Big Data in der Automobilindustrie Rechtsfragen zur Wertschöpfung durch Datenauslese. Big Data Summit Hanau 25. Februar 2015 Dr. Alexander Duisberg

Transkript

1 Big Data in der Automobilindustrie Rechtsfragen zur Wertschöpfung durch Datenauslese Big Data Summit Hanau 25. Februar 2015 Dr. Alexander Duisberg

2 Übersicht Big Data Wege in die Wertschöpfung Wem gehören die Daten? Das Recht des Datenbankherstellers Daten- und Datenbanktransaktionen Datenschutz und kein Ende wo beginnt und endet Anonymisierung? Datenschutz & Automotive wo steht die Diskussion? Fazit Seite 2

3 Big Data Wege in die Wertschöpfung

4 Wie groß? Seite 4

5 Neue Größen Seite 5

6 Zettabyte? Seite 6

7 Daten Das Öl des 21. Jahrhunderts? Ja, aber Seite 7 "Images are used for educational and study purposes only"

8 Seite 8 "Images are used for educational and study purposes only"

9 Wem gehören die Daten?

10 Wem gehören die Daten? "Unsere Daten", "meine Daten", "deren Daten"? Kein zivilrechtliches Eigentum Keine bewegliche Sache ( 90 BGB) Wenn kein Eigentum, dann auch keine Eigentumsübertragung! Regelungslücke im System? Seite 10

11 Schutzrechte an Daten Daten als zentrales Wirtschaftsgut welcher Schutz? Urheberrecht nur wenn Schöpfungshöhe Wettbewerbsrecht als Betriebs- und Geschäftsgeheimnisse ( 17 UWG) Strafrecht Ausspähen und Abfragen von Daten ( 202a, b StGB) Zivilrechtlich Schadensersatz und Unterlassung ( 823, 1004 BGB) ABER: KEIN PROPRIETÄRER DATENBEGRIFF Wie gehen dann Daten-Transaktionen? Seite 11

12 Zugang zu Daten Zugang durch Regulierung und Kartellrecht Systeme der Betriebsunterstützung oder ähnliche Softwaresysteme im TK-Sektor ( 21 Abs. 2 Nr. 5 TKG) Energie-Messdaten (MessZV) Diagnosedaten (OBD) im Automobilsektor (EU-Verordnungen, GVO und Euro 5/6 Normen) Steuerungs- und Sicherungssysteme im Bahnsektor ( 14 Abs. 1 AEG) Open Data der öffentlichen Verwaltung (PSI Richtlinie) z.zt. Lobbying der Versicherungsbranche bzgl. Fahrzeugbewegungsdaten Seite 12

13 Recht des Datenbankherstellers Wo beginnt es wie weit reicht es?

14 Recht des Datenbankherstellers (1) Was ist eine Datenbank? 87a Abs. 1 UrhG: "Datenbank im Sinne dieses Gesetzes ist eine Sammlung von Werken, Daten oder anderen unabhängigen Elementen, die systematisch oder methodisch angeordnet und einzeln mit Hilfe elektronischer Mittel oder auf andere Weise zugänglich sind und deren Beschaffung, Überprüfung oder Darstellung eine nach Art oder Umfang wesentliche Investition erfordert. Eine in ihrem Inhalt nach Art oder Umfang wesentlich geänderte Datenbank gilt als neue Datenbank, sofern die Änderung eine nach Art oder Umfang wesentliche Investition erfordert." Sammlung Trennbarkeit der Daten/Elemente Elektronischer Einzelabruf Systematische oder methodische Anordnung Investition Seite 14

15 Schutzumfang Investitionsschutz Schützt Investor und seine Investition in die Ordnungsstruktur Quasi-Eigentum für 15 Jahre (sui generis Recht) Weiterentwicklung von Datenbanken Neuer sui generis Schutz Abgrenzungsfragen Schrankenbestimmungen (u.a. Forschung, Lehre ( 87 c UrhG)) Grenzen des Schutzes Kein Schutz per se für Datenbankinhalte / einzelne Datensätze Zwingendes Recht bleibt unberührt, v.a. Kartellrecht (Datenmonopole!) Datenschutzrecht Seite 15

16 Recht des Datenbankherstellers (2) Systematische oder methodische Anordnung Zweigliedriger Datenbankbegriff Datensammlung Abfragesystem Daten können ungeordnet gespeichert sein Elektronische Einzelabfrage Verbindung mit Abfragesystem entscheidend (OLG Köln v U 229/05) Seite 16

17 Recht des Datenbankherstellers (3) Was folgt daraus für Strukturiert Abfragesystem (ggf. auch für ungeordnete Daten) = Schutz aus 87a UrhG Unstrukturiert Kein Abfragesystem = Schutz aus 87a UrhG Unstrukturiert Abfragesystem = (evtl.) Seite 17 Welches Abfragesystem schafft die Einzelauslese bzw. zielgerichtete Recherche welcher unstrukturierter Daten?

