist den Betroffenen eines Verarbeitungsvorganges von personenbezogenen Daten verschiedene Rechte zu. Soweit keine gesetzliche Rechtfertigung der Datenverarbeitung greift, ist sie gem. Art. 6 Abs. 1 S. 1 lit. a) DSGVO von der Einwilligung des Betroffenen abhängig. Zudem stehen den Betroffenen weitere Rechte auf Information, Auskunft, Berichtigung oder Löschung zu. Hier haben die Betroffenen die Hoheit über ihre personenbezogenen Daten.

Ein Gegenbeispiel zur Einwilligung gem. Art. 6 Abs. 1 S. 1 lit. a) DSGVO, die den Betroffenen die Hoheit über die personenbezogenen Daten zuordnet, entstammt dem Arbeitsrecht. Gem. § 26 Bundesdatenschutzgesetz (BDSG) dürfen personenbezogene Daten von Beschäftigten für Zwecke des Beschäftigungsverhältnisses verarbeitet werden, wenn dies für die Entscheidung über die Begründung, die Durchführung oder die Beendigung des Beschäftigungsverhältnisses relevant ist. In diesen Fällen ordnet das Gesetz die Hoheit über die Daten dem potentiellen oder gegenwärtigen Arbeitgeber zu. In diesen Fällen darf somit der Arbeitgeber personenbezogene Daten des Arbeitnehmers verarbeiten.

Weitere gesetzliche Zuweisungen kennen das Patent-, das Marken- und das Urheberrecht, Sie ordnen die jeweiligen immateriellen Güter einer Person oder einem Unternehmen zu. Dies betrifft in der Regel jedoch aus Daten generierte Güter, etwa eine Datenbank, und nicht das einzelne Datum an sich. Oder auch das Geschäftsgeheimnisgesetz, welches den Zugang zu entsprechend geheimen Daten schützt. Wobei letzteres vor allem auf einen faktischen Schutz durch entsprechende Geheimhaltungsmaßnahmen setzt.

Vertragliche Zuweisungsregime

Abseits von personenbezogenen Daten oder Daten aus einer schöpferischen Tätigkeit heraus, sammeln Unternehmen mitunter Maschinendaten etc. Hier werden die vertraglichen Zuweisungsregime relevant. Das heißt, die Zuordnung der Daten zu einer Person oder einem Unternehmen wird vertraglich festgelegt.

Ein Anwendungsfall ist das Einbringen von Maschinendaten in eine Cloud-Umgebung. Dabei werden Daten lizenziert. Dies geschieht zum einen durch den sog. Nutzer, also der Person oder dem Unternehmen, welche die Daten schufen, und zum anderen durch den Anbieter der Cloud-Services. Diese Datenlizenzen werden auch Data Ownership Klauseln genannt. Sie sind Inhalt des Vertrages und weisen entsprechende Rechte an den Daten ausschließlich dem Nutzer und/oder teilweise dem Anbieter zu. Je nach gewünschter Situation unterscheiden sich die dafür zu verwendenden Klauseln im Wortlaut.

Das erste Beispiel zeigt eine eher zurückhaltende Formulierung auf, bei der dem Anbieter wenige Rechte eingeräumt werden. Während das zweite Beispiel einen Schritt weiter geht und auch einen Nutzen für den Anbieter ermöglicht, der über die bloße Wartung seiner Systeme hinausgeht.

Beispiel 1:
Im ersten Beispiel verbleiben die hoheitlichen Rechte beim Nutzer und der Anbieter erhält lediglich solche Nutzungsrechte, die er zum Betrieb des Cloud-Services bedarf:„Der NUTZER gewährt dem ANBIETER das weltweite, einfache, übertragbare, unterlizenzierbare sowie kostenlose Recht, Nutzerdaten ausschließlich und soweit erforderlich (i) zum Zwecke der Erbringung des Cloud Services (einschließlich insbesondere der Erstellung von Backup-Kopien und der Durchführung von Penetrationstests) und des dazugehörigen Supports, sowie (ii) zur Überprüfung der Einhaltung der Regelungen dieser Vereinbarung durch den Anbieter zu nutzen (zu hosten, zu übertragen, darzustellen, zu ändern und wiederzugeben).“^[3]

