Daten sind der wichtigste Rohstoff des 21. Jahrhunderts, verkündete die deutsche Kanzlerin Angela Merkel vor ein paar Jahren auf der Computermesse Cebit – und drückte damit das aus, was die IT-Industrie schon lange weiß. In Europa beginnt für diesen rasant wachsenden Bereich am 25. Mai eine neue Zeitrechnung: Dann tritt die Datenschutz-Grundverordnung (DSGVO) in Kraft, die von großen und vielen kleinen Unternehmen einen viel sorgfältigeren Umgang mit personenbezogenen Daten als bisher verlangt.

Verbunden damit sind nicht nur Aufwendungen für die Sicherheit der Privatsphäre, sondern auch künftige Einschränkungen gewisser Geschäftstätigkeiten, die Europas Wirtschaft im internationalen Wettbewerb behindern könnten.

Gleichzeitig beginnt unter Juristen eine Debatte über die Daten ohne Personenbezug, die von Maschinen oder etwa selbstfahrenden Autos produziert werden. Wem die gehören und wer sie nutzen darf, sorgt für weniger Emotionen als der persönliche Datenschutz, ist aber wirtschaftlich von großer Bedeutung. Und die Grenze zwischen diesen beiden Datentypen ist weitaus weniger klar, als es die DSGVO voraussetzt.

Dort wird zwischen personenbezogenen und anonymisierten Daten, die auf keine Person zurückgeführt werden können, unterschieden; dazwischen stehen als eine Art Zwitter pseudonymisierte oder verschlüsselte Daten.

Anonym und damit nicht im Anwendungsbereich der DSGVO sind Daten nach Definition des Europäischen Gerichtshofs dann, wenn das Unternehmen mit den verfügbaren technischen und wirtschaftlichen Mitteln keine Rückschlüsse auf die Person ziehen kann. "Die Abgrenzung, ab wann Daten ausreichend anonymisiert sind, war immer schon unscharf", sagt IT-Rechtsexperte Axel Anderl von der Anwaltskanzlei Dorda und verweist auf das Beispiel einer Umfrage über das Auftreten einer Tropenkrankheit.

"In Wien wird man mit einem kleinen Zensus aufgrund der Bevölkerungsdichte dennoch schnell anonymisierte Daten haben, in einer kleinen Gemeinde im äußeren Waldviertel, wo man vielleicht weniger in exotische Länder reist, könnte ein Rückschluss leichter sein und sind diese Daten personenbezogen", sagt er. "Die Grenze ist schwierig zu ziehen und auch von Einzel- und Zufällen abhängig."

Gutes Korrektiv

Bisher seien viele Unternehmen "an der Grenze gesegelt, weil stärker segmentierte Daten wirtschaftlich wertvoller sind", so Anderl weiter. "Durch die DSGVO und die drohenden Strafen wird sich das Verhalten in die andere Richtung bewegen, da werden sich die Sichtweisen ändern."

Das trifft etwa die Werbebranche, die möglichst viele Kennzahlen zielgerichtet zu kombinieren versucht. "Unternehmen wollen möglichst genaue Zuschneidungen, aber dann kommt man eher in die Nähe der DSGVO, und dann wird es kritisch. Die Kunst ist, so zu schneiden, dass dies nicht geschieht."

Bei "Datenkraken", die bisher unbekümmert Daten gesammelt haben, sei das neue Regime ein gutes Korrektiv, sonst aber hält er die Verordnung für "teilweise überschießend und zu hart. Sie ist zu sehr vom Konsumentenschutz getrieben, zu bürokratisch und schnürt ein zu enges Korsett, das außerhalb Europas sonst niemand hat."

Problem für Start-ups

Besonders im Gesundheitssektor, etwa bei Start-ups, deren Apps sensible Gesundheitsdaten sammeln, sei die Einhaltung der neuen Regeln "ein Horror". Hier kommt es zu einem Aufeinanderprallen des Bedürfnisses der User nach innovativen Produkten und dem strengen Datenschutz.

Freilich sind aber gerade für Start-ups die Kosten für die Umsetzung der notwendigen, bei Verarbeitung sensibler Daten allerdings besonders umfangreichen Verpflichtungen schwer zu tragen. Dazu kommt das Problem, dass viele Daten von Clouddiensten gespeichert werden, wo selbst bei europäischer Infrastruktur die US-Muttergesellschaft oft aus Wartungsgründen und für Zusatzdienstleistungen Zugriff haben muss.

