Begriff und Definition von Data (Daten)
Data (deutsch: Daten) stellen eine zentrale Ressource im digitalen Zeitalter dar und nehmen im rechtlichen Kontext vielfältige Bedeutungen und Funktionen ein. Der Begriff umfasst sämtliche Zeichen, Werte oder Informationen, die, unabhängig von einer Interpretation oder einem Kontext, digital gespeichert, verarbeitet oder übertragen werden können. Daten können personenbezogen sein oder sich auf wirtschaftliche, technische, wissenschaftliche oder sonstige Sachverhalte beziehen.
Rechtliche Grundlagen von Data
Datenschutzrechtliche Einordnung
Datenschutz-Grundverordnung (DSGVO)
Mit dem Inkrafttreten der Datenschutz-Grundverordnung (Verordnung (EU) 2016/679) ist in der Europäischen Union ein einheitlicher Rechtsrahmen für den Umgang mit personenbezogenen Daten geschaffen worden. Die Verordnung definiert personenbezogene Daten als Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Der Schutz personenbezogener Daten zählt zu den Grundrechten und ist Bestandteil des europäischen Datenschutzrechts.
Bundesdatenschutzgesetz (BDSG)
Das Bundesdatenschutzgesetz (BDSG) ergänzt und konkretisiert die Vorgaben der DSGVO auf nationaler Ebene. Es regelt u.a. die Verarbeitung besonderer Datenkategorien, den Datenschutz im Arbeitsverhältnis sowie Befugnisse und Aufgaben der Datenschutzaufsichtsbehörden.
Anwendungsbereich und Datenkategorien
Im datenschutzrechtlichen Kontext wird zwischen personenbezogenen und nicht-personenbezogenen Daten unterschieden. Besondere Regelungen gelten zudem für besondere Kategorien personenbezogener Daten (z. B. Gesundheitsdaten, biometrische Daten) nach Art. 9 DSGVO.
Rechtmäßigkeit der Verarbeitung von Data
Die Verarbeitung von personenbezogenen Daten ist nur unter den in Art. 6 DSGVO genannten Bedingungen zulässig, darunter Einwilligung, Vertragserfüllung oder berechtigtes Interesse. Die Rechte Betroffener – u.a. Auskunftsrecht, Recht auf Berichtigung und Löschung – sind umfassend ausgestaltet.
Data im Urheberrecht
Schutz von Datenbankwerken
Nach dem Urheberrechtsgesetz (UrhG) können Datenbankwerke, d. h. systematisch oder methodisch angeordnete Sammlungen von Daten, urheberrechtlich geschützt sein, sofern sie eine eigene geistige Schöpfung darstellen (§ 4 Abs. 2 UrhG). Darüber hinaus gewährt das Datenbankherstellerrecht nach §§ 87a ff. UrhG eigentümerähnliche Rechte an Datenbanken, solange eine wesentliche Investition in die Beschaffung, Überprüfung oder Darstellung der Inhalte getätigt wurde.
Data als Werk
Daten als isolierte Einheiten genießen grundsätzlich keinen urheberrechtlichen Schutz, da ihnen die erforderliche Schöpfungshöhe fehlt. Der Schutz kann sich jedoch auf die strukturierte Zusammenstellung von Daten beziehen.
Data und Geschäftsgeheimnisschutz
Gesetz zum Schutz von Geschäftsgeheimnissen (GeschGehG)
Geschäftsgeheimnisse können Daten umfassen, die im Geschäftsverkehr einen wirtschaftlichen Wert besitzen, geheim gehalten werden und Gegenstand angemessener Geheimhaltungsmaßnahmen sind (§ 2 Nr. 1 GeschGehG). Daten, wie z. B. Kundenlisten, Kalkulationen oder technische Beschreibungen, werden somit insbesondere im Kontext des Wettbewerbs als schutzfähiges Rechtsgut behandelt.
Data im Vertragsrecht
Vertragliche Regelungen und Nutzungsrechte
Im Rahmen vertraglicher Beziehungen werden häufig Vereinbarungen zur Nutzung, Verarbeitung und Weitergabe von Daten geschlossen. Verträge können etwa Nutzungsrechte an Daten regeln oder bestimmte Verhaltenspflichten wie Vertraulichkeit und Datensicherheit vorsehen. Besondere Relevanz kommt dabei IT-Verträgen, Lizenzverträgen und Serviceverträgen im Zusammenhang mit Datenzugang und Datenbereitstellung zu.
Haftung und Datenverlust
Die Haftung für Datenverluste oder unbefugte Datenweitergaben kann vertraglich geregelt werden, unterliegt jedoch auch gesetzlichen Vorgaben wie der Verpflichtung zur Datensicherung und Schadensersatzforderungen bei Pflichtverletzungen.
