(Bild: ©ipopba - stock.adobe.com)
Prof. Dr. Thomas Riehm, Inhaber eines Lehrstuhls für deutsches und europäisches Privatrecht, Zivilverfahrensrecht und Rechtstheorie an der Universität Passau auf der Jahrestagung der Profibus International in Frankfurt Ende März. Redaktion IEE
Herr Prof. Riehm, warum ist das Recht an Daten nicht so eindeutig zu regeln wie beim klassischen Eigentum?
Thomas Riehm: Das Thema ist unglaublich vielschichtig. Allein die Tatsache, dass immer mehr Daten generiert werden, befeuert das Thema. Schätzungen liegen bei ungefähr 16 Zetabyte nutzbarer Daten bis 2020. Um das greifbar zu machen: Das sind bei geschätzten 8 Milliarden Erdenbürgern 2 Terabyte Daten pro Bürger.
Das ist also ein riesiger Schatz, mit dem Leute, die sich damit auskennen, viel Geld verdienen können. Wenn man die Daten richtig miteinander kombiniert, kann man unglaublich viel daraus machen.
Deswegen der Datenrausch?
Thomas Riehm: Das ist ähnlich wie beim Ölrausch: Alle versuchen, an Daten ranzukommen und damit irgendwas zu machen, weil Daten quasi bares Geld sind. Daten sind aber auch in einem zweiten Sinn das Öl der Wirtschaft, nämlich ein Schmiermittel. Wer Daten hat und versteht damit umzugehen, kann Prozesse beschleunigen, Interaktionen leichter gestalten, neue Geschäftsmodelle entwickeln und damit letztlich Innovationen generieren.
Und womit haben Juristen jetzt Probleme?
Thomas Riehm: Das Schöne an Daten, aber für uns Juristen das unglaublich Schwierige ist, dass Daten nicht greifbar und ortslos sind, vollkommen mobil. Anders als eine Sache, die es nur einmal gibt, die einen festen Ort hat, und Menschen, die sie kontrollieren können. Daten zu erfassen, ist eine neuartige Aufgabe für jede Rechtsordnung.
Anders als Industrieanlagen oder ähnliches, die vor Ort lokalisiert sind, kann man Daten nicht vor Ort regulieren. Wenn wir anfangen würden, Daten, die auf deutschem Boden gespeichert sind, streng zu regulieren, dann würden sie eben in irgendein Daten-Paradies verschoben werden, wo keine vergleichbar strenge Regulierung herrscht.
Ein weiteres Problem aus juristischer Sicht ist, dass Daten sozusagen nicht eindeutig einem Besitzer zuzuordnen sind. Daten können zwar an einem Ort sein, aber gleichzeitig von ganz vielen Personen genutzt werden. Und das macht es unglaublich schwer, Daten zu schützen.
Gibt es ein Recht auf Eigentum an Daten?
Thomas Riehm: Die Antwort ist ein klares Nein! Wir haben nichts in der Rechtsordnung; und gesetzgeberisch kommt auch nichts. Die Arbeitsgruppe ‚Digitaler Neustart‘ der Bundesregierung sagt explizit in einer Stellungnahme: „Wir brauchen kein Recht an Daten.“ Auch ohne ein Eigentumsrecht sind Daten allerdings teilweise strafrechtlich gegen Ausspähen und Veränderung beziehungsweise Löschung geschützt. Doch auch das Strafrecht regelt nicht, wem die Daten eigentlich gehören. Da bleiben letztlich für die Praxis nur vertragliche Zuordnungsregeln.
Greift denn die DSGVO in irgendeiner Form?
"DSGVO greift nicht bei maschinengenerierten Daten." Redaktion IEE
Thomas Riehm: Die Datenschutzgrundverordnung können wir für industrielle Daten weitgehend ausblenden. Das allgemeine Datenschutzrecht, das die DSGVO regelt, betrifft personenbezogene Daten. Für maschinengenerierte Daten ist die DSGVO schlicht nicht anwendbar. Anders wird es erst, wenn Sie anfangen, maschinengenerierte Daten zum Beispiel mit Schichtplänen zu verknüpfen ‒ dann werden auch Maschinendaten schnell personenbezogen.
Gibt es überhaupt irgendeine Regelung für Maschinendaten?
Thomas Riehm: Ende Mai ist eine EU-Verordnung für maschinengenerierte Daten in Kraft getreten, die Free Flow of Data Verordnung 2018/1907. Diese regelt, wie mit maschinengenerierten Daten verfahren werden soll.
Wie sehen die wichtigsten Vorgaben aus?
