Jusletter IT

Dass die moderne digitale Technologie dem Recht immer einen Schritt voraus ist, zeigte sich der Juristenwelt zum ersten Mal im Zusammenhang mit dem Schutz von Software. Unter dem Eindruck der damaligen Entwicklung in den USA, anfang 80er Jahre, und unter dem Eindruck der Richtlinie 91/250/EWG vom 14. Mai 1991 über den Rechtsschutz von Computerprogrammen¹ fügte das Parlament in der damals laufenden URG-Revision sozusagen in letzter Minute den Art. 2 Abs. 3 des Bundesgesetzes über das Urheberrecht und verwandte Schutzrechte (URG) ein, wonach Computerprogramme «als Werke gelten». Vor dem Hintergrund der RBUe war der urheberrechtliche Schutz gewiss ein eleganter Kunstgriff, aber dogmatisch ein Sündenfall². Das Unbehagen des Parlaments kommt überdeutlich dadurch zum Ausdruck, dass Computerprogramme nur «als Werke gelten», also keine sind.

Will man verfolgen, was der Gesetzgeber weiter getan hat, um der digitalen Technologie Herr zu werden, genügt der Blick ins Strafrecht und ins Lauterkeitsrecht. Mehr oder anderes ist dem Gesetzgeber nicht eingefallen.

Die Straftatbestände der sogenannten Computerdelikte (Art. 143, 143^bis, 144^bis, 147 des Strafgesetzbuches [StGB]) sind weitgehend wirkungslos, wie ein Blick in die Kommentierung und Rechtsprechung rasch zeigt³.

Im Bundesgesetz über den unlauteren Wettbewerb (UWG) wurde Art. 3 Abs. 1 lit. o eingefügt, mit welchem die Spam-Flut in keiner Weise eingedämmt wurde⁴. Dasselbe Schicksal trifft den Art. 3 Abs. 1 lit. s, der neben der Impressumspflicht (lit. s Ziff. 1) ein je nach Blickwinkel konsumentenschützerisches oder vertragsrechtliches Vorgehen bei Online-Bestellungen verlangt⁵.

Und was ist die Antwort des Gesetzgebers auf die allenthalben als unbefriedigend empfundenen oder gar gebrandmarkten Zustände rund um Big Data?

Es lohnt sich, zunächst einen Blick auf das technologische Phänomen zu werfen. Wer vermutet, dass es Big Data schon viel länger gibt als die juristischen Artikel dazu, liegt richtig.

Der Ursprung von Big Data liegt nicht in Goldgräberstimmung ob der verfügbaren Daten, die Unternehmen wie heutzutage zum Beispiel Amazon oder Facebook zur Verfügung stehen. Der Ursprung sind vielmehr Ängste vor der sich exponentiell vermehrenden Menge an Information bereits zu einem Zeitpunkt, wo zur Bewältigung (! noch nicht Nutzung!) dieser Menge keine technologischen Mittel zur Verfügung standen.

Wie eine Aufstellung von Gil Press⁶ über die Geschichte von Big Data anschaulich zeigt, publizierte ein Universitäts-Bibliothekar im Jahr 1944 einen Artikel, in welchem er schätzte, dass die Bibliothek von Yale hundert Jahre später ungefähr 200 Millionen Bücher umfassen werde, was 10‘000 km Buchgestelle und eine Katalogisierungsmannschaft von über 6‘000 Personen erfordern werde. Dass das ein beängstigendes Szenario war, liegt auf der Hand.

Knapp zwanzig Jahre später, 1961, wurde eine Studie veröffentlicht, wonach sich der Bestand amerikanischer Universitätsbibliotheken exponentiell vermehre, und sich alle fünfzehn Jahre verdopple.

In den IEEE Transactions on Electronic Computers von 1964 wurde vor dem Hintergrund der im Entstehen begriffenen Computertechnologie ein merkwürdiger Rat erteilt: (1) Niemand soll irgendetwas publizieren, (2) Wenn unbedingt nötig, dann nur kurze Artikel, nämlich maximal 2‘500 Zeichen⁷, und (3) Publiziert werden soll nur, was mindestens einen früheren Beitrag irrelevant macht. Ganz offensichtlich glaubte damals nicht einmal die Computer-Fachwelt, dass man der Informationsmenge Herr werde.

Weitere wesentliche Beiträge in den 60er und 70er Jahren schlugen Lösungen für die Speicherung der Information vor, die damals noch alles andere als derart problemlos wie heute war. In den 80er Jahren war das beherrschende Thema die Frage, wie der Mensch mit solchen Informationsmengen fertig werde.

Das Ende der 90er Jahre brachte die Wende. Im Oktober 1997 publizierten zwei Autoren eine Studie über die Visualisierung grosser Datenmengen. Sie schrieben⁸: «[...] data sets are generally quite large, taxing the capacities of main memory, local disk, and even remote disk. We call this the problem of big data.» Wie man sieht, war immer noch die Speicherkapazität das technologische Problem, aber die Visualisierung von grossen Datenmengen wies die Richtung.

