Autoren: Anna Senfleben & Johann Pachelbel
Abstract
Als Teil des SDU Teams Data Science/Big Data haben wir den Handel mit persönlichen Daten für personalisiertes Online-Marketing rechtlich betrachtet. Unser Ziel war es, zu verstehen, wie die Rechtsbeziehungen zwischen Unternehmen beschaffen sind, die bereits erhobene persönliche Daten erwerben und veräußern.
Im geltenden Recht gibt es kein allgemeines System, welches Daten einem berechtigten Inhaber zuordnet und welches dem Inhaber Schutzrechte gegen unbefugten Zugriff auf die Daten gibt. Da aber trotzdem rege mit Daten gehandelt und Geld verdient wird, wollten wir herausfinden, wie in der Praxis des Datenhandels die Unternehmen mit diesen Rechtslücken umgehen und wie sie diese gegebenenfalls durch bestimmte Vereinbarungen in den Verträgen über den Erwerb und die Veräußerung von Daten schließen.
Dafür haben wir zunächst den Markt, auf dem die Daten gehandelt werden, und dessen Dynamiken untersucht. Wir haben die wichtigsten Marktakteure und deren Rolle in der Datenhandelskette identifizert.
Daraufhin haben wir das für Daten geltende Recht untersucht und analysiert, welche Rechtsnormen und theoretischen Ansätze es bereits für die Zuordnung von Daten zu ihrem berechtigten Inhaber und dessen Schutz vor unbefugtem Zugriff auf die Daten gibt. Wir haben herausgefunden, dass zivilrechtlich nur vertragliche Vereinbarungen die Daten abschließend zuordnen und Schutzrechte aufstellen können, geltendes Recht bietet hier noch keine Lösung an und lässt den Dateninhaber noch schutzlos. Es zeigte sich in der wirtschaftlichen Realität der Datenbroker, dass auch vertragliche Regelungen faktisch nur geringen Rechtsschutz bieten, weil diese in der Praxis nur schwer einklagbar sind. Das liegt an den natürlichen Eigenschaften von Daten, die eine Beweisführung über unbefugte Zugriffe und die Bestimmung des daraus entstandenen Schadens erschweren.
Durch Interviews mit C-Level Managern von deutschen Datenbroker-Unternehmen konnten wir dann die Vertragspraxis der Datenhändler untersuchen. Dabei konnten wir beobachten, wie durch vertragliche Verpflichtungen die Inhaberschaft an den Daten den beteiligten Personen zugeordnet und deren Reichweite bestimmt wurde. Darüber hinaus haben wir besonders problematische Stellen der vertraglichen Ausarbeitung von Daten-Transaktionen entdeckt. Dies betrifft vor allem die Regelung der Haftung für vertragliche Pflichtverletzungen, welche von der Rechtsordnung nicht lückenlos geregelt und und wegen der Vielzahl involvierter Zwischenhändler auf dem Datenmarkt sehr komplex ist.
Unsere Untersuchung zeigte den immensen Forschungsbedarf bezüglich der Rechtsbeziehungen von Unternehmen, die mit Daten handeln. Besonders dringlich gilt es, allgemeine Zuordnungskriterien für Daten zu berechtigten Inhabern im geltenden Recht zu entwickeln, Lösungen für eine bessere Einklagbarkeit von vertraglichen Rechten in Datenhandelsverträgen zu finden und gut funktionierende Best practices für Haftungs-Regelungen in Datenhandelsverträgen zu erarbeiten.
1. Einführung
In diesem Beitrag widmen wir uns der rechtlichen Behandlung des Handels mit Daten. Zunächst grenzen wir die Rechtsbeziehungen von Unternehmen in der Datenhandelskette ab von klassischen Datenschutzfragen (2). Dafür werden wir erklären, wie der Markt für den Datenhandel für personalisiertes Online-Marketing funktioniert (3). Wir werden dann analysieren, wie nach geltendem Recht Daten einer bestimmten Person als Inhaber zugeordnet werden können und welche Schutzrechte der Dateninhaber gegenüber Dritten im Falle unbefugter Handlungen mit seinen Daten hat (4). Anschließend präsentieren wir eine Untersuchung der Vertragspraxis für Verträge über den Handel von Daten (5). In den Schlussbetrachtungen sammeln wir die gewonnenen Erkenntnisse und zeigen weitergehende Forschungsmöglichkeiten auf (6).
Die Untersuchung der Vertragspraxis im Markt für Datenhandel für personalisiertes-Online Marketing gelang uns durch die Hilfe eines C-Level Managers eines deutschen Datenbrokers. In mehreren Telefonaten wurde uns die Struktur und Dynamik des Datenmarktes erklärt und Einsicht in die Verträge des Unternehmens für den Handel mit Daten gewährt. An dieser Stelle sei dafür unser herzlicher Dank ausgesprochen. Aus Vertraulichkeitsgründen muss unsere Quelle anonym bleiben.
