30 Jahre Mauerfall Mehr erfahren
Goldstaub

7.6.2019 | Von:
Dirk Heckmann

Datenverwertung und Datenethik

Spätestens seit die Europäische Datenschutzgrundverordnung (DSGVO) am 25. Mai 2018 Geltung erlangte, wächst ein neues Bewusstsein für den Umgang mit Daten heran: Wieviel Schutz brauchen (personenbezogene) Daten in der Datenökonomie, wie sehr "schadet" der Datenschutz den (redlichen) Geschäftsmodellen in der Digitalwirtschaft, die auf die Verwertung von Daten angewiesen sind? Ist unter den Bedingungen der digitalen Transformation sämtlicher Lebensbereiche Datenschutz alleine eine Frage des Rechtsgüterschutzes, den es politisch auszuhandeln gilt, oder hat der Umgang mit persönlichen Daten auch eine ethische Dimension?

Daten als Wirtschaftsgut

Wenn man unter Wirtschaftsgütern sämtliche Güter versteht, die in einem Arbeitsprozess für die Leistungserstellung notwendig sind (Sachgüter, Dienstleistungen, Rechte), dann gehören hierzu in einer zunehmend digitalisierten Wirtschaft auch Daten. Wie bedeutsam Daten als Wirtschaftsgut sind, zeigt nicht zuletzt die Diskussion um das automatisierte und vernetzte Fahren und die mit diesem einhergehenden Fahrzeug-, Fahrer- und Fahrverhaltensdaten. Dies wirft nicht nur Fragen des Datenschutzes und der Rechte zum Zugriff auf diese Daten, sondern auch ethische Fragen auf. So befasste sich schon die Ethikkommission für automatisiertes und vernetztes Fahren mit diesem Komplex. Sie wurde im September 2016 vom Bundesminister für Verkehr und digitale Infrastruktur eingesetzt und legte im Juni 2017 ihren Abschlussbericht vor.[1] Die im September 2018 eingesetzte Datenethikkommission der Bundesregierung greift diese Überlegungen auf und erweitert das Spektrum auf grundlegende Fragen zu Datenrecht, Datenpolitik und Datenethik.

Selbst die Rechtsprechung bezeichnet inzwischen (etwa im insolvenzrechtlichen Kontext) explizit Daten als Wirtschaftsgut und geht überdies davon aus, dass die zunehmende wirtschaftliche Bedeutung von Datenerhebungen auch auf die Entwicklung des Verständnisses des Datenschutzrechts Einfluss nimmt.[2] Schon das bis 2018 geltende Bundesdatenschutzgesetz (BDSG) ging davon aus, dass es einen Markt für personenbezogene Daten geben soll. Paragraf 29 BDSG gestattete nämlich unter bestimmten Voraussetzungen das geschäftsmäßige Erheben, Speichern, Verändern oder Nutzen von Daten zum Zweck der Übermittlung, insbesondere wenn dies der Werbung, der Tätigkeit von Auskunfteien oder dem Adresshandel diente. Bei alledem stellt sich die Ausgangsfrage: Was sind eigentlich "Daten"?

Daten als Rechtsbegriff

Der Begriff "Daten" ist in verschiedenen Rechtsgebieten von Relevanz – zu nennen ist natürlich das Datenschutzrecht, aber auch beispielsweise das Strafrecht. Auch deshalb hat sich noch kein einheitlicher Rechtsbegriff des Datums beziehungsweise von Daten herausgebildet. Aufgrund des Vorschlags für eine europäische Richtlinie über bestimmte vertragsrechtliche Aspekte der Bereitstellung digitaler Inhalte[3] könnte der Begriff der Daten auch im Zivilrecht noch größere Bedeutung erlangen.

Unter Daten im kommunikationswissenschaftlichen und auch im technischen Sinne sind die auf einem Datenträger festgehaltenen Zeichen oder Zeichenfolgen zu verstehen. Zeichen sind dabei zunächst interpretationsfreie Elemente der Sprache oder der Schrift, also etwa ein Symbol, eine Zahl oder ein Buchstabe, die sich mit ihrer Fixierung auf einem materiellen Datenträger von gesprochener Sprache und visueller Beobachtung unterscheiden. Dies umfasst die syntaktische, vom Inhalt der Daten losgelöste Ebene.

Begibt man sich hingegen auf die semantische Ebene, misst man den Daten also eine Bedeutung bei, so handelt es sich streng genommen nicht mehr um Daten, sondern um Informationen. Auf dieser Ebene differenziert beispielsweise das Datenschutzrecht etwa über den Begriff der "personenbezogenen Daten". Nur wenn personenbezogene Daten vorliegen, ist das Datenschutzrecht anwendbar und entfaltet seine Schutzwirkung für den Persönlichkeitsschutz. Nach der DSGVO sind personenbezogene Daten alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden: "betroffene Person") beziehen. Als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen oder zu einer Kennnummer oder ähnlichem identifiziert werden kann (Art. 4 Nr. 1 DSGVO). Dabei ist es nicht zwingend notwendig, dass die Informationen, die zur Identifizierung einer Person erforderlich sind, nur einer einzigen Person zur Verfügung stehen müssen.[4] Ein Personenbezug ist daher bereits dann herstellbar, wenn die datenverarbeitende Stelle über rechtliche Mittel verfügt, die es ihr erlauben, den Betroffenen anhand der dadurch erhaltenen Informationen zu identifizieren (etwa über gesetzlich geregelte Auskunftsansprüche gegen Dritte).

