Datenpools gewinnen in der digitalen Ökonomie zunehmend an Bedeutung. Sie werfen hierbei spezifische rechtliche Probleme auf. Dieser Beitrag zeigt rechtliche Vorgaben und Grenzen bei Errichtung und Operationalisierung von Datenpools auf und skizziert Gestaltungsmöglichkeiten.
Hintergrund
Datenpools, über die verschiedene Unternehmen Daten zusammenführen und sich gegenseitig Zugriff auf diese gewähren, gewinnen zunehmend an Bedeutung. Die Motivation für die Errichtung eines gemeinsamen Datenpools kann vielfältig sein. Beispielsweise können in der Pharmaindustrie durch die Kombination von Patienten-, Studien- und Gesundheitsdaten weitreichende Erkenntnisse für die Bekämpfung von Krankheiten oder die Minimierung von Gesundheitsrisiken gewonnen werden. Ebenso können etwa Unternehmen des Finanzsektors durch das Zusammenführen unterschiedlicher Finanzdaten, sowohl personenbezogener als auch nicht-personenbezogener Natur, erhebliche Effizienzgewinne erzielen.
Selbstverständlich wirft das Zusammenführen von Daten aus unterschiedlichen Quellen und über Unternehmensgrenzen hinweg eine Reihe rechtlicher Fragen auf, nicht zuletzt in den Bereichen des Datenschutz-, Vertrags- und Kartellrechts.
Vertragliche Besonderheiten
Zunächst müssen sich die betroffenen Unternehmen auf vertraglicher Grundlage über die genauen Modalitäten der Datensammlung, -teilung und -nutzung verständigen.
Dies ist nicht zuletzt deshalb besonders wichtig, weil am einzelnen Datum als solchem kein Ausschließlichkeitsrecht besteht. Je nach Einzelfall stellen in Daten enthaltene Informationen zwar Geschäftsgeheimnisse i.S.d. § 2 Nr. 1 GeschGehG dar (soweit sie geheime Informationen von wirtschaftlichem Wert enthalten und durch angemessene Geheimhaltungsmaßnahmen geschützt sind) oder Datensammlungen können als Datenbanken i.S.d. § 87a UrhG geschützt sein (wobei insbesondere unklar ist, inwiefern auch die Generierung von Daten eine schutzwürdige Investitionsleistung im Sinne der Vorschrift anzusehen ist und Verletzungshandlungen auf wesentliche Teile der Datenbank beschränkt sind). Es besteht aber bislang keine eindeutige dingliche Zuordnung, die dem Inhaber Eigentum oder ein vergleichbares Recht an den jeweiligen Daten geben würde.
Mithin gibt es regelmäßig auch keine eindeutige Antwort auf die Frage, wem die Daten zuzuordnen sind – dem Eigentümer, der Maschine, die die Daten generiert, dem Hersteller einer solchen Maschine oder dem Verwender.
In der Praxis entscheidet über die Verfügungsmöglichkeit vor diesem Hintergrund in der Regel keine etwaige dingliche Zuordnung der Daten, sondern zumeist die faktische Herrschaft über die jeweiligen Daten. Für die Öffnung von Datenassets zwecks Zugangs und Verwendung durch Dritte – wie sie auch beim Datenpooling zum Tragen kommt – stehen daher privatautonome Lösungen und damit Fragen der Vertragsgestaltung im Vordergrund.