18 Verwertung Wertschöpfung entlang der Erstellungs- und Verwertungskette Komplexe, mehrschichtige Erstellungsprozesse Wer ist Hersteller und wer ist Nutzer? Was tun bei Auseinanderfallen von Datenquelle und Datenabfragesystem? Schutz vor Weiterentwicklung von Datenbank durch Dritte? Vertragliche Regelungen zwingend erforderlich! Seite 18

19 Sensor- und Fahrzeugbewegungsdaten (1) Telematik- Dienstleister? Smartphone- Betriebssysteme Steuergeräte Telematik- Box Blackbox Seite 19

20 Sensor- und Fahrzeugbewegungsdaten (2) Wer ist Hersteller? Wer ist Nutzer? Wer trägt die Investition? Funktionaler Datenbankbegriff (EuGH, C-444/02) bei Mitteln zum Auffinden vorhandener Elemente und deren Zusammenstellung in der Datenbank bei Mitteln nur zur Generierung der Daten Seite 20 "Images are used for educational and study purposes only"

21 Sensor- und Fahrzeugbewegungsdaten (3) Also: Wer denn nun? Autofahrer wohl, erzeugt Daten, aber betreibt er das Abfragesystem? Versicherungen, kein Abfragesystem, keine wesentliche Investition Betreiber der Abfragesysteme: Erlaubt zielgerichtete Datenauslese Wesentliche Investition Mehrteilige Leistungskette: Telematik-Box Telematik- Dienstleister? Zugriffsrechte unklar & offen Seite 21

22 Metadaten unklar & offen Fallen Metadaten als solche unter Datenbankbegriff? Strukturelement (Informationen über andere Daten) Einzeln und elektronisch auslesbar? Methodisch oder systematisch angeordnet? Keine direkten Beispiele aus der Rechtsprechung, aber denkbare Herleitung aus: Seite 22 Metadaten- Verträge ebay-angebotsdatenbank bzgl. Infos zu Produkt, Preis, Verkäufer (LG Berlin, 22. Dezember O 743/05) Fixtures-Fußballspielpläne bzgl. Infos zu Datum, Uhrzeit, Ort, Mannschaften eines Spiels (EuGH, C- 444/02)

23 Daten- und Datenbanktransaktionen

24 Daten- und Datenbanktransaktionen (1) Transaktionsfähigkeit strukturierter Daten Datenbanklizenzverträge über Vertrag Offline- und Online-Datenbanken Überlassung einer Datenbank / Teile einer Datenbank Kauf oder Miete (unbefristet oder befristet?) Was ist mit unstrukturierten Daten? Keine Datenbanklizenzverträge, wenn kein Abfragesystem Transaktionsfähigkeit? Grundsatz der Vertragsfreiheit Kauf bei entgeltlicher, zeitlich unbegrenzter Überlassung Miete denkbar? Schwierige Beschreibung des Leistungsgegenstandes Haftung und Gewährleistung für was? Seite 24

25 Vertragliche Lösungsansätze (1) Ziele der Vertragsgestaltung Nutzungsrechte an Datenbanken (inkl. strukturierter Daten) und/oder an unstrukturierten Daten Abgrenzungsfragen und Risikoabsicherung Schutz vor unberechtigter Veränderung Haftungsfreistellung gegenüber Datenlieferanten Haftungsbegrenzung bei Übertragung/Auslizenzierung Was sind angemessene Haftungsgrenzen? Vor Datentransaktionen Due Diligence Datenherkunft Rechte Dritter (u.a. 87a UrhG) Zugangsrechte aus Regulierung Datenschutz-Compliance Risikobewertung Seite 25

26 Vertragliche Lösungsansätze (2) Eckpunkte eine Datenbanktransaktion Kauf-, Miet-, Dienst- oder Werkvertrag? Vergütungsmodelle Beschreibung des Leistungsgegenstandes Zustimmungsbedürftige Nutzung und Vervielfältigung Bei Auslizenzierung: Untersagung wesentlicher Veränderungen Datenschutz-Compliance Gewährleistung und Haftung Exit- und Rückgewähr Seite 26

