Wer darf wie wann auf welche Daten zugreifen? Nach Ansicht von Udo Di Fabio, Richter des Bundesverfassungsgerichts a.D. und Direktor des Forschungskollegs normative Gesellschaftsgrundlagen der Universität Bonn, sollte die derzeit stark diskutierte Datenhoheit möglichst schnell geklärt werden: Denn wenn ein Automobilhersteller die Haftung für ein Autonomes Fahrzeug übernehmen soll, müsse er seine Produktbeobachtungspflicht auch so gut wie möglich ausführen können – und dazu gehöre der Zugriff auf die Daten des Fahrzeugs. „Das ist ein Streitpunkt, da der Verbraucherschützer die Datenhoheit natürlich für den Nutzer reklamiert“, so Di Fabio. Dazwischen stehen zudem Infrastrukturdienstleister, die etwa Navigation und Verkehrsleitung übernehmen. Auch diese Partei pocht auf Zugriff, da ihre Geschäftsmodelle häufig auf der wirtschaftlichen Nutzung der Informationseinheiten basieren. „Wir stehen vor einem Verteilungskampf der Daten“, so Di Fabio.
Dabei sind die meisten Daten derzeit als solches gar nicht einer einzigen Person zuschreibbar, rechtlich sind nur persönliche Daten geschützt. Die Industrie aber interessiert sich viel mehr für Unpersönliches wie Bremsenverschleiß, Temperaturkurven oder die aktuelle Auslastung einer Maschine. All diese Daten können aktuell keinen Eigentümer haben, da sie nicht als Sache gelten, und da sie nicht kreativ entstanden sind wie Musik oder Fotos, greift auch das Urheberrecht nicht. Für Dienstleistungsunternehmen, die sich etwa auf Predictive Maintenance oder ähnliche Services spezialisieren, sind die erhobenen Daten aber die Basis des Geschäftsmodells. Durch die aktuelle Unsicherheit was die Eigentümerverhältnisse angeht, sind diese keineswegs zukunftssicher. „Der USB-Stick für wenige Cent hat einen eindeutigen Eigentümer, die wertvollen Maschinendaten samt Analysen aus Industrie-4.0-Geschäftsmodellen darauf aber nicht. Ein Diebstahl bliebe hier ungestraft“, erklärt Siegfried Schwung, Leiter der Rechtsabteilung der Kuka AG.
Daher wird aktuell darüber beraten, ob und wie der Dateneigentümer definiert wird: Wer als erstes speichert? Wer den Algorithmus zur Erzeugung geschrieben hat? Wer dafür bezahlt? Möglich wären dann zudem Lizenzmodelle, die eine entgeltliche Nutzung regeln. Andere Geschäftsfelder können zudem ihre Basis – wie Maschinen oder Grundstücke – bei der Bank als Sicherheit anführen, für Daten-basierte Unternehmen ist dies derzeit nicht möglich. Sollten Daten einen Eigentümer bekommen, würde sich nach Schwungs Ansicht ein Gutachter-Markt für Daten etablieren, ein völlig neues Geschäftsmodell der digitalen Welt.
Neues vom Bewährten ableiten
Um das Rechtssystem so einfach wie möglich zu halten, versucht man sich bei neuen Fragestellungen an bestehendem Recht zu orientieren. Nach Schwungs Ansicht könnte das hinsichtlich des Dateneigentums etwa der §950 BGB sein: „Wer durch Verarbeitung oder Umbildung eines oder mehrerer Stoffe eine neue bewegliche Sache herstellt, erwirbt das Eigentum an der neuen Sache, sofern nicht der Wert der Verarbeitung oder der Umbildung erheblich geringer ist als der Wert des Stoffes. Als Verarbeitung gilt auch das Schreiben, Zeichnen, Malen, Drucken, Gravieren oder eine ähnliche Bearbeitung der Oberfläche. Mit dem Erwerb des Eigentums an der neuen Sache erlöschen die an dem Stoffe bestehenden Rechte.“ Daher diskutiert man, ob die Daten selbst zwar kein Eigentum sein müssen, wohl aber die daraus gewonnen Erkenntnisse, also Analysen und die Rückschlüsse darauf. Dies würde zumindest teilweise Rechtssicherheit für viele Geschäftsmodelle in der Industrie 4.0 bedeuten. „Investiert ein Dienstleister Geld in die Algorithmus-Entwicklung, sollten ihm auch die damit generierten Daten gehören und nicht dem nutzenden Kunden, nur weil sie auf dessen Festplatte erstmalig gespeichert wurden“, argumentiert Schwung.
Es gibt aber auch Widerstand aus den eigenen Reihen, denn große Konzerne sehen ein Horrorszenario heraufziehen, sollten auf einmal alle kleinen Steuerungs- und Automatisierungshersteller innerhalb ihrer Fertigungsstraße mitreden dürfen, was mit den dort erzeugten Daten geschieht und diese eventuell sogar ihr Eigentum nennen dürfen. Im schlimmsten Fall müssten Konzerne künftig große Budgets einplanen, sollten sie entsprechende Daten aufwändig lizenzieren müssen. Daher sprechen sich einige Global Player auch in entsprechenden Beratungsgremien des Gesetzgebers bewusst gegen eine „Verdinglichung“ von Daten aus. Aus ihrer Warte betrachtet, ist die unregulierte Lage derzeit die bessere Variante.