Am Ende soll der Leser verstehen können, wie Daten im komplexen Markt für den Datenhandel für personalisiertes Online-Marketing gehandelt werden. Der Leser wird lernen, dass das geltende Recht kein vollständiges rechtliches System zur Zuordnung von Daten zu ihren „Besitzern“ bereitstellt, sondern nur bruchstückhafte Regelungen quer durch verschiedene Rechtsbereiche hindurch bietet. Daran knüpft ein ebenfalls nur bruchstückhaft geregelter rechtlicher Schutz des Dateninhabers vor unbefugten Zugriff auf seinen Daten an. Wir werden zeigen, wie die Unternehmen in diesem Markt Verträge zum Datenhandel strukturieren und wie diese Verträge durch vereinbarte Verpflichtungen im Vertrag die Rechtslücken im geltenden Recht zu füllen versuchen. Dabei werden wir aufzeigen, welche inhaltlichen Schwerpunkte sich in solchen Verträgen durch die spezifischen rechtlichen Herausforderungen des Datenhandels ergeben. Schließlich werden wir dem Leser präsentieren, welche Rechtsfragen zum Datenhandel noch nicht beantwortet sind und ihm den Weg weisen, wo weitergehende Forschung ansetzen könnte.
2. Abgrenzung DSGVO
Es ist wichtig für das Verständnis der Frage, wie Unternehmen im Markt für Datenhandel rechtlich mit den gehandelten Daten umgehen, dass man dieses Thema unterscheidet von der Frage, wie der einzelne Bürger vor unbefugtem Zugriff und Nutzung seiner persönlichen Daten geschützt ist. Die Pflichten von Unternehmen bezüglich des Umgangs mit persönlichen Daten gegenüber der betroffenen Person werden unter anderem in der Datenschutzgrundverordnung (DSGVO) geregelt. Wenn wir durch das Internet surfen, müssen Unternehmen, die unseren Fußabdruck im Internet anschauen und verwerten wollen, unsere Einwilligung dafür einholen. Dies zeigt sich für uns alltäglich beim Betreten einer Internetseite durch Datenschutzhinweise und Cookie-Banner, wo wir nach der Einwilligung in die Verarbeitung unserer Daten gefragt werden, die wir auf der Internetseite hinterlassen.
Wir möchten in diesem Beitrag analysieren, wie Unternehmen, die mit Daten handeln, sich untereinander und gegeneinander davor schützen können, dass die Daten, die ein Unternehmen rechtmäßig (und damit mit Einwilligung der Person, über welche die Daten Informationen beinhalten) erlangt hat, nicht von anderen Unternehmen unbefugt oder ohne Bezahlung genutzt werden oder ohne Erlaubnis an Dritte weitergegeben werden und so weiter. Wir schauen also in diesem Beitrag nicht darauf, wie die Person geschützt ist, über welche die Daten Informationen enthalten, sondern wie die Personen und Unternehmen im Geschäftsleben des Datenhandels vor Geschäftspartnern oder „Dieben“ geschützt sind, die sich nicht an die Regeln halten. Daten sind für diese Unternehmen ein Rohstoff, dessen Nutzung und dessen Handel einen Wert schafft, der ihnen dann von Geschäftspartnern bezahlt wird. Wie auch in anderen Wirtschaftsbereichen, zum Beispiel dem Autohandel oder dem Rohstoffhandel, gibt es schwarze Schafe, die sich unlautere Vorteile verschaffen wollen, indem sie etwa Autos stehlen, oder Autos verkaufen, die einen Schaden haben oder einen Deal zum Verkauf von Rohstoffen nicht einhalten und die Ware nicht übergeben. Hier sind Personen und Unternehmen, die in diesen Märkten aktiv sind, auf Rechtsschutz angewiesen. Fraglich ist für uns, wie dieser Rechtsschutz für Personen oder Unternehmen aussieht, die mit Daten handeln.
Nichts desto trotz kann man den Schutz persönlicher Daten durch die Datenschutzgrundverordnung und weitere Rechtsnormen und den Schutz von Unternehmen im Datenhandel nicht gänzlich voneinander trennen. Zum Beispiel möchte ein Unternehmen, welches Daten erwirbt oder nutzt, sicherstellen, dass diese Daten vom Veräußerer nicht unlauter erlangt wurden, also im Einklang mit DSGVO erhoben und verarbeitet wurden. Dies kann schuldrechtlich durch die Vereinbarung entsprechender vertraglicher Verpflichtungen sichergestellt werden. An die Nichteinhaltung einer derartigen Pflicht, also die Veräußerung von Daten, die unrechtmäßig erhoben wurden, können rechtliche Konsequenzen wie zum Beispiel Schadensersatzpflicht geknüpft werden.
3. Wie der Datenmarkt funktioniert – so werden persönliche Daten für personalisiertes Online-Marketing gehandelt
Um zu verstehen, wie Unternehmen, die mit Daten handeln, mit dem fehlenden System einer rechtlichen Zuordnung von Daten zum Subjekt umgehen, muss zunächst das wirtschaftliche Umfeld dieser Unternehmen erklärt werden – der Markt für Personendaten, die zum personalisierten Online-Marketing genutzt werden.
Jeder Mensch hinterlässt in der digitalen Welt seinen digitalen Fußabdruck – Daten, die dessen digitale Bewegungen aufzeichnen. Durch das Besuchen einer Website wird zum Beispiel verzeichnet, dass die Cookie-ID des Computers auf dieser Website war und die Teilnahme an einer Umfrage führt dazu, dass die Umfrageergebnisse mit dieser Cookie-ID verknüpft werden. Diese Daten sind heiß gehandelte Ware, etwa im Markt für personalisiertes Online-Marketing. In diesem Bereich hat sich vom Bereich des Erhebens von Nutzerdaten bis zur Schaltung personalisierter Online-Werbung eine lange und komplexe Daten-Wertschöpfungskette gebildet. Die Daten werden von Unternehmen zu Unternehmen weiterveräußert, bis schließlich ein Konsumgüterkonzern weiß, zu welchem Internetnutzer er welche Werbung schicken soll.