Thomas Riehm: Eine ist, dass wir keine Lokalisierungspflichten innerhalb der EU haben dürfen. Die Mitgliedstaaten der EU dürfen nicht verlangen, dass Daten zwingend auf einem Server in Deutschland liegen müssen oder einen Server in Frankreich ausschließen. Zulässig ist das nur bei Infrastrukturen außerhalb Europas. Der zweite Aspekt ist viel interessanter, kritischer: Die Verordnung soll mittelfristig dazu führen, dass die Akteure der Datenwirtschaft im Wege der Selbstregulierung Verhaltensregeln zur Gewährleistung von Interoperabilität und Portabilität von Daten entwerfen sollen.
Passen Datenportabilität und Wettbewerb überhaupt zusammen?
"Es gibt kein Eigentum an Daten – und das ist vom Gesetzgeber auch so gewollt! Redaktion IEE
Thomas Riehm: Als Kunde freuen Sie sich natürlich, wenn Sie mit Ihren über die Jahre gesammelten Daten einfach zu einem anderen Anbieter wechseln können; bisher sind Sie ja Ihrem aktuellen Anbieter eher ausgeliefert, weil Sie bei einem Wechsel den Wert der bisherigen Daten zu verlieren drohen. Wird diese Selbstverpflichtung zur Datenportabilität dagegen tatsächlich umgesetzt, dann ist die Hürde nicht mehr so hoch. Der Kunde kann dann von seinem bisherigen Anbieter verlangen, dafür zu sorgen, dass seine Daten auch in einem anderen System lesbar sind.
Für die Anbieter von Steuerungen oder bestimmter Maschinen dürfte damit eine schrille Alarmglocke klingeln. Diese müssen sich letztlich mit ihren Konkurrenten an einen Tisch setzen und vereinbaren, wie sich die Daten vom einen zum anderen übertragen lassen. Das heißt, der Steuerungsanbieter oder Maschinenbauer verliert an Kundenbindung, weil sein Kunde bei einem Wechsel zu einem anderen Anbieter seine gesammelten Daten und Konfigurationen mit ihrer Semantik auf das neue System übertragen können muss.
Wann soll das greifen?
Thomas Riehm: Nach der Verordnung sollen die Anbieter die entsprechenden Verhaltensregeln und offenen Standards schon bis November 2019 abschließen und bis zum 29. Mai 2020 wirksam umsetzen. In diesem Zeitraum hat die Industrie noch die Möglichkeit, selbst zu bestimmen, wie und in welchem Maße die Portabilität gewährleistet wird.
Und wenn die Selbstverpflichtung nicht funktioniert?
Thomas Riehm: Dann ist zu befürchten, dass der nächste Schritt eine Verordnung ist, in der das gesetzlich angeordnet ist. Im Verbrauchersektor haben wir in der DSGVO bereits solch eine Verpflichtung zur Datenportabilität für personenbezogene Daten.
Bei IoT-Projekten werden die Juristen immer wieder als Bremser identifiziert. Warum ist das so?
Thomas Riehm: Juristen bewegen sich hier auf einem schwierigen Feld: Es gibt keine umfassende gesetzliche Regelung in Bezug auf Daten. Vieles ist ungeklärt, es gibt keine Rechtsprechung zu den entscheidenden Fragen, und häufig noch nicht einmal Gesetze. Eindeutige Antworten können die Juristen deswegen leider nicht geben, weil die ganze Materie sehr im Fluss ist und die Sachverhalte noch völlig neu sind.
Weil wir also keine Gesetze haben, muss alles en detail zwischen den Projektpartnern geregelt werden. Das macht es nicht einfach!
Thomas Riehm: Mehr noch – Der deutsche Gesetzgeber will gar kein Eigentumsrecht an Daten schaffen. Laut einer Stellungnahme der Arbeitsgruppe ‚Digitaler Neustart‘ der Bundesregierung ist das gar nicht gewollt.
Die Regierung will damit verhindern, dass neue Datenmonopolisten im Industriesektor entstehen, wie es sie mit Google und Co. gibt, von denen dann alle anderen abhängig wären.
Und die Konsequenz daraus ist?
Thomas Riehm: Daten als solche sind von der Rechtsordnung nicht erfasst; die Rechtsordnung kennt sie nicht – mit Ausnahme der vorhin erwähnten Strafvorschriften. Es gibt nur punktuell verschiedene Wege, das Recht an Daten zu schützen.
Und welche sind das?
Thomas Riehm: Das einzige Kriterium, das die Rechtsprechung bisher zur Zuordnung des Rechts an Daten anwenden musste, ist das Eigentum am Datenträger. Im Klartext: Wem die Festplatte gehört, auf der die Daten gespeichert sind, der hat die Daten und dem gehören sie dann auch, so dass er beispielsweise bei einer Löschung Schadensersatzansprüche hat. Der Umkehrschluss: Sobald die Daten nicht mehr physisch beim Unternehmen liegen, auf dem eigenen Datenträger gespeichert sind, dann haben sie als Unternehmen nichts, was irgendwie geschützt sein könnte. Zur Ehrenrettung der Rechtsprechung muss man allerdings sagen, dass solche Fälle bisher einfach noch nicht vor Gericht ausgetragen wurden; sie musste sich damit schlicht noch nicht befassen.
