Begriff und Einordnung von Data
Der Begriff „Data“ (Daten) bezeichnet digital oder analog erfasste Informationen, die strukturiert oder unstrukturiert vorliegen können. Daten sind Bausteine moderner Informationsverarbeitung und bilden die Grundlage für Kommunikation, wirtschaftliche Prozesse, öffentliche Verwaltung, Wissenschaft und Künstliche Intelligenz. Aus rechtlicher Sicht wird nicht der abstrakte Begriff „Daten“ geschützt, sondern es bestehen unterschiedliche Schutz- und Zugangsregime je nach Datenart, Kontext und Verarbeitungszweck.
Was sind Daten?
Daten sind Zeichenfolgen oder Messwerte, die ohne Kontext zunächst bedeutungsneutral sind. Bedeutung entsteht erst durch Einordnung, Verknüpfung und Auswertung. Rechtlich relevant werden Daten, sobald sie Personenbezug aufweisen, Geschäftsgeheimnisse verkörpern, in geschützten Datenbanken organisiert sind oder in regulierten Sektoren entstehen.
Arten von Daten
- Personenbezogene Daten: Alle Informationen, die sich auf eine identifizierte oder identifizierbare Person beziehen.
- Nicht-personenbezogene Daten: Technische, betriebliche oder sonstige Informationen ohne Personenbezug (z. B. Maschinendaten, Wetterdaten).
- Sensible Datenkategorien: Bestimmte Datenarten unterliegen gesteigerten Schutzanforderungen, etwa Gesundheits- oder biometrische Daten.
- Geschäfts- und Betriebsgeheimnisse: Informationen mit wirtschaftlichem Wert, die geheim gehalten werden und gegen unbefugte Erlangung geschützt sind.
- Metadaten: Daten über Daten (z. B. Herkunft, Zeitstempel, Protokolle), die Rückschlüsse über Prozesse ermöglichen.
- Industriedaten und IoT-Daten: Automatisiert erzeugte Daten aus Geräten, Sensoren und Maschinen, häufig mit Mehrparteienbezug.
Rechtliche Grundfragen
Schutzfähigkeit und Rechte an Daten
Ein unmittelbares Eigentum an Daten kennt das Recht in der Regel nicht. Schutz- und Nutzungspositionen entstehen durch unterschiedliche Rechtsinstitute. Maßgeblich ist, ob Daten personenbeziehbar sind, eine schöpferische Leistung verkörpern, als Datenbank organisiert sind oder als Geheimnis geschützt werden.
Urheberrecht und verwandte Schutzrechte
Einzelne Datenpunkte sind meist nicht kreativ. Schutz kann entstehen, wenn eine Auswahl oder Anordnung von Daten eine persönliche geistige Schöpfung darstellt (z. B. bei Katalogen oder spezifischen Datenmodellen). Zudem können Leistungen rund um Daten (etwa Software oder Inhalte, die Daten generieren) geschützt sein.
Datenbankherstellerrecht
Aufwendig erhobene, zusammengestellte oder gepflegte Datensammlungen können ein eigenständiges Schutzrecht begründen, das Investitionen in die Beschaffung, Überprüfung und Darstellung von Daten honoriert. Dieses Recht schützt nicht die Dateninhalte als solche, sondern die Datenbankstruktur und den Aufwand ihrer Erstellung.
Geschäftsgeheimnisse
Informationen mit wirtschaftlichem Wert können als Geheimnisse geschützt sein, wenn sie nicht allgemein bekannt sind, ein berechtigtes Interesse an der Geheimhaltung besteht und angemessene Maßnahmen zum Schutz ergriffen werden. Unbefugte Erlangung, Nutzung oder Offenlegung kann sanktioniert werden.
Persönlichkeits- und Datenschutz
Personenbezogene Daten unterliegen einem eigenen Schutzregime. Entscheidend ist der Personenbezug, also die Möglichkeit der Identifizierung unmittelbar oder mittelbar.
Personenbezug, Pseudonymisierung, Anonymisierung
Pseudonymisierte Daten bleiben personenbezogen, wenn der Bezug mit vertretbarem Aufwand wiederhergestellt werden kann. Anonymisierte Daten gelten als nicht-personenbezogen, sofern der Personenbezug dauerhaft ausgeschlossen ist. Die Abgrenzung hängt von technischen und organisatorischen Umständen sowie den verfügbaren Hilfsmitteln ab.
Rollen: Verantwortliche und Auftragsverarbeiter
In der Praxis wird zwischen der Stelle unterschieden, die Zwecke und Mittel der Verarbeitung festlegt (verantwortliche Stelle), und Dienstleistern, die für diese Stelle Daten verarbeiten. Verantwortlichkeiten, Weisungsbindung und Haftungsfragen richten sich nach der Rollenzuordnung.
Rechte der betroffenen Personen
Für personenbezogene Daten bestehen individuelle Rechte, unter anderem auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Widerspruch sowie Übertragbarkeit. Diese Rechte werden gegenüber der verantwortlichen Stelle geltend gemacht.