Anderl: "Wir sind auf keiner Insel der Seligen. Europäische Unternehmen haben es in vielen Bereichen nicht geschafft, alternative Produkte zu entwickeln. Jetzt kommen erschwerend die nochmals nachgeschärften Datenschutzstandards hinzu." Die Lücke zu den USA im IT-Bereich werde dadurch noch weiter wachsen. "Das ist ein Wettbewerbsnachteil für europäische Unternehmer."

Angleichung in Europa

Zumindest für heimische Unternehmen bieten sich durch die Vereinheitlichung der DSGVO Vorteile. Österreich hatte bislang neben Polen besonders strenge Auflagen beim Datenschutz. "Durch die Vollharmonisierung haben wir – abgesehen von den vielen Öffnungsklauseln – eine Angleichung in Europa und zumindest hier größere Waffengleichheit."

Allerdings sind bei der Anpassung nationaler Gesetze an die DSGVO einige Patzer passiert, warnt Anderl. So gab es gerade im Forschungsbereich durch das Nichtausnützen von Öffnungsklauseln im Zusammenhang mit der Zustimmung und Betroffenenrechte bei klinischen Pharmastudien potenzielle Wettbewerbsnachteile für heimische Unternehmen. Hier ist das Wissenschaftsministerium aber aktiv geworden und hat Anpassungen auf den Weg gebracht.

Etwas weniger kritisch sieht Alexander Kompein, Rechtsanwalt bei Fellner Wratzfeld und Partner (FWP), die neuen Datenschutzregeln für die Wirtschaft. "Das ist ein sehr durchdachtes Gesetz, in dem die verschiedenen Bestimmungen gut ineinandergreifen", sagt er. "Es verfolgt nicht den Zweck, irgendwelche Wirtschaftszweige durch Datenschutzmaßnahmen zu beschränken oder zu beschädigen, aber es schafft ein engeres rechtliches Korsett."

Allerdings könnten aus manchen unbestimmten Gesetzesbestimmungen, die zu viel Handlungsspielraum für die Behörden eröffnen, Rechtsrisiken für Unternehmen erwachsen.

Interessensabwägung

Der Löwenanteil der Kosten würde in der Vorbereitung entstehen, etwa wenn externe Berater und technische Dienstleister benötigt werden, um IT-Systeme an die Prinzipien der Datenminimierung anzupassen oder dafür zu sorgen, dass nur berechtigte Personen Zugang zu personenbezogenen Daten haben. Aber auch hier gelte das Prinzip der Verhältnismäßigkeit und der Interessensabwägung, sagt Kompein.

"Ein Würstelstand wird weniger personalbezogene Daten haben als ein Personalvermittler oder Krankenhaus – und deshalb viel weniger Aufwand." Laufende Kosten für größere Unternehmen mit viel Datennutzung würden etwa durch die Beschäftigung eines Datenschutzbeauftragten sowie regelmäßige Evaluierungen entstehen. Die Investitionen aber zahlen sich aus, meint Kompein. "Denn bei einer Prüfung durch die Datenschutzbehörde ist es am wichtigsten, die Dokumente bei der Hand zu haben, die alle Schritte belegen, die man unternommen hat, um die Daten zu schützen." Die Geldstrafen für Verstöße gegen die DSGVO sind wie vielfach berichtet schmerzhaft hoch.

Die Verordnung ist erst der Beginn einer Neugestaltung der Datenregulierung. Derzeit wird gerade die E-Privacy-Verordnung verhandelt, die unter anderem regeln soll, wann Webseiten ohne explizite Zustimmung des Nutzers Cookies im Computer platzieren dürfen. Dahinter steht, so Kompein, das Prinzip der "privacy by default", bei der Nutzer durch Voreinstellungen in Webbrowsern ihre Präferenzen zur Privatsphäre frei und bewusst wählen können.

Bedeutender für viele Wirtschaftszweige ist eine andere Debatte, die gerade erst begonnen hat. Angestoßen vom damaligen EU-Kommissar für Digitalwirtschaft, Günther Oettinger, beschäftigt sich die Brüsseler Kommission mit der Frage, wie Eigentumsrechte für digitale Daten definiert werden können.

Damit sollen Rechtsstreitigkeiten zwischen verschiedenen Parteien vermieden werden, etwa wenn ein selbstfahrendes Auto große Datenmengen produziert, von dem andere Fahrzeuge profitieren können, sagt Michael Woller, Experte für Immaterialgüterrecht bei Schönherr: "Wenn Autos in Zukunft lernen, autonom auf die Verkehrssituation zu reagieren, dann stellt sich die Frage, wem diese Datenflut gehört: dem Autohersteller, dem Softwarelieferanten oder dem Anwender im Fahrzeug. Und sollen unabhängige Stellen Zugriff erhalten, weil es einem allgemeinen Interesse dient?" Die gleiche Frage stelle sich, wenn selbstlernende Maschinen in einer Industrie-4.0-Fabrik einen Produktionsablauf oder ein Produkt verbessern.