Data im Strafrecht
Datenschutzstrafrecht
Sowohl nach dem BDSG als auch nach dem Strafgesetzbuch (§ 42 BDSG, § 202a StGB) ist die unbefugte Erhebung, Nutzung oder Weitergabe von personenbezogenen Daten strafbar. Daneben sind Straftatbestände zur Datenveränderung und Computersabotage (§§ 303a, 303b StGB) relevant.
Data und IT-Sicherheitsrecht
Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz)
Das IT-Sicherheitsgesetz und das darauf basierende BSI-Gesetz verpflichten Betreiber Kritischer Infrastrukturen zu technischen und organisatorischen Maßnahmen zum Schutz von Daten vor unbefugtem Zugriff, Verlust oder Manipulation. Die Einhaltung des Schutzziels Vertraulichkeit, Integrität und Verfügbarkeit ist hierbei zentral.
Data im internationalen Kontext
Internationaler Datentransfer
Grenzüberschreitende Übermittlungen von Daten unterliegen spezifischen Regelungen. Nach der DSGVO dürfen personenbezogene Daten an Drittländer nur unter bestimmten Voraussetzungen übermittelt werden, beispielsweise bei Angemessenheitsentscheidungen oder geeigneten Garantien (Standardvertragsklauseln, Binding Corporate Rules).
Internationale Abkommen
Internationale Abkommen wie der Data Privacy Framework (ehemals Privacy Shield) zwischen der EU und den USA regeln den transatlantischen Datenverkehr und stellen Anforderungen an den Schutz personenbezogener Daten.
Sonstige Rechtsgebiete betreffend Data
Steuerrechtliche Aufbewahrungspflichten
Steuerrechtliche Bestimmungen (Abgabenordnung, GoBD) normieren Aufbewahrungsfristen für steuerrelevante Daten und verpflichten Unternehmen zur Sicherstellung der Datenintegrität während der gesetzlichen Aufbewahrungszeit.
Telekommunikationsrecht
Das Telekommunikationsgesetz (TKG) und die ePrivacy-Richtlinie enthalten Regelungen zur Verarbeitung von Kommunikations- und Standortdaten, zu Speicherfristen und zur Gewährleistung der Vertraulichkeit.
Fazit und Ausblick
Data stellen im Recht eine ebenso vielfältige wie komplexe Materie dar. Abhängig vom jeweiligen Anwendungsbereich – vom Datenschutz bis zum Urheberrecht, vom Vertragsrecht bis zu IT-sicherheitsgesetzlichen Vorgaben – bedarf der rechtssichere Umgang mit Daten einer differenzierten Betrachtung aller maßgeblichen Vorschriften. Angesichts der fortschreitenden Digitalisierung ist zu erwarten, dass die rechtlichen Rahmenbedingungen für die Verarbeitung, Nutzung und den Schutz von Daten weiteren Anpassungen und Präzisierungen unterliegen werden.
Dieser Artikel gibt einen umfassenden Überblick über die rechtliche Bedeutung und Regulierung von Data nach aktuellem Rechtsstand.
Häufig gestellte Fragen
Welche rechtlichen Grundlagen gelten für die Verarbeitung personenbezogener Daten?
Die Verarbeitung personenbezogener Daten unterliegt in Deutschland und der gesamten Europäischen Union in erster Linie der Datenschutz-Grundverordnung (DSGVO), ergänzt durch das Bundesdatenschutzgesetz (BDSG). Diese Vorschriften definieren detailliert die Voraussetzungen, unter denen personenbezogene Daten erhoben, gespeichert, verarbeitet und übertragen werden dürfen. Kernelemente sind die Rechtmäßigkeit der Datenverarbeitung, das Prinzip der Datenminimierung, Transparenz, die Zweckbindung sowie die Gewährleistung technischer und organisatorischer Maßnahmen zum Schutz der Daten. Zudem muss eine rechtliche Grundlage für jede Form der Datenverarbeitung vorliegen, etwa eine Einwilligung der betroffenen Person, ein gesetzliches Erfordernis oder ein berechtigtes Interesse. Verstöße gegen diese Regelungen können mit erheblichen Bußgeldern geahndet werden, wobei die jeweilige Datenschutzbehörde für die Kontrolle und Durchsetzung zuständig ist.
Welche Informationspflichten bestehen gegenüber Betroffenen bei der Datenerhebung?
Nach Art. 13 und 14 DSGVO sind Verantwortliche verpflichtet, betroffene Personen bei der Erhebung von personenbezogenen Daten umfassend zu informieren. Dies umfasst unter anderem die Identität und Kontaktdaten des Verantwortlichen, den Zweck und die Rechtsgrundlage der Verarbeitung, die geplante Dauer der Speicherung, die Weitergabe an Dritte sowie Hinweise auf Betroffenenrechte (z.B. Auskunfts- oder Beschwerderecht bei der Aufsichtsbehörde). Werden die Informationen nicht direkt bei der betroffenen Person erhoben, müssen die Informationspflichten nachträglich und innerhalb bestimmter Fristen erfüllt werden. Die Erfüllung dieser Pflichten ist ein zentrales Element der Transparenzanforderungen und Voraussetzung für die Rechtmäßigkeit der Datenverarbeitung.
