Mit der Geltung der Datenschutzgrundverordnung (DSGVO) ist die Thematik des Datenschutzes endgültig auch außerhalb juristischer Fachkreise angekommen. Die DSGVO normiert umfassende Rechte des Betroffenen im Hinblick auf den Umgang mit auf ihn bezogenen Daten. Hintergrund der DSGVO ist das allgemeine Persönlichkeitsrecht der betroffenen Personen.[1] Obwohl auch die DSGVO zum Teil eine umfassendere „Datenhoheit“ zugrunde legt – etwa durch das Erfordernis der Betroffeneneinwilligung – fehlt es derzeit noch an der Normierung eines abstrakt positiven Rechts an Daten. Bislang gibt es keine vollumfängliche Verfügungsbefugnis an Daten, die in allen Rechtsgebieten der Ausgangspunkt einer Rechtsausübung wäre.[2]
Die Frage, welche Rechte an Daten geltend gemacht werden können, ist komplex und umstritten. Deshalb soll der folgende Beitrag nur einige ausgewählte, bereichsspezifische Ansätze schematisch aufzeigen., wie eine umfassende Verfügungsbefugnis an Daten – ähnlich einer eigentumsrechtlichen Position – geschaffen werden kann.
Zuordnung in Anlehnung an das Urheberrecht?
Das Urheberrecht schützt persönliche, geistige Schöpfungen (§ 2 Abs. 2 UrhG). Unter den Schutz des Urheberrechts kann daher auch Software fallen.[3] Davon ausgehend könnte der geistige Schöpfer als über das Datum „Verfügungsberechtigter“ angesehen werden. Allerdings gibt es auch Daten, die keine Schöpfung des menschlichen Geistes darstellen.[4] Das ist etwa der Fall, wenn Daten durch automatisierte Aufnahmevorgänge entstehen.[5] Das hat zur Folge, dass nicht auf alle Daten urheberrechtliche Schutzvorschriften anzuwenden sind, weswegen die Zuordnung nach diesen Kriterien großen Hürden entgegensteht. Zwar könnte ein Dateninput oder -output gem. § 4 Abs. 2 S. 1 UrhG als Sammelwerk geschützt sein. Allerdings ist auch hierfür Voraussetzung, dass die Sammlung der Daten nicht automatisch geschieht.[6] Auf diese Weise ist somit nicht möglich, den Schutz eines einzelnen Datums zu konstruieren (vgl. § 4 Abs. 1 HS. 2 UrhG)[7].
Ferner könnte sich ein Schutz der Daten aus §§ 87a ff. UrhG ergeben. Hintergrund dieser Norm ist jedoch nicht der Schutz der geistigen Schöpfung, sondern vielmehr der Schutz der wirtschaftlichen Investition in die Datensammlung.[8] Geschützt werden also nicht die in der Datenbank enthaltenen Daten an sich.[9] Dies ist ausdrücklich dem Gedanken des Erwägungsgrunds Nummer 45 der RL 96/9/EG (Datenbank-Richtlinie) zu entnehmen, dessen Umsetzung die §§ 87a ff. UrhG verfolgen. Der Erwägungsgrund Nr. 46 der Richtlinie legt fest, dass die Existenz eines Rechts auf Untersagung der unerlaubten Entnahme oder Weiterverwendung an sich nicht zur Entstehung eines Rechts an den Einzelelementen führen soll. Wenn das Urheberrecht aber diese einzelnen Elemente nicht schützt, schreibt es dem Urheber auch keine ausschließliche Verfügungsbefugnis zu, wie sie etwa ein Sacheigentümer hätte.
Zusammenfassend kann also festgestellt werden, dass das Urheberrecht die Zuordnung von Gedankeninhalten und geistigen Schöpfungen bezweckt, unabhängig davon, ob diese nun in Daten enthalten sind oder nicht. Aufgrund der nur teilweise Überschneidung mit dem Gehalt, den Daten regelmäßig aufweisen, ist die Urheberschaft daher kein geeignetes (alleiniges) Zuordnungskriterium.