Nichts passt genau

Die derzeit existierenden Rechtsinstrumente – Immaterialgüterrecht, Urheberrecht, Patentrecht, Datenbankschutzrecht oder der Eigentumsbegriff im Zivilrecht – werden dieser konkreten Problematik nicht gerecht, sagen Juristen.

In einem Policy-Document skizzierte die Kommission im Vorjahr dazu zwei mögliche Modelle: Eines ist ein hartes Schutzrecht für Eigentum, das etwa der erwirbt, der in eine Datensammlung investiert. Doch dies könnte die Nutzung für Dritte ungebührlich beschränken oder verteuern und zu schwierigen Abgrenzungsfragen führen, sagt Woller. Die Alternative ist ein an den Schutz von Geschäftsgeheimnissen (siehe "Schutz vor Geheimnisdiebstahl) angelehntes Regime, das Unternehmen vorübergehend und unter bestimmten Bedingungen ein Abwehrrecht gegen die ungefragte Übernahme von Daten zuspricht, aber auch anderen den Zugang nicht grundsätzlich verwehrt.

Woller sieht hier eine schwierige Interessensabwägung zwischen möglichst breiter Veröffentlichung und Renumeration für sinnvolle Investitionen. "Man muss darauf achten, dass nicht ein Superschutzrecht geschaffen wird, das es insbesondere den großen Playern ermöglicht, Monopole zu schaffen. Wenn man es den großen Datensammlern überlässt, wem sie etwas liefern und wem nicht, dann wird es heikel", sagt Woller. Aber: "Man wird auch verhindern wollen, dass einer Daten sammelt und sie dann von anderen abgeerntet werden. Denn das würde dazu führen, dass niemand mehr Informationen sammelt."

Für Woller wäre eine eindeutige Zuordnung der Eigentums- oder Nutzungsrechte in den kommenden Jahren wichtig, und das müsse auf europäischer Ebene geschehen. Andreas Wiebe, IT-Rechtsprofessor an der Universität Göttingen und Vorsitzender des Forschungsvereins Infolaw in Wien, bezweifelt allerdings, ob ein neues Schutzrecht möglich ist oder überhaupt benötigt wird. Er sieht darin "eine sehr deutsche Diskussion", die von Oettinger losgetreten wurde und nun in der Wissenschaft weitergeführt wird. Aus der Industrie kämen hingegen weder Beschwerden noch Anregungen. "Auch Ökonomen sind skeptisch, dass es ein neues Recht braucht, denn Daten werden ohnehin produziert", sagt Wiebe. "Es gibt kein Marktversagen."

Was wird geschützt?

Wiebe, der zum Thema Data-Ownership publiziert hat, sieht auch keinen offensichtlichen Ausweg aus dem Rechtsdilemma. "Das Problem mit Daten ist, dass es nicht genug spezifizierbar ist, was eigentlich der Schutzgegenstand ist", sagt er. Werden Informationen im Speicherzustand geschützt, würde das die Informationsfreiheit beschränken. Deshalb würden derzeit nur spezifische Aspekte der Daten geschützt werden, etwa die Datenbanken selbst.

Für die Zukunft sieht Wiebe hingegen andere grundlegende Probleme bei der Datenregulierung. Die Abgrenzung von Maschinendaten und personenbezogenen Daten, die für die Anwendung der Datenschutz-Grundverordnung so wichtig ist, werde noch schwieriger werden. Durch künstliche Intelligenz würde es immer leichter werden, anonyme Daten auf bestimmte Personen zurückzuführen. Das gelte beispielsweise für die Fahrdaten eines selbstfahrenden Autos – Zeit, Strecke oder Fahrverhalten. "Wir sprechen über die Maschinendatenproblematik, müssen aber auch das Verhältnis zum Datenschutzrecht klären", sagt Wiebe, der viele Jahre in Wien lehrte.

Und dieses werde durch die Datenschutzverordnung auf dem technischen Stand der Gegenwart eingefroren. "Sie wird für viele Jahre auf der europäischen Ebene festgeschrieben, und es wird schwierig sein, sie wieder anzurühren und technisch up to date zu bringen", warnt Wiebe. "Die Flexibilität in Hinsicht auf die technische Weiterentwicklung fehlt. Deshalb ist die DSGVO kein großer Wurf." (Eric Frey, Wirtschaft & Recht Journal, 8.3.2018)