Embed Size (px)
Citation preview
osborneclarke.de
1
hgnc StartUp-Day 2014
Datenschutz, Urheberrecht & Co. –rechtliche Herausforderungen im Big Data-Bereich
Tim MaiorinoKöln, 20. Mai 2014
osborneclarke.com
2
Big Data berührt Vielzahl von Rechtsgebieten
Eigentums-rechte
Persönlich-keitsrechte
Informationelle Selbst-
bestimmung
Recht am
eigenen Bild
Wettbewerbs-recht
Urheber-recht
Virtuelles Hausrecht
Daten-schutzrecht
BIG DATA
Private & Confidential
OC17
Folie 2
OC17 Die Grafik ist noch nicht fertig. Osborne Clarke; 22.04.2014
osborneclarke.de
3
I. Big Data – eine Gefahr für den Datenschutz?
osborneclarke.de
4
Ziel des Datenschutzrechts
• Schutz der informationellen Selbstbestimmung• = Recht des Einzelnen, grundsätzlich selbst über die Preisgabe und
Verwendung seiner personenbezogenen Daten zu bestimmen• durch Grundgesetz geschützt (Art. 2 Abs. 1, 1 Abs. 1 GG)
Private & Confidential
osborneclarke.de
5
Personenbezogene Daten – was ist das?
• Schutzgegenstand des Datenschutzrecht sind personenbezogene Daten• Personenbezogene Daten sind Einzelangaben über persönliche oder
sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener). (§ 3 Abs. 1 Bundesdatenschutzgesetz – BDSG)
• Wann ist eine Person bestimmbar?• direkte oder indirekte Identifikation möglich• auch öffentlich zugängliche Daten können personenbezogen sein• Name muss nicht bekannt sein; Identifikation kann auch
anhand von anderen Merkmalen erfolgen• oft genügen nur wenige Merkmale • Bsp.: Osborne Clarke, IT-Recht, Köln, Jahrgang 1979
Private & Confidential
OC15
Folie 5
OC15 Das wären die erforderlichen Merkmale, um dich zu identifizieren. Osborne Clarke; 22.04.2014
osborneclarke.de
6
Datenspeicherung für beliebige, undefinierte Zwecke
Je mehr Daten, desto besser
Analyse-Algorithmus greift unkontrolliert auf riesigen Datenbestand zu
Grundsatz der Zweckbindung
Prinzip der Datensparsamkeit
Transparenz, Datensparsamkeit, Zweckbindung
Big Data vs. Datenschutzrecht
Private & Confidential
OC1
OC2
OC3
OC4
Folie 6
OC1 Erhebung von Daten und ihre nachfolgende Verwendung sollen nur für einen bestimmten Zweck erfolgen. Die Datenerhebung für künftige (noch) unbestimmte Zwecke ist unzulässig.Osborne Clarke; 31.03.2014
OC2 Technische Systeme zur Datenverarbeitung müssen so gestaltet werden, dass sie mit möglichst wenigen personenbezogenen Daten arbeiten. Osborne Clarke; 31.03.2014
OC3 Das Prinzip der Transparenz gewährleistet, dass die Betroffenen wissen können, wer was wann und bei welcher Gelegenheit über sie weiß. Dieser Grundsatz findet sich im BDSG wieder: Betroffener ist über den Zweck der Datenerhebung zu Informieren, hat Auskunftsansprüche etc. .
Osborne Clarke; 31.03.2014
OC4 Folge: Datenanalyst weißt oft selbst nicht, auf welche Daten der Algorithmus zugreift. Osborne Clarke; 31.03.2014
osborneclarke.de
7
Wann sind Big-Data-Anwendungen zulässig?
