Datenbank

Definition und Begriff der Datenbank

Eine Datenbank ist im rechtlichen Sinne ein strukturiertes System zur Speicherung, Verwaltung und Abfrage großer Mengen von Daten. Im weiteren Kontext kann eine Datenbank sowohl eine Sammlung einzelner Daten als auch die sie verwaltende Software umfassen. Im deutschen und europäischen Recht, insbesondere im Urheberrechtsgesetz (UrhG) sowie im Datenbankgesetz, werden Datenbanken als eigenständige Schutzgegenstände definiert und behandelt.

Rechtliche Einordnung von Datenbanken

Urheberrechtlicher Schutz von Datenbanken

Schutz als Datenbankwerk gemäß § 4 UrhG

Eine Datenbank kann gemäß § 4 UrhG als Datenbankwerk urheberrechtlichen Schutz genießen. Voraussetzung hierfür ist, dass die Auswahl oder Anordnung der enthaltenen Daten eine persönliche geistige Schöpfung darstellt, also eine sogenannte „Schöpfungshöhe“ erreicht wird. Der Schutz erstreckt sich dabei nicht auf die einzelnen Daten selbst, sondern auf deren besondere Auswahl oder strukturierte Anordnung.

Schutz nach dem sui-generis Recht gemäß § 87a ff. UrhG

Selbst wenn eine Datenbank nicht die urheberrechtliche Schöpfungshöhe erreicht, kann sie durch das sui-generis Datenbankrecht nach §§ 87a ff. UrhG geschützt sein. Dieses Schutzrecht steht dem Hersteller einer Datenbank zu, sofern er für die Beschaffung, Überprüfung oder Darstellung der Daten eine wesentliche Investition aufwendet. Das sui-generis Recht schützt die umfassende Investition in die Schaffung und Pflege der Datenbank gegen Übernahme wesentlicher Teile der Datenbank durch Dritte.

Schutzumfang und Schranken

Schutzumfang des urheberrechtlichen Datenbankwerks

Der Schutz erstreckt sich darauf, dass ein unberechtigtes Vervielfältigen, Verbreiten und öffentliches Zugänglichmachen der spezifischen Datenbankstruktur unterbunden wird. Der Urheber kann Nutzungsrechte einschränken und Lizenzen vergeben.

Schutzumfang des sui-generis Rechts

Das sui-generis Recht schützt die Datenbank unabhängig von ihrer schöpferischen Leistung. Es verbietet insbesondere das vollständige oder wesentliche Übernehmen des Inhalts sowie sich wiederholende und systematische Entnahmen („Ausleseschutz“).

Schranken des Datenbankschutzes

Gesetzliche Schranken begrenzen auch das Datenbankrecht. Zulässig bleiben insbesondere die Nutzung zu privaten Zwecken, die Nutzung für wissenschaftliche Zwecke (§ 87c UrhG) sowie die Nutzung durch öffentliche Einrichtungen, soweit sie für Lehre und Forschung erforderlich ist (§ 87d UrhG).

Entstehung und Dauer des Schutzes

Schutzbeginn und Registrierung

Ein Datenbankrecht entsteht stets mit der Herstellung der Datenbank, eine förmliche Registrierung ist im deutschen Recht nicht vorgesehen.

Schutzdauer

Der urheberrechtliche Schutz als Datenbankwerk besteht bis 70 Jahre nach dem Tod des Urhebers. Das sui-generis Recht an der Datenbankdauer beträgt 15 Jahre ab Veröffentlichung. Wird die Datenbank weiterhin bedeutend aktualisiert und mit wesentlichen Investitionen verändert, beginnt die Schutzfrist erneut.

Rechte und Pflichten der Datenbankhersteller und -nutzer

Rechte des Herstellers

Der Hersteller einer Datenbank kann die Nutzung durch Dritte überwachen und verlangen, dass Entnahmen und Vervielfältigungen nur mit seiner Zustimmung erfolgen. Zudem kann er Ansprüche auf Unterlassung, Schadensersatz und Vernichtung bei Rechtsverletzungen geltend machen.