3.1. Nachfrageseite
Auf der Nachfrageseite stehen Unternehmen, die den Menschen im Internet personalisierte Werbung zuschicken möchten. Dafür müssen sie wissen, welche Internetnutzer die Kriterien erfüllen, welche die Schaltung von Werbung bei ihnen erfolgversprechend macht. Zum Beispiel könnte ein Autobauer, der Werbung für einen elektro angetriebenen Kleinwagen macht, Menschen suchen, die jung und gerade berufstätig sind und was für Technik und Klimaschutz übrig haben. Über deren Cookie-ID könnte der Automobilhersteller ihnen dann die Werbung im Internet anzeigen. Die Daten, die persönliche Informationen über uns preisgeben, werden von uns selbst erzeugt, indem wir im Internet unseren Interessen nachgehen.
3.2. Angebotsseite
Und damit kommen wir zur Angebotsseite des Marktes für Daten im personalisierten Online-Marketing. Wir surfen, identifizierbar mit unserer Cookie ID, durch das Internet. Website und Browser notieren, wo unsere Cookie-ID gerade im Internet war. Die Daten über die „Browser-History“ der Cookies werden von Websites und Browsern in die Kette des Datenhandels eingespeist. Diese „Rohdaten“ werden auf dem Datenmarkt zum Verkauf angeboten.
3.3. Datenhandelskette zwischen Erhebung der Daten und Schaltung von personalisierter Online-Werbung
Zwischen „Datensammler“ und dem Endnutzer der Daten, dem werbetreibenden Unternehmen, liegen nun eine große Anzahl möglicher Zwischenhändler. Der Markt ist nicht einheitlich strukturiert, deswegen kann hier nur beispielhaft erklärt werden, welchen Weg die Daten vom Zeitpunkt der Erhebung durch Website und Browser bis zur Schaltung einer personalisierten Werbeanzeige gehen.
Auf erster Zwischenebene kaufen Unternehmen die „Rohdaten“ der Internetnutzung ein, welche eine Software entwickelt haben, um diese Mengen an Informationen, wo welche Cookie-ID zu welcher Zeit im Internet war, auszuwerten. Diese Software ist heutzutage bereits meist KI-basiert. Zum Beispiel bündelt solche Software Cookie-IDs, die eine ähnliche „Browser-History“ haben, weil dahinter vermutlicherweise Internetnutzer stehen, deren Eigenschaften zu einem gewissen Grade ähnlich sind. Durch komplexe Algorithmen werden aus der „Browser-History“ der Cookie-IDs also Rückschlüsse über die Eigenschaften des dahinterstehenden Internetnutzers gezogen.
Zur noch genaueren Präzisierung der Eigenschaften des Internetnutzers hinter der Cookie-ID kaufen die Unternehmen separat Daten von sogenannten Panel Providern an. Panel Provider sind Unternehmen, die Umfragen anbieten und durch die Antworten von Personen auf ihre Umfrage persönliche Daten der Teilnehmer erlangen. Diese Cookie-IDs von Teilnehmern von Online-Umfragen, die mit vergleichsweise präzisen und reichhaltigen persönlichen Daten verknüpft sind, haben großen Wert für die Auswertung der „Browser-History“ von Cookie-IDs. Das auswertende Unternehmen sucht nach der Cookie-ID des Umfrageteilnehmers in seinen eigenen Cookie-ID-Datenbanken. Dadurch weiß das Unternehmen nun, welche „Browser-History“ der Teilnehmer der Umfrage hat. Nun sucht das Unternehmen alle Cookie-IDs aus seinen Datenbanken heraus, welche eine ähnliche „Browser-History“ wie der Umfrageteilnehmer aufweisen. Für alle diese Cookie-IDs nimmt das Unternehmen sodann an, dass die dahinterstehenden Personen gleiche oder ähnliche persönliche Eigenschaften aufweisen wie der Umfrageteilnehmer. So kann das Unternehmen, welches die “Browser-History“ Daten der Cookie-IDs von Browser und Internetseiten, sowie die Daten der Umfrageteilnehmer von Panel Providern gekauft hat, große Mengen an persönlichen Profilen hinter den Cookie-IDs in seinen Datenbanken erstellen. Durch die Präzisierung der persönlichen Profile der Personen hinter den Cookie-IDs hat das auswertende Unternehmen einen wirtschaftlichen Mehrwert geschaffen und kann diese Daten für einen deutlich höheren Preis als den Einkaufspreis für die „Browser-History“ Daten verkaufen.
Den nächsten Zwischenschritt in der Kette des Datenhandels können noch einmal Unternehmen sein, welche die Informationen noch weiter auswerten und noch spezifischere Angaben über die Eigenschaften des dahinterstehenden Internetnutzers machen können. Unabhängig von der Anzahl der Zwischenschritte stehen am Ende der Auswertung unserer Internetnutzung detaillierte Informationen zu der Persönlichkeit des Internetnutzers hinter einer Cookie-ID zur Verfügung.
An diesem Punkt tritt die Werbebranche in die Kette des Datenhandels ein. Große Unternehmen kaufen sich zuweilen direkt die notwendigen Daten, um personalisierte Online-Werbung zu schalten. Viel öfter allerdings sind es Zusammenschlüsse von Werbeagenturen und Werbefirmen, sogenannte Werbeagentur-Netzwerke, welche diese Daten zentral einkaufen und dann allen ihren Mitgliedern zur Verfügung stellen. Von den Netzwerken beziehungsweise ihren Mitgliedern werden die Daten dann an die Unternehmen verkauft, die schlussendlich ihre Werbung schalten wollen.
