Rechtslage bei Big Data und Mobility

Anwender fragen - Juristen antworten

05.01.2014 von Silvia Hänig und Karin Quack
Anwender fragen sich beim Thema Big Data, welche Haftungsrisiken sie eingehen und ob sie beim Jonglieren mit Massendaten möglicherweise gegen geltendes Recht verstoßen. Wir klären auf.

Frage von Bernhard Thomas (ehemals Continental AG): Problematisch ist oft die Herkunft der Daten. Welche rechtlichen Konsequenzen hat ein Unternehmen zu fürchten, wenn es Daten aus externen Quellen nutzt, die es nicht selbst kennt und zu denen es keine Zustimmung der Betroffenen hat? Können Unternehmen die Daten externer Quellen überhaupt besitzen?

Antwort von Fabian Niemann (Bird & Bird LLP, Düsseldorf): Diese Frage betrifft die größte rechtliche Schwierigkeit überhaupt bei Big Data: die Nutzung zahlreicher, vielfach externer Daten. Hier muss unterschieden werden zwischen Eigentumsrechten (das betrifft Sacheigentum an den Daten und gegebenenfalls IP-Rechte, insbesondere Datenbank- und Urheberrechte) sowie dem eigentlichen Datenschutz. Bezüglich der Eigentumsrechte lässt sich regelmäßig ein ausreichendes Maß an Sicherheit herstellen, indem nur eigene Bestände und solche aus verlässlichen Quellen (auf Basis rechtlich geprüfter Verträge) genutzt werden.

Datenschutzrechtlich bleibt aber das Problem, dass jedes einzelne Datensubjekt (also jede identifizierbare natürliche Person) für sich allein verfügungsberechtigt ist. Die von vielen Datenschützern geforderte Zustimmung zu der Big-Data-Nutzung ist daher realitätsfern.

Wirklich zulässig ist Big Data folglich nur in zwei Fällen. Entweder wenn rein anonyme Daten genutzt werden. Das dürfte jedoch angesichts der strengen datenschutzrechtlichen Anforderungen an "Anonymität" selten sein. Oder wenn die Nutzung aufgrund einer Interessenabwägung datenschutzrechtlich auch ohne Zustimmung zulässig ist. Hier kann man sich aber nicht darauf verlassen, was die Quelle der Daten sagt, sondern man muss selbst im Einzelfall eine datenschutzrechtliche Prüfung vornehmen.

Big Data: Anwender fragen - Juristen antworten
Foto: ben chams, Fotolia.de

Noch eine Frage von Bernhard Thomas: Mit welchen rechtlich abgesicherten vertraglichen Klauseln gegenüber den Datenlieferanten kann ein Unternehmen das Datenmaterial für Raster- oder Pattern-Analysen nutzen, ohne zur Verantwortung gezogen zu werden? Gibt es bei der Erlaubnis, Daten zu analysieren, rechtliche Einschränkungen auf bestimmte Verwendungszwecke?

Fabian Niemann: Jedes Unternehmen bleibt stets für das eigene Handeln verantwortlich, sowohl eigentumsrechtlich, etwa wenn sein Lieferant fremde Datenbanken unrechtmäßig angezapft hat, als auch datenschutzrechtlich. Man kann und sollte aber Freistellungsansprüche in den Vertrag mit den Lieferanten aufnehmen. Daneben lässt sich das eigene Haftungsrisiko durch sorgfältiges Handeln verringern. Dazu gehört zum einen die Auswahl seriöser Lieferanten und zum anderen eine datenschutzrechtliche Vorabprüfung der konkret geplanten Nutzung. Beispielsweise kann eine Nutzung für Forschung, nicht aber für Marketing oder Vertrieb zulässig sein.

Big Data in Zahlen
Karl Valentin hat einmal das Bonmot geprägt, schwer sei leicht was. Das kann man für den Trend Big Data mit Sicherheit auch behaupten. Sinnvoll in der Theorie, schwer in der Realisierung. Wir liefern ein paar Fakten.
Welche Probleme sehen Sie beim Einsatz von Big Data?
Big-Data-Konzepte werden nicht vorangetrieben, weil es an den richtigen Skills fehlt.<br> Angaben in Prozent; n = 206; Mehrfachnennungen möglich; Quelle: BARC

Frage von Bernd Hilgenberg (SHD): Welche Rolle spielt der Datenschutzbeauftrage im Rahmen der Datennutzung für Big-Data-Analysen? (Anmerkung der Redaktion: Oft ist diese Rolle mit einem IT-Laien besetzt, der vielleicht gar nicht weiß, welche Daten wofür genutzt werden.)