Pflichten und Risiken für Nutzer

Die Nutzer müssen Nutzungsrechte bzw. Lizenzen erwerben und die gesetzlichen Schranken beachten. Unberechtigte Nutzung, insbesondere das massenhafte Kopieren oder systematische Auslesen, kann Unterlassungs- und Schadensersatzansprüche auslösen.

Datenschutzrechtliche Aspekte von Datenbanken

Datenbanken enthalten oft personenbezogene Daten. Daraus ergeben sich umfangreiche Pflichten etwa aus der Datenschutz-Grundverordnung (DSGVO) und dem Bundesdatenschutzgesetz (BDSG):

• Es besteht eine Informationspflicht gegenüber den betroffenen Personen.
• Personenbezogene Daten dürfen nur auf rechtlicher Grundlage verarbeitet werden.
• Es gelten Grundsätze wie Datenminimierung, Zweckbindung und technische sowie organisatorische Schutzmaßnahmen.
• Die Einhaltung der Betroffenenrechte (Auskunft, Löschung, Berichtigung) ist sicherzustellen.

Straf- und zivilrechtliche Folgen von Rechtsverletzungen an Datenbanken

Die unbefugte Nutzung, Entnahme oder Verwertung von Daten aus geschützten Datenbanken kann zivilrechtliche (Unterlassungs- und Schadensersatzklagen) und unter bestimmten Umständen auch strafrechtliche Sanktionen nach sich ziehen. Maßgeblich sind dabei die §§ 106 ff. UrhG (bei Urheberrechtsverstößen) sowie § 108b UrhG bezüglich Datenbanken.

Internationale Aspekte und harmonisiertes EU-Recht

Die europäische Richtlinie 96/9/EG („Datenbankrichtlinie“) harmonisiert den Schutz von Datenbanken innerhalb der EU. Sie bildet die Grundlage für das deutsche Sui-generis Datenbankrecht (§§ 87a ff. UrhG) und regelt Schutzumfang, Rechte und Ausnahmen. International bleibt der Schutz jedoch auf den Anwendungsbereich der Richtlinie bzw. auf Vertragsstaaten mit vergleichbaren Vorschriften beschränkt.

Fazit

Datenbanken sind im Recht sowohl urheberrechtlich als auch aufgrund eigener Sonderschutzrechte umfassend geschützt. Der rechtliche Rahmen bezieht sich sowohl auf die schöpferische Leistung der Auswahl und Anordnung von Daten als auch die wirtschaftliche Investition in deren Zusammenstellung. Dabei sind zahlreiche Aspekte des Datenschutzes, der Nutzungsregulierung sowie internationale Vorgaben zu beachten. Rechtsverletzungen können erhebliche zivil- und strafrechtliche Konsequenzen nach sich ziehen. Der Schutz fördert Innovation, schützt Investitionen und sorgt zugleich für die Rechtssicherheit im Umgang mit strukturierten Datenmengen.

Häufig gestellte Fragen

Wer ist rechtlich betrachtet der Verantwortliche für eine Datenbank im Sinne des Datenschutzes?

Der Verantwortliche für eine Datenbank im datenschutzrechtlichen Sinne ist grundsätzlich die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Nach Art. 4 Nr. 7 DSGVO definiert sich somit der Verantwortliche nicht zwangsläufig anhand der faktischen Kontrolle über die Datenbank-Hardware oder -Software, sondern anhand der tatsächlichen Entscheidungskompetenz bezüglich Erhebung, Speicherung, Nutzung und Löschung der darin enthaltenen Daten. Dies kann der Betreiber, der Auftraggeber eines Dienstleisters oder auch eine gemeinsam verantwortliche Unternehmensgruppe sein. Im Falle von ausgelagerten IT-Diensten bleibt jedoch häufig das beauftragende Unternehmen der Verantwortliche, während der IT-Dienstleister als Auftragsverarbeiter handelt. Die rechtliche Verantwortlichkeit zieht weitreichende Pflichten nach sich, unter anderem die Gewährleistung der Datensicherheit, die Ermöglichung von Betroffenenrechten sowie die Dokumentation aller Verarbeitungsaktivitäten.