Im Hinblick auf die Datennutzung und Verwertung sollten Datenpooling-Verträge u. a. folgende Bestimmungen enthalten:
- Einordnung des Vertragstyps (relevant insbesondere für das anzuwendende Haftungsregime);
- Möglichst präzise Definition des Vertragsgegenstandes einschließlich der bereitzustellenden Daten; im Hinblick auf datenschutzrechtliche Implikationen sollte sich der Datenpool möglichst auf die Generierung von nicht-personenbezogenen Daten (Maschinendaten und/oder anonymisierte Daten) beschränken (siehe dazu ausführlich weiter unten);
- Technische Regelungen für die Zugriffsgewährung, insbesondere Festlegung eines gemeinsamen Datenformats und Übertragungsstandards sowie der zu verwendenden Schnittstellen (API);
- Etwaige Anforderungen an die Qualität der Daten (diese wird sich regelmäßig an der Richtigkeit der in den Daten enthaltenen Informationen bestimmen) oder Bereitstellung der Daten „as is“ und ohne jegliche Gewährleistungen;
- Absicherung im Hinblick auf entgegenstehende Rechte Dritter an den generierten Daten; aufgrund der unsicheren Rechtslage im Hinblick auf die Zuordnung der Daten (und möglicher Abwehransprüche), sollten die Teilnehmer des Datenpools jeweils dafür Sorge tragen, dass sie ihrerseits die Zustimmung von Dritten einholen, die an der Generierung der Daten beteiligt sind – z. B. Eigentümer/Verwender der die Daten generierenden Geräte, zur umfassenden (kommerziellen) Nutzung und Verwendung der Daten;
- Ausgestaltung der Nutzungs- und Verwertungsrechte der Datenpool-Teilnehmer an den generierten Daten sowie an den auf Grundlage der bereitgestellten Daten erstellten Ergebnissen; bei deren Ausgestaltung dienen als Orientierung regelmäßig urheberrechtliche Lizenzen (insbesondere Konkretisierung der einzelnen Nutzungs- und Verwertungsrechte und etwaige Nutzungsbeschränkungen, Lizenzgebiet, Lizenzdauer, Unterlizenzier- und Übertragbarkeit). Bei der Einräumung von exklusiven Nutzungsrechten oder anderen Exklusivitätsvereinbarungen sind insbesondere die sich aus dem Kartellrecht ergebenden Grenzen zu beachten (siehe dazu ausführlich weiter unten);
- Vereinbarung von Geheimhaltungspflichten; eine solche Klausel dient zum einen dem Schutz der in den bereitgestellten Daten enthaltenen Informationen unabhängig davon, ob diese Informationen im Einzelfall in den Anwendungsbereich des GeschGehG fallen (zu den Schutzvoraussetzungen siehe weiter oben). Zum anderen können Geheimhaltungspflichten Klarheit über erlaubte und untersagte Handlungen unter dem GeschGehG geben. Denn ein Verstoß gegen vertragliche Nutzungsbeschränkungen kann zugleich ein Verstoß insbesondere gegen das Handlungsverbot in § 4 Abs. 2 Nr. 2 GeschGehG begründen und Ansprüche auf Unterlassung und ggfls. Schadensersatz auslösen. Daher sollten die im Rahmen des Datenpools aufgesetzten Datennutzungsverträge die jeweiligen Nutzungsbeschränkungen und Geheimhaltungspflichten klar definieren, sodass für die Teilnehmer sicher erkennbar ist, wann eine unbefugte, gegen das GeschGehG verstoßende Handhabung der Daten vorliegt.
Rechtliche Vorgaben und Grenzen bei Errichtung und Ausgestaltung von Datenpools
Die Errichtung eines Datenpools unterliegt ebenso wie die spätere konkrete Handhabung des Pools rechtlichen Grenzen.
Datenschutzrechtliche Aspekte
Eine entscheidende Weichenstellung bei der Konzeption von Datenpools ist die Frage, ob (auch) personenbezogene Daten geteilt werden sollen. Die Datenschutz-Grundverordnung (DS-GVO) erlaubt den Austausch von personenbezogenen Daten nur für eindeutig bestimmte legitime Zwecke und auch nur dann, wenn für den Datentransfer eine Rechtsgrundlage besteht. „Sensible“ Daten wie Gesundheitsinformationen, biometrische oder genetische Daten können für Forschungsprojekte o. ä. regelmäßig nur verarbeitet und geteilt werden, wenn die betroffenen Personen dafür eine ausdrückliche Einwilligung nach den Vorgaben der DS-GVO erteilt haben.
Daher sollte bei der Konzeption eines Pooling-Projekts sorgfältig geprüft werden, ob der mit dem Datenpool angestrebte Zweck nicht auch erreicht werden kann, wenn auf den Austausch personenbezogener Daten gänzlich verzichtet oder die zu teilenden Daten vorab anonymisiert werden. Dabei ist zu beachten, dass Daten nur dann als im Rechtssinne anonymisiert gelten, wenn ein Wiederherstellen des Personenbezugs technisch ausgeschlossen oder nur mit unverhältnismäßigem Aufwand möglich ist.
Ist die Verarbeitung personenbezogener Daten nicht vermeidbar, muss die Erfüllung insbesondere folgender Anforderungen dokumentiert werden (Art. 5 Abs. 2 DS-GVO):
- Prüfung und zutreffende Einordnung der Rollen der Beteiligten. Handeln mehrere Beteiligte an dem Datenpool als „gemeinsam Verantwortliche“ (Art. 4 Nr. 7, 26 DS-GVO) oder wird ein Dienstleister oder Plattformbetreiber als „Auftragsverarbeiter“ (Art. 28 DS-GVO) eingebunden, sind Datenschutzverträge mit gesetzlich vorgegebenen Inhalten abzuschließen;
- Festlegung und Beschreibung der Kategorien von betroffenen Personen und personenbezogenen Daten, die Gegenstand des Datenpools sind, sowie der Zwecke und Rechtsgrundlagen der Datenverarbeitung und der Datenempfänger;
- Beschreibung und Implementierung von risikoangemessenen technischen und organisatorischen Maßnahmen zur Gewährleistung der Datensicherheit (Art. 32 DS-GVO);
- Durchführung einer förmlichen Datenschutz-Folgenabschätzung, wenn das z. B. aufgrund der Sensibilität der Daten erforderlich ist (Art. 35 DS-GVO);
- Implementierung eines Löschkonzepts, das die Löschung von personenbezogenen Daten sicherstellt, die für die festgelegten Verarbeitungszwecke nicht mehr benötigt werden (Art. 5 Abs. 1 lit. e), 17 DS-GVO);
- Information der betroffenen Personen (Art. 13, 14 DS-GVO).
