Die Nutzung von Big Data Anwendungen birgt viele Chancen und Potenziale für die Unternehmen. Wir zeigen Ihnen, was rechtlich zu beachten ist.
Mit dem schillernden Schlagwort Big Data wird im Allgemeinen die Arbeit mit großen und komplexen Datenmengen beschrieben, die erst aufgrund maschineller Analyse wirtschaftlichen Mehrwert schaffen können. Diese Entwicklung hat großes Zukunftspotential. Nach aktuellen Schätzungen wird sich die weltweit zur Verfügung stehende Speicherkapazität in den nächsten 15 Jahren um den Faktor 4000 erhöhen.
Die Unternehmen verwerten währenddessen gegenwärtig aber nur einen geringen Teil der bei ihnen anfallenden Daten. Dabei sind die Anwendungsbeispiele für Analysetechniken bereits vielfältig: Daten aus Social Media, die zur Erstellung von Scoringprofilen oder Trendanalysen genutzt werden; Patientendaten, aus denen sich zielgerichtetere Therapieansätze ableiten lassen; oder gar Daten aus dem Betrieb von Maschinen, die bessere Wartungsprognosen ermöglichen. Dies sind nur einige Beispiele für bereits aktuell genutzte Anwendungsfelder.
Wie aber sehen die rechtlichen Rahmenbedingen für den Schutz von Big Data und ihre Nutzung durch die verschiedenen Stufen der Datenanalyse und -Vermarktung aus? Im Folgenden soll dies am Beispiel von nicht-personenbezogenen Daten aus der Industrie gezeigt werden.
Der Schutz von Big Data in Unternehmen
Beim Schutz von Big Data ist zunächst zwischen dem Schutz der Daten als solcher und dem Schutz an Analysetools zu unterscheiden. Mit den Analysetools lassen sich aus den Rohdaten weitreichendere Erkenntnisse gewinnen.
Die Rohdaten selbst sind als solche unabhängig vom Verarbeitungszustand, ebenso wie Analyseergebnisse, grundsätzlich nicht schutzrechtsfähig. Einen indirekten Schutz kann aber das Leistungsschutzrecht für Datenbanken bieten. Diesem unterfallen allerdings nicht ungeordnete Datenakkumulationen, insbesondere bloße Anhäufungen von Rohdaten.
Der Datenbankhersteller muss vielmehr wesentliche Investitionen in Beschaffung, Überprüfung oder Darstellung der Daten getätigt haben und diese systematisch oder methodisch angeordnet haben (§ 87a Abs.1 UrhG). Nicht geschützt sind hingegen Investitionen in die Generierung von Informationen.
Der Datenbankschutz kommt daher vor allem dann in Betracht, wenn Daten bereits einer gewissen Bearbeitung unterzogen worden sind. Geschützt sind die Datenbanken beispielsweise gegen die Entnahme zumindest wesentlicher Teile ihres Bestandes. Das Datenbankrecht ist allerdings eine auf europäischem Richtlinienrecht beruhende Besonderheit und hat in wichtigen Drittländern wie den USA kein Pendant.
Big Data in Unternehmen unterfallen dem Betriebs- und Geschäftsgeheimnis
Wichtigstes Schutzkonzept für den Bereich von Big Data bildet daher ihre Einordnung als Betriebs- und Geschäftsgeheimnis.
Nach der bis zum 09.06.2018 in nationales Recht umzusetzenden Richtlinie (EU) 2016/943 (Richtlinie über den Schutz vertraulichen Know-hows und vertraulicher Geschäftsinformationen (Geschäftsgeheimnisse) vor rechtswidrigem Erwerb, sowie rechtswidriger Nutzung und Offenlegung) sind weitreichende Voraussetzungen an die Einordnung von Informationen als Geschäftsgeheimnis gestellt. So fordert die Richtlinie insbesondere, dass derjenige, der die berechtigte Kontrolle über sie ausübt, den Umständen entsprechende angemessene Geheimhaltungsmaßnahmen vornimmt.