Welche datenschutzrechtlichen Anforderungen gelten bei der Speicherung personenbezogener Daten in Datenbanken?

Bei der Speicherung personenbezogener Daten in Datenbanken sind die Grundsätze des Datenschutzrechts zu beachten, insbesondere nach der Datenschutz-Grundverordnung (DSGVO). Dazu zählt die Rechtmäßigkeit der Verarbeitung, Transparenz, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung sowie Integrität und Vertraulichkeit der Daten. Vor der Speicherung muss geprüft werden, ob eine gültige Rechtsgrundlage (z.B. Einwilligung, Vertragserfüllung, berechtigtes Interesse) besteht. Es sind geeignete technische und organisatorische Maßnahmen (§ 32 DSGVO) zu treffen, um unbefugten Zugriff, Verlust oder Manipulation zu verhindern. Ferner müssen Betroffenenrechte, wie Auskunfts-, Berichtigungs-, Löschungs- und Widerspruchsrechte, auch für in Datenbanken gespeicherte Daten jederzeit gewährleistet werden. Je nach Sensibilität der gespeicherten Daten können erhöhte Anforderungen, z.B. Schutzniveaus für Gesundheitsdaten, relevant werden.

Muss der Betrieb einer Datenbank in das Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 DSGVO aufgenommen werden?

Ja, der Betrieb einer Datenbank, in der personenbezogene Daten verarbeitet werden, muss gemäß Art. 30 DSGVO in das sogenannte Verzeichnis von Verarbeitungstätigkeiten aufgenommen werden. Dieses Verzeichnis muss alle relevanten Informationen zur jeweiligen Datenverarbeitung enthalten, unter anderem Kategorien betroffener Personen und Daten, Zwecke der Verarbeitung, die betroffenen Empfänger sowie die vorgesehenen Löschfristen und eine Beschreibung der technischen und organisatorischen Maßnahmen. Das Verzeichnis ist jederzeit auf aktuellem Stand zu halten und der Aufsichtsbehörde auf Verlangen vorzulegen. Eine Ausnahme besteht lediglich für Unternehmen mit weniger als 250 Mitarbeitern, sofern die Verarbeitung nur gelegentlich erfolgt, keine besonderen Risiken für die betroffenen Personen besteht und es nicht um besondere Kategorien personenbezogener Daten geht.

Welche Aufbewahrungsfristen und Löschpflichten bestehen für Daten in einer Datenbank?

Die Aufbewahrungsfristen und Löschpflichten ergeben sich größtenteils aus gesetzlichen Vorgaben, wie handels- und steuerrechtlichen Aufbewahrungspflichten (z. B. 6 oder 10 Jahre nach HGB bzw. AO). Nach Ablauf der Fristen müssen die entsprechenden Daten unaufgefordert und datenschutzkonform gelöscht bzw. anonymisiert werden. Unabhängig von gesetzlichen Fristen schreibt Art. 17 DSGVO das „Recht auf Vergessenwerden“ vor, das bedeutet, personenbezogene Daten sind zu löschen, sobald deren Speicherung für die ursprünglich verarbeiteten Zwecke nicht mehr erforderlich ist oder betroffene Personen ihre Einwilligung widerrufen. Es müssen technische Vorkehrungen sichergestellt werden, die eine regelmäßige Überprüfung und Umsetzung der Löschpflichten in der Datenbank erlauben. Die Umsetzung umfasst sowohl die Entfernung aus aktiven Datenbeständen als auch aus Backups, soweit technisch möglich und verhältnismäßig.

Welche besonderen Anforderungen gelten für die Übermittlung von Daten aus einer Datenbank an Dritte?