Gibt es „Eigentum“ an Daten?
Ein dingliches Eigentumsrecht an Daten ist unüblich. Beherrschung und Verwertungsmacht werden über Zugangs- und Nutzungsrechte, Geheimnisschutz, Vertragsrechte, Datenbankschutz und Kontrolle über Infrastrukturen ausgestaltet. Wer faktisch Zugriff hat, ist nicht zwingend rechtlich befugt, Daten zu nutzen oder weiterzugeben.
Erhebung, Nutzung und Weitergabe
Rechtsgrundlagen der Verarbeitung
Die Verarbeitung personenbezogener Daten setzt eine rechtliche Grundlage voraus, etwa Einwilligung, Vertragserfüllung, Erfüllung rechtlicher Pflichten, Schutz lebenswichtiger Interessen, öffentliche Aufgaben oder berechtigte Interessen. Bei nicht-personenbezogenen Daten bestimmen vor allem Vertragsrecht, Schutzrechte und Geheimnisschutz den rechtlichen Rahmen.
Zweckbindung, Datenminimierung, Speicherbegrenzung
Erhobene personenbezogene Daten dürfen grundsätzlich nur für festgelegte, eindeutige Zwecke verarbeitet werden. Umfang und Dauer richten sich nach dem Erforderlichen, wobei überflüssige Datenverarbeitung zu vermeiden ist. Lösch- oder Archivierungsfragen knüpfen an den Zweck und an Aufbewahrungspflichten an.
Datenweitergabe und Datenhandel
Die Weitergabe personenbezogener Daten setzt eine rechtliche Grundlage und passende Sicherungen voraus. Beim Handel mit nicht-personenbezogenen Daten stehen Lizenzen und Nutzungsbedingungen im Vordergrund. Zudem sind wettbewerbs- und kartellrechtliche Grenzen, Transparenzanforderungen und Geheimnisschutz zu beachten.
Technische und organisatorische Anforderungen
Datensicherheit
Datensicherheit verlangt ein Schutzniveau, das sich an Risiko, Art der Daten und Verarbeitungsumgebung orientiert. Typische Maßnahmen sind Zugriffssteuerung, Verschlüsselung, Protokollierung, Trennung von Datenbeständen, Integritätssicherung und Wiederherstellbarkeit.
Risiko- und Auswirkungsbetrachtungen
Bei Verarbeitungen mit erhöhtem Risiko für Rechte und Freiheiten natürlicher Personen sind vertiefte Betrachtungen vorgesehen, um Risiken zu identifizieren und zu mindern. Ergebnis und getroffene Maßnahmen sollten nachvollziehbar dokumentiert sein.
Datenqualität und Nachvollziehbarkeit
Rechtlich relevant sind Datenrichtigkeit, Aktualität und Transparenz der Verarbeitung. Nachvollziehbarkeit erfordert klare Verantwortlichkeiten, dokumentierte Prozesse sowie nachvollziehbare Datenflüsse und Herkunft.
Sektor- und bereichsspezifische Besonderheiten
Gesundheitsdaten
Gesundheitsdaten unterliegen strengen Anforderungen. Verarbeitung, Interoperabilität, Telemedizin und Forschung erfordern erhöhte Schutzmaßnahmen und besondere Rechtfertigungen.
Finanz- und Telekommunikationsdaten
Daten aus Zahlungsdiensten, Bankwesen oder elektronischer Kommunikation sind reguliert. Vertraulichkeit, Aufbewahrung und Auskunftsrechte folgen spezialgesetzlichen Vorgaben, etwa zur Bekämpfung von Missbrauch, zur Aufsicht und zur Gewährleistung von Diensten.
Mobilität und IoT
Vernetzte Fahrzeuge, Smart-Home- und Industrieanlagen erzeugen große Datenmengen. Fragen der Gerätehoheit, des Zugangs Dritter, der Interoperabilität sowie der Produktsicherheit sind rechtlich bedeutsam.
Öffentliche Daten und Open Data
Von Behörden erzeugte oder gehaltene Informationen können unter bestimmten Voraussetzungen als offene Daten bereitgestellt werden. Dabei gelten Vorgaben zu Zugänglichkeit, Formaten, Lizenzen und Schutz sensibler Inhalte.
Internationale Dimension
Grenzüberschreitende Datentransfers
Die Übermittlung personenbezogener Daten in Drittländer erfordert besondere Garantien. Maßgeblich ist das Schutzniveau im Empfängerland sowie das Vorliegen geeigneter Sicherungsmechanismen.
Datenlokalisierung
Einzelne Rechtsordnungen verlangen, bestimmte Daten im Land zu speichern oder zu verarbeiten. Solche Vorgaben betreffen häufig öffentliche Register, kritische Infrastrukturen oder sensible Datenkategorien.