Umgang mit Kundendaten
Beschwichtigend verwendet wird in Zusammenhang mit Datenerfassung häufig die Anonymisierung. „Grauer Anzug, große Brille, lange Haare, sitzt hier hinten rechts im Saal – ich habe keinen Namen erwähnt, sie alle können sich trotzdem ganz genau herleiten, wen ich meine“, sagt Markus Grete während seines Vortrags zur neuen Datenschutzgrundverordnung und veranschaulicht so, dass es mit einer einfachen Entfernung des Namens aus einem Datensatz nicht getan ist. Als nicht unproblematisch gilt dabei auch, dass etwa die Fahrzeugidentnummer – eingeschlagen in jede Karosserie deutscher OEMs – zu den persönlichen Daten zählt, da durch sie auf den Besitzer geschlossen werden kann. Laut der neuen Datenschutzgrundverodnung kann jeder Nutzer beim jeweiligen Hersteller anfragen und muss Auskunft zu den dort über ihn gespeicherten Daten erhalten. Bremsverschleißdaten, die mit dem jeweiligen Auto verknüpft sind, gehören dann dazu – auch wenn das Unternehmen diese eigentlich als anonymisiert eingestuft hat. Nach Einschätzung von Rechtsanwalt Justus Gaden wüssten viele Unternehmen derzeit schlicht nicht, welche Daten sie zu welchem Nutzer gespeichert hätten, weil bisher keine Notwendigkeit bestand, Daten entsprechend zu klassifizieren und auffindbar zu machen. Oft werde bei datenschutztechnischen Fragen auch einfach auf die IT verwiesen. Das macht aber nur wenig Sinn, da die Techniker nicht wissen, wie etwa die Personalabteilung Daten ablegt, nur weil sie deren Software installiert haben.
Inzwischen schafft man es mit Datenlecks bis in die Tagesschau – das Thema bekommt dadurch in vielen Firmen schnell große Aufmerksamkeit. Ebenso tragen die möglichen Sanktionen der neuen Datenschutzgrundverordnung dazu bei, dass das Thema nun in der digitalen Agenda von immer mehr Betrieben nach oben rutscht: 10 bis 20 Mio. Euro, oder 4 % des Jahresumsatzes (bei mehr als 500 Mio. Euro Umsatz) können Gerichte bei Verstößen verhängen. Dazu zählt auch das Nichtmelden eines Lecks, das Kundendaten betrifft, rein rechtlich wäre hier schon das Verlieren eines Firmenhandys meldepflichtig bei den Behörden. Ein zentraler Datenschutzbeauftragter oder gleich eine entsprechende Abteilung, die umfassend mit dem Thema vertraut ist und global erfasst wo welche Daten zusammenlaufen, wo sie gespeichert sind und wie sie verwendet werden, habe laut Grete häufig auch den Vorteil, dass erstmalig überhaupt ein Gesamtbild über die verfügbaren Daten entsteht. So könnten sogar neue Nutzungswege erkannt werden.
Eric Hilgendorf, Leiter der Forschungsstelle RobotRecht an der Universität Würzburg und wissenschaftlicher Leiter der NetLaws verdeutlicht anhand eines Beispiels, wie wichtig auch der sauber ausgelegte Rechtsrahmen ist: Die Einführung einer E-Learning-Plattform sollte durch interne Hilfskräfte erleichtert werden. Der Datenschutz erlaubte diesen aber nicht, bei der eigentlichen Dateneingabe dabei zu sein. „Was etwas kurios ist, denn wir kennen die Namen usw. der Nutzer ja sowieso, es sind unsere Studenten“, so Hilgendorf. „Schlussendlich war es dann doch in Ordnung, dass die Hilfskräfte während der Einführung über die Schulter blicken konnten.“ Aber nur, weil Hilgendorfs geschultes Expertenauge die rechtlichen Details korrekt identifizierte. In Firmen könne ein wie hier unwissentlich unsauber angewendeter Datenschutz hemmend für Forschung und Entwicklung sein – derzeit wird der Datenschutzbeauftragte in vielen Firmen noch immer als eine Art digitaler Hausmeisterjob verstanden. Geschultes Fachpersonal sei nach einhelliger Meinung der Experten auf der NetLaws daher wesentlich sinnvoller, als dieses künftig immens wichtige Thema nur an einen halbwegs passenden Mitarbeiter zu delegieren, der das typischerweise „so nebenbei mitmacht“.
Die am 25. Mai 2018 in Kraft tretende Datenschutzgrundverordnung der EU als PDF:
Die NetLaws 2019 findet vom 19. bis 20. Februar 2019 wieder in Nürnberg statt.
