Kommunikation &Recht

Transkript

1 Kommunikation &Recht Betriebs-Berater für Medien Telekommunikation Multimedia 9 K&R Editorial: Strategie für einen digitalen europäischen Binnenmarkt Günther H. Oettinger 537 Elektronische Signatur und das besondere elektronische Anwaltspostfach: FördElRV update 2016 Dr. Arnd-Christian Kulow 543 Gegenwart und Zukunft der Alterskennzeichnung von Mobile Apps Felix Hilgert und Philipp Sümmermann 549 Trefferlisten seiteninterner Suchmaschinen in Handelsplattformen und Markenrecht Dr. Alexander R. Klett und Maria Ottermann 555 Urheberrechtsverletzung durch Werbung für rechtsverletzendes Produkt Dr. Dennis Voigt 556 Filmen während der Fahrt der rechtliche Umgang mit Dashcams Michael Terhaag und Christian Schwarz 559 Datenschutzrecht und Webseiten: Welches Recht ist anwendbar und welche Aufsichtsbehörde ist zuständig? Dr. Carlo Piltz 563 Das medienrechtliche Must-Carry-Regime und das Kartellrecht ein schwieriges Verhältnis Prof. Dr. Karl-E. Hain 566 Länderreport Schweiz Dr. Ursula Widmer 600 LG Frankfurt a. M.: Sofortüberweisung stellt keine zumutbare kostenfreie Zahlungsmöglichkeit dar mit Kommentar von Dr. Martin Schirmbacher 608 Glosse: Nein, nein, nein und nochmals nein! Michael Schmuck Beihefter 3/2015 Daten als Geschäftsmodell Dr. Flemming Moos, Marian Alexander Arning und Dr. Jens Schefzig 18. Jahrgang September 2015 Seiten

2 Kommunikation &Recht K&R Beihefter 3/2015 zu Heft 9 Daten als Geschäftsmodell Herausgeber: RA Dr. Flemming Moos, RA Marian Alexander Arning, LL.M. und RA Dr. Jens Schefzig, Hamburg Inhaltsübersicht Daten als Geschäftsmodell rechtliche Herausforderungen und Gestaltungsanforderungen im Übergang zum Datenzeitalter RA Dr. Flemming Moos, RA Marian Alexander Arning, LL.M. und RA Dr. Jens Schefzig, Hamburg... 2 Wem gehçrt das neue Öl? Die Sicherung der Rechte an Daten RA Dr. Jens Schefzig, Hamburg... 3 Datenpools Big Data datenschutzkonform umsetzen RA Marian Alexander Arning, LL.M., Hamburg... 7 Geht nicht gibt es nicht: Datennutzung als rechtliche Gestaltungsaufgabe RA Dr. Flemming Moos, Hamburg dfv Mediengruppe, Mainzer Landstr. 251, Frankfurt a. M.

3 2 Beihefter 3/2015 zu Heft 9 K&R Übergang ins Datenzeitalter in Angriff zu nehmen. Denn durch frühzeitige, aktive rechtliche Gestaltung der Datenhaushaltung lassen sich viele der anderenfalls aufkommenden Probleme vermeiden. Dieser imminente Handlungsbedarf bei den Unternehmen hatte uns veranlasst, im Mai 2015 in unserer Kanzlei eine Vortragsveranstaltung zu ausgewählten rechtlichen Fragestellungen zu organisieren, die es hierbei aus Unternehmenssicht zu bewältigen gilt. Bei den nachfolgenden drei Beiträgen handelt es sich um die ausformulierten und erweiterten Fassungen der von Rechtsanwälten von RA Dr. Flemming Moos, RA Marian Alexander Arning, LL.M. und RA Dr. Jens Schefzig, Hamburg * Daten als Geschäftsmodell rechtliche Herausforderungen und Gestaltungsanforderungen im Übergang zum Datenzeitalter Daten sind das Öl der Zukunft, diesbezüglich sind sich alle Analysten einig. Die Quelle sprudelt dabei fortwährend, denn dank zunehmender Vernetzung von Mensch und Maschine steigt die Menge der verfügbaren Daten exponentiell. Die Unternehmen müssen die Daten nur noch gewinnbringend verwerten. Das Einsortieren datengetriebener Geschäftsmodelle in Schubladen mit den Bezeichnungen Industrie 4.0, Big Data, Internet der Dinge etc. suggeriert dabei, dass die Unternehmen sich auf schon einigermaßen bekanntem Terrain bewegen und der Umsetzungspfad klar vorgezeichnet ist. Doch dieser Eindruck täuscht. Die Entwicklung der neuen, datengetriebenen Geschäftsmodelle steht erst am Anfang dasselbe gilt auch und gerade für deren rechtliche Absicherung. Die Verwertung von Daten birgt zahlreiche rechtliche Herausforderungen. Die unklare Lage bezüglich der Rechte an Daten, die konkreten Beschränkungen aus der Zweckbindung von personenbezogenen Daten und die Anforderungen an deren nachhaltige Anonymisierung sind nur drei Beispiele für derartige offene Punkte. Ein klarer und verlässlicher gesetzlicher Handlungsrahmen ist aber von entscheidender Bedeutung, wenn hiesige Unternehmen ihre Geschäftsmodelle erfolgreich an das Datenzeitalter anpassen sollen. Das ist auch dem Gesetzgeber bewusst. So hat die Europäische Kommission explizit den Aufbau einer Datenwirtschaft als einen wesentlichen Grundpfeiler ihrer am verçffentlichten Strategie für den digitalen Binnenmarkt in Europa benannt. Ihr Ziel ist es hierbei, bereits im Jahr 2016 diverse Initiativen auf den Weg zu bringen, um technische und rechtliche Hindernisse aus dem Weg zu räumen, die u. a. die Klarheit von Datennutzungsrechten und die grenzüberschreitende Datennutzung betreffen. Die technische Entwicklung und die außereuropäischen Wettbewerber warten aber leider nicht auf den Gesetzgeber. Den Unternehmen bleibt deshalb nichts übrig, als schon heute auf Basis des bestehenden Rechtsrahmens den Osborne Clarke auf dieser Veranstaltung gehaltenen Vorträge. Der erste Aspekt, dem in diesem Zusammenhang auf den Grund gegangen wurde, war das Bestehen und die Sicherung von Rechten an Daten. Dieser Problemstellung widmet sich Schefzig in seinem Beitrag: Wem gehçrt das neue Öl? Die SicherungderRechte an Daten. Der zweite Beitrag von Arning mit dem Titel Datenpools Big Data datenschutzkonform umsetzen behandelt die Umsetzung von Big Data-Anwendungen durch Unternehmen und zeigt auf, welche datenschutzrechtlichen Anforderungen hierbei zu beachten sind und wie Big Data-Projekte datenschutzkonform durchgeführt werden kçnnen. Der letzte Beitrag mit der Überschrift Geht nicht, gibt es nicht: Datennutzung als rechtliche Gestaltungsaufgabe wurde von Moos verfasst. Ausgehend von der Überlegung, dass in einer datengetriebenen Wirtschaft die Erhebung und Verwendung personenbezogener Daten das Geschäftsmodell selbst oder zumindest die wesentliche Grundlage für die Gestaltung des Produkt- und Dienstangebots darstellen wird, erläutert er anhand von Beispielen aus der Praxis, wie der Datenschutzjurist seiner Aufgabe als strategischer Mitgestalter nachkommen und rechtliche Gestaltungsmçglichkeiten ausnutzen kann. * Mehr über die Autoren erfahren Sie auf S. 16.

4 K&R Beihefter 3/2015 zu Heft 9 3 RA Dr. Jens Schefzig, Hamburg * Wem gehçrt das neue Öl? Die Sicherung der Rechte an Daten Mit dem steigenden Wert von Daten steigt auch das Interesse von Unternehmen, Daten rechtlich abzusichern. Dieser Beitrag bietet einen Überblick darüber, welche Rechte an einem Datenbestand existieren kçnnen und welche Mçglichkeiten Unternehmen haben, um diese Rechte aktiv zu gestalten. Dabei orientiert sich der Beitrag an den mçglichen Rechtsobjekten, auf die sich die Rechte beziehen, nämlich (i) den Daten selbst, (ii) der Datenbank, (iii) den Inhalten der Daten und (iv) den Datenträgern. I. Die Bedeutung von Daten für Unternehmen Unternehmen müssen sich mit Herausforderungen auseinandersetzen, die primär mit dem Management von Daten zusammenhängen. So schreibt es der BITKOM. 1 Aus der Perspektive des Juristen ist eine der grçßten Herausforderung beim Management von Daten deren rechtlicher Schutz. Zusehends stellen die Fachabteilungen entsprechende Fragen an die Syndizi: Wem gehçren die Daten? Welche Punkte sind bei der Datenhaltung zu beachten? Existiert ein rechtlicher Schutz gegenüber dem Zugriff von Dritten? Wie ist beim Austausch von Daten mit Dritten vorzugehen? Dieser Beitrag bietet einen Überblick über die Antworten auf diese Fragen. Insbesondere stellt er dar, wo sich für Unternehmen Ansatzpunkte bieten, die Rechte an Daten aktiv zu gestalten. Denn in der juristischen Praxis zeigt sich laufend, dass die verspätete Adressierung der oben aufgeführten Fragen dazu führt, dass den betroffenen Unternehmen vermeidbare Kosten entstehen oder sie mçgliche Einnahmen nicht realisieren. II. Abgrenzung der relevanten Rechtsobjekte Daten existieren nicht autonom, sondern bençtigen einen Datenträger. Der besondere Wert von Daten ergibt sich dabei regelmäßig nicht aus den Daten als solchen, sondern aus ihren Inhalten, also dem sinnlich wahrnehmbaren Ergebnis, wenn die Daten bestimmungsgemäß ausgeführt werden. Schließlich kann der Wert von Daten zusätzlich gesteigert werden, indem sie derart systematisiert werden, dass sie besonders leicht zugänglich und auffindbar sind. Folglich sind bei der rechtlichen Auseinandersetzung vier mçgliche Rechtsobjekte zu unterscheiden: Ein Recht kann sich auf den Datenträger, die systematisierte Darstellung der Daten, den Inhalt der Daten oder letztlich die Daten als solche beziehen. Während im juristischen Diskurs eine Differenzierung meist nach mçglichen Rechten und nicht Rechtsobjekten erfolgt, ist für Unternehmen die umgekehrte Vorgehensweise empfehlenswert. Denn häufig wird ein Unternehmen nicht im Hinblick auf alle Rechtsobjekte eigene Rechte haben. Für potenzielle Vertragsverhandlungen mit Kooperationspartnern ist es dann essenziell, zu wissen, bei welchem Unternehmen im Hinblick auf welches Rechtsobjekt welches Recht erwächst. Die grundsätzliche Unterscheidung der Rechtsobjekte ist deshalb von großer Bedeutung. Die Daten selbst lassen sich als maschinenlesbare, codierte Informationen beschreiben. 2 Während die Inhalte der Daten die semantische Ebene widerspiegeln, konstituiert die syntaktische Ebene die Daten als solche. 3 Die systematisierte Darstellung der Daten, also die Datenbank, kann ebenfalls Bezugspunkt eines Rechts sein. Entscheidend ist dabei, inwiefern die Daten auf gewisse Weise strukturiert sind. Der Schutz folgt dann letztlich aus der Systematisierung der Daten, beziehungsweise der Investition in diese Systematisierung. 4 Der Inhalt der Daten betrifft ihre semantische Ebene, er ist das Ergebnis des bestimmungsgemäßen Ausführens der Daten. Es kann sich beispielsweise um einen Text, ein Musikstück oder ein Video, aber auch um bloße Messpunkte, handeln. Der Datenträger ist das Speichermedium, auf dem die Daten gespeichert sind. Das kann eine CD, eine DVD, eine Festplatte, ein USB-Stick oder ein sonstiges zur Speicherung von Daten geeignetes Gerät sein. III. Rechtlicher Schutz der Daten selbst 1. Eigentum Nach 903 BGB kann der Eigentümer einer Sache, soweit nicht das Gesetz oder Rechte Dritter entgegenstehen, mit der Sache nach Belieben verfahren und andere von jeder Einwirkung ausschließen. Das Eigentumsrecht weist dem Eigentümer die grundsätzliche Verfügungsgewalt über sein Eigentum im Verhältnis zu Dritten zu. Angesichts des eingangs dargestellten Wertes von Daten scheint es naheliegend, dass auch an diesem wertvollen Gut eine entsprechende gesetzlich statuierte Verfügungsgewalt besteht. Der Bezugspunkt des Eigentums ist aber eine Sache im Sinne des Zivilrechts, also nach 90 BGB ein kçrperlicher Gegenstand. Daten sind keine kçrperlichen Gegenstände. Aus diesem Grund geht die herrschende Meinung davon aus, dass kein zivilrechtliches Eigentum an Daten existiert. 5 Teile der Literatur versuchen mit verschiedenen Ansätzen, trotzdem einen wenigstens eigentumsähnlichen zivilrechtlichen Schutz von Daten herzuleiten. Einen Anknüpfungspunkt stellten dabei stets die strafrechtlichen Regelungen dar, die dem Schutz von Daten dienen, also insbesondere die 202 a und 303 a StGB. Aus 303 a StGB wurde schon früh auf ein Vollrecht an Daten analog 903 BGB geschlossen, ohne allerdings die zivilrechtlichen Implikationen näher zu untersuchen. 6 In der jüngeren Literatur ist dann ein origi- * Mehr über den Autor erfahren Sie auf S BITKOM, Leitfaden Big Data im Praxiseinsatz Szenarien, Beispiele, Effekte, S. 11, abrufbar unter nen/publikation_4232.html, letzter Abruf: Zech, CR 2015, 137, Zech, CR 2015, 137, Siehe dazu Ziffer IV. 5 Dorner, CR 2014, 617, 618 ff. 6 Welp, iur 1988, 443, 448; Wolf, MMR 2003, XIV, XVI.