4. Daten im geltenden Recht
4.1. Zuordnung von Daten zur „berechtigten“ Person – bestehende Ansätze
Nach überwiegender Meinung der juristischen Fachliteratur und der Rechtsprechung sind elektronische Daten keine Sachen i.S.d. BGB, da ihnen die für den Sachbegriff kennzeichnende abgrenzbare Körperlichkeit fehlt (zum Beispiel LG Konstanz: 1 S 292/95 v. 10.05.1996, NJW 1996, 2662). Trotzdem wurde die Existenz eines sog. „Dateneigentums“ diskutiert. Dabei wird die Frage debattiert, ob an Daten selbst (und nicht bloß zum Beispiel am Speichermedium) ein eigentumsähnliches absolutes Recht existiert oder ob ein solches notwendig sei. Zur Klärung dieser Frage fertigte die Arbeitsgruppe „Digitaler Neustart“ der Justizminister:innen der Länder einen Bericht an. Das Ergebnis statuiert, dass „Dateneigentum“ oder ein anderen absolutes Recht an digitalen Daten in der gegenwärtigen Rechtsordnung nicht existiere. Darüber hinaus stellte der Bericht fest, dass rechtspolitisch die Schaffung eines solchen Rechts nicht erforderlich sei.
Im Strafrecht wurde für die Definition der Inhaberschaft von Daten i.S.d. § 303a StGB die Zuordnung von Daten zu ihren berechtigten „Besitzern“ anhand des tatsächlichen Merkmals des „Skripturaktes“ definiert. Der Inhaber von Daten ist diejenige Person, welche diese Daten erstellt und „auf die Festplatte geschrieben“ hat. Dies ist eine Möglichkeit, Daten einer Person zuzuordnen und daran dann rechtliche Konsequenzen, wie zum Beispiel die Verfügbarkeit von Rechtsschutz über § 303a StGB, zu knüpfen. Die Dateninhaberschaft i.S.d § 303a StGB ist allerdings nicht als absolutes Recht zivilrechtlich ausgeformt. Man kann also allein wegen einer existierenden Zuordnungsmethode bei einem Straftatbestand nicht von der Existenz eines Systems der Zuordnung von Daten zu an ihnen berechtigten Personen im deutschen Recht sprechen.
Obgleich derzeit kein absolutes Recht an digitalen Daten besteht, etwa in Form eines Dateneigentums, weist das geltende Recht diverse Bestimmungen auf, die den Zugriff auf bzw. den Schutz von Daten und dem Dateninhaber vor unbefugtem Zugriff regeln.
4.2. Schutz von Daten im Strafrecht
Im Strafrecht schützen die Straftatbestände des Ausspähens von Daten nach § 202a StGB, des Abfangens von Daten nach § 202b StGB, der Datenhehlerei gem. § 202d StGB und der Datenveränderung §303a StGB die Integrität der Daten des Dateninhabers. Sie regeln nicht nur die Rechtsbeziehungen zwischen Vertragspartnern, sondern gelten absolut erga omnes, zwischen dem Dateninhaber und jedermann. Besonders ist, dass die Straftatbestände jeweils nicht an die Sacheigenschaft, an die Eigentumsrechte, an einem Speichermedium oder den Dateninhalt geknüpft sind, sondern an die Daten selbst.
Der Straftatbestand des Ausspähens von Daten gem. § 202a StGB bestraft denjenigen, der unbefugt Zugang zu Daten verschafft, die nicht für ihn bestimmt sind und die gegen unbefugten Zugriff gesichert wurden. Der Dateninhaber ist also hier gegen unbefugten Zugriff auf seine Daten von Dritten geschützt. Der Straftatbestand des Abfangens von Daten gem. § 202b StGB bestraft denjenigen, der unbefugt Daten während eines Übermittlungsprozesses (zB Versenden von Daten per Email), der nicht öffentlich sein sollte, abfängt. Der Dateninhaber ist hier also auch gegen unbefugten Zugriff von Dritten auf seine Daten geschützt, wenn er diese von seinem Speichermedium holt und an eine andere Person verschickt (ähnlich zum Beispiel dem Postgeheimnis). Der Straftatbestand der Datenhehlerei gem. § 202d StGB bestraft denjenigen, der mit Daten, die unbefugt erlangt wurden, auf dem Markt Geschäfte macht. Der Dateninhaber ist hier also gegen das Wirtschaften von Dritten mit seinen Daten, auf die unberechtigt zugegriffen wurde, geschützt.
Nach h.M. handelt es sich bei den genannten Straftatbeständen um Schutzgesetze i.S.v. § 823 II BGB, da sie die Verfügungsbefugnis des Berechtigten schützen. Dadurch bekommt der Schutz des Dateninhabers im Strafrecht auch zivilrechtliche Wirkung. Derjenige, der gegen die Straftatbestände verstößt, ist dem Dateninhaber auch zum Ersatz des durch sein Handeln entstandenen Schadens verpflichtet. Hier wirkt der strafrechtliche Schutz von Daten also über das Deliktsrecht in das Zivilrecht hinein und festigt die Rechte von Verfügungsberechtigten über Daten.
