„Daten sind die Rohdiamanten des 21. Jahrhunderts, es gibt eine Gier danach“

Interview zum Positionspapier „Datenhoheit und Datenschutz im Zusammenhang mit Smart Services“

Wenn Privatpersonen und Unternehmen intelligente Produkte – von Smartphones bis Maschinen in der Industrie 4.0 – nutzen, entstehen Daten. Diese Daten können sehr wertvoll sein. Wer sie sammelt und analysiert, kann Smart Services anbieten, Dienstleistungen auf Big-Data-Basis. Doch wem gehören die Daten? Müssen die Nutzer, die sie generieren, dafür entschädigt werden? Und wie verhält es sich dabei mit dem Datenschutz? Prof. Dr. Dr. Jürgen Ensthaler, Leiter des Lehrstuhls für Wirtschafts-, Unternehmens- und Technikrecht an der TU Berlin, und sein Kollege Dr. Martin Haase erklären im Interview, welche Rolle die EU-Datenschutzgrundverordnung spielen wird, die im Mai 2018 in Kraft tritt, und warum der Fall Google gegen Springer auch der Frage der Datenhoheit bei Smart Services eine ganz neue Dynamik verleihen könnte.

Herr Prof. Ensthaler, was muss ein Start-up rechtlich beachten, wenn es einen Smart Service anbieten möchte – zum Beispiel eine App, die auf Basis übermittelter Smartphone-Daten anzeigt, welche öffentlichen Verkehrsmittel gerade wie stark mit Menschen gefüllt sind?

Jürgen Ensthaler: Es gibt bereits Städte, die eine solche App eingeführt haben, damit die Verkehrsbetriebe einschätzen können, ob sie beispielsweise mehr Busse einsetzen müssen. Man muss immer zwei Fragen beachten, wenn man mit Daten arbeitet: Wem gehören die Daten bzw. bin ich berechtigt, sie zu verarbeiten? Und wenn ich sie nutze, verletze ich dann den personenbezogenen Datenschutz? Das bedeutet in diesem Fall, dass ich von den Verkehrsbetrieben Daten zu den Buseinsetzen brauche und die Befugnis, diese Daten nutzen zu dürfen. Also muss ich mit den Verkehrsbetrieben eine Kooperation mit vertraglichen Regelungen eingehen. Als Zweites stellt sich die Frage, ob ich über die Daten Rückschlüsse auf die Personen ziehen kann, die diesen Bus benutzen. Der Datenschutz greift ja nicht nur, wenn ich ganz konkrete Namen übermittelt bekomme, sondern schon dann, wenn die Person ohne viel Mühe identifizierbar ist.

Martin Haase: Teilweise besteht die Möglichkeit, über eine Anonymisierung zu erreichen, dass die Regulierungen des Datenschutzrechtes nicht anwendbar sind. Das Gesetz verlangt, dass die Identifizierbarkeit einer natürlichen Person aufgehoben wird. Da kann man sich lange darüber streiten, was Identifizierbarkeit in den verschiedenen Kontexten heißt: Reicht dafür ein einziges Merkmal einer Person aus? Gibt es in einer Datenbank Zusatzwissen, über die man die eine Identifizierbarkeit herstellen kann? Das ist eine der umstrittensten Fragen des Datenschutzes. Es gibt verschiedene Ansätze, zum Beispiel den sogenannten relativen Ansatz: Dieser legt den Fokus auf die verarbeitende Stelle. Dann gibt es den objektiven-absoluten Ansatz, der weltweites Wissen mit in die Betrachtung einbezieht. Was ist in der Welt an Wissen vorhanden? Da geht die Rechtsprechung weit auseinander.

Ensthaler: Einfach gesagt: Kann ich mit den Daten, die ich erhoben habe, mit einer gewissen Wahrscheinlichkeit einen Abgleich mit einer Datenbank vornehmen? Oder ist es unwahrscheinlich, dass da ein Abgleich stattfindet?

Wem gehören denn die Daten, auf denen solche Smart Services basieren? Denen, die sie generieren, oder dem Start-up, das die Daten verarbeitet und damit aufwertet?

Ensthaler: Das ist noch ungeklärt und Industrievertreter wollen das auch ungeregelt lassen. Sie möchten dies lieber über Verträge regeln. Der Grund dafür ist schnell erklärt. Wer wirtschaftlich stärker ist, wird regelmäßig leichter an die Daten kommen. Dieser Gedanke ist aber rechtlich nicht haltbar, weil die Verträge regelmäßig einer Inhaltskontrolle unterliegen. Kommt es zum Streit, wird das Gericht fragen, ob eine Partei übervorteilt worden ist. Wenn der Nutzer eines Services die Daten umsonst weggegeben hat, ist das nicht interessengerecht und die entsprechende vertragliche Regelung würde für unwirksam erklärt werden. Bei vertraglich vereinbarter Übernahme der von Dritten generierten Daten sollte ein Start-up deshalb darauf achten, dass der Vertrag auch Vorteile für den Dritten enthält.

Wie sollte dieser Vorteil für den Nutzer eines Smart Services genau aussehen?

Ensthaler: Das ist schwer zu sagen. Manche Vertreter argumentieren, dass es als Gegenleistung ausreicht, wenn ein Nutzer von dem App-Berechtigten ein Ergebnis erhält. Konkret: Wenn ich im Urlaub Fotos mache, bekomme ich am Ende alle 200 Fotos chronologisch geordnet übermittelt. Aber: Will ich das überhaupt? Sehe ich das selbst als Gegenleistung an, oder wird mir eine Gegenleistung aufgedrängt, die ich gar nicht haben möchte? Im Moment wird über die Frage nach einer angemessenen Gegenleistung noch wenig nachgedacht. Es fehlt den die Daten zubringenden Nutzern noch eine Vorstellung über den Wert er Daten; das wird sich ändern.