5 4 Beihefter 3/2015 zu Heft 9 K&R när zivilrechtliches Eigentum an Daten aus 303a StGB konstruiert worden. 7 Die im Strafrecht entwickelte Analogie zu 903 BGB müsse auch im Zivilrecht gelten, weil hier eine planwidrige Regelungslücke zu schließen sei. 8 Allerdings ist diese Argumentation, soweit ersichtlich, bislang von der übrigen Rechtswissenschaft nicht übernommen worden und insbesondere fehlt entsprechende Rechtsprechung. Unternehmen kçnnen sich also, sofern keine gegenteiligen Entscheidungen ergehen oder der Gesetzgeber tätig wird, nicht darauf verlassen, dass ihre Daten durch ein Recht analog 903 BGB geschützt wären. 2. Sonstiges Recht i. S. d. 823 Abs. 1 BGB Ebenso wenig hat die Rechtsprechung bislang ein eigenes Recht an Daten als sonstiges Recht i. S. d. 823 Abs. 1 BGB anerkannt. Zwar hat der BGH schon 1996 einen Datenbestand als ein selbständiges vermçgenswertes Gut bezeichnet, das Gericht leitet daraus aber nur ab, dass der Verlust des Datenbestandes für die Bestimmung der Hçhe des Schadens von Bedeutung ist. 9 Ein sonstiges Recht an Daten ergibt sich aus dieser Rechtsprechung nicht. Auch verfassungsrechtlich lässt sich allenfalls eine Tendenz ausmachen, Daten eine hohe Bedeutung beizumessen. Das BVerfG hat in jüngerer Zeit aus dem allgemeinen Persçnlichkeitsrecht das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme hergeleitet und damit verdeutlicht, dass die neue Lebenswirklichkeit der allgegenwärtigen Technik auch neue Rechte mit sich bringt. 10 Ausgangspunkt war dabei, dass die Nutzung der Informationstechnik für die Persçnlichkeit und Entfaltung des Einzelnen eine früher nicht absehbare Bedeutung erlangt habe. 11 Die Vertraulichkeit und Integrität der genutzten informationstechnischen Systeme sei deshalb letztlich eine Voraussetzung für einen effektiven Schutz des allgemeinen Persçnlichkeitsrechts. 12 Eine entsprechende Argumentation im Hinblick auf den effektiven Schutz des Vermçgens des Einzelnen hat die Rechtsprechung aber noch nicht entwickelt. Teile der Literatur vertreten hingegen, dass ein Recht des Dateninhabers an seinen Daten als sonstiges Recht i. S. d. 823 Abs. 1 BGB geschützt werden müsse. 13 Kern der Argumentation ist dabei, dass auch in den unkçrperlichen Daten erhebliche Werte verkçrpert sind und eine zunehmende Virtualisierung von Gütern zu verzeichnen sei. Die Ungleichbehandlung von unkçrperlichen und kçrperlichen Gegenständen sei vor diesem Hintergrund nicht beizubehalten. 14 Zwar mag die genannte Position der Literatur auch der Sichtweise von Unternehmen entsprechen, mangels korrespondierender Rechtsprechung ist aber nichtsdestoweniger davon auszugehen, dass Daten nicht durch ein sonstiges Recht i. S. d. 823 Abs. 1 BGB geschützt sind. 3. Sach- oder Rechtsfrüchte Teilweise werden Daten auch als Sach- oder Rechtsfrüchte anderer Sachen, nämlich der jeweiligen Sensoren oder aber des Gegenstands, auf den die Daten sich beziehen, gesehen. 15 In Verbindung mit den 953 ff. BGB soll sich deshalb ergeben, dass der Eigentümer des jeweiligen anderen Gegenstands automatisch auch Rechte an den Daten erwirbt. Auch diese Argumentation ist jedoch von der Rechtsprechung, soweit ersichtlich, noch nicht übernommen worden. Sie begegnet ohnehin grundlegenden Bedenken, weil weder 99 BGB noch die 953 ff. BGB die Sacheigenschaft und damit die Eigentumsfähigkeit der Daten begründen. 16 Sie setzen diese Eigenschaft der Früchte bzw. Erzeugnisse vielmehr voraus, um darauf aufbauend die zivilrechtliche Zuordnung zu regeln. 4. Geheimnisschutz Der Geheimnisschutz ist sowohl in faktischer 17 als auch in rechtlicher Hinsicht 18 ein Querschnittsthema. Im gegebenen Rahmen sind erschçpfende Ausführungen daher nicht mçglich. Näher soll hier deshalb nur auf den besonders relevanten 17 UWG eingegangen werden. Schutzgut des 17 UWG sind Betriebs- und Geschäftsgeheimnisse. Grundsätzlich ist ein Geschäfts- oder Betriebsgeheimnis jede im Zusammenhang mit einem Betrieb stehende Tatsache, die nicht offenkundig, sondern nur einem eng begrenzten Personenkreis bekannt ist und nach dem bekundeten Willen des Betriebsinhabers, der auf einem ausreichenden wirtschaftlichen Interesse beruht, geheim gehalten werden soll. 19 Daten sind dann Betriebs- und Geschäftsgeheimnisse in diesem Sinne, wenn sie einen Bezug zum Geschäftsbetrieb des jeweiligen Unternehmens aufweisen, nicht offenkundig sind sowie nach dem subjektiven Willen und objektiv nachvollziehbaren berechtigten wirtschaftlichen Interesse auch geheim bleiben sollen. 20 Bei alleine betriebsintern verfügbaren Daten, die im Rahmen des Geschäftsbetriebs gewonnen wurden, beispielsweise Messdaten von Produktionsanlagen, dürften diese Voraussetzungen regelmäßig erfüllt sein. Grundsätzlich wird der Wert der Daten oder der in ihnen verborgenen Erkenntnisse indizieren, dass es sich bei ihnen auch um Betriebs- und Geschäftsgeheimnisse handelt. 21 Entscheidend für Unternehmen ist es insoweit, den Geheimnisschutz nicht selbst zu beeinträchtigen, indem Daten çffentlich verfügbar gemacht werden. Soweit im Unternehmen ein angemessener faktischer Geheimnisschutz etabliert ist, 22 der den Datenbestand erfasst, wird 17 UWG regelmäßig auch einen rechtlichen Geheimnisschutz bieten. 5. Wettbewerbsrechtlicher Schutz Neben dem bereits dargestellten Geheimnisschutz gemäß 17 UWG kann das Wettbewerbsrecht auch noch in anderer Hinsicht die Datenbestände eines Unternehmens schützen. Falls Daten gelçscht oder in anderer Weise unbrauchbar gemacht werden, kann darin eine gezielte Behinderung von Wettbewerbern nach 4 Nr. 10 UWG liegen. 23 Je nach konkreter Ausgestaltung einerseits des Zugriffs auf die Daten und 7 Hoeren, MMR 2013, 486, Hoeren, MMR 2013, 486, 488 f. 9 BGH, X ZR 64/94, Rn. 17, NJW 1996, 2924 ff. 10 BVerfG, BvR 370/07, K&R 2008, 241 ff.; 1 BvR 595/07, K&R 2008, 241 ff. = NJW 2008, 822 ff. 11 BVerfG, BvR 370/07, K&R 2008, 241 ff.; 1 BvR 595/07, K&R 2008, 241 ff. = NJW 2008, 822, 824, Rn BVerfG, BvR 370/07, K&R 2008, 241 ff.; 1 BvR 595/07, K&R 2008, 241 ff. = NJW 2008, 822, 824, Rn Bartsch, in: Grützmacher, Recht der Daten und Datenbanken in Unternehmen, 2014, S. 297, 300; Redeker, CR 2011, 634, 638 f.; Spindler, in: Leible/Lehmann/Zech, Unkçrperliche Güter im Zivilrecht, 2011, S. 270, 277 f.; Zech, Information als Schutzgegenstand, 2012, S. 386 f. 14 Bartsch, in: Grützmacher (Fn. 13), S. 297, 300; Redeker, CR 2011, 634, 638 f. 15 Grosskopf, IPRB 2011, 259, Zech, CR 2015, 137, Ann, GRUR 2014, 12, 14 ff. 18 Dorner, CR 2014, 617, 622 f. 19 Ohly, in: Ohly/Sosnitza, Gesetz gegen den unlauteren Wettbewerb, 6. Aufl. 2014, 17 UWG, Rn Dorner, CR 2014, 617, Dorner, CR 2014, 617, Dazu ausführlich: Ann, GRUR 2014, 12 ff. 23 Zieger/Smirra, MMR 2013, 418, 421.

6 K&R Beihefter 3/2015 zu Heft 9 5 andererseits ihrer Verwendung ist denkbar, dass auch die Voraussetzungen anderer wettbewerbsrechtlicher Tatbestände erfüllt sind. 6. Strafrechtlicher Schutz Im Gegensatz zum Zivilrecht bietet das Strafrecht Normen, die originär dem Schutz von Daten dienen. So schützen die 202 a und 202 b StGB vor dem Ausspähen und Abfangen von Daten und 202 c StGB stellt sogar darauf abzielende Vorbereitungshandlungen unter Strafe. Ergänzt werden diese Vorschriften durch 303 a StGB, der die rechtswidrige Datenveränderung verbietet. In Verbindung mit 823 Abs. 2 BGB ergeben sich aus diesen strafrechtlichen Vorschriften für Unternehmen auch zivilrechtlich durchaus weitgehende Sanktionsmçglichkeiten, falls ihnen durch einen unbefugten Zugriff auf Daten ein Schaden entstanden ist. 7. Zwischenergebnis Zwar kennt die deutsche Rechtsordnung (noch) kein Dateneigentum, aber Unternehmen sind trotzdem vor dem unbefugten Zugriff auf Daten geschützt. Dieser Schutz folgt insbesondere aus geheimnisschutzrechtlichen und strafrechtlichen Regelungen. Problematisch wird die mangelnde dingliche Zuordnung der Daten also primär dann, wenn Dritte bestimmungsgemäß auf die Daten zugreifen, wie es in einer arbeitsteiligen Wirtschaft durchaus üblich ist. In diesem Fall fehlen gesetzliche Regelungen, die die Verwertung der Daten regeln, weshalb die beteiligten Unternehmen eindeutige vertragliche Absprachen treffen sollten. 24 IV. Rechtlicher Schutz der Datenbanken 1. Datenbankwerk An einem Datenbankwerk in seiner Gesamtheit kann ein Urheberrecht bestehen. Das ergibt sich aus 4 UrhG. Nach 4 Abs. 1 UrhG werden Sammelwerke, also Sammlungen von Werken, Daten oder anderen unabhängigen Elementen, die aufgrund der Auswahl oder Anordnung der Elemente eine persçnliche geistige Schçpfung sind, wie selbstständige Werke geschützt. 4 Abs. 2 S. 1 UrhG konkretisiert diese Voraussetzungen für den Unterfall des Datenbankwerks dahingehend, dass als Datenbankwerk im Sinne des UrhG ein Sammelwerk geschützt ist, dessen Elemente systematisch oder methodisch angeordnet und einzeln mit Hilfe elektronischer Mittel oder auf andere Weise zugänglich sind. Auch das Datenbankwerk erhält seinen Schutz wie das klassische urheberrechtlich geschützte Werk aufgrund des in ihm verkçrperten schçpferischen Aktes. Zwar genügt insoweit wohl eine eher geringe Schçpfungshçhe, der Datenbankhersteller muss aber eine gewisse Kreativität oder wenigstens Findigkeit bei der Anordnung der einzelnen Elemente zu dem Datenbankwerk gezeigt haben. Eine bloß alphabetische oder chronologische Sortierung genügt nicht. 25 Ein Datenbankwerk muss vielmehr eine verhältnismäßig komplexe Struktur aufweisen. 26 Da es hier um ein echtes Urheberrecht geht, erwächst dieses immer einer natürlichen Person. Einem Unternehmen kçnnen nur die entsprechenden Nutzungsrechte eingeräumt werden. Viele Datensammlungen stellen kein Datenbankwerk dar. Systematisierte Datenbanken verlieren nämlich an Bedeutung, weil moderne Software auch unstrukturierte Daten analysieren kann. 27 Unternehmen bençtigen deshalb strukturierte Datenbanken häufig nicht mehr. Ein bloßer Datenhaufen ist aber nicht als Datenbankwerk geschützt. 28 Dieser Trend wird sich angesichts der fortwährenden Verbesserung von Software voraussichtlich eher verstärken. Letztlich ist außerdem zu beachten, dass das Auslesen einzelner Daten aus einem Datenbankwerk nicht zwangsläufig eine Urheberrechtsverletzung darstellt. Eine urheberrechtlich relevante Vervielfältigung liegt nämlich nur vor, wenn das Datenbankwerk als solches betroffen ist. 29 Im übernommenen Teil muss noch die in der Auswahl oder Anordnung zum Ausdruck gekommene individuelle Schçpfung erkennbar sein. 30 Das dürfte schon dann nicht mehr der Fall sein, wenn zwar die Daten komplett ausgelesen, aber beim Lesevorgang in anderer Struktur gespeichert werden. Der dadurch entstehende Datensatz mag dann inhaltlich dem ursprünglichen Datensatz entsprechen, das ursprüngliche Datenbankwerk wird in ihm aber nicht erkennbar sein. 2. Datenbankschutz sui generis In den 87 a ff. UrhG ist das Leistungsschutzrecht des Datenbankherstellers sui generis geregelt. Eine geschützte Datenbank ist gemäß 87 a Abs. 1 S. 1 UrhG eine Sammlung von Werken, Daten oder anderen unabhängigen Elementen, die systematisch oder methodisch angeordnet und einzeln mit Hilfe elektronischer Mittel oder auf andere Weise zugänglich sind und deren Beschaffung, Überprüfung oder Darstellung eine nach Art und Umfang wesentliche Investition erfordert. Die 87 a ff. UrhG schützen also die Investition des Datenbankherstellers. Der Datenbankhersteller ist nach 87 a Abs. 2 UrhG derjenige, der die Investition tätigt. Insoweit unterscheidet sich das Leistungsschutzrecht des Datenbankherstellers sui generis entscheidend von dem Schutz eines Datenbankwerks. Abgestellt wird nicht auf die kreative Konzeptionierung der Datenbank. Deshalb kann das Leistungsschutzrecht sui generis auch ein Unternehmen erwerben. Datenbankhersteller ist, wer das Investitionsrisiko trägt. 31 Das soll die Person sein, die die Organisations- und Anordnungsgewalt über den Datenbankaufbau innehat. 32 Schon aus Erwägungsgrund 41 der RL 96/9/EG ( Datenbankrichtlinie ), auf der die 87 a ff. UrhG beruhen, ergibt sich, dass im Falle einer Beauftragung eines Auftragnehmers mit der Erstellung einer Datenbank der Auftraggeber Datenbankhersteller i. S. d. 87 a Abs. 2 UrhG sein soll. Explizite Regelungen sind aber unbedingt empfehlenswert, wenn mehrere Unternehmen gemeinschaftlich eine Datenbank entwickeln, die auch wenigstens teilweise gemeinschaftlich genutzt werden soll. Zwar ist insoweit wohl anerkannt, dass diese Unternehmen dann als BGB-Gesellschaft mit gesamthänderischer Bindung zu sehen sind, 33 aber dieses Ergebnis dürfte häufig nicht im Interesse aller Beteiligten liegen. Eine klare vertragliche Absprache vermag hier spätere Auseinandersetzungen zu vermeiden. 24 Ausführlich zu einer solchen Datenlizenz : Schefzig, in: Taeger, Tagungsband Herbstakademie 2015, Verçffentlichung ausstehend. 25 Gçtz, in: Taeger, BIG DATA & Co., 2014, S. 19, Gçtz, in: Taeger (Fn. 24), S. 19, BITKOM, Big Data im Praxiseinsatz, S. 21, abrufbar unter: bitkom.org/bitkom/publikationen/publikation_4232.html (letzter Abruf: ). 28 Gçtz, in: Taeger (Fn. 24), S. 19, Zieger/Smirra, MMR 2013, 418, Zieger/Smirra, MMR 2013, 418, Erwägungsgrund 41 Richtlinie 96/9/EG Datenbankrichtlinie ; BGH, I ZR 159/10, K&R 2011, 641 ff. = GRUR 2011, 1018, 1020, Rn Wiebe, in: Spindler/Schuster, Recht der elektronischen Medien, 3. Aufl. 2015, 87 a UrhG Rn Wiebe, in: Spindler/Schuster (Fn. 31), 87 a UrhG Rn. 18.