Ist diese Anknüpfung ans Eigentum nicht ein No-Go für alle Cloud-Strategien?
Prof. Thomas Riehm: „Hören Sie beim Datenschutz unbedingt auf die ‚Spaßbremse‘ Jurist.“ Redaktion IEE
Thomas Riehm: Bei Cloudlösungen wird es schwierig, ehrlich gesagt, schon viel früher, nämlich bereits beim Leasing einer Computeranlage. Auch dann gehören einem Unternehmen die Rechner und Datenspeicher ja nicht mehr, sondern dem Leasinggeber.
Gibt es also keine Handhabe gegen Datenmissbrauch?
Thomas Riehm: Das Konzept mit dem Datenträger ist heute längst veraltet und nicht mehr tragfähig. Das ist in der rechtswissenschaftlichen Literatur bekannt und auch einigermaßen gelöst. Im Fall einer Löschung sollte man die Daten selbst, unabhängig vom Datenträger, zum Schutzgut erheben und dann Schadensersatz fordern. Aber es gibt noch keine Urteile dazu, weil solche Fälle einfach noch nicht da waren.
Schadenersatz bei Verlust ist eines, was ist mit Datendiebstahl und –missbrauch?
Thomas Riehm: Im Strafrecht gibt es dazu zwei wesentliche Straftatbestände, das Ausspähen von Daten und die Datenveränderung. Aber auch diese Normen beantworten nicht selbst die Frage, wann Daten eigentlich fremd sind, also wem sie ‚gehören‘, wer sie verändern, nutzen oder löschen darf – und wer eben nicht.
Die bisherige Rechtsprechung der Strafgerichte bezieht sich auf den sogenannten Skripturakt. Dieses latinisierte Wort heißt schlicht und einfach ‚Der, der die Daten als erster abspeichert, dem gehören sie erstmal‘, und der ist strafrechtlich geschützt. Alles Weitere muss daher zwischen den Parteien vertraglich geregelt werden. Das ist eine der Ursachen für die komplizierten Vertragswerke bei Kooperationen und Projekten rund ums Thema Industrie 4.0 und Internet of Things.
Gibt es keine anderen gesetzlichen Wege, über die sich Daten schützen lassen?
Thomas Riehm: Wenn man über Rechte an Daten nachdenkt, könnte das Immaterialgüterrecht ein gangbarer Weg sein, ähnlich wie bei Patenten und dem Urheberrecht an einer geistigen Schöpfung.
Aber, maschinengenerierte Daten sind keine geistige Schöpfung. Auch der urheberrechtliche Softwareschutz greift nicht, da er nur für Programme gilt, nicht für aufgezeichnete Daten. Ebenso wenig das Datenbankschutzrecht. Das schützt nicht das einzelne Datum, sondern nur die Investition in eine Datenbank, also das Sammeln und Strukturieren von Daten. Auch das bringt uns also für Industriedaten relativ wenig, außer tatsächlich beim höchsten Verwerter, der die Daten gesammelt und strukturiert hat. Daten sind als solche auch nicht patentierbar.
Man kann es drehen und wenden wie man will – Die einzelnen Informationen sind nicht geschützt.
Gibt es keinen Ausweg?
"Die Free Flow Data Verordnung soll Daten-Kartelle aufbrechen." Redaktion IEE
Thomas Riehm: Seit März gibt es das neue Gesetz zum Schutz von Geschäftsgeheimnissen. Darunter fallen tatsächlich Daten, soweit sie Geschäftsgeheimnisse sind. Voraussetzung für diese Einstufung ist, dass eine Information weder allgemein bekannt noch ohne Weiteres zugänglich ist. Und sie muss von wirtschaftlichem Wert sein. Auf wesentliche Industriedaten dürfte das zutreffen.
Hinzu kommt aber ein entscheidender Punkt – Die Information muss auch Gegenstand von den Umständen nach angemessenen Geheimhaltungsmaßnahmen sein.
Also sind Security-Maßnahmen Pflicht, damit die Daten nach diesem Gesetz überhaupt geschützt sind?