Bei der Übermittlung von Daten aus einer Datenbank an Dritte sind insbesondere die spezifischen Erlaubnistatbestände der DSGVO (Art. 6 ff.) zu beachten. Eine Übermittlung darf nur erfolgen, wenn eine rechtmäßige Grundlage existiert, etwa eine ausdrückliche Einwilligung der betroffenen Personen, eine gesetzliche Verpflichtung oder ein berechtigtes Interesse, das nicht die Interessen der Betroffenen überwiegt. Zudem muss die Transparenz gewahrt bleiben und die betroffenen Personen müssen über die Empfänger und Zwecke der Übermittlung informiert werden. Bei Empfängern außerhalb der EU ist zudem sicherzustellen, dass ein angemessenes Datenschutzniveau herrscht (z.B. durch Angemessenheitsbeschluss, Standardvertragsklauseln oder Binding Corporate Rules). Die technische Sicherheit der Übermittlung, etwa durch Verschlüsselung, ist verpflichtend. Schließlich muss die Datenübermittlung im Verzeichnis von Verarbeitungstätigkeiten dokumentiert und ggf. ein Auftragsverarbeitungsvertrag mit dem Dritten abgeschlossen werden.

Wann ist eine Datenschutz-Folgenabschätzung für eine Datenbank erforderlich?

Eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO ist immer dann erforderlich, wenn die Verarbeitung in einer Datenbank voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringt. Dies ist insbesondere der Fall bei umfangreichen Verarbeitungen besonderer Kategorien personenbezogener Daten (wie Gesundheitsdaten oder Daten über strafrechtliche Verurteilungen), systematischer und umfassender Überwachung oder Profiling. Die Folgenabschätzung beinhaltet die Beschreibung der geplanten Verarbeitung, Bewertung der Notwendigkeit und Verhältnismäßigkeit sowie die Risikoabschätzung und geplante Maßnahmen zur Risikominimierung. Bei Unsicherheiten empfiehlt es sich, Rücksprache mit der Datenschutzaufsicht oder dem betrieblichen Datenschutzbeauftragten zu halten.

Wer haftet im Falle eines Datenschutzverstoßes im Zusammenhang mit einer Datenbank?

Im Falle eines Datenschutzverstoßes haftet in erster Linie der datenschutzrechtlich Verantwortliche für die Datenbank. Kommt es infolge mangelnder technischer oder organisatorischer Maßnahmen zu einem Datenleck, einer unbefugten Verarbeitung oder einer anderweitigen Datenschutzverletzung, können sowohl Bußgelder (gem. Art. 83 DSGVO) als auch Schadensersatzforderungen betroffener Personen (§ 82 DSGVO) auf das verantwortliche Unternehmen zukommen. Sofern ein Auftragsverarbeiter beteiligt ist, haftet dieser ebenfalls, wenn er gegen die ihn treffenden Pflichten verstößt oder außerhalb der Weisungen des Verantwortlichen handelt. Eine etwaige Innenhaftung regeln die vertraglichen Vereinbarungen zwischen Verantwortlichem und Auftragsverarbeiter.

Welche Meldepflichten bestehen bei einer Datenpanne in einer Datenbank?

Kommt es zu einer Verletzung des Schutzes personenbezogener Daten (Datenpanne) in einer Datenbank, besteht gemäß Art. 33 DSGVO eine Meldepflicht an die zuständige Datenschutzaufsichtsbehörde innerhalb von 72 Stunden nach Bekanntwerden des Vorfalls. Zusätzlich ist gem. Art. 34 DSGVO auch die betroffene Person unverzüglich zu informieren, wenn die Verletzung ein voraussichtlich hohes Risiko für deren Rechte und Freiheiten zur Folge hat (z.B. bei Verlust sensibler Daten). Die Meldung muss Art, Umfang, Folgen der Datenpanne und geplante Abhilfemaßnahmen genau beschreiben. Unternehmen sollten hierfür Prozesse implementieren, die eine rechtzeitige Identifikation, Bewertung und Meldung solcher Vorfälle gewährleisten.