Wie die Geheimhaltungsmaßnahmen im Einzelnen ausgestaltet sein müssen, wird von der Richtlinie nicht näher dargelegt. Die an sie zu stellenden Anforderungen werden in Zukunft von der Rechtsprechung und gegebenenfalls durch Auslegungshilfen näher spezifiziert werden.
Unternehmen sind aber gut beraten, strenge Maßstäbe anzulegen, zumal ein weltweiter Geheimnisschutz ohnehin die Orientierung an eventuell strengeren Regeln von Drittländern erfordert. Im Einzelnen kommen hier folgende Maßnahmen in Betracht:
- Organisatorische Schutzmaßnahmen: Dokumentation von Betriebs- und Geschäftsgeheimnissen und der jeweils angewendeten Schutzmaßnahmen; klare Abläufe und Zuständigkeiten für den internen Umgang mit Geheimnissen; Einschränkung von Zugang zu und Weitergabe von Informationen
- Technische Schutzmaßnahmen: Passwörter; Firewalls; beschränkte Zugangs- und Zugriffsrechte; Kennzeichnung von Geheimnissen
- Regelungen bei der Zusammenarbeit mit anderen Unternehmen: Geheimhaltungsklauseln, die möglichst klar den Inhalt und Umfang der Verpflichtung umreißen; Festlegung von Sicherheitsstandards; Festlegung von Vertragsstrafen für den Fall von Verstößen
- Umgang mit eigenen Arbeitnehmern: Entry- und Exit-Gespräche; Geheimhaltungsverpflichtungen in Arbeitsverträgen, gegebenenfalls mit Bezug auf konkrete Projekte; nachvertragliche Wettbewerbsverbote; kontinuierliche Schulungen; strukturierte Incentivemodelle und Vergütung von Arbeitnehmererfindungen
Für Analysetools hingegen steht grundsätzlich der Patentschutz als Software zur Verfügung. Dieser Weg ist jedoch mit einigen Nachteilen verbunden. Zum einen ist die Erlangung von Patentschutz vergleichsweise teuer und langwierig. Schutzfähig sind zudem nicht abstrakte Algorithmen, sondern nur konkrete technische Anwendungen oder Verfahren. Hinzu kommt, dass mit der Patentanmeldung die Offenlegung des Erfindungsgegenstands verbunden ist.
Da bei Big Data Anwendungen in Unternehmen die Funktionsanalyse (reverse engineering) durch Wettbewerber in der Regel besonders schwierig, wenn nicht gar unmöglich ist, empfiehlt sich auch hier die Behandlung als Betriebs- und Geschäftsgeheimnis. Nur in Ausnahmefällen bietet sich ein Patentschutz an.
Die Zusammenarbeit von Datenproduzent und Datenanalyst bei Big Data in Unternehmen
Die Aufbereitung und Analyse von Rohdaten bei Big Data erfolgt in aller Regel durch Zusammenarbeit verschiedener Unternehmen. Datenproduzierende Unternehmen, wie etwa Betreiber von Krankenhäusern oder Fabriken, haben häufig selbst nicht die Kapazitäten und das Know-how, die bei ihnen anfallenden Massendaten zu speichern und zu verarbeiten. Sie sind daher maßgeblich auf externe Cloud-Dienste und spezialisierte Datenverarbeiter angewiesen.
Die Auslagerung der Datenverarbeitung hat zudem den Vorteil, dass Daten verschiedener Quellen analysiert werden können und sich hieraus genauere Ergebnisse ableiten lassen. Oftmals behalten sich auch Hersteller vertraglich das Recht vor, Maschinendaten ihrer Kunden zu sammeln und zu analysieren.