4.3. Schutz von Daten durch zivilrechtlichen Eigentums- und Besitzschutz
Daten sind keine Sachen i.S.d. Zivilrechts (siehe oben unter 4.1.). Demnach können elektronischen Daten nicht die zivilrechtlichen Eigentumsbefugnisse und Schutzvorschriften nach §§ 903 ff., 985 ff. BGB zugesprochen werden, die dem Eigentümer einer Sache, inter alia, das Recht geben, den Besitz an abhanden gekommenen Sachen wieder zurückzuverlangen, Ersatz für Beschädigung an der Sache, Herausgabe des erwirtschafteten Gewinns durch unbefugte Nutzung der Sache, die Unterlassung von allen möglichen Störungen der Sache und so weiter zu verlangen.
Es wird heutzutage erwogen, den Inhaber von Daten wie den Besitzer einer Sache zu behandeln. Somit würden dem Dateninhaber die Schutzvorschriften zugutekommen, die dem Besitzer einer Sache gegen unbefugten Zugriff auf die Sache zustehen. Der Besitzer bestimmt sich dadurch, wer die tatsächliche Sachherrschaft über eine Sache ausübt. Der Dateninhaber gem. § 303a StGB bestimmt sich zum Beispiel darüber, wer die Daten erstellt hat. Das sind beides tatsächliche und nicht rechtliche Kriterien. Die Folge wäre, dass dem Inhaber der Daten, also demjenigen, welcher die Daten kreiert oder „auf das Speichermedium geschrieben“ hat, die Schutzrechte eines Besitzers zustehen würden. Der Besitzer einer Sache darf sich unbefugten Zugriffen auf seine Sache erwehren und dazu auch Gewalt anwenden Der Besitzer einer Sache darf die Herausgabe der Sache von demjenigen verlangen der die Sache unbefugt weggenommen hat. Der Besitzer einer Sache darf von demjenigen, der die Sache stört, die Beseitigung und Einstellung dieser Störung verlangen. Ob einem Dateninhaber die zivilrechtlichen Besitzschutzrechte aus §§ 858 ff. BGB zustehen, ist jedoch bis jetzt nur Theorie und noch nicht abschließend geklärt. Ein Dateninhaber kann sich deswegen nicht darauf verlassen, dass er bei unbefugtem Zugriff auf seine Daten die Hilfe der Besitzschutzansprüche in §§ 858 ff. BGB erwarten kann.
4.4. Schutz von Daten im Schuldrecht
Schließlich bleiben dem Dateninhaber der Vertrag und die Vereinbarung vertraglicher Verpflichtungen als schuldrechtliches Instrument, um seine Daten zu schützen. Vertraglich können Pflichten für den Vertragspartner vereinbart werden, durch die dem Vertragspartner gewisse Ge- und Verbote bezüglich des Umgangs mit den Daten auferlegt werden.
Zum Beispiel kann ein Kaufvertrag über Daten abgeschlossen werden. Gem. § 453 BGB sind die Vorschriften über den Kauf von Sachen auch anwendbar auf den Handel mit Rechten und sonstigen Gegenständen, wovon auch der Datenhandel erfasst wird (vgl. Hauck 2014). Nach § 433 I BGB wird der Verkäufer einer Sache verpflichtet, dem Käufer die Sache zu übergeben und das Eigentum an der Sache zu verschaffen. Demnach muss der Verkäufer von Daten dem Käufer Zugriff auf die Daten in dem vereinbarten Umfang verschaffen, auch wenn er wegen der fehlenden Sacheigenschaft von Daten nicht Besitz und Eigentum einräumen kann. Der Veräußerer schuldet dem Erwerber von Daten also, dass er ihm vertragsgemäß eine faktische Position einräumt (vgl. JuMiKo 2017).
Weiterhin können außerhalb der im BGB festgelegten vertragstypischen Pflichten weitere Pflichten vereinbart werden, deren Bruch mit Schadensersatzzahlungen oder anderen Kompensationsmitteln sanktioniert wird. So kann zum Beispiel der Erwerber von Daten über die vertragliche Pflicht zur Bereitstellung der Daten schuldrechtlich gegenüber dem Veräußerer Bereitstellung verlangen. Oder der Veräußerer kann über die vertragliche Pflicht zur unbefugten Nutzung oder Weitergabe von Daten vom Erwerber Schadensersatz verlangen, wenn jener diese vertragliche Pflicht verletzt hat. Wie in der Praxis des Datenhandels Verträge über die Veräußerung oder Nutzung von Daten gebaut werden und welche typischen Rechte und Pflichten die Marktakteure vereinbaren, werden wir im nächsten Punkt darstellen.
5. Datenverträge in der Praxis – vertragliche Zuordnung von Daten und Rechte und Pflichten der Vertragspartner bezüglich des Umgangs mit den Daten
Die Internetdaten werden also im Markt für personalisiertes Online-Marketing über diverse Marktakteure gehandelt. Jeder Marktakteur betreibt einen eigenen Anteil der Wertschöpfung aus der Datenanalyse. Jeder Marktakteur ist also daran interessiert, dass sich der Erwerb der Daten gegen Geld für ihn finanziell lohnt. Das geht damit einher, dass jeder Marktakteur sicherstellen möchte, dass die Daten, welche er erworben hat, von keinem anderen parallel für den gleichen Zweck genutzt werden und der Zugriff auf seine Daten von anderen Marktakteuren genügend monetär abgegolten wird. Es stellt sich hier rechtlich die Frage, wie die Marktakteure vor unbefugten Handlungen mit „ihren“ Daten geschützt sind. Wir haben bereits untersucht, dass es kein ganzheitliches Rechtssystem für die rechtliche Zuordnung von Daten zu bestimmten Personen und die damit einhergehenden Schutzvorschriften gibt. In der Praxis haben also die Datenhändler nur das Instrument des Vertrages, um rechtlichen Schutz für ihre Daten zu sichern. Wir schauen uns im Folgenden an, wie in der Praxis Datenhändler ihre Daten in den Verträgen rechtlich zuordnen und mit welchen weiteren Vertragsklauseln sie das Datengeschäft rechtlich absichern.