7 6 Beihefter 3/2015 zu Heft 9 K&R Hohe praktische Relevanz hat außerdem die Tatsache, dass die bloße Datenerzeugung keine Investition darstellt, die dazu führt, Datenbankhersteller zu sein. 34 Wie auch im Wortlaut des 87 a UrhG deutlich wird, handelt es sich nur bei der Beschaffung bereits existierender Daten um eine solche Investition. Das bedeutet, dass Unternehmen gerade im Hinblick auf diejenigen Daten, die sie als eigene betrachten, weil sie sie selbst eventuell mit erheblichen Investitionen erzeugt haben, sicherstellen müssen, dass das entsprechende sui-generis-recht nicht einem Kooperationspartner zusteht, mit dem das Unternehmen bei der Datenanalyse zusammenarbeitet. Auch insoweit sind klare Regelungen überaus empfehlenswert. 87 b UrhG weist dem Datenbankhersteller das ausschließliche Recht zu, die Datenbank insgesamt oder einen nach Art oder Umfang wesentlichen Teil der Datenbank zu vervielfältigen, zu verbreiten und çffentlich wiederzugeben. Geschützt ist also auch hier die Datenbank als Ganzes oder in wesentlichen Teilen. Einzelne Daten sind nur geschützt, soweit schon diese einen wesentlichen Teil der Datenbank darstellen. 35 Ebenfalls monopolisiert ist gemäß 87 b Abs. 1 S. 2 UrhG aber auch eine systematische Vervielfältigung, Verbreitung oder çffentliche Wiedergabe unwesentlicher Teile der Datenbank, wenn diese Handlungen einer normalen Auswertung der Datenbank zuwiderlaufen oder die berechtigten Interessen des Datenbankherstellers unzumutbar beeinträchtigen. Es genügt insoweit, wenn Entnahmehandlungen darauf gerichtet sind, die Gesamtheit oder einen wesentlichen Teil des Inhalts der geschützten Datenbank wieder zu erstellen oder der Öffentlichkeit zur Verfügung zu stellen, und wenn dadurch die Investition in die Datenbank schwerwiegend beeinträchtigt wird Sonstige Rechte Die obigen Ausführungen zum Schutz von Daten im Wettbewerbsrecht und durch den Geheimnisschutz gelten im Wesentlichen für Datenbanken entsprechend. V. Rechtlicher Schutz der Inhalte der Daten 1. Schutz aufgrund eines Urheberrechts Das Urheberrecht schützt schçpferische Werke. Den Schutz von Daten als solchen, deren Schaffung kein kreativer Akt innewohnt, gewährleistet das Urheberrecht deshalb nicht. Ein Urheberrecht kann aber selbstredend die Inhalte der Daten schützen. Falls sich in einem Datensatz beispielsweise digitalisierte Musikwerke befinden, besteht an diesen Musikwerken ein Urheberrecht. Der Urheber kann auf Grundlage dieses Urheberrechts den Zugriff Dritter auf die Daten verhindern, falls und soweit der Datenzugriff zugleich einen Eingriff in das Urheberrecht darstellt. Das Urheberrecht schützt aber nie die Daten als solche. Insbesondere soweit Daten betroffen sind, die bloß tatsächliche Ereignisse wiedergeben, wie es beispielsweise bei Produktionsdaten, technischen Leistungswerten oder Nutzungsprofilen der Fall ist, erlangen Unternehmen an den in diesen Daten enthaltenen Erkenntnissen über das Urheberrecht keinen Schutz. Gerade im für Deutschland hçchst relevanten Bereich der Industrie wird das Urheberrecht deshalb häufig nicht eingreifen. 2. Datenschutz Im Fall personenbezogener Daten sind selbstredend die datenschutzrechtlichen Vorgaben zu beachten. Allerdings gehçren auch personenbezogene Daten nicht den jeweiligen Betroffenen, 38 obwohl auch Vorstçße in der Rechtswissenschaft existieren, die genau das befürworten. 39 Da der regulatorische Rahmen des Datenschutzrechts Unternehmen aber sehr nennenswert beschränkt, sollten sie stets prüfen, ob es sich bei den fraglichen Daten tatsächlich um personenbezogene Daten handelt. Im Fall des Personenbezugs kann u. a. bei Vorliegen der Voraussetzungen des 35 BDSG eine Lçschung der Daten geboten sein, die den Wert der Daten für das Unternehmen ad hoc zunichtemachen würde. Gerade im Hinblick auf Big Data -Anwendungen kann schon diese Prüfung des Personenbezugs durchaus komplex sein. 40 Gegebenenfalls empfiehlt es sich, durch geeignete Anonymisierungsmaßnahmen den Personenbezug der Daten aufzuheben Sonstige Rechte Da die mçglichen Inhalte von Daten hier nicht abschließend beschrieben werden kçnnen, gilt das Gleiche auch für die mçglicherweise einschlägigen Schutzrechte. Diese richten sich selbstredend nach dem konkreten Inhalt der Daten. Soweit es sich bei den Inhalten beispielsweise um Software handelt, sind die diesbezüglichen urheberrechtlichen Vorgaben zu beachten. Daneben gelten auch für die Dateninhalte die obigen Ausführungen 42 zum Geheimnisschutz und Wettbewerbsrecht entsprechend. VI. Rechtlicher Schutz des Datenträgers Naturgemäß bestehen sämtliche aus Eigentum und Besitz folgenden Rechtswirkungen auch im Hinblick auf Datenträger. Von großer Bedeutung ist aber, dass die Rechtsprechung davon ausgeht, dass die Veränderung der auf einem Datenträger aufgezeichneten Daten einen Eingriff nach 823 Abs. 1 BGB in das Eigentum am Datenträger darstellt. Eine Eigentumsverletzung im Sinne des 823 Abs. 1 BGB sei nämlich nicht nur bei Zerstçrung und Beschädigung der Sachsubstanz gegeben, sondern bei jeder Einwirkung auf eine Sache, die den Eigentümer daran hindert, mit ihr seinem Wunsch entsprechend zu verfahren. 43 Soweit also ein Unternehmen Eigentümer der Datenträger ist, auf denen die eigenen Daten gespeichert sind, genießt es als derartiger Eigentümer einen weitreichenden Schutz gegenüber Eingriffen Dritter. Das Eigentum am Datenträger verliert aber mit rasanter Geschwindigkeit an Bedeutung. In Zeiten von zentralen Unternehmensservern, die potenziell von einer Servicegesellschaft betrieben werden, allgegenwärtigen Cloud-Lçsungen und dynamischen Datenbeständen, die über verschiedene Server verteilt sind, ist nämlich regelmäßig schon gar nicht klar, wo bestimmte Daten gespeichert sind. Auch ist häufig der Eigentümer der Server nicht derjenige, der die fraglichen Daten auf diesem Datenträger gespeichert hat. In diesen Fällen empfiehlt es sich, mittels entsprechenden vertraglichen Vereinbarungen zwischen dem Inhaber der zu speichernden Daten und dem Eigentümer des Datenträgers eindeutig zu bestimmen, wie im Falle von Eingriffen Dritter auf 34 BGH, I ZR 196/10, GRUR 2012, 756, 757, Rn. 19 m. w. N. 35 BGH, I ZR 196/10, GRUR 2012, 756, 758, Rn BGH, I ZR 196/10, GRUR 2012, 756, 758, Rn Siehe dazu: McKinsey, Industry 4.0 How to navigate digitization of the manufacturing sector, Dorner, CR 2014, 617, 619 f. 39 Vgl. die zahlreichen Fundstellen bei Dorner, CR 2014, 617, 619 f., Fn Ausführlich dazu: Schefzig, in: K&R 2014, 772 ff. 41 Schefzig, in: K&R 2014, 772, Vgl. Ziffern III. 4 und III OLG Karlsruhe, U 15/95, NJW 1996, 201 ff.

8 K&R Beihefter 3/2015 zu Heft 9 7 die Daten zu verfahren ist. 44 Derart kann beispielsweise das Auseinanderfallen von Anspruch und Schaden 45 verhindert werden. VII. Ergebnisse und Handlungsempfehlungen Bei der Sicherung der Rechte an Daten sollten Unternehmen zwischen den verschiedenen Rechtsobjekten unterscheiden und sorgfältig bestimmen, wem diese jeweils zugeordnet sind. Soweit es sich dabei jeweils um dieselbe Person handelt, bietet die Rechtsordnung jedenfalls gegenüber dem unbefugten Zugriff Dritter schon nach dem gesetzlichen Status Quo einen weitgehenden Schutz. Besondere Vorsicht ist aber in denjenigen Situationen geboten, in denen entweder unterschiedliche Berechtigte im Hinblick auf die verschiedenen Rechtsobjekte existieren oder Datenbestände mit anderen Unternehmen gemeinsam verarbeitet werden. In diesen Fällen sind vertragliche Regelungen unbedingt empfehlenswert, um die Daten effektiv abzusichern und andere Unternehmen bei der Verwertung der Daten zu kontrollieren. 46 Dieser Beitrag hat dabei verschiedene Ansatzpunkte für solche Vereinbarungen aufgezeigt. 44 Ein davon abzugrenzendes Problem ist die Datenerhebung mittels Technik, die im fremden Eigentum steht, s. dazu Roßnagel, SVR 2014, 281, 282 ff. 45 Bartsch, in: Grützmacher (Fn. 13), S. 297, Vgl. zur Ausgestaltung einer vertraglichen Datenlizenz ausführlich: Schefzig, in: Taeger, Tagungsband Herbstakademie 2015, Verçffentlichung ausstehend. RA Marian Alexander Arning, LL.M., Hamburg * Datenpools Big Data datenschutzkonform umsetzen Bei der Konzeption und beim Einsatz von Big Data-Anwendungen müssen Unternehmen die datenschutzrechtlichen Anforderungen beachten, sofern sie hierbei personenbezogene Daten verarbeiten. In diesem Beitrag, der sich zuvorderst an Unternehmensjuristen und betriebliche Datenschutzbeauftragte richtet, werden deshalb die wichtigsten datenschutzrechtlichen Anforderungen an den Einsatz von Big Data-Verfahren sowie kurz die wichtigsten Schritte vorgestellt, wie Big Data-Projekte organisiert werden kçnnen, um die Datenschutz-Compliance bei Big Data-Projekten sicherzustellen. I. Einführung Viele Unternehmen besitzen eine große Menge an personenbezogenen Daten; Händler über ihre Kunden, Versicherungen über ihre Versicherten, Hersteller über ihre Lieferanten etc. Hierin liegt ein enormer Wert, den immer mehr Unternehmen nutzen mçchten. Hierbei handelt es sich durchaus auch nicht um reine Zukunftsmusik. So haben bereits viele Unternehmen Geschäftsmodelle entwickelt, wie sie durch die Auswertung von Daten innovative Dienste für Kunden entwickeln kçnnen. Hierbei hilft den Unternehmen die immer weiter fortschreitende Entwicklung der Technik, mit der immer grçßere, unterschiedlich strukturierte Datensätze immer genauer untersucht werden kçnnen. Die Einsatzmçglichkeiten von Big Data sind dabei äußerst vielfältig. So verwenden Unternehmen Big-Data-Methoden zum Beispiel zur genauen Berechnung der Kreditwürdigkeit von Konsumenten. 1 Andere Unternehmen setzen Big-Data zum Beispiel im Rahmen des sogenannten Online Behavioural Advertising ein, um Webseitennutzern noch zielgerichteter interessenbasierte Werbung anzeigen zu kçnnen. 2 Doch ersetzt bzw. verfeinert Big Data nicht nur klassische Datenanalyseverfahren, wie z. B. das Scoring, sondern es ermçglicht auch die Entwicklung ganz neuartiger Verfahren, z. B. im Rahmen der personalisierten Medizin. So ermçglichen Big Data-Verfahren z. B. die Auswertung von Datenpools, in denen sich Daten aus den unterschiedlichsten Quellen befinden, anhand bestimmter Biomarker. Infolge dieser Auswertungen wird es immer besser mçglich sein, Patienten nicht (nur) mit einer Standardtherapie, sondern personalisiert unter Beachtung seiner individuellen Prädispositionen zu behandeln, was u. U. einen besseren Therapieerfolg versprechen kann. Es gibt mithin eine Vielzahl an verschiedenen Einsatzmçglichkeiten von Big Data, weswegen diese Technologie für Unternehmen besonders interessant ist, um neue Geschäftsmodelle zu entwickeln. Spätestens vor diesem Hintergrund wird es offensichtlich, warum Daten immer çfter als das neue Öl bezeichnet werden. In diesem Beitrag sollen deshalb die wichtigsten datenschutzrechtlichen Anforderungen an den Einsatz von Big Data- Verfahren aufgezeigt werden. II. Big Data Eine Begriffsdefinition Um die datenschutzrechtlichen Implikationen von Big Data besser darstellen und nachvollziehen zu kçnnen, empfiehlt es sich, zunächst den Begriff Big Data zu definieren. So existiert eine Vielzahl verschiedener Definitionen von diesem Begriff. Teilweise wird der Begriff zum Beispiel im wçrtlichen Sinne dahingehend verstanden, dass er (schlicht) eine große Menge an Daten bezeichnet. 3 Dieses Begriffsverständnis trägt dem mit Big Data verbundenen technischen Fortschritt jedoch nicht ausreichend Rechnung. Im vorliegenden Beitrag wird der Begriff deshalb in Übereinstimmung mit der vom Bitkom verwendeten Definition dahingehend verstanden, dass Big Data den Einsatz großer Datenmengen aus vielfältigen Quellen mit einer hohen Verarbeitungsgeschwindigkeit zur Erzeugung wirtschaftlichen Nutzens be- * Mehr über den Autor erfahren Sie auf S Siehe z. B. Diemer, What is Big Data? For Banking and Beyond, abrufbar unter: 2 Siehe hierzu ausführlich Arning/Moos, ZD 2014, 242 ff. 3 Siehe zur Diskussion über den Begriff Big Data z. B. Gloster, Von Big Data reden, aber Small Data meinen, abrufbar unter: woche.de/a/von-big-data-reden-aber-small-data-meinen,