Die rechtliche Grundlage für eine solche Zusammenarbeit im Bereich der Big Data, bilden derzeit in Ermangelung spezieller gesetzlicher Regelungen ausschließlich die zwischen den Unternehmen geschlossenen Verträge. Vertragliche Regelungen müssen dabei sowohl notwendige Geheimhaltungs- und Sicherheitsstandards festlegen als auch den Beteiligten Nutzungs- und Verwertungsrechte zuordnen. Zu beachten sind insbesondere folgende Punkte:
- Regelungen zur Datenqualität: Die Qualität der Datenanalyse hängt maßgeblich von der Qualität der zu Grunde liegenden Rohdaten ab. Festgelegt werden sollten daher – je nach Fall – die zu übermittelnden Informationsbestandteile, zulässige Datenformate, die Kontinuität, Aktualität und Vollständigkeit der Übermittlung, Schulung von Mitarbeitern bei manueller Dateneingabe, regelmäßige Datenaudits, Freiheit der übermittelten Daten von Rechten Dritter.
- Regelungen zur Analysequalität: Die Qualität der Datenanalyse hängt daneben vor allem von der zu Grunde gelegten Methode und den Grundannahmen ab, die in die Analyse einfließen. Der Datenverarbeiter wird in aller Regel nicht bereit sein, sein Verfahren vollständig offen zu legen. Zumindest grundlegende Parameter der Datenanalyse könnten geregelt werden. Darunter fallen unter anderem die Datenselektion und -bereinigung oder die Qualität von Rohdaten aus Drittquellen, die in das Analyseergebnis einfließen. Die Regelungen erfolgen etwa durch Gremien, an denen auch Mitarbeiter des Datenproduzenten beteiligt sind.
- Datensicherheit: Zugangsbedingungen zu Daten; Sicherung von Übermittlungsprozessen und abgespeicherten Daten gegen den Zugriff Unbefugter. Vorbild hierzu können auch die NIS-Richtlinie, das BSI-Gesetz oder Datenschutzvorschriften sein
- Nutzung und Schutz von Betriebs- und Geschäftsgeheimnissen: Auch Rohdaten stellen in der Regel ein geschütztes Know-how datenproduzierender Unternehmen dar. Deshalb ist darauf zu achten, dass die Rohdaten nur für eng definierte Zwecke verwendet und nicht Dritten gegenüber offenbart werden. Bei der Analyse von Daten aus verschiedenen Quellen muss zudem sichergestellt sein, dass die Analyseergebnisse Wettbewerbern keinen Aufschluss über sensible Informationen zu anderen Datenproduzenten geben
- Nutzungsrechte an Analyseergebnissen und verarbeiteten Daten: Zuweisung von Nutzungsrechten an im Verarbeitungsprozess entstandenen Datenbanken und geschütztem Know-how; Festlegung, wer Zugriff auf Analyseergebnisse in welcher Qualität und Detailtiefe erhält; Rechte des Verarbeiters, Ergebnisse auch für andere Prozesse zu nutzen oder zu vermarkten; Rechte an schutzrechtsfähigen Erkenntnissen.
Die Bedeutung von Big Data in Unternehmen für die Zukunft
Die Nutzung und Auswertung von Massendaten, sprich Big Data, hat in den letzten Jahren eine neue Entwicklungsstufe erreicht und wird sich ebenso rasant weiterentwickeln. Um die großen Chancen und Potentiale dieser Entwicklung sinnvoll zu nutzen, ist neben der Implementierung technischer Voraussetzungen die rechtliche Absicherung von Nutzungs- und Verwertungsbefugnissen von tragender Bedeutung für die Unternehmen.
Bei der Gestaltung von Verträgen über Big Data, zwischen Datenproduzenten und Datenanalysten, stehen vor allem Mechanismen im Vordergrund, welche die Sicherheit und die Qualität der gelieferten Daten und der produzierten Ergebnisse sicherstellen. Die Ausschöpfung der zur Verfügung stehenden technischen und rechtlichen Mittel kann hierbei viele Unsicherheiten nehmen und zur Erreichung der gewünschten Synergieeffekte maßgeblich beitragen.