5.1. Typischer Inhalt eines Datenhandelsvertrages
Ein klassischer Datenerwerbsvertrag der Branche beinhaltet folgende grobe Punkte:
(1) Beschreibung der Rechte und Pflichten des Erwerbers der Daten, (2) Beschreibung wie der Erwerber der Daten Daten mit Dritten teilen darf, (3) Wenn nur Nutzungslizenz anstatt klassischer Erwerb, dann Beschreibung der Lizenz, (4) Service Fees and Payments, (5) Haftung und Haftungsausschlüsse, (6) Nennung des anwendbaren Datenschutzrechts und Compliance-Verpflichtungen, (7) Genaue Definition der Daten, die das Unternehmen kauft, nutzen will, verkauft, oder deren fremde Nutzung es lizensiert, (8) Vertraulichkeit, Geheimhaltung.
5.2. Zuordnung von Daten in einem Datenhandelsvertrag
Daraus ergibt sich zunächst, dass in der Praxis Daten schuldrechtlich zugeordnet werden, indem festgelegt wird, wer das Recht an der Nutzung oder an dem Empfang der Daten hat und wer die Pflicht hat, Daten bereitzustellen. Ein weiterer Schritt der rechtlichen Zuordnung erfolgt durch Regelungen, wie der Erwerber mit Drittpartnern bezüglich der Daten zu verfahren hat, also, ob und in welchem Ausmaß Dritte Zugriff auf die Daten bekommen dürfen. Die Zuordnung von Daten zu Personen und Unternehmen geschieht in der Praxis also dadurch, dass alle Vertragspartner gewisse Pflichten bezüglich der Behandlung der Daten eingehen.
5.3. Rechtsschutz gegen unbefugte Handlungen mit den Daten in Datenhandelsverträgen
Durch die Vereinbarung vertraglicher Pflichten über die Nutzung, Bereitstellung und allgemeine Behandlung der Daten erlangen die Vertragspartner ein einklagbares Recht, welches notfalls vor Gericht geltend gemacht werden kann. Jedoch ist der verfügbare Rechtsschutz gegen unbefugte Handlungen von Daten oft in der Praxis geringer, als es scheint. Zwar haben die Parteien eines Datenhandel-Vertrags einklagbare vertragliche Rechte bekommen. Jedoch stellt sich die Einklagbarkeit in der Praxis regelmäßig als unmöglich heraus. Das liegt vor allem an der Eigenschaft von Daten, dass aus der einzelnen Information gar nicht hervorgeht, wer das Recht an diesen Daten hat oder wo die Daten vorher waren. So wie zum Beispiel bei einem Auto der Stellplatz in der Garage oder das Nummernschild oder die Fahrzeugpapiere Indikatoren dafür sind, wem das Auto eigentlich gehört, oder das Bild eines Autos vor dem Haus einer Person beweist, dass das Auto dort gewesen ist, tragen Daten diese Information oder die Wiedererkennbarkeit nicht in sich. Blockchain Technologie könnte daran in Zukunft etwas ändern, was allerdings von Branchenexperten bis jetzt als ferne Zukunftsmusik und bloßes Gedankenspiel angesehen wird. Außerdem besitzen Daten die ökonomische Eigenschaft der Nicht-Exklusivität. Dies bedeutet, dass Daten mit dem gleichen oder sehr ähnlichen Informationsgehalt sehr einfach noch einmal produziert werden können. Wenn man Daten findet, deren Informationsgehalt mit den eigenen übereinstimmt, kann man also nicht darauf schließen, dass es die eigenen Daten sind, die einem unbefugt abgenommen oder unbefugt weitergegeben wurden.
Wenn also ein Vertragspartner unbefugt Daten nutzt, auswertet oder weitergibt, kann das im Nachhinein schwer bewiesen werden. Daten die plötzlich auftauchen kann man nicht identifizieren als die Daten, die eigentlich dieser oder jenen Person zustünden. Es geht daraus auch nicht hervor, wer sie genutzt oder veräußert hat. Manager aus Datenbroker-Unternehmen sagten dazu, dass deswegen der Markt vor allem auf Vertrauen basiere. Man habe in der Praxis rechtlich keine Möglichkeit, unbefugte Datennutzung zu unterbinden. Da der individuelle Erfolg eines Unternehmens im Datenmarkt sehr auf Vertrauen, Verlässlichkeit und funktionierenden Geschäftsbeziehungen basiere, würde auf alle Marktteilnehmer großer Druck wirken, sich an die vertraglich festgelegten Regeln zu halten.
Genauso schwierig gestaltet sich die Feststellung des dem Dateninhaber entstandenen Schadens durch unbefugtes Handeln mit Daten. Daten besitzen die Eigenschaft der Nicht-Rivalität. Das bedeutet, dass Daten durch ihre Nutzung und Auswertung ihren Wert oder ihren Nutzen nicht verlieren, sondern auch ein zweites, drittes oder viertes Mal wertschöpfend genutzt werden können. Eine Bestimmung des finanziellen Schadens durch unbefugte Nutzung gerät daher schwierig und extrem spekulativ.