9 8 Beihefter 3/2015 zu Heft 9 K&R zeichnet. 4 Erst durch diese Begriffsdefinition werden der technische Fortschritt, die wirtschaftlichen Vorteile, aber auch die rechtlichen Herausforderungen von Big Data deutlich. III. Anwendbarkeit der Datenschutzgesetze auf Big Data-Anwendungen 1. Bloße Datenmenge nicht entscheidend Als erstes Merkmal erfordert Big Data den Einsatz großer Datenmengen. Auch wenn man dies durchaus vermuten kçnnte, ist es für die Anwendbarkeit der Datenschutzgesetze zunächst einmal unerheblich, ob eine Stelle nur ein Datum oder eine sehr große Menge an Daten verarbeitet. Mit anderen Worten: Die Menge von Daten ist per se keine datenschutzrechtliche Kategorie. Entscheidend für die Anwendbarkeit der Datenschutzgesetze ist stets, dass personenbezogene Daten verarbeitet werden. Dies sind nach 3 Abs. 1 BDSG Einzelangaben über persçnliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener). Der Begriff der Einzelangabe ist dabei relativ weit und umfasst Informationen, die sich auf eine bestimmte einzelne natürliche Person beziehen oder geeignet sind, einen Bezug zu ihr herzustellen. 5 Eine solche Information kann auch schon in einer einzigen Angabe enthalten sein. Mithin stellt der Begriff keine Anforderungen an die Menge der zu verarbeitenden Informationen zu einer einzelnen Person. So ist es in der juristischen Literatur dann auch unumstritten, dass die Datenschutzgesetze bereits dann anwendbar sind, wenn (nur) ein personenbezogenes Datum verarbeitet wird, auch wenn der Gesetzgeber von Einzelangaben und personenbezogenen Daten im Plural spricht Personenbezogene Daten vs. anonyme Daten Ob eine datenverarbeitende Stelle die datenschutzrechtlichen Bestimmungen beachten muss, bestimmt sich zuvorderst daran, ob die Person bestimmbar ist, auf die sich die jeweils verarbeiteten Daten beziehen. Wann eine Person im datenschutzrechtlichen Sinn bestimmbar ist, ist seit Jahren hoch umstritten. 7 Teilweise wird vertreten, dass Daten für eine sie verarbeitende Stelle nur dann personenbezogen sein sollen, wenn sie selbst die Person, auf die sich die Daten beziehen, mit verhältnismäßig großem Aufwand an Zeit, Kosten und Arbeitskraft identifizieren kann (sogenannte relative Theorie des Personenbezugs). 8 Andererseits wird vertreten, dass eine Person schon dann bestimmbar sein soll, wenn irgendeine beliebige Stelle das jeweilige Datum dieser Person zuordnen kann (sogenannte absolute Theorie des Personenbezugs). 9 Zwar sprechen nach hier vertretener Ansicht gute Gründe für die relative Theorie des Personenbezugs, insbesondere weil die absolute Theorie den Schutzbereich der Datenschutzgesetze zu weit ausdehnt, ohne dass eine Gefahr für das durch die Datenschutzgesetze geschützte Recht der Betroffenen auf informationelle Selbstbestimmung besteht; 10 es bleibt allerdings zu hoffen, dass insoweit eine Entscheidung des EuGH über den Personenbezug von IP-Adressen für Webseitenbetreiber Rechtssicherheit bringen wird. 11 Mithin ist also festzuhalten, dass die Menge an Daten per se nicht über die Anwendbarkeit der Datenschutzgesetze entscheidet; vielmehr kann schon ein einziges Datum personenbezogen sein, weshalb die für die Verarbeitung dieses Datums nach 3 Abs. 7 BDSG verantwortliche Stelle die einschlägigen datenschutzrechtlichen Anforderungen beachten muss. Je umfangreicher der Datenbestand ist, desto eher kann freilich oftmals die Bezugsperson bestimmt werden. Mit steigender Datenmenge steigt deshalb auch das Risiko, dass ein Personenbezug entsteht. 3. Beibehaltung der Anonymität der Daten Soweit also bei Big Data-Anwendungen (sinnvoll) darauf verzichtet werden kann, personenbezogene Daten zu verarbeiten, empfiehlt es sich regelmäßig, diesen Weg einzuschlagen, um nicht den Restriktionen der Datenschutzgesetze zu unterliegen. Wählt eine Stelle diesen Weg, muss sie allerdings penibel darauf achten, dass diese nicht-personenbezogenen, also anonymen Daten während ihrer Verarbeitung in der Big Data-Anwendung auch anonym bleiben. Hierbei stellen sich bei Big Data insbesondere zwei Herausforderungen: (1) Anonyme Daten kçnnen durch das Hinzuspeichern weiterer Daten personenbezogen werden. Dies kann sogar der Fall sein, wenn auch die hinzugespeicherten Daten anonym sind, sich die betroffene Person aber durch die Kombination dieser beiden per se anonymen Datensätze bestimmen lässt. Insoweit steigt auch durch die Kombination der in einer Big Data-Anwendung verarbeiteten Daten durchaus die Wahrscheinlichkeit, dass Daten personenbezogen werden. Mithin muss eine Stelle genau prüfen, ob die Hinzuspeicherung von Daten dazu führen kann, dass Daten personenbezogen werden, was bei der Menge der im Rahmen von Big Data-Anwendungen zu verarbeiteten Daten durchaus aufwändig und mit Risiken behaftet sein kann. (2) Obwohl mit den heute zur Verfügung stehenden Analysetechniken eine Identifizierung der betroffenen Person nicht oder nur mit unverhältnismäßigem Aufwand mçglich ist, kann es der Stelle in der Zukunft gegebenenfalls mçglich sein, die betroffene Person mit neuen und feineren Analysemethoden zu identifizieren. Entscheidet sich eine Stelle also dazu, nur anonyme Daten im Rahmen einer Big Data-Anwendung zu verwenden, muss sie auch über die gesamte Zeit des Einsatzes dieser Anwendung hinweg sicherstellen, dass die Daten stets anonym bleiben. 4. Erfordernis einer datenschutzrechtlichen Erlaubnis beim Umgang mit personenbezogenen Daten Mçchte ein Unternehmen bei Big Data-Anwendungen hingegen personenbezogene Daten verarbeiten, bençtigt es hierfür gem. 4 Abs. 1 BDSG 12 entweder die Erlaubnis 4 Siehe BITKOM (Hrsg.), Big Data im Praxiseinsatz Szenarien, Beispiele, Effekte, S. 19 ff., abrufbar unter 12/Leitfaden/Leitfaden-Big-Data-im-Praxiseinsatz_Szenarien_Beispiele_ Effekte/BITKOM_LF_big_data_2012_online(1).pdf. 5 Siehe z. B. Gola/Klug/Kçrffer, in: Gola/Schomerus, BDSG, 12. Aufl. 2015, 35 Rn Siehe z. B. Dammann, in: Simitis, BDSG, 8. Aufl. 2014, 3 Rn. 4; Schaffland/Wiltfang, in: Schaffland/Wiltfang, BDSG, Lfg. 4/14 VIII/14, 3 Rn Siehe hierzu ausführlich im Hinblick auf Big Data: Schefzig, K&R 2014, 772 ff. 8 So z. B. LG Berlin, S 3/07, K&R 2007, 601 ff. = MMR 2007, 799, 801; Gola/Klug/Kçrffer, in: Gola/Schomerus (Fn. 7), 3 Rn. 10; Plath/Schreiber, in: Plath, BDSG, 2013, 3 BDSG Rn. 15; Redeker, IT-Recht, 5. Aufl. 2012, Rn So z. B. AG Berlin-Mitte, C 314/06, K&R 2007, 600, 601 f.; Düsseldorfer Kreis, Beschluss vom 26./ zur datenschutzkonformen Ausgestaltung von Analyseverfahren zur Reichweitenmessung bei Internet-Angeboten; Schaar, Datenschutz im Internet, 2002, Rn. 174; Weichert, in: Däubler/Klebe/Wedde/Weichert, BDSG, 4. Aufl. 2014, 3 Rn Plath/Schreiber, in: Plath (Fn. 8), 3 Rn. 14; siehe auch ausführlich hierzu im Hinblick auf Big Data: Schefzig, K&R 2014, 772, 773 ff. 11 Siehe zur Vorlagefrage des BGH den Beschluss des BGH v VI ZR 135/13, K&R 2015, 106 ff. = GRUR 2015, 192 ff. 12 Je nach Art der verwendeten Daten kann dies auch aus spezialgesetzlichen Datenschutzvorschriften folgen, z. B. aus 12 Abs. 1 TMG.

10 K&R Beihefter 3/2015 zu Heft 9 9 durch den Betroffenen (im Wege einer Einwilligung) oder durch eine Rechtsvorschrift, die je nach Art der verwendeten Daten aus verschiedenen datenschutzrechtlichen Gesetzen stammen kann (z. B. BDSG, TMG oder TKG). Als Rechtsvorschrift kommen hier insbesondere 28 Abs. 1 S. 1 Nr. 2 BDSG, 28 Abs. 1 S. 1 Nr. 3 BDSG, 28 Abs. 3 BDSG und 15 Abs. 3 TMG in Betracht. 13 Ob die jeweiligen Tatbestandvoraussetzungen vorliegen, ist im Einzelfall zu untersuchen. IV. Einhaltung des Zweckbindungsgrundsatzes als datenschutzrechtliches Erfordernis Besonders praktisch für Unternehmen wäre es freilich, wenn sie die bereits bei ihnen vorhandenen Daten im Rahmen von Big Data-Anwendungen verwenden kçnnten, z. B. im CRM- System gespeicherte Kundendaten. Hierbei ist allerdings zu bedenken, dass personenbezogene Daten grundsätzlich nur für den Zweck verwendet werden dürfen, für den sie auch erhoben wurden, z. B. zur Durchführung eines Vertrages zwischen dem Betroffenen und dem Unternehmen. 14 Sollen die Daten hingegen für einen anderen Zweck verwendet werden was im Rahmen von Big Data- Anwendungen oftmals der Fall sein wird, bedarf dies regelmäßig einer gesonderten Erlaubnis durch eine Rechtsvorschrift oder durch die Einwilligung des Betroffenen. In der Regel wird es für Unternehmen kaum praktikabel sein, die Betroffenen nachdem sie ihre Daten schon erhoben haben nochmals nach einer Einwilligung in den Umgang mit ihren Daten zu einem anderen als dem ursprünglich verfolgten Zweck zu fragen. Mithin bedarf eine Zweckänderung bei der Verarbeitung der Daten bei Big Data regelmäßig einer gesetzlichen Erlaubnis. Im Anwendungsbereich des BDSG kommen hierfür insbesondere 28 Abs. 2 Nr. 1 und Nr. 2 BDSG in Betracht. Eine Verarbeitung personenbezogener Daten im Rahmen von Big Data-Anwendungen zu anderen Zwecken, als für den diese Daten ursprünglich erhoben wurden, ist danach grundsätzlich (nur dann) erlaubt, wenn die berechtigten Interessen der verantwortlichen Stelle bzw. eines Dritten die schutzwürdigen Interessen des Betroffenen überwiegen bzw. es sich um allgemein zugängliche Daten handelt und ebenfalls die Interessenabwägung zugunsten der verantwortlichen Stelle ausgeht. Dies ist im jeweiligen Einzelfall zu untersuchen. Oftmals werden die Voraussetzungen für die Verarbeitung personenbezogener Daten zu einem anderen Zweck aber nicht gegeben sein. In diesem Fall dürfen die Daten zumindest nicht in personenbezogener Form zu einem anderen als dem ursprünglich verfolgten Zweck im Rahmen von Big Data-Anwendungen verarbeitet werden. V. Beachtung des Erforderlichkeitsgrundsatzes Ein weiteres datenschutzrechtliches Grundprinzip, welches Unternehmen beim Umgang mit personenbezogenen Daten im Rahmen von Big Data-Anwendungen beachten müssen, ist der Erforderlichkeitsgrundsatz. 15 Demzufolge dürfen nur die personenbezogenen Daten verarbeitet werden, die zur Erreichung des jeweils verfolgten Zwecks notwendig sind. 16 Dieses Prinzip gilt unabhängig davon, ob sich das Unternehmen bei der Verarbeitung der personenbezogenen Daten auf eine Rechtsvorschrift oder auf eine Einwilligung stützt. Diesen Grundsatz müssen Unternehmen bei Big Data-Anwendungen sowohl bei der Bildung der für die Analysen und Auswertungen genutzten Datenpools als auch bei der Durchführung der einzelnen Auswertungen und Analysen beachten. So dürfen Unternehmen, wenn sie z. B. Daten zur Durchführung eines Vertrages vom jeweiligen Kunden erheben, nicht ohne gesonderte datenschutzrechtliche Erlaubnis weitere Daten die an sich für die Durchführung des Vertrags nicht bençtigt werden erheben, nur weil das Unternehmen die Daten später für Auswertungen und Analysen verwenden mçchte. Die Durchführung des Vertrags (i. S. d. 28 Abs. 1 S. 1 Nr. 1 BDSG) kann den Umgang mit diesen weiteren Daten jedenfalls nicht rechtfertigen. Eine Erhebung von Daten auf Vorrat ist datenschutzrechtlich also grundsätzlich nicht zulässig. Diesen Grundsatz gilt es auch zu beachten, wenn Unternehmen Daten direkt zu Zwecken der Durchführung bestimmter Auswertungen und Analysen erheben; auch in diesem Fall dürfen grundsätzlich nur die Daten erhoben werden, die anschließend für die jeweilige Analyse bzw. Auswertung notwendig sind. Nichts anderes gilt bei der Durchführung der einzelnen Big Data-Anwendungen; auch hier dürfen nur diejenigen Daten aus dem Datenpool verwendet werden, die für die jeweilige Auswertung/Analyse notwendig sind. VI. Verarbeitung von Big Data auf Grundlage einer Einwilligung In vielen Fällen wird sich das Unternehmen für den Umgang mit personenbezogenen Daten im Rahmen von Big Data- Anwendungen jedoch nicht auf gesetzliche Erlaubnisnormen stützen kçnnen, z. B. weil bei der konkreten Anwendung die schutzwürdigen Interessen der Betroffenen am Ausschluss des Umgangs mit ihren Daten die berechtigten (wirtschaftlichen) Interessen des Unternehmens überwiegen. Außerdem kçnnte es sich für Unternehmen auch nicht als praktikabel erweisen, nur anonyme Daten zu verwenden. Die Big-Data- Anwendung kann etwa den Einsatz von personenbezogenen Daten erfordern. Dem Unternehmen ist es mçglicherweise aber auch aufgrund der Menge an verarbeiteten Daten oder der Verarbeitungsdauer nicht mçglich, ausschließlich anonyme Daten zu verarbeiten. Vor diesem Hintergrund kçnnten viele Unternehmen geneigt sein, den Umgang mit personenbezogenen Daten im Rahmen von Big Data-Anwendungen auf die Einwilligung der betroffenen Personen zu stützen. Doch auch die Einholung von Einwilligungserklärungen stellt keinen datenschutzrechtlichen Kçnigsweg für Unternehmen dar, die personenbezogene Daten im Rahmen von Big Data-Anwendungen verarbeiten mçchten. So muss die Einwilligungserklärung den Anforderungen der jeweils anwendbaren gesetzlichen Datenschutzvorschriften genügen, um den Datenumgang rechtfertigen zu kçnnen, z. B. 4 a BDSG, 13 Abs. 2 TMG, 94 TKG, 67 b Abs. 2 SGB X etc. Gemein ist diesen gesetzlichen Anforderungen an Einwilligungserklärungen, dass die Einwilligung bestimmt und informiert sein muss, damit sie den Umgang mit personenbezogenen Daten, auf die sie sich bezieht, erlauben kann. Zudem ist es stets erforderlich, dass der Betroffene die Einwilligung freiwillig erteilt Siehe z. B. Ohrtmann/Schwiering, NJW 2014, 2984, 2985 ff. 14 Sogenannter Zweckbindungsgrundsatz, siehe hierzu z. B. Wolff, in: Wolff/Brink, BeckOK Datenschutzrecht, 12. Edition 2015, Grundlagen und bereichsspezifischer Datenschutz, Prinzipien, Rn. 11 ff. 15 Siehe z. B. Wolff, in: Wolff/Brink (Fn. 14), Grundlagen und bereichsspezifischer Datenschutz, Prinzipien, Rn. 23 ff. 16 Siehe z. B. Wolff, in: Wolff/Brink (Fn. 14), Grundlagen und bereichsspezifischer Datenschutz, Prinzipien, Rn Zum Erfordernis der Freiwilligkeit der Einwilligung, auf das in diesem Beitrag nicht näher eingegangen wird, siehe z. B. Simitis, in: Simitis, BDSG, 8. Aufl. 2014, 4 a Rn. 62 ff. und Kühling, in: Wolff/Brink (Fn. 14), 4 a Rn. 35 ff.