Beispiel 2:
Im zweiten Beispiel wird dem Anbieter ein Recht zur Offenlegung und Verarbeitung unter der Voraussetzung der Anonymisierung der Nutzerdaten eingeräumt. Bei der Anonymisierung wird jeglicher Personenbezug unwiederbringlich aufgehoben. So kann der Anbieter ebenfalls einen wirtschaftlichen Wert der Daten realisieren und sein Angebot ggf. verbessern:„Nach Maßgabe der zwischen den Parteien vereinbarten Geheimhaltungspflichten räumt der NUTZER dem ANBIETER alle zur Vertragserfüllung erforderlichen Rechte an den von ihm übermittelten Daten ein, insbesondere zur Speicherung und Verarbeitung seiner Daten im Rahmen der angebotenen Leistungen. Ferner erhält der ANBIETER vom Kunden das Recht, die mit der SaaS-Anwendung verarbeiteten Daten zu Zwecken der Analyse und des Leistungsvergleichs (Benchmarking) anonymisiert auszuwerten und sie hierfür mit weiteren Daten zusammenzuführen, zu vervielfältigen und zu bearbeiten. Der ANBIETER stellt sicher, dass der NUTZER bei einer etwaigen Offenlegung der Resultate derartiger Maßnahmen an Dritte nicht (auch nicht indirekt) identifizierbar ist.“^{^[4]}

Durch die Data Ownership Klauseln können indes nicht mehr Rechte zugewiesen werden, als es gesetzliche Vorschriften, etwa datenschutzrechtliche, zulassen.^[5] Stehen also aufgrund eines Personenbezugs Vorschriften der DSGVO mit einer Klausel im Widerspruch, wird die Klausel – weil sie gegen Vorgaben des Gesetzes verstößt – insoweit unwirksam (§ 134 BGB).

Übertragung der Rechte an Daten – Verkauf von Daten?

Nach den gesetzlichen und vertraglichen Zuweisungsregimen, die gezeigt haben, wer die Nutzungs- und Ausschließlichkeitsrechte an den Daten innehat, bleibt die Frage nach der Übertragung dieser Rechte. Derzeit geschieht der Datenhandel oft auf rein faktischer Grundlage. Der Inhaber der Daten kontrolliert den Zugang und gewährt diesen ggf. im Umfang seiner vertraglichen Verpflichtungen. Dabei lassen sich grundsätzlich zwei Ausgestaltungen unterscheiden:

Datenkaufvertrag: Ist die dauerhafte Überlassung der Daten unter völliger Aufgabe des eigenen Zugangs
Datenlizenzvertrag: ist die befristete und/oder inhaltlich beschränkte Zurverfügungstellung unter Beibehaltung des eigenen Zugangs

Beim Datenkaufvertrag ist eine dauerhafte, exklusive und endgültige Überlassung von nichtpersonenbezogenen Daten erfasst. Die Übergabe kann durch einen physischen Datenträger oder eine digitale Übermittlung realisiert werden. In beiden Fällen handelt es sich um Kaufverträge, einmal nach § 433 BGB und einmal nach § 453 BGB.^[6] In dem Vertrag sollte klar beschrieben sein:

welche Daten von Vertrag erfasst sind,
dass die Übertragung dauerhaft erfolgen soll,
dass der Verkäufer die Nutzung der Daten dauerhaft einstellt und
die Gegenleistung.^[7]

Eine Anwendung für Datenkaufverträge sind etwa Maschinendaten, die der Veräußerer erhebt, aber nicht verwerten kann und die der Erwerber zum Trainieren eines KI-Modells nutzen kann.

Beim Datenlizenzvertrag sei nochmal erwähnt, dass das einzelne Datum nach überwiegender Auffassung keinen immaterialrechtlichen Schutz genießt. Gleichwohl es sich dabei um ein immaterielles Gut handelt.^[8] Weswegen auch auf Begriffe wie „Lizenz“ zurückgegriffen wird. Auch hier sollten die Daten entsprechend präzise benannt werden. Dies gilt ebenfalls für die Art der eingeräumten Nutzung der Daten, also etwa eine inhaltliche oder zeitliche Beschränkung oder auf welche Art die Daten verarbeitet werden dürfen. Ein Anwendungsfall kann der Zugang zu einer Plattform mit entsprechenden Daten sein.