Wenn personenbezogene Daten betroffen sind nur zulässig bei:
•gesetzlichem Erlaubnistatbestand
•Einwilligung des Betroffenen
(sog. Verbot mit Erlaubnisvorbehalt)
Private & Confidential
osborneclarke.de
8
Datenschutzrechtliche Prüfung der Zulässigkeit auf jeder Ebene erforderlich
2. Datenverarbeitung 3. Datennutzung
= Beschaffung von Daten
Beispiel: Abfrage von Daten bei Anmeldeprozess im Internet
= Speichern, Verändern, Übermitteln, Sperren und Löschen
Beispiel: Bekanntgabe der Daten ggü. Dritten
= jede Verwendung personenbezogener Daten
Beispiel: Auswertung oder Zusammenstellung von Daten
Private & Confidential
osborneclarke.de
9
Gesetzliche Erlaubnistatbestände
Erhebung und Speicherung von personenbezogenen Big Data•Gerechtfertigt durch § 28 BDSG? (Datenerhebung und -speicherung für eigene Geschäftszwecke) •Voraussetzung: schutzwürdige Interessen des Betroffenen dürfen nicht überwiegen•bei Speicherung für vielfältige unbestimmte Zwecke: Interessen des Betroffenen überwiegen•Folge: Speicherung unzulässig
•weiteres Problem: besonders sensible Daten können betroffen sein; Speicherung dann in der Regel nur mit Einwilligung zulässig
Private & Confidential
osborneclarke.de
10
Einwilligung des Betroffenen
Wie?•vor der Datenerhebung, -verarbeitung oder -nutzung•informiert, d.h. Betroffener muss Kenntnis haben über: verarbeitende Stelle, Art der Verarbeitung, Zweck, Datenumfang •ausdrücklich, d.h. durch Opt-In•freiwillig, d.h. die Einwilligung beruht auf der freien Entscheidung des Betroffenen
Problem bei Big-Data-Anwendungen: Zweck und datenverarbeitende Stelle in der Regel nicht bestimmbar
Private & Confidential
OC6
Folie 10
OC6 Eine Rechtfertigung durch Einwilligung dürfte daher in der Regel ausscheiden. Osborne Clarke; 31.03.2014
osborneclarke.de
11
Auswertungsmöglichkeiten von Big Data
Scoring
Personal-izing
Tracking
Auswertung von Big
Data
Private & Confidential
Voraussetzung für alle Auswertungen: rechtmäßig gespeicherte Daten werden verwendet
OC7
OC8
OC9
OC10
Folie 11
OC7 Verhalten einer Person wird auf der Zeitachse hinsichtlich einer bestimmten Eigenschaft verfolgt, insbesondere dem Aufenthaltsort. Osborne Clarke; 31.03.2014
OC8 Zahlenmäßige Bewertung einer Eigenschaft einer Person auf Grundlage möglichst vieler relevanter Merkmale; Bsp.: Bewertung der Zahlungsfähigkeit. Osborne Clarke; 31.03.2014
OC9 Aufgrund von persönlichen Merkmalen erfolgt keine zahlenmäßige Bewertung, sondern eine Antwort auf relevante Fragestellungen in Bezug aufeinzelne Personen (Bsp. hat eine Person mit bestimmten Eigenschaften Interesse an dem Konsum eines bestimmten Produkts)Osborne Clarke; 31.03.2014
OC10 Dies dürfte in der Regel nicht der Fall sein. Osborne Clarke; 01.04.2014
osborneclarke.de
12
Anonymisierung als Lösung?
• Anonymisierung = Zuordnung der Daten zu einer Person ist praktisch nicht mehr möglich oder nur mit unverhältnismäßigem Aufwand
• Prognose erforderlich: Daten dürfen während der gesamten Speicherdauer nicht einer Person zugeordnet werden können
Private & Confidential
osborneclarke.de
13
Anonymisierung
• nicht ausreichend: Löschen oder Verändern von Identifikationsmerkmalen wie – Name– IP-Adresse– Identifikationsnummer
• mögliche Anonymisierungsprozesse:– Löschen oder Verändern einer ausreichenden
Zahl von markanten Merkmalen– Auflösen von Aggregationen
Private & Confidential
OC11
OC12
Folie 13
OC11 Grund: Identifizierung auch ohne diese Merkmale möglich, wenn genügend andere Merkmale erhalten bleiben. Je umfangreicher die vorhandenen Daten, desto größer ist die Wahrscheinlichkeit, dass eine Reidentifizierung möglich ist.Osborne Clarke; 01.04.2014
OC12 Z.B. indem Einzeldatensätze zu Gruppendatensätzen werden; spezifische Merkmale durch allgemeinere ersetzt werden. An solchen Methoden wird derzeit geforscht. Osborne Clarke; 01.04.2014
osborneclarke.de
14
Big Data – eine Gefahr für den Datenschutz?