11 10 Beihefter 3/2015 zu Heft 9 K&R 1. Informiertheit der Einwilligung Zunächst ist eine Einwilligung also nur dann wirksam, wenn diese informiert erfolgt ist. Der Betroffene muss sich also ein genaues Bild davon machen kçnnen, zu welchem Zweck, auf welche Art und Weise die verantwortliche Stelle mit welchen personenbezogenen Daten von ihm umgeht. Nur so wird der Betroffene in eine Lage versetzt, darüber zu entscheiden, ob er dem geplanten Umgang mit seinen Daten zustimmt oder nicht. Mithin muss das Unternehmen, welches eine Einwilligung von dem Betroffenen einholen mçchte, diesen entsprechend informieren. Mit anderen Worten: Die Betroffenen müssen noch vor der Einwilligung alle Informationen bekommen, die notwendig sind, um Anlass, Ziel und Folgen der Verarbeitung korrekt abzuschätzen. 18 Hierbei hat die verantwortliche Stelle die Betroffenen regelmäßig über den Verwendungszweck und über ihre eigene Identität zu unterrichten, potenzielle Datenempfänger zu benennen, die Verwendungsziele anzugeben, die betroffenen Daten zu umschreiben sowie ggf. die Speicherdauer anzugeben und ggf. auf die Folgen der Verweigerung der Einwilligung hinzuweisen. 19 Besonders schwierig im Umfeld von Big Data gestaltet sich oftmals, dass die verantwortliche Stelle den Betroffenen über die gesamte beabsichtigte Verwendung der Daten informieren muss. 20 Plant ein Unternehmen also z. B. Datenpools zu bilden, die anschließend für viele verschiedene Auswertungen verwendet werden sollen, die zudem auch nicht alle für denselben Zweck erfolgen, muss das Unternehmen die Betroffenen in der Einwilligungserklärung grundsätzlich über sämtliche mit den Auswertungen verfolgte Zwecke informieren. 2. Bestimmtheit der Einwilligung Auch das Erfordernis der Bestimmtheit von Einwilligungserklärungen stellt Unternehmen, die den Umgang mit personenbezogenen Daten bei Big Data-Anwendungen auf eine solche Einwilligung des Betroffenen stützen mçchten, durchaus vor Herausforderungen. Das Bestimmtheitserfordernis steht in engem Zusammenhang mit dem soeben beschriebenen Erfordernis der Informiertheit der Einwilligung. So ist der Betroffene vor dem Hintergrund seines grundrechtlich geschützten Rechts auf informationelle Selbstbestimmung nicht nur über den geplanten Umgang mit seinen Daten zu informieren, damit er eine Entscheidung darüber treffen kann, ob er dem zustimmt oder nicht; vielmehr muss er auch die Tragweite seiner konkreten Einwilligungserklärung überblicken kçnnen, mit anderen Worten also verstehen, was er der verantwortlichen Stelle erlaubt (und was nicht). Vor diesem Hintergrund sind Einwilligungserklärungen nur dann wirksam, wenn sie klar zu erkennen geben, unter welchen Bedingungen sich die Betroffenen mit der Verarbeitung welcher Daten einverstanden erklärt haben. 21 Mithin sind pauschale Einwilligungserklärungen oder sogenannte Blankoeinwilligungen unwirksam und vermçgen den Umgang mit personenbezogenen Daten nicht zu rechtfertigen Praktische Umsetzung Mçchte ein Unternehmen personenbezogene Daten für eine Big Data-Anwendung verwenden, für die die Verarbeitungszwecke und auch die sonstigen im Rahmen von Einwilligungserklärungen maßgeblichen Parameter bereits feststehen, stellt die Einwilligung des Betroffenen regelmäßig eine rechtssichere Lçsung zur Rechtfertigung des Umgangs mit dessen personenbezogenen Daten in diesem Zusammenhang dar. In diesem Fall sind mit dem Entwurf und der Einholung der Einwilligungserklärung i. d. R. keine besonderen Schwierigkeiten verbunden. Zu beachten ist bei der Gestaltung der Big Data-Anwendung aber insbesondere, dass der Betroffene seine Einwilligung grundsätzlich jederzeit (mit der Wirkung für die Zukunft) widerrufen kann, woraufhin das Unternehmen die betroffenen Daten regelmäßig nicht weiter verwenden darf und lçschen muss. 23 Zudem kommt es für Unternehmen i. d. R. nur zu dem Zeitpunkt in Betracht, Einwilligungserklärungen bei Betroffenen einzuholen, wenn sie die Daten beim Betroffenen erheben; hat ein Unternehmen bereits Daten ohne eine entsprechende Einwilligung (z. B. auf Grundlage einer Rechtsvorschrift wie 28 Abs. 1 S. 1 Nr. 1 BDSG oder einer anderen Einwilligung, die den Umgang mit den Daten in Big Data-Anwendungen nicht zu rechtfertigen vermag) z. B. in einem CRM-System oder in unstrukturierter Form gespeichert und mçchte es diese nun auf Grundlage einer Einwilligung der Betroffenen im Rahmen von Big Data-Anwendungen (weiter-)verarbeiten, müsste es sämtliche Betroffenen hierzu anschreiben und von ihnen eine Einwilligung einholen. Dies gestaltet sich jedoch regelmäßig zu aufwändig. Mithin sollten Unternehmen sich bereits vor Erhebung von Daten beim Betroffenen darüber im Klaren sein, ob sie deren Daten (ggf. auch zu einem späteren Zeitpunkt) auf Grundlage einer Einwilligung verarbeiten wollen. In diesem Fall ist es ratsam, die Einwilligung bereits zu diesem Zeitpunkt einzuholen. Soweit das Unternehmen zum Zeitpunkt der Einholung der Einwilligungserklärung noch nicht weiß, zu welchen Analysen, Zwecken etc. es die Daten der Betroffenen verwenden mçchte, gestaltet es sich zudem auch anspruchsvoll, den Inhalt der Einwilligungserklärung so zu gestalten, dass diese wirksam ist und den Umgang mit personenbezogenen Daten zu rechtfertigen vermag. In diesem Fall müssen Unternehmen, die den Datenumgang im Rahmen von Big Data-Anwendungen auf eine Einwilligung der Betroffenen stützen wollen, eine oftmals schwierige Gratwanderung vollbringen, die Einwilligungserklärung so flexibel wie mçglich zu gestalten, um die Daten mçglichst umfassend verarbeiten zu kçnnen, sie dabei aber nicht so vage und pauschal formulieren, dass sie den Anforderungen an die Informiert- und Bestimmtheit nicht mehr genügt und den Datenumgang somit nicht mehr zu rechtfertigen vermag. Wo die Grenze zwischen (maximal zulässiger) Flexibilität und (rechtlich notwendiger) Informiert- und Bestimmtheit liegt, ist im Einzelfall zu bestimmen und stellt die verantwortliche Stelle oftmals vor Herausforderungen, zumal sich diese Grenze auch nicht allgemeingültig bestimmen lässt. Je flexibler eine Einwilligungserklärung gestaltet wird, desto hçher ist die damit einhergehende Rechtsunsicherheit, ob die Einwilligung noch den datenschutzrechtlichen Anforderungen entspricht. Die folgende Klausel aus den Datenschutzrichtlinien von Apple hat das LG Berlin z. B. für zu pauschal und damit für unwirksam gehalten: Siehe z. B. Simitis, in: Simitis (Fn. 17), 4 a Rn. 70 m. w. N. 19 Siehe Kühling, in: Wolff/Brink (Fn. 14), 4 a Rn. 43 m. w. N. 20 Siehe z. B. Simitis, in: Simitis (Fn. 17), 4 a Rn Siehe z. B. Simitis, in: Simitis (Fn. 17), 4 a Rn. 77; Kühling, in: Wolff/ Brink (Fn. 14), 4 a Rn Siehe z. B. Simitis, in: Simitis (Fn. 17), 4 a Rn Etwas anderes kann ggf. gelten, wenn das Unternehmen den Datenumgang auch auf eine gesetzliche Erlaubnisnorm stützen kann. 24 LG Berlin, O 92/12, K&R 2013, 411 ff. = ZD 2013, 451 ff.