Fabian Niemann: Eine ausreichende datenschutzrechtliche Prüfung ist wesentlich. Bei technisch komplexen und rechtlich neuen Fragestellungen wie Big Data und Cloud Computing ist hier eine Kombination von technischem Verständnis, Erfahrung mit der Materie und (daten-)schutzrechtlichen Detailkenntnissen erforderlich. Idealerweise verfügt darüber der eigene Datenschutzbeauftragte oder die eigene Rechtsabteilung. Gerade in kleineren oder nicht so techniklastigen Unternehmen wird man aber in vielen Fällen auf externes Expertenwissen zurückgreifen müssen.

Zum Thema Mobile

Frage von Bernd Hilgenberg: Wenn private und Firmendaten auf einem Gerät gemischt werden, muss es eine Vereinbarung zwischen der Personalvertretung und der IT-Leitung darüber geben. Welche rechtlichen Aspekte sollte diese Vereinbarung unbedingt enthalten?

Antwort von Hendrik Schöttle (Osborne Clarke, München): Eine solche Betriebsvereinbarung sollte auf jeden Fall regeln, wer auf welche Daten zugreifen darf. Auch hat sie klarzustellen, welche technischen und organisatorischen Maßnahmen ergriffen werden müssen, damit die Daten nicht in falsche Hände geraten. Wenn Daten bei Verlust des Geräts gelöscht werden sollen, ist auch das zu regeln. Dasselbe gilt, wenn sich der Arbeitgeber vorbehalten will, den Nutzungsumfang zu kontrollieren. Schließlich empfiehlt es sich noch, festzulegen, in welchem Maße die beim Beschäftigten anfallenden Kosten durch den Arbeitgeber erstattet werden.

Mit dem Beschäftigten persönlich sollte eine Regelung über die Nutzung getroffen werden. Dies gilt erst recht bei Unternehmen ohne Betriebsrat.

In technischer Hinsicht muss unbedingt eine klare Trennung der Firmendaten von den privaten Daten sichergestellt werden. Sie wird ohnehin aus Sicherheitsaspekten notwendig sein, etwa in Form einer Sandbox-App, welche die betrieblichen Daten in einem verschlüsselten Container hält.

Mobility in Zahlen
Die Welt der Smartphones und Tablets lässt sich auch grafisch darstellen.
Mobile Computing zählt 2013 zu den Technikprioritäten der CIOs
Ein Blick auf die Business- und Technikprioritäten der IT-Entscheider zeigt, dass Mobile und Cloud Computing besonders wichtig sind, ebenso das Big-Data-Thema.
Weltweite Marktanteile der fünf größten Anbieter von Smartphones
Nur Nokia ist noch fest verwurzelt im angestammten Handy-Geschäft – ein Problem für die Finnen.
Weltweite Marktanteile der fünf größten Anbieter von Mobiltelefonen
Smartphones verdrängen einfache Handys im Eiltempo. Wegbereiter waren das iPhone und zuvor im Business-Umfeld der Blackberry.
Apple führt Tablet-Markt klar an
Fast 44 Prozent der im vierten Quartal 2012 abgesetzten Tablets waren iPads.
Nutzer aus den USA verbringen am meisten Zeit im Netz
Medienaffin waren US-Bürger schon immer. Diese Statistik bestätigt den Trend.
Briten sind always on, Österreicher fahren lieber Ski
Überraschend unterschiedlich fallen die Surfgewohnheiten in Europa aus. Erklärbare Muster sind jedoch kaum zu erkennen.
Die Android-Plattform erobert den deutschen Markt
Während sich Googles System rasant verbreitet, verteidigt Apple wacker Platz zwei.
Die zehn beliebtesten mobilen Websites
Google zählt die meisten Unique Visitors pro Monat.
Beim Gadget ist der Deutsche nicht knauserig
In Deutschland sitzt das Geld recht locker, wenn es darum geht, ein flottes Endgerät mit sich zu führen. Bei Tablets und Smartphones ist Geiz ungeil.
Welche Inhalte die Deutschen auf dem mobilen Endgerät am meisten mögen (unterschieden nach Browser- oder App-Zugriff)
Via mobile Website oder eine App: Der Hunger auf Nachrichten ist nie gestillt. Auf Platz zwei folgt der E-Mail-Verkehr. Und über‘s Wetter muss man hierzulande einfach Bescheid wissen.
Was Frauen und was Männer wollen
Ob mobile Nachrichten-, E-Mail-, Social-Web- oder Google-Nutzung: Frauen bilden immer die Mehrheit. Wo stecken bloß die männlichen Surfer?
Smartphones zum Frühstück, PCs während der Arbeit und Tablets abends auf der Couch.
Die Deutschen haben klare Vorlieben, wann sie welche Endgeräte für Ausflüge ins weltweite Netz nutzen.

