Prof. Dr. Thomas Riehm, Inhaber eines Lehrstuhls für deutsches und europäisches Privatrecht, Zivilverfahrensrecht und Rechtstheorie an der Universität Passau auf der Jahrestagung der Profibus International in Frankfurt Ende März.

Prof. Dr. Thomas Riehm, Inhaber eines Lehrstuhls für deutsches und europäisches Privatrecht, Zivilverfahrensrecht und Rechtstheorie an der Universität Passau auf der Jahrestagung der Profibus International in Frankfurt Ende März. Redaktion IEE

Herr Prof. Riehm, warum ist das Recht an Daten nicht so eindeutig zu regeln wie beim klassischen Eigentum?

Thomas Riehm: Das Thema ist unglaublich vielschichtig. Allein die Tatsache, dass immer mehr Daten generiert werden, befeuert das Thema. Schätzungen liegen bei ungefähr 16 Zetabyte nutzbarer Daten bis 2020. Um das greifbar zu machen: Das sind bei geschätzten 8 Milliarden Erdenbürgern 2 Terabyte Daten pro Bürger.

Das ist also ein riesiger Schatz, mit dem Leute, die sich damit auskennen, viel Geld verdienen können. Wenn man die Daten richtig miteinander kombiniert, kann man unglaublich viel daraus machen.

Deswegen der Datenrausch?

Thomas Riehm: Das ist ähnlich wie beim Ölrausch: Alle versuchen, an Daten ranzukommen und damit irgendwas zu machen, weil Daten quasi bares Geld sind. Daten sind aber auch in einem zweiten Sinn das Öl der Wirtschaft, nämlich ein Schmiermittel. Wer Daten hat und versteht damit umzugehen, kann Prozesse beschleunigen, Interaktionen leichter gestalten, neue Geschäftsmodelle entwickeln und damit letztlich Innovationen generieren.

Und womit haben Juristen jetzt Probleme?

Die Juristen wissen in Sachen maschinenlesbarer Daten und Geschäfts- geheimnisse tatsächlich nicht weiter. ©ipopba - stock.adobe.com

Die Juristen wissen in Sachen maschinenlesbarer Daten und Geschäftsgeheimnisse tatsächlich nicht weiter. ©ipopba – stock.adobe.com

Thomas Riehm: Das Schöne an Daten, aber für uns Juristen das unglaublich Schwierige ist, dass Daten nicht greifbar und ortslos sind, vollkommen mobil. Anders als eine Sache, die es nur einmal gibt, die einen festen Ort hat, und Menschen, die sie kontrollieren können. Daten zu erfassen, ist eine neuartige Aufgabe für jede Rechtsordnung.

Anders als Industrieanlagen oder ähnliches, die vor Ort lokalisiert sind, kann man Daten nicht vor Ort regulieren. Wenn wir anfangen würden, Daten, die auf deutschem Boden gespeichert sind, streng zu regulieren, dann würden sie eben in irgendein Daten-Paradies verschoben werden, wo keine vergleichbar strenge Regulierung herrscht.

Ein weiteres Problem aus juristischer Sicht ist, dass Daten sozusagen nicht eindeutig einem Besitzer zuzuordnen sind. Daten können zwar an einem Ort sein, aber gleichzeitig von ganz vielen Personen genutzt werden. Und das macht es unglaublich schwer, Daten zu schützen.

Gibt es ein Recht auf Eigentum an Daten?

Thomas Riehm: Die Antwort ist ein klares Nein! Wir haben nichts in der Rechtsordnung; und gesetzgeberisch kommt auch nichts. Die Arbeitsgruppe ‚Digitaler Neustart‘ der Bundesregierung sagt explizit in einer Stellungnahme: „Wir brauchen kein Recht an Daten.“ Auch ohne ein Eigentumsrecht sind Daten allerdings teilweise strafrechtlich gegen Ausspähen und Veränderung beziehungsweise Löschung geschützt. Doch auch das Strafrecht regelt nicht, wem die Daten eigentlich gehören. Da bleiben letztlich für die Praxis nur vertragliche Zuordnungsregeln.

Greift denn die DSGVO in irgendeiner Form?

"DSGVO greift nicht bei maschinengenerierten Daten."

„DSGVO greift nicht bei maschinengenerierten Daten.“ Redaktion IEE

Thomas Riehm: Die Datenschutzgrundverordnung können wir für industrielle Daten weitgehend ausblenden. Das allgemeine Datenschutzrecht, das die DSGVO regelt, betrifft personenbezogene Daten. Für maschinengenerierte Daten ist die DSGVO schlicht nicht anwendbar. Anders wird es erst, wenn Sie anfangen, maschinengenerierte Daten zum Beispiel mit Schichtplänen zu verknüpfen ‒ dann werden auch Maschinendaten schnell personenbezogen.

Gibt es überhaupt irgendeine Regelung für Maschinendaten?

Thomas Riehm: Ende Mai ist eine EU-Verordnung für maschinengenerierte Daten in Kraft getreten, die Free Flow of Data Verordnung 2018/1907. Diese regelt, wie mit maschinengenerierten Daten verfahren werden soll.

Wie sehen die wichtigsten Vorgaben aus?