12 K&R Beihefter 3/2015 zu Heft 9 11 Wir nutzen personenbezogene Daten auch als Unterstützung, um unsere Produkte, Dienste, Inhalte und Werbung zu entwickeln, anzubieten und zu verbessern. [...] Wir kçnnen personenbezogene Daten auch für interne Zwecke nutzen, wie zur [...] Datenanalyse und Forschung, um Apples Produkte, Dienste und die Kommunikation mit Kunden zu verbessern. Ggf. kçnnen beim Entwurf der Einwilligungserklärungen Anleihen aus dem Bereich der medizinischen Forschung genommen werden, da auch in diesem Bereich zum Zeitpunkt der Erhebung der Daten und dem Einholen der Einwilligungserklärungen (von den Patienten) oftmals noch nicht genau feststeht, wie, durch wen und für welche Zwecke die erhobenen (Patienten-)Daten verwendet werden. So scheint es vor diesem Hintergrund in diesem Bereich durchaus anerkannt, dass Daten auf Grundlage von einem sogenannten broad consent oder einem tiered consent verarbeitet werden. 25 Bei einem broad consent erteilt der Betroffene vereinfacht ausgedrückt zwar eine gewisse Pauschaleinwilligung; das Defizit an Bestimmt- und Informiertheit wird jedoch durch strenge Vorgaben für die (zukünftige) Verarbeitung der Daten ausgeglichen, z. B. im Forschungsbereich durch die Einbindung von Ethik- Kommissionen. 26 Außerhalb des Bereichs der medizinischen Forschung kçnnten insoweit z. B. die Verwendung von Verschlüsselungsverfahren oder Pseudonymisierungskonzepte in Betracht kommen. Auch beim sogenannten tiered consent besteht ein gewisses Bestimmtheits- und Informationsdefizit, als dass der Betroffene nicht über sämtliche (zukünftigen) Datenumgänge und Verarbeitungszwecke aufgeklärt wird/werden kann. Hier wird das Defizit jedoch dadurch kompensiert, dass dem Betroffenen vereinfacht ausgedrückt verschiedene abgestufte Wahlmçglichkeiten erçffnet werden, wie seine Daten verarbeitet werden kçnnen sollen (z. B. für bestimmte Zweckbereiche (wie ähnliche Projekte), nur für das konkrete Projekt, nur pseudonymisiert für andere Projekte etc.). 27 Allerdings ist zu beachten, dass die Datenschutzaufsichtsbehçrden dem Umgang mit Daten zu medizinischen Forschungszwecken durchaus offener gegenüberstehen und mithin bereit sind, die datenschutzrechtlichen Vorgaben weniger restriktiv auszulegen, als dies beim Datenumgang zu anderen Zwecken der Fall ist. 28 Mit anderen Worten kçnnen die Konzepte des broad consent und des tiered consent nicht ohne weiteres auf andere Bereiche als den medizinischen Forschungsbereich übertragen werden. Allerdings kçnnen diese Konzepte ggf. zumindest ein Stück weit als Beispiel für Mçglichkeiten dienen, wie Einwilligungserklärungen flexibel gestaltet werden kçnnen, ohne dass diese dabei aufgrund ihrer Pauschalität unwirksam werden. VII. Sicherstellung der Datenschutz-Compliance in Big Data-Projekten Mçchten Unternehmen (personenbezogene) Daten im Rahmen von Big Data-Anwendungen verwenden, stellt dies das Unternehmen mithin oftmals vor datenschutzrechtliche Herausforderungen, insbesondere wenn viele Daten von verschiedenen Betroffenen aus vielen verschiedenen Quellen hierzu verarbeitet werden. Vor diesem Hintergrund sollten die datenschutzrechtlichen Implikationen während des gesamten Projekts genau beachtet und bereits bei der Gestaltung der Anwendung berücksichtigt werden, da es oftmals nur unter großem Aufwand noch mçglich sein wird, bereits fertige Anwendungen im Nachhinein noch an datenschutzrechtliche Anforderungen anzupassen. Um Big Data-Anwendungen also datenschutzkonform auszugestalten, ist es Unternehmen mithin dringend als Best Practice anzuraten, das Big Data-Projekt so zu organisieren, dass während der gesamten Projektphase ein ständiger Dialog zwischen den aus technischer und wirtschaftlicher Sicht Projektverantwortlichen und den für die Einhaltung des Datenschutzes verantwortlichen Personen, insbesondere dem betrieblichen Datenschutzbeauftragten und, soweit vorhanden, der Rechtsabteilung, gewährleistet ist. Hierzu kann es auch gehçren, externen Rechtsrat einzuholen. Während der Projektphase kçnnen in diesem Zusammenhang insbesondere die folgenden Schritte aus datenschutzrechtlicher Sicht erforderlich sein: 1. Bewusstseinsbildung durch den betrieblichen Datenschutzbeauftragten, 2. Privacy Impact Assessment/Vorabkontrolle, 3. eventuell interner oder externer Rechtsrat; ggf. Abstimmung mit der zuständigen Datenschutzaufsichtsbehçrde, 4. Definition von datenschutzrechtlichen Kriterien/Vorgaben, z. B. von Pseudonymisierung, eines Lçsch- und Sperrkonzepts, zur Sicherstellung der Betroffenenrechte, 5. Information/Mitbestimmung des Betriebsrats; Information der Betroffenen, 6. Programmierung des Systems, ggf. vertragliche Umsetzung (Auftragsdatenverarbeitung etc.), 7. bei wesentlichen ¾nderungen: ggf. erneuter Dialog mit den Projektverantwortlichen, 8. kontinuierliche Prüfung des Systems auf Einhaltung der datenschutzrechtlichen Vorgaben, 9. Endabnahme und Ergänzung des Verfahrensverzeichnisses. 29 VIII. Fazit Big Data bietet Unternehmen enorme neue Mçglichkeiten, (personenbezogene) Daten zu analysieren und auszuwerten und so datengetriebene Geschäftsmodelle zu entwickeln. Soweit hierbei personenbezogene Daten verwendet werden, müssen Unternehmen die datenschutzrechtlichen Vorgaben an den Umgang mit personenbezogenen Daten beachten. Insbesondere wenn zum Zeitpunkt der Datenerhebung noch nicht feststeht, wie und zu welchen Zwecken das Unternehmen die Daten verarbeiten mçchte, stellen sich hierbei durchaus datenschutzrechtliche Herausforderungen. Soweit Unternehmen auf den Umgang mit personenbezogenen Daten verzichten (und die Anonymität der Daten sicherstellen) kçnnen, ist ihnen daher anzuraten, auch tatsächlich keine personenbezogenen Daten zu verwenden. Aber auch wenn 25 Siehe hierzu auch den Entwurf für die EU-Datenschutzgrundverordnung in der Fassung des Rats der Europäischen Union, die in Erwägungsgrund 25 a für die wissenschaftliche Forschung ebenfalls die genannten Einwilligungsformen für ausreichend zu erachten scheint. 26 Siehe zum Konzept des broad consent ausführlich: Forgó/Kollek/Arning/Krügel/Petersen, Ethical and Legal Requirements for Transnational Genetic Research, 2010, Rn. 48 ff. 27 Siehe zum Konzept des tiered consent ausführlich: Forgó/Kollek/Arning/Krügel/Petersen (Fn. 26), Rn. 57 ff. 28 Auch Erwägungsgrund 25 a des Entwurfs für die EU-Datenschutzgrundverordnung in der Fassung des Rats der Europäischen Union befasst sich nur im Hinblick auf den Bereich der wissenschaftlichen Forschung mit diesen Einwilligungskonzepten. 29 Die Darstellung basiert auf BITKOM (Hrsg.), Management von Big-Data- Projekten, S. 24 ff.; abrufbar unter: /Leitfaden/Management-von-Big-Data-Projekten/130618_Manage ment-von-big-data-projekten.pdf.

13 12 Beihefter 3/2015 zu Heft 9 K&R ein Unternehmen personenbezogene Daten verarbeiten mçchte, gibt es verschiedene Mçglichkeiten, die Datenschutzkonformität dieser Big Data-Anwendungen zu gewährleisten. Ein wesentlicher Faktor zur Sicherstellung der Datenschutzkonformität derartiger Anwendungen besteht jedenfalls darin, die datenschutzrechtlichen Implikationen bereits bei der Konzeption der Anwendung zu berücksichtigen und während des jeweiligen Projekts für einen ständigen Dialog mit datenschutzrechtlichen Experten zu sorgen. RA Dr. Flemming Moos, Hamburg * Geht nicht gibt es nicht: Datennutzung als rechtliche Gestaltungsaufgabe Das Schlagwort der Data Driven Economy führt deutlich vor Augen, dass die Bedeutung von Daten für die Geschäftsmodelle der Zukunft kaum unterschätzt werden kann. In einer datengetriebenen Wirtschaft ist die Sammlung, Auswertung, Analyse, Weitergabe, Verçffentlichung und sonstige Nutzung personenbezogener Daten zentraler Bestandteil der Unternehmenstätigkeit; sei es weil der Umgang mit den Daten selbst das Geschäftsmodell darstellt, sei es weil Daten die Grundlage für die Gestaltung des Produkt- und Dienstangebots darstellen. Letzteres wird vor allem im Rahmen der Erbringung personalisierter, auf den Nutzer zugeschnittener Dienste relevant werden. Die Unternehmen kçnnen sich deshalb immer weniger darauf beschränken, die Datenschutzkonformität ihres Tuns als eine Compliance-Aufgabe unter vielen zu betrachten, die sie bei ihrem betrieblichen Datenschutzbeauftragten abladen. Schon die Auswahl und Ausgestaltung der Geschäftsmodelle muss sich zunehmend daran orientieren, was datenschutzrechtlich mçglich ist. Der Datenschutzjurist wird dadurch zum strategischen Mitgestalter. Gestaltungsmçglichkeiten gibt es dabei zuhauf, sie müssen allerdings auch erkannt und ausgenutzt werden. In diesem Beitrag soll anhand einiger praxisrelevanter Beispiele aufgezeigt werden, durch welche Gestaltungsmaßnahmen datenschutzrechtliche Klippen umschifft werden kçnnen, um datengetriebene Geschäftsmodelle auf ein rechtssicheres Fundament zu stellen. I. Der Umgang mit Daten als Compliance-Aufgabe Der Umgang mit personenbezogenen Daten wird durch Daten verarbeitende Unternehmen traditionell als reine Compliance- Aufgabe verstanden. Die rechtliche Prüfung beschränkt sich hierbei in vielen Fällen darauf, ein von der Fachabteilung ersonnenes Verarbeitungsszenario daraufhin zu prüfen, ob es datenschutzrechtlich zulässig ist oder nicht. Typische Fragestellungen sind hierbei etwa, ob eine bestimmte Werbemaßnahme unter Verwendung bestimmter Daten erfolgen darf oder ob ein definierter Datensatz für definierte Zwecke an die Muttergesellschaft übermittelt werden darf. Der Ausgangspunkt und rechtliche Programmsatz, der der Einnahme dieser Compliance-Perspektive zugrunde liegt, ist das in 4 Abs. 1 BDSG verankerte Datenverarbeitungsverbot mit Erlaubnisvorbehalt. Insofern ist an einer solchen Vorgehensweise nichts auszusetzen; im Gegenteil: die Gesetzeslage verlangt sogar diese Zulässigkeitsprüfung im Einzelfall, und deren Bedeutung wird künftig eher noch zunehmen: Nach dem Gesetzentwurf der Bundesregierung für ein Gesetz zur Verbesserung der zivilrechtlichen Durchsetzung von verbraucherschützenden Vorschriften des Datenschutzrechts soll das Verbandsklagerecht nach 2 UKlaG auf Vorschriften ausgedehnt werden, die für die Erhebung, Verarbeitung oder Nutzung personenbezogener Daten eines Verbrauchers durch einen Unternehmer gelten. 1 Zuwiderhandlungen gegen bestimmte Datenschutzvorschriften vor allem auch im Zusammenhang mit dem Erstellen von Persçnlichkeits- und Nutzungsprofilen und dem Handel mit Daten kçnnen deshalb künftig auch durch Verbraucherschutz- und Wettbewerbsverbände sanktioniert werden. Die derzeit im Trilog verhandelten Entwürfe der Datenschutz-Grundverordnung sehen Bußgelder für Datenschutzverstçße in einer Hçhe von bis zu 100 Mio. Euro oder 5 % des weltweiten Jahresumsatzes des jeweiligen Unternehmens vor. 2 Die Compliance-Perspektive verliert also keinesfalls ihre Bedeutung. II. Perspektivenwechsel durch Daten als Wirtschaftsgut In der datengetriebenen Wirtschaft wird es für die Unternehmen und ihre Datenschutzjuristen allerdings nicht mehr ausreichend sein, ihre Tätigkeit auf reaktive Zulässigkeitsprüfungen zu beschränken, weil Datenverwendungen nicht mehr nur die Modalität der Kundenansprache bestimmen, sondern die Produkte und die dahinter liegenden Geschäftsmodelle selbst. Datenschutzrechtliche Fragen stellen sich deshalb typischerweise nicht erst am Ende der Wertschçpfungskette, wo es darum geht, das fertige Produkt so oder so an den Kunden zu bringen, sondern am Anfang, wenn es darum geht, das Produkt selbst zu definieren; z. B. weil es eben kein Massenprodukt mehr ist, sondern ein für jeden Kunden individualisiertes, auf Basis der Analyse (personenbezogener) Daten generiertes oder zumindest optimiertes Produkt. Einige solcher datengetriebenen Geschäftsmodelle sind bereits in die Praxis umgesetzt oder stehen vor ihrer Einführung; z. B. * Mehr über den Autor erfahren Sie auf S Gesetzentwurf der Bundesregierung: Entwurf eines Gesetzes zur Verbesserung der zivilrechtlichen Durchsetzung von verbraucherschützenden Vorschriften des Datenschutzrechts, BT-Drs. 18/4631, ; hierzu: Moos, K&R 2015, 158, Vgl. Art. 79 Abs. 2a lit. c DS-GVO in der Fassung des Beschlusses des Europäischen Parlaments vom ; zu allen Entwürfen siehe die vom Bayerischen Landesamt für Datenschutzaufsicht vorgehaltene Synopse: DA_Synopse_DS-GVO_KOMM-EU-Parlament-Rat_150623TK.pdf.

