Ohne Rechtssicherheit keine sicheren Services
Dies ist ein Gastbeitrag von Steffen Wischmann, Begleitforschung Smart Service Welt I
Nicht alles technisch Mögliche ist auch rechtlich erlaubt. Vorgaben, wie die Datenschutz-Grundverordnung (DSGVO), stellen hohe Anforderungen bei der Umsetzung neuer Services. Verstöße können zu Bußgeldern oder Abmahnungen führen. Wettbewerbsvorteile verschafft sich derjenige, der rechtliche Risiken früh erkennt und erst gar nicht in entsprechende Fallen tappt. Ein Leitfaden des Bundesministeriums für Wirtschaft und Energie (BMWi) zeigt, wie der rechtssichere Umgang mit Daten im Rahmen von digitalen Dienstleistungen gelingt.
Rechtsrisiken digitaler Dienstleistungen
Digitale Dienstleistungen prägen längst den Alltag vieler Unternehmen und Privatpersonen: So optimieren etwa Datenbrillen in der Produktion Arbeitsabläufe, Services wie Spurhalte oder Parkassistenten verbessern den Fahrkomfort von Autos und Apps erleichtern die Kommunikation zwischen Arzt und Patient. Die Basis für diese Angebote schaffen Plattformen, auf denen Daten aus verschiedenen Quellen zusammenlaufen. Neben Fahrzeug- oder Maschinendaten, können das auch Daten mit Personenbezug sein.
Der Leitfaden „Rechtliche Herausforderungen bei Smart Services“ der im Technologieprogramm „Smart Service Welt I“ des BMWi entstanden ist, fasst die wichtigsten datenrechtlichen Fakten rund um Smart Services zusammen und gibt Antworten zu häufig gestellten Fragen:
- Was ist bei der DSGVO-konformen Verarbeitung von personenbezogenen Daten zu beachten?
- Wie können Nutzungsrechte an Daten geregelt werden und welchen Haftungsrisiken müssen sich Plattformen stellen?
- Wie lässt sich rechtskonform Open-Source-Software in eigene Produkte und Dienste integrieren?
Verarbeitung personenbezogener Daten
Die DSGVO stellt personenbezogene Daten unter Schutz. Kurz gefasst fallen darunter alle Daten, durch die sich natürliche Personen direkt oder indirekt identifizieren lassen. Typische Beispiele sind Name, Adresse und Alter einer Person. Aber auch Informationen mit denen sich Personen nur mittelbar identifizieren lassen fallen hierunter. Wer derartige Daten erhebt und verarbeitet, ist an ist an die Grundsätze der DSGVO gebunden. Hierzu gehören etwa
- Datensparsamkeit (nicht mehr Daten erfassen als nötig)
- Transparenz (es muss klar sein, wofür die Daten verwendet werden sollen)
- Integrität (Schutz vor Löschung oder unbefugter Veränderung)
- Zweckbindung der Daten (Daten dürfen nur für den Zweck verwendet werden, für den sie erhoben wurden)
Die Einhaltung dieser Grundsätze muss von Anbietern digitaler Dienstleistungen nicht nur gewährleistet sein, sondern auch nachgewiesen werden können.
Rückschlüsse auf einzelne Personen ausschließen – Beispiel: StreetProbe
Ein Beispiel für den rechtssicheren Umgang mit den sich aus der DSGVO ergebenden Pflichten liefert das vom BMWi geförderte Projekt StreetProbe. Dessen Ziel: Die in Automobilen bereits vorhandenen Sensoren nutzen, um die Beschaffenheit von Straßen zeitnah und kontinuierlich zu erfassen.
Obwohl die dabei erhobenen Daten an sich rein technischer Natur sind, besteht bei Fahrzeugen fast immer die Möglichkeit, anhand der Daten Rückschlüsse auf den jeweiligen Fahrer zu erhalten. Um das auszuschließen, löscht das System bei der Übermittlung der Daten an die zentrale Datenbank automatisch die ersten und letzten Minuten der Fahrt: Die Fahrtdaten können so nicht mehr Start- und Zielpunkten wie Wohnort und Arbeitsstätte zugeordnet werden. Ein Konflikt mit der DSGVO wird dadurch von vornherein ausgeschlossen.
Datenhoheit und Haftung von Plattformen
Digitale Dienstleister, deren Angebote auf einer Plattform-Lösung basieren, stehen aus rechtlicher Sicht vor allem vor zwei Herausforderungen:
- Datenhoheit – wem gehören die Daten, die auf der Plattform verarbeitet werden?
- Wer haftet für die Qualität der Daten, wenn es durch deren Verwendung zu Schäden kommt?
Wer auf seiner Plattform beispielsweise Wartungsdienste für Maschinen anbietet, steht unter Umständen vor dem Problem, dass der Käufer der Maschine die Maschinen-Daten gar nicht weitergeben darf, wenn sich der Hersteller ein entsprechendes Ausschließlichkeitsrecht an den Daten hat einräumen lassen. Das Angebot der Wartung wäre ohne Zustimmung des Herstellers dann unzulässig, da nur er die notwendige Datenhoheit, d. h. die Berechtigung zur Nutzung der Daten, besitzt.
Doch auch bei entsprechender Befugnis über die Daten zu verfügen bleibt das Risiko, für Schäden zu haften, die durch fehlerhaften Dateninput entstehen können. Ein Beispiel wäre der Stopp der Produktion durch ein falsches Wartungssignal. Plattformbetreiber sollten daher stets vorab klären, welche Leistungen sie in welchem Umfang anbieten und Zuständigkeiten klar definieren.
Datensparsamkeit und Anonymisierung am Beispiel der Techniker-Einsatzplanung im Projekt STEP
Das wesentliche Ziel des ebenfalls vom BMWi geförderten Projekts STEP war es, die Wartung von Maschinen bedarfsgerecht und automatisiert zu planen. Um dieses Ziel zu erreichen, werden auf einer Cloud-Plattform sowohl maschinen- als auch personenbezogene Daten zusammengeführt. Die Daten der eingesetzten Servicetechniker werden dabei auf der Plattform besonders geschützt, indem sie pseudonymisiert oder anonymisiert werden.
Da die DSGVO automatisierte Einzelfallentscheidungen nur unter engen Voraussetzungen zulässt, übernimmt die finale Entscheidung über den Einsatz eines Technikers jeweils der Einsatzplaner.
Kommerzielle Verwendung von Open-Source-Komponenten
Wer Smart Services entwickelt, verwendet dafür oft Open-Source-Software (OSS). Während deren Nutzung für die Programmierung tatsächlich „open“, also kostenfrei ist, kann beispielsweise die Weitergabe der daraus entstehenden Entwicklungen an Dritte an Lizenzbedingungen geknüpft sein.
Dies ist regelmäßig der Fall, wenn die Lizenzbedingungen der Open-Source-Software eine sogenannte „Copy-left-Klausel“ enthält. Eine kommerzielle Verwendung der Entwicklung ist dann oftmals ausgeschlossen. Bei Verstößen gegen OSS-Lizenzen drohen Schadens- und Unterlassungsklagen oder sogar die Löschung der Entwicklung.
Weitere Informationen, Lösungen und Beispiele für den rechtssicheren Umgang mit den Daten digitaler Dienstleistungen finden Sie im BMWi-Leitfaden „Rechtliche Herausforderungen bei Smart Services“, den Sie kostenlos als PDF herunterladen können.