Fazit
•Big-Data-Anwendungen haben großes wirtschaftliches Potential, sind aber aus datenschutzrechtlicher Sicht sehr problematisch •mögliche Folge von Datenschutzverstößen: Aufsichtsbehörden können Bußgelder bis zu 300.000 € verhängen
•derzeit sicherste Möglichkeit: Anonymisierung der Daten•bei Anwendungen, die nur mit personenbezogenen Daten funktionieren oder sogar genau auf diese abzielen:
detaillierte Prüfung der Vereinbarkeit mit Datenschutzrecht erforderlich
Private & Confidential
osborneclarke.de
15
II. Big Data und Urheberrecht
osborneclarke.de
16
Urheberrecht – was ist geschützt?
• Urheberrecht schützt "Werke der Literatur, Wissenschaft und Kunst" • aber: auch neue Werkarten erfasst
Was ist ein Werk?• Werk = persönliche geistige Schöpfung des Urhebers• erforderlich: Schöpfungshöhe• in der Regel: Überragen der Durchschnittsgestaltung erforderlich
Private & Confidential
osborneclarke.de
17
Texte
Bei Schöpfungshöhe
Beispiele:• Zeitungsartikel
• Pressemeldungen
• Umfangreiche Produktbeschreibungen
Fotos
Immer geschützt
Beispiele:• Produktfotos
• Fotos von Mitarbeitern
• Symbolfotos
Beachte auch: Recht am eigenen Bild
Grafiken
Bei Schöpfungshöhe
Beispiele:• Icons
• Illustrationen
• Zeichnungen
Videos
Immer geschützt
Beispiele:• Videos von Kunden
• Produktpräsentation
• Medienberichte
Beachte auch: Recht am eigenen Bild
Urheberrecht – was ist geschützt?
Beispiele
osborneclarke.de
18
Urheberrecht – was ist geschützt?
• Schutz gilt ab "Schöpfung" des Werkes• keine Registrierung/Anmeldung erforderlich• © nicht erforderlich;
weist nur auf Person des Urhebers hin
• nur natürliche Personen können Urheber sein
• bei mehreren Urhebern liegt Miturheberschaft
• bei Fotos/Bildern: Urheberrecht zu trennen vom Recht am eigenen Bild
Private & Confidential
osborneclarke.de
19
Urheberrechtsschutz von Daten?