14 K&R Beihefter 3/2015 zu Heft 9 13 Pay-as-you-Drive -Tarife von Kfz-Versicherungen, 3 Online-Bonitätsprüfungen 4 oder neue, datengetriebene Formen der Werbeausspielung im Internet (Programmatic Buying/ Realtime Advertising). 5 Diese Angebote sind allerdings erst die Vorboten der Datenwirtschaft es geht anerkanntermaßen um die nächste industrielle Revolution auf Basis von Big Data. 6 Alle Unternehmen werden sich den Herausforderungen stellen und eine Umstellung auf datenbasierte Geschäftsmodelle erwägen müssen. In diesem Zuge muss sich die Perspektive erweitern, mit der bislang in aller Regel datenschutzrechtliche Fragen im Unternehmen adressiert worden sind; den Datenschutzjuristen kommt verstärkt die Aufgabe zu, die Kommerzialisierung von (personenbezogenen) Daten zu ermçglichen und mitzuhelfen, tragfähige Konzepte für die Realisierung der datengetriebenen Produkte und Geschäftsmodelle zu entwickeln. Das bedingt oftmals nicht nur einen neuen Denkansatz, sondern kann in manchen Unternehmen auch organisatorische Umgestaltungen notwendig machen. Das gilt insbesondere in den Unternehmen, in denen bisher die Datenschutzbeauftragten gemäß 4 f BDSG die alleinigen Know-how-Träger im Datenschutzrecht und die alleinigen Statthalter für die Bearbeitung datenschutzrechtlicher Fragen sind. Mit ihrer Stellung und Funktion im Unternehmen als internem Kontrollorgan dürfte die weitere Aufgabe eines Datenverarbeitungsstrategen regelmäßig unvereinbar sein. Jedenfalls werden sich in vielen Fällen Arbeitsabläufe ändern müssen. Wegen der gesteigerten strategischen Bedeutung der Datenerhebungen und -verwendungen müssen die Datenschutzrechtler Konzepte und Prozesse mitgestalten und deshalb von Anfang an dabei sein. III. Ermçglichung von Datenerhebungen und -verwendungen als Gestaltungsaufgabe Inhaltlich wird es für den Datenschutzjuristen in einem Unternehmen, welches datengetriebene Geschäftsmodelle umsetzt, darum gehen, das Modell so zu gestalten, dass es im Einklang mit den datenschutzrechtlichen Vorschriften steht und insbesondere die damit einhergehenden Datenerhebungen und -verwendungen datenschutzrechtlich zulässig sind. Hierbei wird freilich Kreativität gefragt sein. Es ist zwar einerseits ein großes Dilemma des Datenschutzrechts, dass der genaue Gegenstand und Umfang zahlreicher Ge- und Verbote unklar ist, weil die Gesetze viele unbestimmte Rechtsbegriffe enthalten, für die es zumeist an hçchstrichterlicher Konturierung mangelt. Das schafft andererseits aber auch Mçglichkeiten für Unternehmen, die Interpretationsspielräume zu nutzen und natürlich ohne die Grenzen zu überschreiten Lçsungen zu erarbeiten, die den gesetzlichen Anforderungen entsprechen. Im Nachfolgenden werden beispielhaft drei praxisrelevante Szenarien betrachtet. Gemein ist ihnen die Zielsetzung, bestimmte Erhebungen oder Verwendungen personenbezogener Daten zu ermçglichen, wie sie kennzeichnend für datengetriebene Geschäftsmodelle sind. Es zeigt sich, dass es sich bei der Frage der Datenschutzkonformität keineswegs um Schwarz-Weiß-Betrachtungen handelt. Vielmehr gibt es oftmals eine Reihe alternativer Gestaltungen, so dass im Einzelfall geeignete datenschutzrechtliche Strukturierungen gefunden werden kçnnen. 1. Erwerb von Kundendaten im Rahmen von Transaktionen Eine in der Praxis häufig relevante Fragestellung in diesem Zusammenhang betrifft den Erwerb von Kundendaten im Rahmen von Unternehmenstransaktionen. Gerade datengetriebene Geschäftsmodelle werden nicht selten von Startups oder anderen jungen Unternehmen ersonnen und implementiert, die dann das Ziel von Akquisebemühungen grçßerer, etablierter Unternehmen werden. Kommt es zu einem Unternehmenserwerb, ist aus der Sicht des Käufers entscheidend, dass die Kundendaten datenschutzkonform auf ihn übergehen. Hierauf ist die datenschutzrechtliche Strukturierung gegebenenfalls auszurichten. a) Kein Erwerb von Nutzungsrechten durch Gesellschaftserwerb Entgegen einer landläufigen Fehlvorstellung außerhalb von datenschutzrechtlichen Fachkreisen begründet ein reiner Anteilserwerb an einer Gesellschaft keine datenschutzrechtlichen Nutzungsbefugnisse zugunsten des Erwerbers an den Kundendaten der (neuen) Tochtergesellschaft. Datenschutzrechtlich liegt das freilich auf der Hand, da das so genannte Target als datenschutzrechtlich verantwortliche Stelle ja unverändert erhalten bleibt und sich nur der Anteilsinhaber ändert. Weil es im deutschen Datenschutzrecht aber kein Konzernprivileg gibt, welches Datenweitergaben zwischen verbundenen Unternehmen dem Grundsatz des Datenverarbeitungsverbots mit Erlaubnisvorbehalt entzçge, werden entsprechende Datenweitergaben nicht allein deshalb zulässig, weil es nun eine neue gesellschaftsrechtliche Verbindung gibt. 7 Weil das BDSG jedes rechtlich selbständige Unternehmen innerhalb einer Unternehmensgruppe als eigenständige Stelle im Sinne von 3 Abs. 7 BDSG einstuft, 8 erwirbt der Unternehmenskäufer bei einer solchen Gestaltung deshalb keine eigenen Nutzungsrechte an den Kundendaten. b) Erwerb von Nutzungsrechten bei Asset Deal Anders liegt es bei einem so genannten Asset Deal, bei dem der Erwerber einzelne Vermçgensgegenstände des Unternehmens erwirbt. Werden auf diese Weise Kundenverhältnisse übertragen, so kçnnen bei dem Erwerber entsprechende Befugnisse zum Umgang mit solchen Kundendaten begründet werden. Damit die Weitergabe der personenbezogenen Kundendaten an den Erwerber aber überhaupt zulässig ist, bedarf es in diesen Fällen einer datenschutzrechtlichen Erlaubnisvorschrift. Für Kundendaten kommt hier grundsätzlich 28 Abs. 1 S. 1 Nr. 1 oder Nr. 2 BDSG in Betracht. 9 Bei Kundendaten allerdings, die aus Online-Geschäftsmodellen stammen, besteht eine gewisse Unsicherheit: Angesichts der Spezialregelungen im TMG, dessen Erlaubnisvorschriften keine Interessenabwägung vorsehen, mag angezweifelt werden, ob die 14, 15 TMG eine Übertragung der Daten rechtfertigen kçnnen, oder ob ungeachtet des 12 Abs. 1 TMG für die Übermittlung im Rahmen des Unternehmenskaufs ergänzend auf das BDSG zurückgegriffen werden darf. Richtigerweise wird man zwar aus dem Urteil des EuGH in Sachen ASNEF/FECEMED 10 folgern kçnnen, dass sich die Zulässigkeit einer Übermittlung von Daten immer auf Basis 3 Siehe hierzu z. B. den S-Drive -Tarif der Sparkassen-Direktversicherung; 4 Siehe hierzu z. B. das Angebot von Zest Finance unter com; allgemein dazu: Küchemann, Alle Daten sind Kreditdaten, in: F.A.Z. v Siehe dazu: Arning/Moos, ZD 2014, 242 ff. 6 Siehe hierzu anschaulich den Beitrag Datafiziert, in: Süddeutsche Zeitung vom , S Moos/Zeiter, in: Forgó/Helfrich/Schneider (Hrsg.), Betrieblicher Datenschutz, 2014, Teil V. Kap. 1 Rn Buchner, in: Taeger/Gabel, BDSG, 2. Aufl. 2013, 3 Rn Schrçder, in: Forgó/Helfrich/Schneider (Fn. 7), Teil V. Kap. 4 Rn EuGH, verb. Rs. C-468/10; C-469/10, K&R 2012, 40 ff. = ZD 2012, 33 ff.

15 14 Beihefter 3/2015 zu Heft 9 K&R einer Abwägung der Interessen des Betroffenen und der verantwortlichen Stelle ergeben kçnnen muss und dass deshalb die strengeren Regelungen des TMG, die eine solche Interessenabwägung nicht vorsehen, richtlinienkonform in dem Sinne auszulegen sind, dass sie eine Übermittlung von Bestands- und Nutzungsdaten auf Basis einer Interessenabwägung ermçglichen. Eine rechtliche Unsicherheit bleibt allerdings, zumal teilweise generell eine Einwilligung der Kunden in die Übermittlung ihrer Daten im Rahmen von Unternehmensverkäufen verlangt wird. 11 Auch das Ergebnis der Interessenabwägung ist stark einzelfallgeprägt und hängt nicht nur von der Beurteilung ab, welche Datenübermittlungen tatsächlich erforderlich sind, sondern natürlich auch von den Verwendungszwecken; soll etwa wie dies üblich ist auch eine Verwendung zu Werbezwecken erfolgen, wäre evtl. 28 Abs. 3 BDSG einschlägig. 12 Als Schlussfolgerung bleibt, dass hier je nach betroffenen Datenarten und Verwendungszwecken komplexe datenschutzrechtliche Prüfungen anzustellen sein kçnnen, um die Transaktion datenschutzkonform zu strukturieren. c) Erwerb von Nutzungsrechten durch Unternehmensumwandlungen Es lohnt sich deshalb in manchen Fällen, nach Alternativen zu suchen, die datenschutzrechtlich eine grçßere Sicherheit bieten. Eine Lçsung kann z. B. in einer Unternehmensumwandlung nach dem Umwandlungsgesetz liegen. Entgegen einer vereinzelt gebliebenen Ansicht 13 unterliegen Datenweitergaben im Rahmen von Umwandlungen nach UmwG nämlich keinen datenschutzrechtlichen Beschränkungen. 14 Bei solchen Umwandlungen, wie z. B. Verschmelzungen, Aufspaltungen, Abspaltungen und Ausgliederungen geht die Verfügungsbefugnis über die Daten im Rahmen einer Gesamtrechtsnachfolge automatisch auf den neuen Rechtsträger über, ohne dass eine Übermittlung im Sinne von 3 Abs. 4 S. 2 Nr. 3 BDSG vorläge. 15 In der Praxis ist die Datenschutzkonformität der Erlangung der Kundendaten in der Regel natürlich nur eine Gestaltungsanforderung unter vielen; daneben treten zumeist steuerliche, finanzielle und unternehmensorganisatorische Faktoren. Nur wenn man den Transaktionsjuristen aber den Kanon der datenschutzrechtlichen Mçglichkeiten komplett aufzeigt, kann eine sinnvolle Gesamtstrategie für die Unternehmenstransaktion gefunden werden. 2. Schaffung von Verarbeitungsgrundlagen durch Vertragsgestaltung Ein weiteres, sehr bedeutsames Feld, in dem die Datenschutzjuristen künftig verstärkt gefordert sein werden, ist dasjenige der proaktiven, datenschutzkonformen Ausgestaltung des eigenen Geschäftsmodells. Auch hier ist es mitnichten so, dass es um reine Entweder-oder-Entscheidungen geht. Vor allem im Rahmen der Vertragsgestaltung erçffnen sich Mçglichkeiten, ja teilweise auch Notwendigkeiten durch sorgsame Vertragsformulierungen bestimmten Umgängen mit Kundendaten eine rechtliche Basis zu geben. Der Aufsatzpunkt für solche Strategien sind diejenigen Datenschutzvorschriften des BDSG oder anderer bereichsspezifischer Gesetze, die entweder die Erhebung und Verwendung von Kundendaten zur Vertragsdurchführung oder auf der Basis von Interessenabwägungen gestatten; etwa 28 Abs. 1 S. 1 Nr. 1 und Nr. 2 BDSG. a) Definition und Leistungsbeschreibung für personalisierte Dienste Ein gutes Anwendungsbeispiel hierfür bilden personalisierte Dienste, wie sie für die künftige Datenwirtschaft kennzeichnend sein werden. Ganz generell ist es mçglich, die Leistungsbeschreibungen der jeweiligen Dienste so zu formulieren, dass die Datenverwendungen zur Personalisierung des jeweiligen Dienstangebots noch vom Vertragszweck mit abgedeckt sind. Dabei kann 28 Abs. 1 S. 1 Nr. 1 BDSG aber wohl nur als Rechtsgrundlage herangezogen werden, wenn und soweit die entsprechende Leistungsbeschreibung die Produktoptimierung bzw. Personalisierung als Teil der Leistung beschreibt und damit das Kriterium der Erforderlichkeit in 28 Abs. 1 S. 1 Nr. 1 BDSG erfüllt ist. Hierauf ist bei der Vertragsgestaltung besonders zu achten. Der Maßstab für die Erforderlichkeit ist das konkrete Vertragsverhältnis zwischen Dienstnutzer und dem datenverarbeitenden Unternehmen. 16 Prinzipiell sind nach 28 Abs. 1 BDSG solche Datenerhebungen, -verarbeitungen und -nutzungen gerechtfertigt, die der Erfüllung des jeweiligen Geschäftszwecks dienen. Entsprechende Vertragszwecke werden gerade anhand der vertraglichen Grundlagen ermittelt. 17 Es ist im Hinblick auf Vertragsverhältnisse nach wohl herrschender Meinung nach objektiven Kriterien festzustellen, ob die Verwendung der Daten in dem Sinne notwendig ist, dass nur dadurch die Rechte aus dem Vertrag geltend gemacht und die Pflichten erfüllt werden kçnnen. 18 In diesem Rahmen steht es der verantwortlichen Stelle gemäß 28 Abs. 1 S. 2 BDSG frei, die Verwendungszwecke der Daten selbst festzulegen und damit auch den Rahmen festzulegen, innerhalb dessen sich die Verarbeitung oder Nutzung der Daten vollziehen muss. 19 Der gleichen Logik wie 28 Abs. 1 BDSG folgt auch 15 TMG. Im Rahmen der Erbringung der Dienste ist die akzessorische Datenverarbeitung gerechtfertigt. 20 Wenn die vertraglichen Pflichten also entsprechend formuliert sind, kann die Vertragsdurchführung auch die Verwendung entsprechender Kundendaten einschließlich der Nutzung und Verwendung von Big Data rechtfertigen. Voraussetzung hierfür ist aber, dass die dem jeweiligen Unternehmen obliegende Leistungspflicht die Personalisierung des Dienstes anhand der Datenanalysen mçglichst konkret und eindeutig beschreibt. b) Besondere Gestaltungsanforderungen bei kombinierten Dienstangeboten Besondere Gestaltungsanforderungen ergeben sich dabei typischerweise bei kombinierten Dienstangeboten; also in Fällen, in denen mehrere grundsätzlich auch einzeln abtrennbare Funktionen oder Services zu einem Dienst zusammengefasst werden. Es liegt zwar grundsätzlich in der Deutungshoheit der verantwortlichen Stelle, den Gegenstand des eigenen Dienstes zu bestimmen. Wegen des Zweckbindungsgrundsatzes und des Trennungsgebots ist hierbei aber ganz besonders den (objektivierten) Nutzererwartungen im Hinblick auf mçgliche Zusammenführungen und dienstübergreifende Da- 11 Simitis, in: Simitis, BDSG, 7. Aufl. 2011, 28 Rn Plath, in: Plath, BDSG, 2013, 28 Rn Wengert/Widmann/Wengert, NJW 2000, 1289 ff. 14 Moos/Zeiter, in: Forgó/Helfrich/Schneider (Fn. 7), Teil V. Kap. 1 Rn Plath, in: Plath (Fn. 12), 28 Rn. 69; Dammann, in: Simitis (Fn. 11), 3 Rn. 144; Schaffland, NJW 2002, 1539, 1540 f. 16 Plath, in: Plath (Fn. 12), 28 Rn Taeger, in: Taeger/Gabel (Fn. 8), 28 Rn Taeger, in: Taeger/Gabel (Fn. 8), 28 Rn. 47; Plath, in: Plath (Fn. 12), 28 Rn. 21; LG Kçln, O 358/05, BeckRS 2007, Simitis, in: Simitis (Fn. 11), 28 Rn Zscherpe, in: Taeger/Gabel (Fn. 8), 15 TMG, Rn. 8.