Demgegenüber hat der Daten-Begriff bislang noch keinen Eingang ins Bürgerliche Gesetzbuch gefunden. Das ist insofern bemerkenswert, als die unstreitige Bedeutung als Wirtschaftsgut eine Einordnung in das Zivilrecht nahelegt. In diese Richtung geht auch die derzeit heftig geführte Diskussion um ein "Dateneigentum" – also etwa die Fragen, wem die Daten gehören beziehungsweise wem sie zuzuordnen sind.

Daten als Gegenleistung

Der Einsatz von Daten als Wirtschaftsgut birgt für Unternehmen ein enormes Potenzial. Neben der Produktentwicklung und der Produktverbesserung können sie auch der gezielteren Vermarktung von Produkten dienen, wobei hierdurch noch lange nicht sämtliche Einsatzfelder aufgezählt sind. Dabei muss es nicht immer um Profildaten gehen, wie sie bei Suchmaschinen oder in sozialen Netzwerken generiert werden. Auch für kleine mittelständische Unternehmen können Daten als Gegenleistung und damit als Wirtschaftsgut interessant sein. Dabei ist zu differenzieren, wie an zwei Anwendungsfällen gezeigt werden kann.

Anwendungsfall 1: Das Unternehmen S vertreibt Gartenteiche. Über dessen Website ist es möglich, die Gartenteiche auch online zu bestellen. Hierbei muss der Kunde seine persönlichen Daten, beispielsweise Name und Adresse, in eine Maske eintragen und den entsprechenden Teich auswählen, damit der Vertrag erfolgreich abgewickelt werden kann. Die Konfiguration der Gartenteiche erfolgt mittels direkter Kommunikation zwischen Unternehmen und Kunde.

Anwendungsfall 2: Das Unternehmen S möchte nun ein Kundenportal mit einem sogenannten Gartenteichkonfigurator einsetzen. Mithilfe des Konfigurators kann der Kunde bestimmte Daten seines Grundstücks, beispielsweise Angaben über Größe, Form und Hangneigung, eingeben. Außerdem soll der Kunde persönliche Angaben machen, beispielsweise über sein Alter und die Anzahl der im Haushalt lebenden Personen. Hier ist insbesondere anzugeben, ob sich darunter Kinder befinden und wie alt diese sind. Auch Angaben zu einer etwaigen Bepflanzung oder Tierhaltung werden gefordert. Aufgrund dieser Daten wird dem Kunden daraufhin der Gartenteich (einschließlich Zubehör und weiterer Services, beispielsweise Sicherungen zum Schutz kleiner Kinder) angeboten, der am besten zu ihm und seinem Grundstück passt. Anhand der Bepflanzung und Tierhaltung sollen die Intervalle für die Reinigung und Wartung des Gartenteichs bestimmt werden. Neben der Erfüllung auf diese Weise avisierter und assoziierter Kundenwünsche möchte S die eingegebenen Daten seiner Kunden auch für andere Zwecke nutzen, beispielsweise, um seine Produkte zu verbessern oder die Produktpalette an die von den Kunden am meisten nachgefragten Gartenteiche auszurichten. Das Unternehmen ist bereit, dem Kunden für die Preisgabe seiner Daten einen Preisnachlass zu gewähren.

Im Anwendungsfall 1 werden die Daten lediglich zur Vertragserfüllung benötigt, sie bilden dagegen nicht selbst den Gegenstand des Vertrags. Die Erhebung der persönlichen Daten des Kunden und die anschließende Nutzung für eigene Geschäftszwecke ist hierbei ohne Weiteres zulässig, da diese für die Begründung und Abwicklung eines rechtsgeschäftlichen Schuldverhältnisses mit dem Betroffenen erforderlich sind (Art. 6 Abs. 1 Satz 1 lit. b DSGVO). Würde der Unternehmer S nicht über die Daten seines Kunden verfügen, wüsste er beispielsweise nicht, an wen der Gartenteich geliefert werden sollte, und die Vertragserfüllung wäre unmöglich. Daher sind die Erhebung und die Nutzung dieser Daten, die allein der Vertragserfüllung dienen, datenschutzrechtlich zulässig.