Vertragliche und organisatorische Sicherungsinstrumente
Für internationale Transfers existieren standardisierte Instrumente und ergänzende Maßnahmen, die auf die tatsächlichen Risiken der Übermittlung abstellen, einschließlich technischer Sicherungen und Transparenzpflichten.
Data und Künstliche Intelligenz
Trainingsdaten, Urheber- und Persönlichkeitsrechte
KI-Modelle werden mit großen Datensätzen trainiert. Dabei stellen sich Fragen nach der Zulässigkeit der Nutzung von Werken, Datenbankinhalten und personenbezogenen Informationen sowie nach der Reichweite von Ausnahmen und Schranken. Transparenz über Herkunft und Merkmale von Trainingsdaten gewinnt an Bedeutung.
Bias, Fairness und Transparenz
Unausgewogene Datensätze können zu Verzerrungen führen. Rechtlich relevant sind Diskriminierungsverbote, sachliche Rechtfertigung von Entscheidungen, Erklärbarkeit modellbasierter Ergebnisse und die Möglichkeit, Entscheidungen anzufechten.
Datengovernance für KI
Strukturen für Datenqualität, Zugriff, Protokollierung, Löschkonzepte und Auditierbarkeit sind zentrale Elemente einer rechtssicheren KI-Datennutzung. Verantwortlichkeiten und Datenflüsse sollten eindeutig definiert sein.
Durchsetzung und Haftung
Aufsichtsbehörden und Zuständigkeiten
Je nach Materie sind unterschiedliche Behörden zuständig, etwa im Datenschutz, in der Telekommunikation, im Verbraucherschutz, in der Finanzaufsicht oder im Wettbewerbsrecht. Zuständigkeiten können sich überlappen.
Zivilrechtliche Ansprüche
Bei Rechtsverletzungen kommen Unterlassung, Beseitigung, Auskunft und Schadensersatz in Betracht. Vertragliche Regelungen zu Haftung, Gewährleistung, Freistellung und Prüfungsrechten bestimmen die Risikoverteilung zwischen den Beteiligten.
Sanktionen
Verstöße können verwaltungsrechtliche Maßnahmen, Bußgelder sowie zivil- und strafrechtliche Folgen auslösen. Schwere und Umfang der Sanktionen richten sich nach Art, Dauer, Vorsatz oder Fahrlässigkeit, getroffenen Maßnahmen sowie der Betroffenheit von Personen.
Häufig gestellte Fragen (FAQ) zu Data
Was unterscheidet personenbezogene von nicht-personenbezogenen Daten?
Personenbezogene Daten beziehen sich auf identifizierte oder identifizierbare Personen. Nicht-personenbezogene Daten enthalten keinen Personenbezug. Die Einordnung bestimmt, ob Datenschutzrecht Anwendung findet und welche Rechte und Pflichten bestehen.
Besteht ein Eigentumsrecht an Daten?
Ein allgemeines Eigentumsrecht an Daten ist unüblich. Rechtliche Kontrolle ergibt sich aus Vertragsrechten, Geheimnisschutz, Schutz von Datenbanken, urheberrechtlichen Positionen sowie faktischer Kontrolle über Infrastruktur und Zugänge.
Darf man öffentlich verfügbare Daten frei nutzen?
Öffentliche Verfügbarkeit bedeutet nicht zwingend freie Nutzbarkeit. Urheberrechte, Datenbankrechte, Nutzungsbedingungen, Geheimnisschutz, Datenschutz und wettbewerbsrechtliche Grenzen können die Nutzung einschränken.
Wann gelten Daten als anonymisiert?
Daten gelten als anonymisiert, wenn der Personenbezug dauerhaft und mit vertretbaren Mitteln nicht wiederhergestellt werden kann. Maßgeblich sind technische Verfahren, verfügbare Zusatzinformationen und der realistische Aufwand einer Re-Identifizierung.
Welche Rechte haben betroffene Personen gegenüber Verantwortlichen?
Betroffene können insbesondere Auskunft verlangen, unrichtige Daten berichtigen lassen, Löschung oder Einschränkung der Verarbeitung beanspruchen, der Verarbeitung widersprechen und Daten in einem übertragbaren Format erhalten, sofern die jeweiligen Voraussetzungen erfüllt sind.
Welche Rolle spielen Verträge bei der Datennutzung?
Verträge regeln Zugriffs-, Nutzungs- und Verwertungsrechte, Vertraulichkeit, Sicherheitsanforderungen, Laufzeiten, Haftung und Prüfungsrechte. Sie verteilen Risiken und definieren Verantwortlichkeiten zwischen den Beteiligten.
Wie werden grenzüberschreitende Datentransfers rechtlich abgesichert?
Bei Übermittlungen in andere Rechtsräume kommt es auf das dortige Schutzniveau und geeignete Sicherungsmechanismen an. Ergänzend sind technische und organisatorische Maßnahmen sowie Transparenz über Datenflüsse von Bedeutung.