Kartellrechtliche Aspekte
Die kartellrechtliche Zulässigkeit eines Datenpools und seiner jeweiligen Ausgestaltung muss stets im Wege einer Einzelfallprüfung bewertet werden. Spezifische Rechtsprechung oder Behördenpraxis hat sich hierzu noch nicht entwickelt, aus verschiedenen Anwendungsfällen lassen sich aber die folgenden generellen Aussagen ableiten.
Vorgaben und Grenzen beim Zugang zu und Teilnahme an Datenpools
Bei der Errichtung eines Datenpools wird initial festgelegt, welche Unternehmen unter welchen Voraussetzungen Zugang zum Pool erhalten sollen. Aus kartellrechtlicher Sicht sind die Zugangsmöglichkeiten zu einem Datenpool von besonderer Relevanz, da fehlende Zugangsmöglichkeiten je nach Bedeutung des Datenpools für die Teilnahme am Markt eine Marktzutrittsbarriere darstellen können. Grundsätzlich unbedenklich sind Zugangsregeln, die folgende Maßgaben beachten:
- Der Zugang zum Datenpool steht allen interessierten Unternehmen auf Basis sachlich begründeter und einheitlicher Kriterien offen.
- Der Zugang zu Daten wird diskriminierungsfrei und unter sogenannten FRAND-Bedingungen (fair, reasonable, non-discriminatory) gewährt.
- Eine Mitwirkung der teilnehmenden Unternehmen an den relevanten Maßgaben/Standards des Datenpools ist sichergestellt, etwa hinsichtlich der Datentaxonomie oder des verwendeten Daten-Formats.
Liegen diese Voraussetzungen nicht vor, stellt dies jedoch nicht zwingend eine wettbewerbswidrige Ausgestaltung des Pools dar. Auch ein beschränkter Teilnehmerkreis kann unter Umständen gerechtfertigt sein.
Hierzu bedarf es aber stets einer differenzierten Einzelfallbetrachtung, bei der etwa die Bedeutung des Datenpools und dessen Auswirkungen auf die Marktstellung teilnehmender Unternehmen entscheidend sind. So kann sich etwa bei einem marktmächtigen Pool eine Pflicht zur Aufnahme zugangsbegehrender Wettbewerber aus dem kartellrechtlichen Missbrauchsverbot ergeben. Umgekehrt kann aber ein Datenpool von kleineren Unternehmen gerade als Gegengewicht zur Marktmacht größerer Wettbewerber auch als closed shop zulässig sein.
Vorgaben und Grenzen hinsichtlich der zur Verfügung gestellten Daten
Aus dem in Art. 101 AEUV / § 1 GWB verankerten Kartellverbot ergeben sich weitere zwingend zu beachtende Grenzen bei der Ausgestaltung von Datenpools. Auch hier ist eine Einzelfallbetrachtung notwendig, da die Zulässigkeit eines Datenaustauschs von einer Gesamtbetrachtung unterschiedlicher Faktoren abhängt (etwa die Natur der Daten und ihre Relevanz für Wettbewerber, die jeweiligen Marktverhältnisse, die Marktkonzentration, Detailgrad und Aktualität der Daten sowie Häufigkeit des Austausches). Spezielle Anforderungen können bspw. auch zu beachten sein, wenn der Datenaustausch Angleichungswirkungen haben kann, etwa im Zusammenwirken mit Preisalgorithmen, oder eine Preisdiskriminierung ermöglicht.
Ungeachtet der notwendigen Einzelfallbetrachtung sind folgende generelle Aussagen möglich:
- Wettbewerbssensible, strategisch relevante Daten (wie Preise, konkrete Kundenangebote, individuelle Marketingstrategien) dürfen mit Wettbewerbern nicht geteilt werden, da ein solcher Austausch als Hardcore-Kartellverstoß andernfalls empfindliche Geldbußen nach sich ziehen kann.
- Unproblematisch ist hingegen grundsätzlich das Teilen solcher Daten, die aus einem technischen Kontext stammen oder dazu erforderlich sind, Interoperabilität zwischen Anwendungen und/oder Geräten sicherzustellen, z. B. im IoT-Bereich oder zur technischen Ermöglichung von Industry 4.0 Anwendungen.