Im Anwendungsfall 2 erlangen die Daten dagegen einen Gegenleistungscharakter, da dem Kunden im Gegenzug zur Preisgabe seiner Daten ein Preisnachlass gewährt werden soll. Die Bereitstellung der Daten bildet somit bereits eine der Hauptleistungen des Vertrags. Aufgrund des Grundsatzes der Vertragsfreiheit ist die Festlegung von Daten als Gegenleistung grundsätzlich möglich. Diese vertragliche Regelung gewährt dem Unternehmen S ein Zugriffsrecht auf die Daten des Betroffenen, das jedoch aufgrund gesetzlicher oder vertraglicher Vorgaben eingeschränkt sein kann.

Zudem stellt sich – beiden Vertragspartnern – die Frage nach dem Wert der Daten, dessen Bestimmung große Schwierigkeiten bereitet. Dies ist unter anderem dem Umstand geschuldet, dass Daten oft erst durch die nachträgliche Verknüpfung mit anderen Daten an Wert gewinnen. Eine erste Herausforderung wird daher sein, den Preisnachlass anhand der zur Verfügung gestellten Daten zu bestimmen. Überdies müssen zur Wirksamkeit des Vertrags seine wesentlichen Inhalte genau festgeschrieben werden. Dies bedeutet, dass genau festgelegt werden muss, welche Daten für die Gewährung des Preisnachlasses zur Verfügung gestellt werden und was mit diesen Daten geschieht.

Weil die Daten im Anwendungsfall 2 für die Vertragsabwicklung als solche nicht erforderlich sind, bedarf es nach dem Grundsatz des Verbots mit Erlaubnisvorbehalt (Art. 6 Abs. 1 DSGVO) der Einwilligung des Betroffenen. Diese ist neben der bloßen Hingabe der Daten – und neben dem (restlichen) Kaufpreis – als Hauptleistung geschuldet, da eine Verarbeitung der Daten nur bei Erteilung der datenschutzrechtlichen Einwilligung möglich ist. Die Einwilligung muss informiert erfolgen, was bedeutet, dass der Betroffene genau über die Art der preisgegebenen Daten und deren beabsichtigte Verarbeitungszwecke aufgeklärt werden muss. Der Verarbeitungszweck ist daher bereits vorab zwingend festzulegen, weshalb das Unternehmen S von Anfang an wissen muss, für welche Zwecke die Daten verarbeitet werden sollen.

Es ist wichtig, die datenschutzrechtlichen Anforderungen einzuhalten, da die DSGVO für Verstöße empfindliche Sanktionen vorsieht. Für die Verarbeitung personenbezogener Daten ohne Einwilligung des Betroffenen können, sofern die Verarbeitung nicht durch eine gesetzliche Grundlage gedeckt ist, Bußgelder bis zu 20 Millionen Euro oder vier Prozent des gesamten weltweit erzielten Jahresumsatzes eines Unternehmens verhängt werden (was freilich nur bei erheblichen Verstößen auch nur annähernd eine solche Größenordnung erreicht).

In diesem Zusammenhang ist zudem zu bedenken, dass sich eine Rückabwicklung des Vertrags, beispielsweise wenn der Gartenteich im genannten Fallbeispiel einen Mangel aufweist, gerade bei Daten als Gegenleistung sehr schwierig gestaltet, da die Daten bereits mit anderen Daten verknüpft sein könnten. Aus technischer Sicht empfiehlt es sich daher, dass der Datensatz stets im Ganzen löschbar bleibt. Insgesamt gilt, bereits im Vorhinein all diese Fragestellungen zu bedenken, um nachträgliche Schwierigkeiten vermeiden zu können.

Fußnoten

1.
Vgl. Bericht der Ethikkommission automatisiertes und vernetztes Fahren, Juni 2017, http://www.bmvi.de/SharedDocs/DE/Publikationen/DG/bericht-der-ethik-kommission.html«. Der Verfasser dieses Beitrags war Mitglied dieser Ethikkommission. Er wurde zudem 2018 in die Datenethikkommission der Bundesregierung berufen.
2.
Vgl. Landgericht Düsseldorf, Urteil vom 9.3.2016 – 12 O 151/15 – ZD 2016, 231, 233 unter Rn. 62.
3.
Vgl. Europäische Kommission, Vorschlag für eine Richtlinie des Europäischen Parlaments und des Rates über bestimmte vertragsrechtliche Aspekte der Bereitstellung digitaler Inhalte, 9.12.2015, COM(2015) 634 final.
4.
Vgl. Europäischer Gerichtshof, Urteil vom 19.10.2016 – C-582/14 – Breyer/Deutschland Tz. 43.
Creative Commons License

Dieser Text ist unter der Creative Commons Lizenz "CC BY-NC-ND 3.0 DE - Namensnennung - Nicht-kommerziell - Keine Bearbeitung 3.0 Deutschland" veröffentlicht. Autor/-in: Dirk Heckmann für Aus Politik und Zeitgeschichte/bpb.de

Sie dürfen den Text unter Nennung der Lizenz CC BY-NC-ND 3.0 DE und des/der Autors/-in teilen.
Urheberrechtliche Angaben zu Bildern / Grafiken / Videos finden sich direkt bei den Abbildungen.