5.4. Besonderheiten in Datenverträgen – Insbesondere die Regelung der vertraglichen Haftung
Besonders interessant und typisch für einen Datenhandelsvertrag ist zum einen die Beschreibung der Rechte und Pflichten der Vertragspartner. Der Veräußerer der Daten wird verpflichtet, die Daten zu übertragen oder zur Nutzung bereitzustellen. Technische Anforderungen müssen hier in juristische Vertragssprache übersetzt werden. Der Erwerber der Daten wird verpflichtet, diese Daten nicht beliebig an Dritte weiterzugeben und die Daten nur in bestimmter Weise zu nutzen, wofür zuweilen separate Datenweiterverarbeitungsverträge geschlossen werden. Auch hier bilden die Datenhandelsverträge einzigartige wirtschaftliche Strukturen ab, die so nur im Datenhandel existieren.
Spezielle Aufmerksamkeit muss in Verträgen über den Handel von Daten dem vertraglichen Haftung-Reglement geschenkt werden. Dieses wird in der Praxis besonders komplex ausgestaltet. Gründe dafür, dass das Haftungsregime in Datenhandelsverträgen komplex ist, sind, inter alia, (1) das fehlende rechtliche System für die Zuordnung von Daten und damit einhergehend die fehlenden Schutzvorschriften (Entschädigung, Unterlassen, etc.) für den Befugten der Daten, (2) die Komplexität der Wertschöpfungskette der Datenwirtschaft, welche zur Folge hat, dass Datensätze in die Hände vieler verschiedener Marktakteure geraten, die alle Fehler im Umgang mit diesen Daten begehen können und (3) die rechtlich komplexe und ungeklärte Situation, wer am Ende für fehlerhaften Umgang mit den Daten rechtlich verantwortlich ist. Insbesondere seit der Einführung der DSGVO ist die Frage nach der Haftung für unbefugtes Handeln mit Daten komplexer und damit schwieriger regulierbar geworden.
In der Kautelarpraxis hat es sich als besonders schwierig herausgestellt, die Übergänge der Haftung zwischen verschiedenen Marktakteuren juristisch darzustellen. Oft ist nicht klar, zu welchem Zeitpunkt und durch welche Handlung genau die Daten von einer Person auf eine andere Person übergehen. Experten, die zu Haftungsfragen in Datenhandelsverträgen anwaltlich beraten können, sind auf dem Rechtsmarkt derzeit höchst gefragt. Der Pool verfügbarer Anwälte mit genügender Expertise ist deutlich kleiner als die Nachfrage. Es gibt hier ein starkes Bedürfnis nach Forschung, welche einen Analyserahmen für Haftungsfragen in Datenhandelsverträgen schafft, die regelungsbedürftigen Anliegen systematisiert und Vorschläge für Haftungsregelungen macht.
6. Fazit
Sowohl die wirtschaftliche als auch rechtliche Seite des Datenhandels für personalisiertes Online-Marketing ist sehr komplex. Wir haben in diesem Beitrag erst einmal sichtbar gemacht, dass es diesen Markt gibt und wie er funktioniert, wo bei der rechtlichen Behandlung von Datenlücken in unserem Rechtssystem bestehen und wie in der Praxis Unternehmen in Verträgen über den Handel von Daten diese Lücken füllen. Wir haben herausgearbeitet, welche Rechtsfragen in der Vertragspraxis besonders dringlich, spannend und kompliziert sind.
6.1. Gesammelte Erkenntnisse
Die Zuordnung der Daten zu ihren berechtigten „Inhabern“ ist im deutschen Recht nicht einheitlich und systematisch geregelt. Ein „Dateneigentum“ als absolutes Recht gibt es nicht. Im Strafrecht für den Tatbestand der Datenveränderung gem. § 303a StGB hat sich die Zuordnung von Daten durch den „Skripturakt“ etabliert, der Daten der Person zuordnet, welche diese Daten erstellt und „auf die Festplatte geschrieben“ hat. Im wirtschaftlichen zivilrechtlichen Verkehr können Daten nach momentaner Rechtslage abschließend nur schuldrechtlich, also durch vertragliche Vereinbarungen, zugeordnet werden, die auch nur zwischen den Vertragspartner. Diese gelten dann natürlich nur im Verhältnis der Vertragspartner und entfalten keine absolute Wirkung gegenüber jedermann.
Welche rechtlichen Mittel Personen für den Schutz der Daten, die oder deren Nutzung sie erworben haben, zur Verfügung stehen, ist ebenfalls nicht einheitlich und systematisch im deutschen Recht geregelt. Strafrechtlich sind unbefugter Zugriff auf und Verwertung von Daten sanktioniert. Durch solche Handlungen entstandener Schaden kann der Dateninhaber deliktsrechtlich einklagen, wo die Straftatbestände als Schutzvorschriften iSd § 823 II BGB zivilrechtliche Wirkung entfalten. Die Schutzrechte des Eigentümers kann der Dateninhaber nicht in Anspruch nehmen, weil es kein Eigentumsrecht an Daten gibt. Diskutiert wird momentan die Möglichkeit, dass der Dateninhaber die Schutzrechte des Besitzers gem. §§ 858 ff. BGB in Anspruch nehmen kann. Ansonsten bleiben dem Dateninhaber vertragliche Rechte und Pflichten, durch die er einklagbare Schutzrechte gegen seinen Vertragspartner erhält.