Regelungsvorhaben auf EU-Ebene

Seit geraumer Zeit beschäftigt sich die EU mit dem Thema Daten und Datenwirtschaft. Als Ergebnis wurden beispielsweise ein Entwurf zum Data Governance Act (DGA) oder die Free-Flow-of-Data-Verordnung verabschiedet. Ein weiterer Baustein, sozusagen das Herzstück, dieser Regelungen ist der Data Act, der nun im Entwurf vorliegt. In dem Entwurf erteilt die EU exklusiven Nutzungsrechten, wie einem Dateneigentum, eine klare Absage zugunsten nutzerabhängiger Zugangsrechte und der vertraglichen Ausgestaltung der Nutzung.^[9] Die EU bleibt sonach dem bisherigen Zuweisungsregime treu.

Der Entwurf nimmt sich allerdings der oftmals zu beobachtenden strukturellen Unterlegenheit von kleinen und mittelständischen Unternehmen gegenüber sog. Gatekeepern und den daraus erwachsenden Nachteilen an. Sogenannte „Take it or leave it“-Angebote (also im Kontext von „Nimm oder lass es“), mit denen große Unternehmen ihre Bedingungen gegenüber KMUs durchsetzen, sollen künftig verhindert werden.

So statuiert der Entwurf Fairnessvorgaben für gegenüber KMU einseitig gestellte Klauseln, soweit diese nicht den Leistungsgegenstand oder den Preis betreffen.^[10] Die Klauselverbote gelten demnach für Datennutzungs- und Datenlizenzverträge. Als unfair soll eine Klausel dann anzusehen sein, wenn sie entgegen der Gebote von Treue und Glauben zu einer Abweichung von der guten kaufmännischen Praxis des Datenzugangs und der Datennutzung führen würde. Diese abstrakten Anforderungen werden durch die Rechtsprechung mit Leben zu füllen sein.

Der Entwurf ermächtigt die EU-Kommission obendrein Mustervertragsbedingungen für den Zugang und die Nutzung von Daten zu erarbeiten, die als Vorbild für angemessene Vertragsklauseln dienen sollen. Dieses Vorgehen ist bekannt – von den Standardvertragsklauseln der Kommission für eine DSGVO-konforme Übertragung personenbezogener Daten ins EU-Ausland oder von Verbänden, die für ihre Mitglieder Allgemeine Geschäftsbedingungen (z. B. Verkaufsbedingungen, QS-Vereinbarungen) vorformulieren.

Fazit Datenhoheit

Zusammenfassend lässt sich sagen, dass es ein Eigentum an Daten nicht gibt und nach dem Entwurf des Data Acts auch nicht geben wird. Der regulatorische Fokus wird in der Stärkung nutzerabhängiger Zugangsrechte und der vertraglichen Ausgestaltung der Nutzung von Daten liegen, wobei KMU besonders geschützt werden sollen. Insgesamt handelt es sich wirtschaftlich und rechtlich um ein sehr dynamisches Feld, welches es zu beobachten gilt.

Anmerkungen/Quellen

Berger, Jauernig, BGB vor § 903, Rn.1.
vgl. Martini/kolain/Neumann/Rehorst, MMR-Beil. 2021, 1, 13.
Strittmacher, Auer-Reinsdorff/Conrad IT-R-HdB, § 22 Cloud Computing Rn. 160.
Strittmacher, Auer-Reinsdorff/Conrad IT-R-HdB, § 22 Cloud Computing Rn. 162.
Strittmacher, Auer-Reinsdorff/Conrad IT-R-HdB, § 22 Cloud Computing Rn. 163.
Apel, Beck´sche Online-Formulare IT- und Datenrecht, Form. 3.6 Anm., Rn. 2.
Eckhardt, Auer-Reinsdorff/Conrad, Handbuch IT- und Datenschutzrecht, 3. Aufl., § 25, Rn. 39.
Apel, Beck´sche Online-Formulare IT- und Datenrecht, Form. 3.6 Anm., Rn. 1.
Hennemann/Steinrötter, NJW 2022, 1481 f.
Hennemann/Steinrötter, NJW 2022, 1481, 1485.