• es gibt kein "Eigentum an Daten"• Daten an sich sind auch nicht urheberrechtlich geschützt• Urheberrechtsschutz kann aber durch die konkrete Darstellung
(Aufbereitung, Zusammenstellung etc.) der Daten entstehen• diese Datensammlungen können
als Datenbankwerk oder als Datenbank geschützt sein
• Datenbankwerk erfordert Schöpfungshöhe• bei Datenbank genügt wesentliche
Investition des Datenbankherstellers
Private & Confidential
OC14
Folie 19
OC14 Der Begriff der wesentlichen Investition ist weit zu verstehen und bezieht sich auf die Beschaffung, Überprüfung oder Darstellung der Daten. Die wesentliche Investition kann im Einsatz erheblicher menschlicher, technischer und finanzieller Mittel bestehen. Starre Grenzen bestehen nicht. Osborne Clarke; 22.04.2014
osborneclarke.de
20
Urheberrecht und Big Data
• Problem: Big Data-Anwendungen können Urheberrechte verletzen
• Warum?– auch frei zugängliche Werke sind geschützt– Big Data-Anwendungen nutzen diese Werke
(z.B. durch Vervielfältigung)– Anwendung kann in Rechte des Herstellers der
Datenbank / des Datenbankwerks eingreifen
• Einzelfallprüfung erforderlich
Private & Confidential
osborneclarke.de
21
III. Big Data und Wettbewerbsrecht
osborneclarke.de
22
Big Data und Wettbewerbsrecht
• Big Data-Anwendungen können gegen Wettbewerbsrecht verstoßen, z.B. durch:
• unlautere Leistungsübernahme (sog. ergänzender wettbewerbsrechtlicher Leistungsschutz)– kann auch dann eingreifen wenn kein Urheberrechtsschutz besteht– erforderlich: wettbewerbsrechtliche Eigenart der Daten
• gezielte Behinderung von Mitbewerbern– Umgehung technischer Schutzmaßnahmen– Störung von Betriebsabläufen (Bsp. Website wird durch Zugriff einer Big-
Data-Anwendung in ihrer Nutzbarkeit beeinträchtigt)
Private & Confidential
osborneclarke.de
23
Big Data – Praxisbeispiel
osborneclarke.de
24
Praxisbeispiel: Online-Flugvermittlung
Fall: • Klägerin ist Anbieterin von Billigflügen mit Sitz in Irland• Vertrieb der Flüge erfolgt ausschließlich über die Website der Klägerin
und über ihr Callcenter (Direktvertrieb)• Klägerin bietet auf ihrer Website Zusatzleistungen Dritter an
(Hotelübernachtungen, Mietwagen etc.) • AGB der Klägerin:
Einsatz eines automatisierten Systems oder einer Software zum Herausziehen von Daten von ihrer Internetseite ist untersagt
Private & Confidential
osborneclarke.de
25
Praxisbeispiel: Online-Flugvermittlung
• Beklagte ist Anbieterin einer Online-Flugvermittlung• Software des Online-Flugvermittlers durchsucht automatisch die
Buchungsseiten der Fluggesellschaften • Flugdaten werden automatisch extrahiert und auf der eigenen
Buchungsseite der Flugvermittler angezeigt (sog. "Screen-Scraping")= Big-Data-Anwendung
• Kunde kann Flug direkt auf der Buchungsseite des Flugvermittlers buchen
• Flugvermittler erhebt eigene Vermittlungsgebühr
• Fluggesellschaft klagt auf Unterlassung der Vermittlung ihrer Flüge
Private & Confidential
OC16
Folie 25
OC16 Das System des Screen Scraping (oder auch Web Scraping) dürfte vielen Big Data Anwendungen zugrunde liegen. Vgl. dazu http://de.wikipedia.org/wiki/Screen_Scraping Osborne Clarke; 22.04.2014
osborneclarke.de
26
Praxisbeispiel: Online-Flugvermittlung
• Entscheidung des BGH (Urt. v. 30. April 2014 – I ZR 224/12)• Screen-Scraping in dieser Form ist zulässig• Begründung:
– keine wettbewerbswidrige Behinderung– Verstoß gegen die AGB der Klägerin (die den Einsatz eines
automatisierten Systems oder einer Software zum Herausziehen von Daten verbieten) begründet keinen Wettbewerbsverstoß
– technische Schutzmaßnahmen werden nicht umgangen– Geschäftsmodell der Preissuchmaschinen fördert die
Preistransparenz und erleichtert dem Kunden das Auffinden der günstigsten Flugverbindung
Private & Confidential
OC18
Folie 26
OC18 Datum und Az. habe ich hier ausnahmsweise genannt, damit die Zuhörer sehen, dass es sich um eine sehr aktuelle Entscheidung handelt.Osborne Clarke; 19.05.2014
osborneclarke.de
27
osborneclarke.de
27
Ansprechpartner
27
Marketing > Fotos > PP_Pitch > Kontakt 1
Tim MaiorinoRechtsanwalt
T +49 (0) 221 5108 4160F +49 (0) 221 5108 4161