16 K&R Beihefter 3/2015 zu Heft 9 15 tenverwendungen Rechnung zu tragen auch auf diese kann man freilich durch die Beschreibung des Dienstes und die Gestaltung des Nutzungsvertrages Einfluss nehmen. 3. Teilen und gemeinsame Verarbeitung von Daten Ein weiteres Gestaltungsbeispiel betrifft die datenschutzrechtliche Absicherung des Teilens bzw. der gemeinsamen Verarbeitung von Daten durch unterschiedliche Stellen, etwa innerhalb einer Unternehmensgruppe oder im Rahmen von Kooperationen mit externen Partnern. Dem BDSG liegt hierbei oberflächlich ein klar umrissenes Rollenmodell zugrunde. Es unterscheidet zwischen dem Betroffenen, der verantwortlichen Stelle und Dritten. Daneben finden noch der Auftragsdatenverarbeiter und sonstige Empfänger von Daten ausdrückliche gesetzliche Anerkennung. Verantwortliche Stelle ist gemäß 3 Abs. 7 BDSG jede Person oder Stelle, die personenbezogene Daten für sich selbst erhebt, verarbeitet oder nutzt oder dies durch andere im Auftrag vornehmen lässt. Dritter ist gemäß 3 Abs. 8 S. 2, 3 BDSG jede Person oder Stelle außerhalb der verantwortlichen Stelle mit Ausnahme des Betroffenen und der Auftragsdatenverarbeiter. In Umsetzung von Art. 2 lit. g RL 95/ 46/EG wurde in das BDSG nachträglich noch der Begriff des Empfängers eingeführt. Empfänger ist nach 3 Abs. 8 BDSG jede Person oder Stelle, die Daten erhält. Im Unterschied zu dem Dritten soll es sich bei dem Empfänger aber nicht um eine Stelle außerhalb der verantwortlichen Stelle handeln, so dass eine Datenweitergabe an einen Empfänger keine (erlaubnispflichtige) Übermittlung darstellt. Empfänger sind vor allem Auftragsdatenverarbeiter. 21 Besteht also die Zielvorstellung des Unternehmens darin, dass mehrere separate rechtliche Unternehmenseinheiten bestimmte personenbezogene Daten verwenden sollen, wird man standardmäßig eine Übermittlung der entsprechenden Daten zwischen den beteiligten Stellen in Betracht ziehen. a) Datenübermittlungen zwischen verantwortlichen Stellen Bei einer solchen Übermittlung handelt es sich aber wiederum mangels Konzernprivileg auch innerhalb einer Unternehmensgruppe um einen nach 4 Abs. 1 BDSG erlaubnispflichtigen Datenumgang. Dabei ist es durchaus denkbar, dass hierfür ein gesetzlicher Erlaubnistatbestand einschlägig ist; so kann etwa 28 Abs. 1 i.v. m. Abs. 2 BDSG eine Übermittlung von Kundendaten für andere Zwecke durchaus rechtfertigen, wobei hier durch eine entsprechende Gestaltung des Vertrages zwischen den an der Übermittlung beteiligten Stellen auch grundsätzlich den berechtigten Interessen der Betroffenen Rechnung getragen werden kann. 22 Erneut ist aber eine diffizile Einzelfallprüfung notwendig, die gegebenenfalls dazu führt, dass bestimmte Datenübermittlungen mangels Rechtsgrundlage nicht erfolgen dürften. b) Begründung einer gemeinsam verantwortlichen Stelle An diesem Punkt stellt sich erneut die Frage nach mçglichen Alternativgestaltungen. Eine Variante kann die Begründung einer gemeinsam verantwortlichen Stelle sein. aa) Anforderungen an die Ausgestaltung Nach 3 Abs. 7 BDSG i.v. m. Art. 2 lit. d der EU-Datenschutzrichtlinie 95/46/EG kçnnen nämlich entgegen dem insoweit richtlinienkonform auszulegenden Wortlaut des BDSG 23 mehrere Stellen zusammen für einen Datenumgang datenschutzrechtlich verantwortlich sein. Voraussetzung für eine gemeinsame Verantwortlichkeit ist dabei, dass verschiedene Parteien im Zusammenhang mit spezifischen Verarbeitungen entweder über den Zweck oder über wesentliche Elemente der Mittel entscheiden, die einen für die Verarbeitung Verantwortlichen kennzeichnen. 24 Als ein prägnantes Beispiel führt die Artikel-29-Datenschutzgruppe einen Fall an, in dem verschiedene Akteure beschließen, eine gemeinsame Infrastruktur für die Erreichung ihrer jeweiligen individuellen Zwecke einzurichten, und bejaht dies beispielsweise, wenn ein Reisebüro, eine Hotelkette und eine Fluggesellschaft eine gemeinsame Internet-Plattform einrichten wollen, um ihre Zusammenarbeit bei der Verwaltung der Reisereservierungen zu verbessern und ihre Kundendaten gemeinsam zu nutzen, um integrierte Werbeaktionen durchzuführen. Die Beteiligung der Parteien an den gemeinsamen Entscheidungen im Hinblick auf die Mittel und Zwecke der Datenverarbeitung kann jedoch verschiedene Formen aufweisen und muss nicht gleichmäßig verteilt sein. Nach Ansicht der Art. 29-Datenschutzgruppe sind insbesondere die folgenden Faktoren entscheidend dafür, ob eine Stelle über die Zwecke und wesentlichen Elemente der Mittel der Datenverarbeitung (mit) entscheidet: Vertragliche Vereinbarungen zwischen den beteiligten Parteien, Grad der tatsächlich von einer Partei ausgeübten Kontrolle, der den betroffenen Personen (vorliegend der den Nutzern) vermittelte Eindruck, die berechtigten Erwartungen der betroffenen Personen aufgrund der Außenwirkung. Es bedarf hierfür einer Gesamtbetrachtung dieser Faktoren. Zwar kçnnen vertragliche Regelungen alleine die Verantwortlichkeit für eine Datenverarbeitung mçglicherweise nicht determinieren, da die Parteien die Verantwortung sonst einfach nach eigenem Gutdünken zuweisen kçnnten. In diesem Sinne ist wohl auch eine Entscheidung des OVG Schleswig zu verstehen, in der das Gericht für die Frage, ob mehrere Stellen gemeinsam für die Datenverarbeitung Verantwortliche sind, entscheidend auf die Kontrolle und die Einflussnahmemçglichkeit auf die Datenverarbeitung abstellt. 25 Dennoch misst die Artikel-29-Datenschutzgruppe der Vertragsgestaltung zwischen den beteiligten Parteien besonderes Gewicht im Hinblick auf die Bestimmung der verantwortlichen Stelle bei und hat auch einen rechtlichen Einfluss einer Partei auf eine Datenverarbeitung als erheblichen Faktor bei der Bestimmung der verantwortlichen Stelle anerkannt. 26 Wenn die vertraglichen Bestimmungen die Realität also korrekt widerspiegeln (also die rechtlich benannte verantwortliche Stelle die Datenverarbeitung auch tatsächlich wirksam kontrolliert), spricht nach Ansicht der Artikel-29-Datenschutzgruppe nichts dagegen, sich bei der Bestimmung der verantwortlichen Stelle an den Vertragsregelungen zu orientieren. 21 Buchner, in: Taeger/Gabel (Fn. 8), 3 Rn Moos, in: von dem Bussche/Voigt (Hrsg.), Konzerndatenschutz, Teil 3, Kap. 4, R. 3; Gabel, in: Moos (Hrsg.), Datennutzungs- und Datenschutzverträge, 2013, Teil 6 I. Rn. 5 f. 23 VG Schleswig, A 14/12, K&R 2013, 824 ff. = ZD 2014, 51, 53; dazu Moos, K&R 2014, S. 149, 149 f. 24 Siehe z. B. Art. 29-Datenschutzgruppe, Stellungnahme 1/2010 zu den Begriffen für die Verarbeitung Verantwortlicher und Auftragsdatenverarbeiter, WP 169, S. 23, abrufbar unter: policies/privacy/docs/wpdocs/2010/wp169_de.pdf. 25 OVG Schleswig, LB 20/13, ZD 2014, 643 ff.; dazu Moos, K&R 2015, 158, Artikel 29-Datenschutzgruppe, Stellungnahme 1/2010 zu den Begriffen für die Verarbeitung Verantwortlicher und Auftragsdatenverarbeiter, WP 169, S. 14.

17 16 Beihefter 3/2015 zu Heft 9 K&R Die Artikel-29-Datenschutzgruppe gesteht den Beteiligten hierbei ausdrücklich ein gewisses Maß an vertraglicher Gestaltungsfreiheit zu; insbesondere im Hinblick auf die wechselseitige Verteilung und Zuweisung von Verpflichtungen und Verantwortlichkeiten, solange eine vollständige Einhaltung der Rechtsvorschriften gewährleistet ist; sie fordert die für die Verarbeitung Verantwortlichen sogar auf, vertragliche Regelungen über die Art und Weise zu treffen, wie sie gemeinsame Verantwortung ausüben. 27 bb) Rechtsfolgen Bei Datenweitergaben zwischen den mitverantwortlichen Stellen handelt es sich nicht um erlaubnispflichtige Übermittlungen, da sie im Verhältnis zueinander nicht Dritte im Sinne von 3 Abs. 8 S. 2, 3 BDSG sind. Der Partner, der als mitverantwortliche Stelle fungiert, darf die Daten so verwenden, wie es eine alleinig verantwortliche Stelle dürfte (vorbehaltlich etwaiger interner Verwendungsbeschränkungen im Vertrag mit der anderen mitverantwortlichen Stelle). Wichtig ist es nur, hinreichende Transparenz für die Betroffenen ebenso wie eine Übereinstimmung mit den Verarbeitungsrealitäten zu schaffen. cc) Ausblick Es ist abzusehen, dass sich im Zuge der Etablierung des Internets der Dinge, Connected Cars, Smart Grids und von Big Data-Anwendungen in viel grçßerem Maße plurale Verantwortlichkeiten für den Umgang mit Daten ergeben werden und eine Abgrenzung der Verantwortlichkeitssphären für verteilte Datenverarbeitungen schwieriger wird. 28 Alleinverantwortlichkeiten wird es in einigen Fällen nicht mehr geben (kçnnen). Ein Mehr an rechtlicher Sicherheit lässt sich durch eine proaktive Gestaltung der Beteiligten erzielen. Das zwar von der EG-Datenschutzrichtlinie anerkannte, mangels Umsetzung im Wortlaut des BDSG in Deutschland allerdings bisher nur stiefmütterlich betrachtete Konzept der gemeinsam verantwortlichen Stellen kçnnte und sollte deshalb in solchen Fällen von den Beteiligten verstärkt fruchtbar gemacht werden. 27 Artikel 29-Datenschutzgruppe, Stellungnahme 1/2010 zu den Begriffen für die Verarbeitung Verantwortlicher und Auftragsdatenverarbeiter, WP 169, S Moos, in: Leible/Kutschke, Der Schutz der Persçnlichkeit im Internet, 2013, 143, 159. IV. Fazit Die zunehmende Nutzung von Daten als Wirtschaftsgut erfordert eine Abkehr von einer reinen Compliance-Perspektive bei der datenschutzrechtlichen Bewertung des Datenumgangs im Unternehmen. Datenschutzjuristen müssen dabei helfen, datengetriebene Geschäftsmodelle auszuarbeiten und von Beginn an so aufzusetzen, dass sie im Einklang mit den Datenschutzvorgaben umgesetzt werden kçnnen. Hierbei kommt der gestalterischen Tätigkeit eine wachsende Bedeutung zu. Die gesetzlichen Regelungen halten diverse Gestaltungsoptionen bereit, die es zur Umsetzung datengetriebener Geschäftsmodelle auszunutzen gilt. Essentiell ist hierbei eine frühzeitige Einbeziehung der Datenschutzjuristen und eine sorgfältige datenschutzrechtliche Ausgestaltung von Beginn an. Dr. Flemming Moos FA für IT-Recht und Partner in der Kanzlei Osborne Clarke. Seit 2001 als RA mit den Beratungsschwerpunkten Datenschutz- und IT-Recht tätig. Im Juve Handbuch 2014 als führender Name im Datenschutz benannt. Beim ULD Schleswig-Holstein anerkannter Sachverständiger für IT-Produkte (rechtlich) und anerkannter Schlichter an der Hamburger Schlichtungsstelle für IT-Streitigkeiten; Mitglied der DGRI, der HDG und der IAPP. RA Marian Alexander Arning, LL.M. ist Rechtsanwalt bei der Kanzlei Osborne Clarke in Hamburg. Spezialisiert auf Datenschutz- und IT- Recht mit besonderem Schwerpunkt im Gesundheitsbereich, insb. ehealth. Studium an der Universität Hannover, Masterstudium an den Universitäten Hannover und Leuven; wiss. Mitarbeiter am Institut für Rechtsinformatik der Universität Hannover. Promotion über die elektronische Gesundheitskarte. Dr. Jens Schefzig Studium an den Universitäten Trier und Sheffield sowie der Christian-Albrechts-Universität zu Kiel; Rechtsreferendariat am Hanseatischen OLG Hamburg; Promotion an der Christian-Albrechts-Universität zu Kiel und Zulassung zum Rechtsanwalt in 2013; seit 2014 Rechtsanwalt im Hamburger Büro der Kanzlei Osborne Clarke; Schwerpunktbereich: IT- und Datenschutzrecht. Die internationale Kanzlei Osborne Clarke berät umfassend im Wirtschafts- und Steuerrecht in Deutschland mit mehr als 120 Rechtsanwälten aus Berlin, Hamburg, Kçln und München. Ihre Lçsungen prägen besonderes Branchen- Know-how und wirtschaftlichen Mehrwert. Das renommierte Team Datenschutz berät nationale und internationale Unternehmen in der gesamten Bandbreite des Datenschutzrechts sowie zur Nutzung von Daten, einschließlich der rechtlichen Gestaltung von Datenanalyseprojekten, der Strukturierung internationaler Datenflüsse, der Durchführung von Datenschutzaudits sowie in Compliance-Fällen. Osborne Clarke war 2012 Kanzlei des Jahres für IT-Recht und ist azur Top-Arbeitgeber für Datenschutz.