Frage von Bernhard Thomas: Welche Kompensationsansprüche kann ein Mitarbeiter geltend machen, wenn er sein privat angeschafftes Gerät dienstlich nutzt?

Hendrik Schöttle: Die Diskussion zu den rechtlichen Fragen bei Bring your own Device (ByoD) steckt noch in den Kinderschuhen, klare Leitlinien müssen erst entwickelt werden. Dies gilt insbesondere für die Frage, ob und in welchem Umfang dem Mitarbeiter Anschaffungs- und Unterhaltskosten für seine Geräte ersetzt werden müssen. Es kommt letztlich darauf an, was bezüglich einer Nutzung privater Geräte vereinbart ist und in welchem Umfang der Beschäftigte sein privates Gerät für dienstliche Zwecke nutzt.

Grundsätzlich wird der Arbeitnehmer die Erstattung beruflich angefallener Kommunikationskosten verlangen können. Eine Kostenerstattung gegen Einzelnachweis ist häufig nur mit unverhältnismäßig hohem Aufwand möglich. Daher kann es sinnvoll sein, Pauschalen zu vereinbaren. Diese dürfen allerdings nicht zu niedrig angesetzt werden. Ob der Mitarbeiter auch Kostenersatz für die Anschaffung oder Abnutzung des Geräts verlangen kann, hängt vom Einzelfall ab.

Gar keine Kompensation vorzusehen kann für das Unternehmen riskant sein: Zum einen müssen durch Bring your own Device eingesparte Kosten gegebenenfalls versteuert werden, zum anderen können die Beschäftigten möglicherweise auch ohne entsprechende Vereinbarung gesetzliche Aufwendungsersatzansprüche geltend machen. Daher sollte auch in dieser Frage vorab Klarheit geschaffen werden, und zwar in Form einer eindeutigen Regelung.

Noch eine Frage von Bernhard Thomas: Welchen Anspruch hat der Beschäftigte in diesem Zusammenhang auf Reparaturen, Support und gegebenenfalls Schadensersatz für sein Gerät?

Hendrik Schöttle: Auch in so einem Fall kann für den Beschäftigten ein Anspruch auf Erstattung der Kosten bestehen. Zumindest wenn das Gerät im Rahmen der dienstlichen Nutzung beschädigt wurde - und wenn der Schaden nicht vom Beschäftigten selbst verursacht worden ist -, wird der Beschäftigte Schadensersatz verlangen können.

Eine weitere Frage von Bernhard Thomas: Wie ist die Rechtslage, wenn das Unternehmen das private Gerät durch Eingriffe oder Beschränkungen teilweise unbrauchbar macht oder bleibende Schäden verursacht? Denkbar wären hier zum Beispiel Datenlöschung oder das Löschen von privat angeschafften Apps.

Hendrik Schöttle: Eine mögliche Datenlöschung beim Abhandenkommen des Geräts sollte unbedingt mit dem Beschäftigten geregelt werden. Was die Praxis angeht, so dürften allzu strenge Regelungen, etwa eine präventive Löschung des Geräteinhalts bei längerer Inaktivität, nur in besonderen Fällen zulässig sein.

Verschuldet der Arbeitgeber versehentlich eine Datenlöschung und lassen sich privat angeschaffte Apps nicht wiederherstellen, so hat der Arbeitgeber die damit verbundenen Schäden zu ersetzen. Hier kann mehr Klarheit geschaffen werden, indem man private und dienstliche Daten mit technischen Mitteln trennt und die eventuelle Löschung auf dienstliche Daten beschränkt.

Und noch eine Frage von Bernhard Thomas: In der Rechtsprechung ist häufig von "grober Fahrlässigkeit" die Rede, wenn Haftungsansprüche spezifiziert werden sollen. Wo beginnt schuldhaftes Verhalten des Mitarbeiters im Umgang mit privaten Geräten im Unternehmenseinsatz?

Hendrik Schöttle: Grundsätzlich wird beim Haftungsmaßstab zwischen leichter, normaler und grober Fahrlässigkeit unterschieden. Letztere ist gegeben, wenn, so der Bundesgerichtshof, "die verkehrserforderliche Sorgfalt in besonders schwerem Maße verletzt wird". Und das ist dann der Fall, wenn schon einfachste, ganz naheliegende Überlegungen nicht angestellt oder beiseitegeschoben und Punkte, die sich im gegebenen Fall jedem aufgedrängt hätten, nicht beachtet werden. Wann im Fall von Bring your own Device von grober Fahrlässigkeit gesprochen werden kann, lässt sich nur im Hinblick auf den jeweiligen Einzelfall sagen. (mhr)