Zuordnung von Daten im Strafrecht
Der Schutz von Daten im weitesten Sinne findet sich im Strafrecht etwa in § 202a ff. StGB und § 303a StGB. Diese Vorschriften normieren Straftatbestände rund um das Ausspähen, das Abfangen und das Verändern von Daten. Bereits um festzustellen, wer Geschädigter dieser Straftaten ist – also letztlich zur Wahrung des Bestimmtheitsgrundsatzes aus Art. 103 Abs. 2 GG –, ist eine Zuordnung der Daten erforderlich.[10] Diese Straftatbestände treffen jedoch keine Regelung dazu, was die Zuordnung der Daten zu einem Geschädigten ausmacht.[11] Dennoch kann mit Hilfe der klassischen Auslegungsmethoden näher bestimmt werden, was – jedenfalls im Rahmen dieser Normen – für maßgeblich erachtet wird, um diese Daten zuordnen zu können.
Für die Auslegung von Straftatbeständen ist zunächst deren Schutzgut zu ermitteln. Nach dem Willen des Gesetzgebers setzen die § 202a ff. StGB jedenfalls keine Persönlichkeitsrechtsverletzung voraus.[12] Auch ist der Entstehungsgeschichte der Norm nicht zu entnehmen, dass sie den unbefugten Zugriff auf personenbezogene Daten unter Strafe stellen wollte.[13] Damit kann bereits der datenschutzrechtliche Personenbezug als Anknüpfungspunkt ausgeschlossen werden.[14] Schutzgut der §§202a ff., 303a StGB ist vielmehr eine umfassendere Verfügungsbefugnis über Daten,[15] wobei fraglich ist, woraus diese folgt.
Ein Abstellen auf das Sacheigentum am Datenträger ist bereits deshalb fernliegend, weil die Normierung des § 303a StGB damit überflüssig wäre – die Tat würde dann bereits unter § 303 StGB – Sachbeschädigung (des Datenträgers) durch Verändern von darauf enthaltenen Daten – fallen.[16] Auch das alleinige Abstellen auf den geistigen Schöpfer des gedanklichen Inhalts ist nicht gewollt, da § 202a StGB keine Urheberrechtsvorschrift sein soll.[17] In der Praxis hat sich der Grundsatz etabliert, dass nur derjenige Opfer des § 202a StGB sein kann, der zur Wahrung eigener Interessen die Daten vor Zugriff gesichert hat.[18] Die Verfügungsbefugnis setzt also voraus, dass es dem Betroffenen technisch möglich war, die Daten gegen Zugriff zu sichern und dies seinen Interessen entsprach. Gemeint ist damit, dass dem Betroffenen aufgrund seines Rechts am gedanklichen Inhalt der Daten – ohne dass dies zugleich ein Urheberrecht darstellen müsse – über den Verbleib der Daten entscheiden kann.[19] Darüber hinaus ist im Rahmen der §§ 202a ff. StGB anerkannt, dass auch die Integrität des betroffenen IT-Systems geschützt ist.[20]
Die Zuordnung der Daten im Sinne einer Verfügungsbefugnis enthält also mehrere Gesichtspunkte, die Beachtung finden müssen. Fest steht, dass es im Gegensatz zum abwehrrechtlichen Datenschutzrecht nicht auf den Personenbezug ankommt. Auch kann nicht lediglich auf die geistige Schöpfung abgestellt werden. Im Vordergrund steht im strafrechtlichen Bereich eher eine technische Herrschaftsgewalt über das Datum, weswegen in Betracht zu ziehen ist, auf die Person des „Datenerzeugers“ abzustellen, den sog. Skribenten.[21] Der Skribent ist die Person, die das Datum technisch hergestellt hat und unterscheidet sich insofern von dem Urheber. Der Skripturakt, also die Erzeugung des Datums, wird im Rahmen dieser Vorschriften in der Erstabspeicherung gesehen.[22] Daneben wird für die Tatbestände der §§ 202a ff. StGB ein (zumeist wirtschaftliches) Interesse an der Geheimhaltung der Daten verlangt; insofern spielt der Inhalt der Daten auch eine Rolle.[23] Im Rahmen des § 303a StGB kommt es hingegen maßgeblich auf Nutzungs- und Zugriffsrecht an.[24] Die Tathandlungen erinnern hierbei allerdings doch etwas an die Schutzgüter der DSGVO, insbesondere, weil § 303a StGB die Verfügungsbefugnis als solche schützen soll.[25]
Damit wird ersichtlich, dass die Frage der Zuordnung bereits im Strafrecht nicht einheitlich erfolgt, jedenfalls liegt den verschiedenen Tatbeständen keine einheitliche Zuordnung zugrunde.