- Grundsätzlich sollten auch aus kartellrechtlichen Gründen möglichst nur diejenigen Daten geteilt werden, die für die jeweiligen Zwecke zwingend erforderlich sind (Minimierungsprinzip).
Zudem ist auch bei der genauen Ausgestaltung der Zugriffsgewährung auf die gepoolten Daten stets darauf zu achten, dass kartellrechtliche Grenzen eingehalten werden. Hierzu sollten state-of-the-art Sicherheitsvorkehrungen implementiert werden. Unter anderem sollte folgendes gewährleistet sein:
- Es sollten klare Vorgaben definiert werden, welche Art und in welchem Aufbereitungsgrad Daten über den Pool geteilt werden dürfen
- Die konkrete Ausgestaltung des Zugriffs auf den Pool sollte so programmiert werden, dass die Einhaltung der kartellrechtlichen Sicherheitsvorkehrungen bereits technisch gewährleistet ist (compliance-by-design).
- Es sollten einheitliche Pseudonymisierungs- und/oder Anonymisierungsverfahren entwickelt werden, die einen kartellrechtlich (und datenschutzrechtlich) zulässigen Informationsaustausch absichern.
Zudem ist stets zu beachten, dass ein erweiterter Datenzugang über den Pool auch individuelle Auswirkungen für die teilnehmenden Unternehmen haben kann. Denn der Zugang zu Daten ist nach § 18 Abs. 3 Nr. 3 sowie § 18 Abs. 3a Nr. 4 GWB als Bewertungsfaktor zur Bestimmung von Marktmacht heranzuziehen, sodass die Teilnahme an einem Datenpool und der hierüber erlangte Datenzugang die Beurteilung der wettbewerbsrechtlichen Marktstellung eines Unternehmens beeinflussen kann.
Vorgaben und Grenzen bei der Ausgestaltung der Zusammenarbeit
Neben der Ausgestaltung des Zugangs und Aufbaus des Datenpools an sich, ist auch die Zusammenarbeit der beteiligten Unternehmen im Rahmen des Pools kartellrechtlichen Grenzen unterworfen. Beachtet werden sollten daher insbesondere folgende Punkte:
- Den Pool-Teilnehmern dürfen keine Vorgaben gemacht werden, welche Preise sie für Dienstleistungen erheben, die über die gemeinsamen Daten ermöglicht werden (zum Beispiel Werbevermarktung mithilfe gemeinsamer Targetingdaten).
- Ebenso wenig dürfen sich die Pool-Teilnehmer zu anderen strategischen Gesichtspunkten abstimmen, indem sie etwa die mittels der Daten ansprechbaren Kunden unter sich aufteilen.
- Abgesehen von der Vereinbarung über die Einhaltung rechtlicher Vorgaben, dürfen die Pool-Teilnehmer keine Abstimmungen dazu treffen, wer die gemeinsamen Daten wie zu verwenden hat.
- Sofern sich die Teilnehmer exklusiv an den Pool binden, ist die kartellrechtliche Zulässigkeit einer solchen Regelung in jedem Fall anhand der konkreten Umstände zu prüfen. Gleiches gilt für Maßnahmen die zumindest mittelbar eine Lock-In Wirkung für die Teilnehmer haben.
- Die Möglichkeit der Teilnehmer, ihre Daten neben dem Pool auch individuell untereinander und/oder mit anderen Unternehmen zu teilen, sollte nicht eingeschränkt werden.
- Sofern die Vereinbarungen zum Datenpool sog. grant back und/oder forward feed Klauseln enthalten, sollten diese auf ihre kartellrechtliche Zulässigkeit geprüft werden.
Ausblick
Für Datenpools relevante Neuerungen könnte vor allem der von der EU-Kommission vorgestellte Entwurf eines „Data Governance Act“ mit sich bringen. Der Entwurf enthält Regelungen für sogenannte „Datenmittler“. Diese Datenmittler werden staatlich überwacht und müssen die von ihnen aufgebauten Datenpools diskriminierungsfrei allen interessierten Nutzern zugänglich machen. Zugleich sollen sie das informationelle Selbstbestimmungsrecht der „Datenspender“ schützen, indem sie sicherstellen, dass die Daten nur für Zwecke zugänglich gemacht werden, für die die Betroffenen eine Einwilligung nach den Vorgaben der DS-GVO erteilt haben.
Ähnlich wie der „Data Governance Act“ soll auch der „Data Act“, der sich ebenfalls noch im unionsrechtlichen Gesetzgebungsprozess befindet, durch neue Regelungen Fairness des Datenzugriffs und der Datennutzung in B2B-Situationen sicherstellen. Diese und weitere unionsgesetzgeberische Entwicklungen sind im Blick zu behalten. Dass die (wirtschaftliche) Bedeutung von Datenpools zukünftig weiter wachsen wird, steht indes außer Frage.