Wenn ich ein Smartphone nutze, generiere ich eine ganze Menge Informationen. Bei der Auswahl des Betriebssystems des Smartphones kann ich mich aber im Grunde nur zwischen zwei Giganten entscheiden: Google mit Android oder Apple mit iOS. Kann man da überhaupt noch von Datenhoheit sprechen?

Ensthaler: Es gibt Dienste, denen man nicht ausweichen kann, die man quasi in Anspruch nehmen muss. Diese Unternehmen gehen bei ihren Geschäftsmodellen häufig davon aus, dass man ihnen die Daten schon überlassen wird, andernfalls droht der Ausschluss. Da kommen wir aber schnell zum kartellrechtlichen Schutz. Wenn jemand eine große Marktmacht hat – was z.B. auch bei Smartphone-Herstellern der Fall ist – und diese ausnutzt, könnte kartellrechtswidrig handeln, d.h. eine marktbeherrschende Stellung missbrauchen. Wir haben im Moment den Fall mit einem großen Suchmaschinenbetreiber und dem neuen Leistungsschutzrecht für Presseverlage. Das heißt, normalerweise müssen Suchmaschinen, wenn sie Nachrichteninformationen aus der Presse nehmen, eine Gegenleistung erbringen. Sie haben jedoch die Marktmacht, zu sagen, wer unseren Bedingungen nicht zustimmt, den nehmen wir nicht in unsere Suchmaschine auf; das ist kartellrechtlich sehr bedenklich.

Sie sprechen vom Fall Google gegen Springer?

Ensthaler: Genau, und hier sehen Sie die Problematik, die auf uns zukommen wird: Es geht schlicht darum, ob jemand eine Gegenleistung erbringen muss, wenn er von anderen etwas bekommt. Wenn ich eine Information übernehme, muss ich dafür eine Gegenleistung erbringen – dies sollte auch für die Daten gelten.

Das heißt, der Präzedenzfall Google gegen Springer könnte die ganze Diskussion der Datenhoheit und des Monopols auf dem Datenmarkt weiter ins Rollen bringen?

Ensthaler: Ja, ich sehe hier ganz starke Parallelen. Die EU-Kommission denkt gerade über ein Leistungsschutzrecht für Daten nach. Die von den Nutzern von technischen Einrichtungen generierten Daten sind – wie die EU-Kommission sagt – durch die neuen Möglichkeiten der Auswertung die Rohdiamanten des 21. Jahrhunderts. Es gibt deshalb auch eine gewisse Gier nach Daten. Jeder möchte mehr und mehr Daten erheben. Bei einem neuen Leistungsschutzrecht wird die EU-Kommission den Nutzer einer Anwendung aber nicht außer Acht lassen, sondern mit großer Wahrscheinlichkeit eine gewisse Gegenleistung für ihn einfordern.

Zunächst wird am 25. Mai 2018 die Datenschutzgrundverordnung der EU in Kraft treten. Inwieweit wird sie zu mehr Rechtssicherheit führen – auch für die Anbieter von Smart Services?

Haase: „Die Grundsätze sind trotz der neuen Verordnung weitgehend gleich geblieben. Also werden auch die datenschutzrechtlichen Bewertungen ähnlich verlaufen. Wenn personenbezogene Daten vorliegen und natürliche Personen identifiziert werden können, ist das Datenschutzrecht relativ streng, aber nicht unüberwindbar. Es gibt das Verbot mit Erlaubnisvorbehalt: Zunächst ist alles verboten, außer man hat eine Erlaubnis oder eine Einwilligung. Eine Einwilligung ist eine eigene Erklärung, die von den AGB getrennt eingeholt werden sollte. Wenn keine Einwilligung vorliegt, gibt es noch die sogenannten Erlaubnisnormen, bei denen es häufig um Interessenabwägung geht.

Können Sie ein Beispiel dafür nennen?

Haase: Ja, den Fall zum Ärzte-Bewertungsportal Jameda, das sämtliche Ärztinnen und Ärzte mit Öffnungszeiten und Bewertungen aufführte, ohne dass die Einwilligungen eingeholt wurde. Damals hat der Bundesgerichtshof die Interessen abgewogen: Welche Interessen haben die Nutzenden? Sie suchten Informationen über die ärztliche Versorgung. Und welche Interessen haben die Mediziner? Sie wollten nicht genannt und bewertet werden. Der BGH hat dann das Interesse der Bevölkerung an Informationen zur gesellschaftlich wichtigen Frage der Gesundheitsversorgung als gewichtiger bewertet, obwohl keine Einwilligungen der Ärztinnen und Ärzte vorlagen. Diese müssten es verkraften, bewertet zu werden, ohne damit einverstanden zu sein. Das Fazit lautet im Grunde: Neue Geschäftsmodelle lassen sich durchaus datenschutzrechtskonform gestalten. Man muss wissen: Welche Informationen benötige ich wirklich? Zu welchem Zweck? Man hat Löschungs- und Auskunftspflichten. Die Auseinandersetzung mit dem Datenschutzrecht ist sehr aufwendig – aber Start-ups sollten sich ihr stellen.