27 Datenschutz und kein Ende wo beginnt und endet Anonymisierung?

28 Datenschutz und kein Ende Relevanz für Automotive Datenschutz nur für personenbezogene Daten Personenbezug liegt häufig gar nicht vor Aber aus Verknüpfung von Datenquellen (Analytics) Sitz der verantwortlichen Stelle / Ort der Ersterhebung entscheidet über international anwendbares Datenschutzrecht Gemengelagen Datenlieferant vs. Datenbankhersteller Verantwortlichkeiten vertraglich abgrenzen Einwilligung des Betroffenen? Informierte Einwilligung Vertragsgestaltung gegenüber Endkunden Bei großen Datenmengen kaum durchführbar Vertrag Seite 28

29 Datenschutz und kein Ende wo beginnt und endet Anonymisierung? Personenbezogene Daten vermeidbar? Anonymisierung (z.b. durch Aggregierung, Gruppenbildung) Personenbezug irreversibel entfernen De-Anonymisierung durch Kombination mit anderen Datenquellen? Art 29 WP Stellungnahme zu Anonymisierung ( ) Pseudonymisierung (z.b. durch Löschung Hashwerte und Ursprungsdaten) "Kleiner Bruder der Anonymisierung" Rechtsfolgen unklar Auftrag an Datenschutzbehörden, Gesetzgeber Maßnahme der Risikominderung Risikoanalyse Kernfrage an Regulierer Seite 29

30 Allgemeine Lösungsansätze (1) Kryptographische Verschlüsselung? Schlüsselinhaber kann Personenbezug wiederherstellen, Datenschutzrecht bleibt anwendbar Für andere pseudonymisierend oder anonymisierend Datenschutz (nicht) anwendbar Prozesskette End-2-End Anonymisierung in Teilabschnitten? Anonymisierung von Datenflüssen innerhalb eines Konzerns möglich (str.) Abstimmung mit den Datenschutzbehörden IT SicherheitsG in Vorbereitung Entwurf der Bundesregierung v Seite 30

31 Allgemeine Lösungsansätze (2) Auftragsdatenverarbeitung Auftragsdatenverarbeitung mit Infrastruktur-Dienstleistern Bestimmbarkeit der Datenkategorien und Betroffenen? Weisungsgebundenheit Hohe Anforderungen an technische und organisatorische Sicherheit ( 9 BDSG; BSI-Grundschutz) Datenschutz in Zeiten der Cloud Zertifizierung von Cloud-Diensten (in Vorbereitung, siehe Art 39a DS-GVO) Siehe Arbeit AG Rechtsrahmen "Trusted Cloud" ( Seite 31 "Images are used for educational and study purposes only"

32 Datenpannen Maßnahmen nicht erst im Krisenfall! Resourcenplanung darauf ausrichten Aufgabe für oberes oder Top-Management Handlungsplan aufsetzen Datenpannen feststellen Auf kritische Fälle eingrenzen Internationale Dimension "Document retention" und "litigation hold" (USA)! Mitteilungspflichten (Behörden und Betroffene) Timing Logistik Umfang der Information Seite 32

33 Datenschutz & Automotive wo steht die Diskussion?

34 Einleitung Veränderte Mobilität: Nutzung statt Besitz (z.b. "shared mobility") Auto als Datensammler Verbesserter Service Neue Geschäftsmodelle Auto als Überwachsungsinstrument und Zeuge gegen Fahrer? Fahrer auch beim Datenschutz "im Fahrersitz"? Datenschutzrecht und Verbraucherschutzrecht wachsen/ gehören zusammen IT-Sicherheit im Fahrzeug wird Thema Seite 34

35 Datenschutz & Automotive erste Ansätze Hinweisen und informieren Muster-Information des VDA und des Bayrischen Landesamts für Datenschutzaufsicht v als erster Schritt, aber unvollständig Rechtsnatur unklar Zielt auf Interessensausgleich bei Datenschutz Datenschutz-Prinzipien für vernetzte Fahrzeuge des VDA v. 3.November 2014 Zielvorgaben ("streben an") für "privacy by design"; keine klaren Standards, keine Beteiligung der Datenschutzbehörden Transparenz: Aufklärung über Daten und Verwendung, Einteilung der Daten in sechs Kategorien (u.a. Daten aufgrund gesetzlicher bzw. vertraglicher Regelung, kundeneigene Daten, technische Daten) Selbstbestimmung: hinsichtlich Verarbeitung und Nutzung personenbezogener Daten Datensicherheit: Schutz vor Manipulation und Missbrauch Seite 35 "Images are used for educational and study purposes only"