Die Einklagbarkeit vertraglicher Rechte ist jedoch in der Praxis oft nicht einfach, weil unbefugte Handlungen mit Daten und der dadurch entstandene Schaden oft schwer nachgewiesen werden kann. In der Praxis setzen Unternehmen im Datenhandel auf Vertrauen und den Wert von guten Geschäftsbeziehungen. Aus der Not wird also eine Tugend gemacht und das gegenseitige Vertrauen der Geschäftspartner im Markt tritt teilweise an die Stelle von tatsächlichem Rechtsschutz. Unbeantwortet ist hier noch die Frage, auf welche Weise man einen tatsächlich funktionierenden effektiven Rechtsschutz für vertragliche Rechte in diesem Bereich herstellen könnte.
Datenhandelsverträge haben inhaltlich zwei Schwerpunkte: (1) die Beschreibung der Rechte und Pflichten der Vertragspartner bezüglich der Veräußerung oder Bereitstellung der Daten, der Art ihrer Nutzung , ihrer Übertragung oder der Bereitstellung der Daten an Dritte und (2) die Regelung der vertraglichen Haftung der Vertragspartner für die Nichterfüllung ihrer vertraglichen Pflichten, die auch festlegen auf welche Weise die Vertragspartner die Daten nutzen, weitergeben oder verwerten können. Insbesondere die Regelung der vertraglichen Haftung bereitet in der Praxis aufgrund der Unübersichtlichkeit des geltenden Rechts und der Vielzahl beteiligter Personen in der Datenhandelskette noch große Schwierigkeiten, die mit innovativen vertraglichen Lösungen gelöst werden müssen. Allgemein anerkannte Best Practices sind noch nicht im Markt anerkannt.
6.2. Weitergehende Möglichkeiten für die Forschung
An unsere Erkundungstour durch den Datenhandel und dessen rechtliche Besonderheiten kann nun vielfältige weitere Forschung ansetzen. Wir möchten im Folgenden einige Vorschläge für weitere Forschung machen.
Zum einen könnte die Frage der Zuordnung von Daten im Recht abstrakt weiter erforscht werden. Dies wäre verbunden mit der Suche nach einem Kriterium, welches geeignet ist, rechtsübergreifend Daten ihrem berechtigten „Inhaber“ zuzuordnen.
Auch könnte Forschung den verfügbaren Rechtsschutz für Dateninhaber gegen unbefugten Zugriff auf ihre Daten präzisieren. Nicht abschließend geklärt ist zum Beispiel, inwiefern der Dateninhaber die Besitzschutzrechte aus §§ 858 ff. BGB in Anspruch nehmen darf. Weiterhin könnten die in der Vertragspraxis vereinbarten Rechte des Dateninhabers gegenüber seinen Geschäftspartnern empirisch untersucht und systematisiert werden. Der Rechtsmarkt braucht allgemein anerkannte Best Practices, wie Datenverträge Rechtsschutz gewährleisten können. Auch das faktische Problem der Beweisführung für unbefugten Zugriff auf Daten und die Bestimmung des dadurch entstandenen Schadens können untersucht werden. Hier sind innovative Vorschläge, wie die Einklarbarkeit von vertraglichen Rechten im Datenhandel verbessert werden kann, in der Praxis heiß erwünscht.
Speziell die Regelung der Haftung in Datenhandelsverträgen wartet dringend auf weitere Erforschung. Die bis jetzt nicht einheitlichen, sehr individuell gestalteten und komplexen Ansätze in existierenden Verträgen könnten systematisiert und bewertet werden. Auch hier würde sich die Kautelarpraxis über fundiert erforschte Best Practices freuen.
Schließlich kann zusätzliches Licht in die Struktur des Datenhandels für personalisiertes Online-Marketing gebracht werden. Wir haben in diesem Beitrag nur an der Oberfläche gekratzt. Die Realität des Marktes für Datenhandel ist hochkomplex, es bewegen sich unzählige verschiedene Akteure auf dem Markt, die jeweils einen Teil der Wertschöpfungskette des Datenhandels von Erhebung, Veräußerung, Auswertung und Nutzbarmachung für die Werbewirtschaft besetzen. Jede Gruppe dieser Akteure hat spezifische Geschäftsinteressen, die in Verträgen rechtlich abgebildet werden müssen. Eine Systematisierung des Datenhandels und eine damit einhergehende Typisierung verschiedener Datenhandelsverträge je nach Position in der Wertschöpfungskette gibt es noch nicht.
Zu allerletzt kann in diesem noch jungen Forschungsgebiet ein nicht zu unterschätzender Mehrwert schon durch die Vernetzung vonA Interessierten, Experten, Anwälten, Wissenschaftlern und so weiter geschaffen werden. Um in diesem Feld die Diskussion voranzubringen und das angesammelte Wissen zusammenzubringen, müssen Veranstaltungen geschaffen werden, die dafür eine Plattform bieten. Natürlich sehen wir recode.law in diesen Punkt an erster Stelle!
7. Verwendete und vertiefende Literatur
- Der Bericht der Arbeitsgruppe Digitaler Neustart der Konferenz der Justizministerinnen und Justizminister der Länder vom 15. Mai 2017
- Das Gutachten des Bundesministerium für Bildung und Forschung im Rahmen des ABIDA-Projektes: Assessing big Data: Datenhandel und Plattformen vom 28.02.2019, S. 34-39
- Thomas Hoeren, Datenbesitz statt Dateneigentum – erste Ansätze zur Neuausrichtung der Diskussion um die Zuordnung von Daten, MMR 1/2019, S. 5-8
Last Updated on 7. Juni 2021