Thomas Riehm: Genau. Wenn Sie Daten technisch nicht schützen, etwa Protokolle nutzen, die einfach abhörbar sind, oder Daten ungeschützt auf Servern ablegen, dann genießen sie auch keinen gesetzlichen Schutz. Sie können sich nicht darauf verlassen, dass die Rechtsordnung Ihnen zu Hilfe kommt, wenn jemand Ihre offen zugänglichen Daten ohne Erlaubnis trotzdem liest. Denn ohne Passwortschutz und Verschlüsselung sind Daten juristisch gesehen keine Geschäftsgeheimnisse.
Und einzelne Daten fallen auch darunter?
Thomas Riehm: Ob der einzelne Messpunkt darunter fällt, ist sehr zweifelhaft. Aber die Diskussion darüber beginnt gerade erst.
Was machen eigentlich Joint Ventures und andere Industriekooperationen?
"Derjenige, der die Daten aufschreibt, der hat die faktische Kontrolle." Redaktion IEE
Thomas Riehm: Hier hat das Gesetz eine Lücke und produziert viel Unsicherheit. Bei solchen Kooperationen können viele Menschen oder Unternehmen auf die gleichen Daten zugreifen, haben also eine faktische Zugriffsmöglichkeit. Haben dann alle auch das Recht an den Daten? Damit hier der Geschäftsgeheimnisschutz zwischen den Kooperationspartnern greift, müsste der Zugriff gegeneinander technisch geschützt sein, allein schon, um den Zugang von Unbefugten zu unterbinden. Nur dann kann man einem Kooperationspartner auf der Grundlage des Geschäftsgeheimnisgesetzes verbieten, sich die Daten zu holen, die er nach der Kooperationsvereinbarung vielleicht nicht sehen sollte. Und selbst das ist zweifelhaft, ob das innerhalb von Joint Ventures funktioniert, wo Sie eine gemeinsame Gesellschaft haben, die hinter dem gesamten Projekt steht.
Denn der Berechtigte des Schutzes ist nach dem neuen Gesetz derjenige, der die rechtmäßige Kontrolle über ein Geschäftsgeheimnis hat. Wer das bei einem Joint Venture ist, ist unklar – Wahrscheinlich die gemeinsame Gesellschaft selbst. Das sagt aber nichts über die Zugriffsmöglichkeiten der Anteilseigner an dieser Gesellschaft, also der Kooperationspartner selbst aus.
Was raten Sie den Verantwortlichen eines IoT-Projekts, um halbwegs sicher zu sein?
Thomas Riehm: Da die Gesetzeslage sehr lückenhaft ist, bleibt nur eins – das Ganze vertraglich regeln. Hören Sie deshalb beim Thema Datenschutz auf Ihre Hausjuristen, implementieren Sie unbedingt technische Schutzmaßnahmen, um im Zweifel auch rechtlichen Schutz zu haben.
Ausgangspunkt der Verträge muss die faktische Herrschaft über die Daten ganz am Anfang sein. Bevor in einem Vertrag die Zugriffsrechte geregelt und verteilt werden, braucht es diesen klaren Startpunkt – Derjenige, der die Daten erfasst, der hat die faktische Kontrolle. Danach können vertraglich Regeln für den Zugriff und die Nutzung getroffen werden, und am besten auch Sanktionen für die Missachtung dieser Regeln, etwa Vertragsstrafen oder Kündigungsrechte.
Wie soll ein mittelständisches Unternehmen die Datensicherheit regeln, wenn es seine Maschinendaten beispielsweise bei Amazon (AWS) hostet?
Thomas Riehm: Im Hinblick auf die Datensicherheit ist Amazon bestimmt hervorragend aufgestellt. Aber wenn Sie sensible Informationen haben, von denen Sie um jeden Preis ausschließen wollen, dass sie in fremde Hände gelangen, müssen Sie schon genau überlegen, ob Sie die einem amerikanischen Anbieter anvertrauen möchten. Hier eigene Vertragsbedingungen durchzusetzen, dürfte sicher extrem schwierig sein. Dann bleibt nur die sichere Verschlüsselung der Daten vor dem Abspeichern auf fremden Servern. Wenn diese für Sie aus technischen Gründen nicht in Frage kommt, müssen sie gegebenenfalls die Konsequenz ziehen und einen anderen Anbieter suchen oder die Daten auf eigenen Servern hosten – dann allerdings haben Sie auch selbst die Verantwortung für die technische Datensicherheit, was eine ganz erhebliche Herausforderung darstellt. Der Problematik sind sich aber viele deutsche Unternehmen noch nicht wirklich bewusst. Warum wohl stellt Microsoft ihre Deutschland-Cloud ein? Nach solchen, an deutsches Recht gebundenen Geschäftsmodellen auf deutschem Boden war schlicht zu wenig Nachfrage.
Das Interview basiert auf einem Vortrag von Prof. Dr. Thomas Riehm, gehalten Ende März auf der PI-Konferenz in Frankfurt/Main.
(sk)