Zivilrechtliche Annäherung: Dateneigentum?
Bislang hat die Diskussion rund um ein mögliches dingliches Recht an Daten in Form des Eigentums kein eindeutiges Ergebnis hervorgebracht. Obwohl die Möglichkeit des Dateneigentums jedenfalls teilweise einige praktikable Lösungen hervorbringen zu vermag[26], ist ein solches bislang nicht anerkannt. Jedenfalls sind Daten keine körperlichen Gegenstände und somit keine Sachen im Sinne des § 90 BGB.[27] Dementsprechend wird zum Teil § 903 BGB analog auf Daten angewandt.[28] Zudem werden sie als „sonstige Gegenstände“ eingeordnet, denen § 453 Abs. 1 BGB die Kaufvertragsfähigkeit einräumt.[29] Zum Teil werden Personendaten unter Immaterialgüter gefasst, woraus eine direkte Eigentumsfähigkeit gezogen werden könnte.[30] Dem dürfte als Argument die wirtschaftliche Verwertbarkeit personenbezogener Daten zugrunde liegen. Vor dem Hintergrund dieser Erwägungen ist die Eigentumsfähigkeit von Daten nicht abwegig, problematisch ist hingegen das Begründungsmoment; mit anderen Worten, welcher Bezug eine Eigentümerstellung verleihen würde.
Insoweit wird teilweise auf den Skribenten abgestellt, wobei die Begründungen sich im Einzelnen unterscheiden.[31] Jedenfalls stellt sich – gerade vor dem Hintergrund der wirtschaftlichen Verwertbarkeit – die Frage, welche zivilrechtliche Einkleidung der datenschutzrechtlichen Einwilligung zukommen könnte, vor allem, da die in Frage stehenden Daten in der Regel einen Personenbezug aufweisen werden.[32] Eine uneingeschränkte Verfügungsbefugnis unabhängig von der von den Daten betroffenen Person wird im Zivilrecht nicht möglich sein, da private Akteure gleichermaßen wie öffentliche Stellen „Verantwortliche“ i.S.d. Art. 4 Nr. 7 DSGVO sein können.[33] Wenngleich der Personenbezug allein noch kein geeignetes Zuordnungskriterium ist, ist eine Zuordnung ohne dieses Element hingegen auch nicht möglich.
Fazit
Im Zusammenhang mit den Abschnitten zum Urheberrecht und zum Strafrecht zeigt sich, dass allein die Schaffung eines Dateneigentums noch nicht bei der umfassenden Zuordnung von Daten zu helfen vermag. Ein vielversprechender Ansatz ist, zwischen dem Vertragsschutz, dem Persönlichkeitsschutz und dem Eigentumsschutz von Personendaten zu unterscheiden,[34] wobei unter Vertragsschutz auch wirtschaftliche Interessen fallen dürften. Um den unterschiedlichen betroffenen Interessen gerecht zu werden, wird alternativ zu der Einordnung ins Eigentum etwa in Erwägung gezogen, auf Zugriffsbefugnisse abzustellen oder die Befugniskonstellationen den betroffenen Branchen zuzuordnen und an dieser Stelle Konkretisierungen vorzunehmen.[35] Dem liegt die richtige Annahme zugrunde, dass eine „einpolige Zuordnung“, wie es meist im Bereich des Sacheigentums der Fall ist, hinsichtlich von Daten kaum möglich sein wird.[36]
[1] Ernst, in Paal/Pauly DSGVO, 2. Aufl. 2018, Art. 1 Rn. 4.