36 Forderungen des BMJV an OEMs (Heiko Maas, Bundesminister d. Justiz und für Verbraucherschutz, Safer Internet Day 2015) Privacy by design Datenvermeidung & Datensparsamkeit Zweckbindung der Datenerhebung Car-to-X Kommunikation mit Einwilligung des Fahrers/Halters Fahrer/Halter müssen Datenübermittlung erkennen, abändern und stoppen können Fahrer/Halter müssen Zugriff auf Daten im Fahrzeug bekommen (Fahrer beim Thema Daten im Fahrersitz ) Datensicherheit Seite 36

37 Thesen / Forderungen bzgl. connected car (Klaus Müller, Vorstand Verbraucherzentrale Bund e.v., Safer Internet Day 2015) Stärkung der Zweckbindung bei Datenerhebung Schlüssel für OEMs: Anonymisieren und Pseudonymisieren Abschalten der Zündung = Datenlöschung Fahrer hat Datenhoheit, d.h. er kann Strom der Daten nach außen jederzeit unterbrechen. Volle Transparenz für Fahrer, welche Daten übertragen werden. Problem Dateneigentum: Produktbeobachtung rechtfertigt kein Eigentum des OEM; Daten müssen für Fahrer und Behörde künftig zugänglich gemacht werden Bord-OS aller OEMs muss gleich sein (standardisierte Schaltflächen) Ausgestaltung des Autokaufs? Mehrere Verträge wirklich nötig? Rechtlicher Umgang mit Smartphone Integration? Seite 37

38 Praktische Lösungsansätze zu privacy by design (Jürgen Bönninger, Geschäftsführer FSD GmbH, Safer Internet Day 2015) Erste Schritte im Fahrzeug: Authentifizierung des Fahrers (z.b. PIN) Transparenz im System / Kontrolle der Datenerhebung durch hervorgehobene Register im (OS) (default-taste on / off zum Rücksetzen aller Funktionen, die Daten erheben und senden; Taste muss im Register übergeordnet sein) Transparenz des OS bzgl. Datenübermittlung (z.b. eigener Reiter Datenschutz mit Anzeige aller Dienste, die Daten übermitteln) "on"/ "off"-taste für jeden Datendienst Einwilligung des Fahrers in alle Datendienste / bei Fehlen keine Datenübertragung Fahrer muss Einstellungen jederzeit ändern können Fahrer muss Zugriff auf wartungsrelevante Daten haben, inklusive Löschfunktion Seite 38

39 Fazit

40 Fazit Daten das zentrale Asset innovativer Mobilität Eigentum an Daten Schutzlücke auf Dauer? Datenbanklizenzverträge Massiver Trend Unerlässlich für Datenbereitstellung und Risikoabsicherung Datenschutz & Automotive Anonymisierung & Pseudonymisierung Lösungsansätze privacy by design Kontrolle des Halters / Fahrers Aufbruch ins Zeitalter der Datenökonomie Seite 40 "Images are used for educational and study purposes only"

41 Über Bird & Bird LLP

42 Über Bird & Bird LLP Eine der führenden internationalen Kanzleien 27 Büros und über Anwälte weltweit Führend im Technologiebereich Umfassende Beratung in allen Praxisgruppen Enge Zusammenarbeit mit Kanzleien in Europa, im Nahen Osten, in Asien und in den USA Abu Dhabi, Bratislava, Brüssel, Budapest, Kopenhagen, Dubai, Düsseldorf, Frankfurt, Den Haag, Hamburg, Helsinki, Hong Kong, London, Lyon, Madrid, Mailand, München, Paris, Peking, Prag, Rom, Shanghai, Singapur, Skanderborg, Stockholm, Sydney und Warschau Seite 42

43 ''It stands out as one of the best international firms ; a large specialist in this area." Chambers Global 2014

44 "Die 'top' IT-Praxis von Bird & Bird rund um Alexander Duisberg agiert auf 'sehr hohem Niveau'." Legal A 'guru" on matters involving online commerce, cloud computing, big data, data protection and software and services distribution" Who's Who Legal 2015 Dr. Alexander Duisberg Steering Group Tech & Comms Bird & Bird LLP, München alexander.duisberg@twobirds.com Bird & Bird is an international legal practice comprising Bird & Bird LLP and its affiliated businesses.