Unter welchen Voraussetzungen ist eine Übermittlung von Daten in Drittländer zulässig?
Die Übermittlung personenbezogener Daten in Staaten außerhalb des Europäischen Wirtschaftsraums (sog. Drittländer) ist nach Art. 44 ff. DSGVO nur gestattet, wenn dort ein angemessenes Datenschutzniveau gewährleistet ist. Dies kann zum Beispiel durch einen Angemessenheitsbeschluss der Europäischen Kommission, geeignete Garantien wie Standarddatenschutzklauseln oder verbindliche interne Datenschutzvorschriften („Binding Corporate Rules“) nachgewiesen werden. Fehlt ein angemessenes Schutzniveau, sind Ausnahmen erforderlich, etwa die ausdrückliche Einwilligung der betroffenen Person unter vorheriger Aufklärung über die bestehenden Risiken. Regelverstöße in diesem Bereich können gravierende rechtliche Folgen nach sich ziehen.
Welche Pflichten gelten bei der Auftragsverarbeitung durch Dritte?
Werden personenbezogene Daten im Auftrag eines anderen, etwa durch externe Dienstleister, verarbeitet, liegt eine sogenannte Auftragsverarbeitung gemäß Art. 28 DSGVO vor. Zwischen dem Verantwortlichen und dem Auftragsverarbeiter muss ein schriftlicher Vertrag bestehen, der die Rechte und Pflichten beider Parteien klar regelt. Der Auftragsverarbeiter darf die Daten ausschließlich auf Weisung des Verantwortlichen und unter Beachtung aller gesetzlichen Datenschutzbestimmungen verarbeiten. Zudem ist der Verantwortliche verpflichtet, die Eignung des Auftragsverarbeiters bezüglich der Einhaltung datenschutzrechtlicher Vorgaben sorgfältig zu prüfen und regelmäßig zu kontrollieren.
Welche Rechte haben Betroffene hinsichtlich ihrer Daten?
Betroffene Personen besitzen nach der DSGVO eine Vielzahl von Rechten in Bezug auf ihre verarbeiteten personenbezogenen Daten. Hierzu zählen insbesondere das Recht auf Auskunft (Art. 15 DSGVO), das Recht auf Berichtigung (Art. 16), Löschung (Art. 17 „Recht auf Vergessenwerden“), Einschränkung der Verarbeitung (Art. 18), Datenübertragbarkeit (Art. 20) sowie das Recht auf Widerspruch gegen die Verarbeitung (Art. 21). Die Verantwortlichen müssen Anfragen innerhalb eines Monats beantworten, Fristverlängerungen sind nur in Ausnahmefällen zulässig. Die Nichtbeachtung dieser Rechte kann zu Beschwerden bei den Aufsichtsbehörden und hohen Bußgeldern führen.
Welche Maßnahmen sind zur sicheren Verarbeitung personenbezogener Daten verpflichtend?
Artikel 32 DSGVO stellt klare Anforderungen an die Sicherheit der Datenverarbeitung. Verantwortliche und Auftragsverarbeiter müssen durch geeignete technische und organisatorische Maßnahmen (TOM) ein dem Risiko angemessenes Schutzniveau sicherstellen. Dazu zählen beispielsweise Verschlüsselung, Pseudonymisierung, Zugriffsbeschränkungen, regelmäßige Sicherheitsaudits sowie Prozesse zur Wiederherstellung von Daten im Falle eines physischen oder technischen Zwischenfalls. Es sind zudem Verfahren zur regelmäßigen Überprüfung dieser Maßnahmen vorgesehen, um deren Wirksamkeit dauerhaft zu gewährleisten.
Wann und in welcher Form sind Datenschutzverletzungen zu melden?
Bei einer Verletzung des Schutzes personenbezogener Daten („Datenpanne“) besteht nach Art. 33 DSGVO eine Meldepflicht gegenüber der zuständigen Aufsichtsbehörde, und zwar grundsätzlich binnen 72 Stunden nach Bekanntwerden des Vorfalls. Ist eine hohe Gefahr für die Rechte und Freiheiten der Betroffenen gegeben, müssen diese ebenfalls unverzüglich benachrichtigt werden (Art. 34 DSGVO). Die Meldung muss Art und Umfang des Vorfalls, mögliche Folgen und ergriffene Abhilfemaßnahmen detailliert darstellen. Die ordnungsgemäße Dokumentation von Datenschutzverletzungen ist gesetzlich vorgeschrieben und dient der Nachweispflicht gegenüber den Behörden.