[2] Schulz, PinG 2018, 72, 73.
[3] Zech, in CR 2015, S. 137, 141.
[4] Zech, in CR 2015, S. 137, 141.
[5] Zech, in CR 2015, S. 137, 141.
[6] Dorner, in CR 2014, S. 617, 621.
[7] Dorner, in CR 2014, S. 617, 621.
[8] Dorner, in CR 2014, S. 617, 622
[9] Dorner, in CR 2014, S. 617, 622
[10] Hoeren, MMR 2013, 486, 486.
[11] Schulz, PinG 2018, 72, 74.
[12] Graf, in MüKo StGB, 3. Aufl. 2017, § 202a Rn. 1.
[13] Graf, in MüKo StGB, 3. Aufl. 2017, § 202a Rn. 2; Lackner/Kühl StGB, 29. Aufl. 2018, § 202a StGB Rn. 1.
[14] Hoeren, MMR 2013, 486, 486.
[15] Lackner/Kühl StGB, 29. Aufl. 2018, § 202a StGB Rn. 1; Weidemann in BeckOK StGB, 38. Edition, § 303a Rn. 2.
[16] Hoeren, MMR 2013, 486, 486.
[17] Weidemann in BeckOK StGB, 38. Edition, § 202a Rn. 2.
[18] BGH, Beschl. v. 21.07.2015 – NStZ 2016, 339 m.w.N.
[19] Keller/Liesching, Gesamtes Medienrecht, 3. Aufl. 2016, § 202a StGB Rn. 33.
[20] Keller/Liesching, Gesamtes Medienrecht, 3. Aufl. 2016, § 202a StGB Rn. 33.
[21] Welp, IuR 1988, 447; zustimmend Hoeren, MMR 2013, 486, 487.
[22] Fischer StGB, 63. Aufl. 2016, § 202a Rn. 7a.
[23] Fischer StGB, 63. Aufl. 2016, § 202a Rn. 2.
[24] Fischer StGB, 63. Aufl. 2016, § 303a Rn. 5.
[25] Fischer StGB, 63. Aufl. 2016, § 303a Rn. 2; vgl. auch Schantz, in BeckOK Datenschutzrecht, 24. Edition, Art. 1 DSGVO Rn. 5 f. m.w.N. und Erwägungsgrund 7 der DSGVO: „Natürliche Personen sollten die Kontrolle über ihre eigenen Daten besitzen.“.
[26] Etwa eine Vereinfachung des handels mit dem Wirtschaftsgut „Daten“, s. Taeger, NJW 2016, 3764, 3770.
[27] Fritzsche, in BeckOK BGB, 46. Edition, § 90 Rn. 25.
[28] Hoeren, MMR 2013, 486, 487 m.w.N.; A.A.: Fritzsche, in BeckOK BGB, 46. Edition, § 903 Rn. 10.
[29] Berger, in Jauernig BGB, 17. Auflage 2018, § 453 Rn. 11.
[30] S. umfassend dazu Fezer, MMR 2017, 3, 3.
[31] Fezer, MMR 2017, 3, 4, spricht etwa von „Nutzern als Datenproduzenten“, was insbesondere mit Blick auf die Vermarktung verhaltensgenerierter Daten geschieht.
[32] Specht, NJW 2017, 3567, 3567.
[33] Ernst in Paal/Pauly DSGVO BDSG, 2. Aufl. 2018, Art. 4 DSGVO Rn. 55.
[34] Fezer, MMR 2017, 3, 4
[35] S. nachweise dazu bei Specht, NJW 2017, 3567, 3567.
[36] In diese Richtung auch Hoeren, MMR 2013, 486, 488.