Thomas Riehm: Eine ist, dass wir keine Lokalisierungspflichten innerhalb der EU haben dürfen. Die Mitgliedstaaten der EU dürfen nicht verlangen, dass Daten zwingend auf einem Server in Deutschland liegen müssen oder einen Server in Frankreich ausschließen. Zulässig ist das nur bei Infrastrukturen außerhalb Europas. Der zweite Aspekt ist viel interessanter, kritischer: Die Verordnung soll mittelfristig dazu führen, dass die Akteure der Datenwirtschaft im Wege der Selbstregulierung Verhaltensregeln zur Gewährleistung von Interoperabilität und Portabilität von Daten entwerfen sollen.

Passen Datenportabilität und Wettbewerb überhaupt zusammen?

"Es gibt kein Eigentum an Daten – und das ist vom Gesetzgeber auch so gewollt!

„Es gibt kein Eigentum an Daten – und das ist vom Gesetzgeber auch so gewollt! Redaktion IEE

Thomas Riehm: Als Kunde freuen Sie sich natürlich, wenn Sie mit Ihren über die Jahre gesammelten Daten einfach zu einem anderen Anbieter wechseln können; bisher sind Sie ja Ihrem aktuellen Anbieter eher ausgeliefert, weil Sie bei einem Wechsel den Wert der bisherigen Daten zu verlieren drohen. Wird diese Selbstverpflichtung zur Datenportabilität dagegen tatsächlich umgesetzt, dann ist die Hürde nicht mehr so hoch. Der Kunde kann dann von seinem bisherigen Anbieter verlangen, dafür zu sorgen, dass seine Daten auch in einem anderen System lesbar sind.

Für die Anbieter von Steuerungen oder bestimmter Maschinen dürfte damit eine schrille Alarmglocke klingeln. Diese müssen sich letztlich mit ihren Konkurrenten an einen Tisch setzen und vereinbaren, wie sich die Daten vom einen zum anderen übertragen lassen. Das heißt, der Steuerungsanbieter oder Maschinenbauer verliert an Kundenbindung, weil sein Kunde bei einem Wechsel zu einem anderen Anbieter seine gesammelten Daten und Konfigurationen mit ihrer Semantik auf das neue System übertragen können muss.

Wann soll das greifen?

Thomas Riehm: Nach der Verordnung sollen die Anbieter die entsprechenden Verhaltensregeln und offenen Standards schon bis November 2019 abschließen und bis zum 29. Mai 2020 wirksam umsetzen. In diesem Zeitraum hat die Industrie noch die Möglichkeit, selbst zu bestimmen, wie und in welchem Maße die Portabilität gewährleistet wird.

Und wenn die Selbstverpflichtung nicht funktioniert?

Thomas Riehm: Dann ist zu befürchten, dass der nächste Schritt eine Verordnung ist, in der das gesetzlich angeordnet ist. Im Verbrauchersektor haben wir in der DSGVO bereits solch eine Verpflichtung zur Datenportabilität für personenbezogene Daten.

Bei IoT-Projekten werden die Juristen immer wieder als Bremser identifiziert. Warum ist das so?

Thomas Riehm: Juristen bewegen sich hier auf einem schwierigen Feld: Es gibt keine umfassende gesetzliche Regelung in Bezug auf Daten. Vieles ist ungeklärt, es gibt keine Rechtsprechung zu den entscheidenden Fragen, und häufig noch nicht einmal Gesetze. Eindeutige Antworten können die Juristen deswegen leider nicht geben, weil die ganze Materie sehr im Fluss ist und die Sachverhalte noch völlig neu sind.

Weil wir also keine Gesetze haben, muss alles en detail zwischen den Projektpartnern geregelt werden. Das macht es nicht einfach!

Thomas Riehm: Mehr noch – Der deutsche Gesetzgeber will gar kein Eigentumsrecht an Daten schaffen. Laut einer Stellungnahme der Arbeitsgruppe ‚Digitaler Neustart‘ der Bundesregierung ist das gar nicht gewollt.

Die Regierung will damit verhindern, dass neue Datenmonopolisten im Industriesektor entstehen, wie es sie mit Google und Co. gibt, von denen dann alle anderen abhängig wären.

Und die Konsequenz daraus ist?

Thomas Riehm: Daten als solche sind von der Rechtsordnung nicht erfasst; die Rechtsordnung kennt sie nicht – mit Ausnahme der vorhin erwähnten Strafvorschriften. Es gibt nur punktuell verschiedene Wege, das Recht an Daten zu schützen.

Und welche sind das?

Thomas Riehm: Das einzige Kriterium, das die Rechtsprechung bisher zur Zuordnung des Rechts an Daten anwenden musste, ist das Eigentum am Datenträger. Im Klartext: Wem die Festplatte gehört, auf der die Daten gespeichert sind, der hat die Daten und dem gehören sie dann auch, so dass er beispielsweise bei einer Löschung Schadensersatzansprüche hat. Der Umkehrschluss: Sobald die Daten nicht mehr physisch beim Unternehmen liegen, auf dem eigenen Datenträger gespeichert sind, dann haben sie als Unternehmen nichts, was irgendwie geschützt sein könnte. Zur Ehrenrettung der Rechtsprechung muss man allerdings sagen, dass solche Fälle bisher einfach noch nicht vor Gericht ausgetragen wurden; sie musste sich damit schlicht noch nicht befassen.

Seite 1 von 212