Bereits im August 1999 publizierten dieselben Autoren zusammen mit drei weiteren in den Communications of the ACM ihren Artikel «Visually exploring gigabyte data sets in real time». Es war der erste Beitrag, der «big data» explizit verwendete, indem einer der Abschnitte betitelt war mit «Big Data for Scientific Visualization». Sie wiesen darauf hin, dass nunmehr Datensätze im Bereich von 300 GB nicht mehr unüblich seien. Ein Kernsatz war: «[...] the purpose of computing is insight, not numbers».

Jegliche früheren Schätzungen über das Anwachsen der Informationsmenge waren bereits 1999 überholt. Für 1999 wurde geschätzt, dass 1.5 Exabytes Information entstanden war. Das entspricht 1.5 Milliarden Terabytes. Dieselbe Studie ergab für das Jahr 2003, dass bereits 5 Exabytes Information geschaffen und gespeichert wurde – und, mit Blick auf die heutige Perzeption von Big Data, darauf wartete, visualisiert oder noch besser analysiert und genutzt zu werden.

Jede Prognose erwies sich als rasch überholt. Im Jahr 2006 sollen bereits 161 Exabytes Information geschaffen worden sein, für das Jahr 2010 wurden fast 1'000 Exabytes angenommen. Ein Cisco-Report schätzte, dass der Internet-Verkehr ein halbes Zettabyte ausmachte, 500’000 Exabytes.

In einem Essay im Rahmen der Computer Research Association (www.cra.org) vom 22. Dezember 2008 wurde erstmals Big Data so beschrieben, wie wir es heute kennen, nämlich als Analyse, Verarbeitung und Nutzung grosser Datenmengen. Kurze Zeit später, ebenfalls im Rahmen der CRA, folgte ein Paper «From Data to Knowledge to Action: A Global Enabler for the 21st Century».

Big Data hat, wie man sieht, lange vor den ersten juristischen Beiträgen Fuss gefasst. Die Aufmerksamkeit der Juristengemeinde⁹ fand die Thematik erst im Jahr 2012, und zwar unter dem Gesichtspunkt der Verlässlichkeit von Big Data-Analysen im Finanzbereich. Erst 2013 erschienen Beiträge aus einer Tagung der HSG, die bezeichnenderweise unter dem Thema «Internet und Daten als Herausforderung für multinationale Unternehmen» stand, mit sozusagen zaghaften Hinweisen auf Datenschutz. Big Data war das Schwerpunktthema von Heft 1 (März) 2013 der Zeitschrift Digma. Diese Entwicklung des Themas in der Schweiz verläuft durchaus im europäischen Durchschnitt.

Die juristischen Beiträge – de facto ausnahmslos zu Aspekten des Datenschutzes – vermehren sich seither annähernd gleich wie die Menge an Informationen. Die Trefferliste bei Swisslex, Stand 21. April 2015, ergibt über 60 Treffer.

Die Fokussierung auf Datenschutzrecht ist in der heutigen Zeit verständlich. Datenschutzrecht ist aber ebenso unbehelflich wie Strafrecht und Lauterkeitsrecht.

Die Entwicklung ist namentlich technologisch noch in keiner Weise abgeschlossen. Im Vordergrund stand und steht zurzeit die Unmenge Information, welche der Einzelne (Bürger, Internet-User) online produziert und anderen zur Auswertung überlässt. Das trifft aber die Realität nicht. Big Data ist überall. Ein modernes Auto hat etwa 100 Sensoren und gegen 50 Mikroprozessoren (Kleinst-Computer), welche die Sensordaten auswerten – und uns mittels ABS, automatischem Abstand, Defekt-Warnung und vielem mehr vor Schaden bewahren. In einem Flugzeug ist es ein Vielfaches. In der Wissenschaft werden nicht nur, aber auch, beispielsweise mit dem Hubble-Teleskop oder in CERNs Large Hadron Collider Unmengen von Information produziert, von denen man sich auf lange Sicht Erkenntnisse und Fortschritte für die Menschheit verspricht.

Die datenschutzzentrierte Vorstellung, dass sich das Ziel von Big Data darin erschöpfe, präzis vorauszusagen, wann Robert Briner zum ersten Mal Spargel kauft, ist bei weitem zu eng. Es braucht auch nicht Big Data um vorauszusagen, dass jemand, der online Spargel kauft, wahrscheinlich auch an Butter, Parmesan, Rohschinken oder Sauce Hollandaise interessiert ist. Das ist viel zu eng, steht im Banne des Datenschutzes, ist auf das eigene Ich und die Ängste des Ichs konzentriert. Der Blick wäre zu öffnen, so wie das die Computerwissenschaft und die anwendende Technik (z.B. Autobauer) tun. Big Data ist längst viel weiter, und umfasst namentlich auch Bereiche (Stichwort Sicherheit im Auto), die als unproblematisch, wenn nicht segensreich, beurteilt werden. Weitere Beispiele sind die Optimierung von Windkraftwerken, Wartung von Flugzeugtriebwerken erst wenn benötigt, die Sicherheit im Bahnverkehr, der stromsparende Betrieb von Güterzügen dank Prognosen für eine «grüne Welle» – alles mit Terabytes an Informationen, in real-time ausgewertet.

Auch in, je nach Blickwinkel, vielleicht weniger segensreichen oder unproblematischen Bereichen ist Big Data weiter auf dem Vormarsch. Google Analytics sollten demnächst auch das Offline-Verhalten von Konsumenten einbeziehen¹⁰. Immer mehr Dienstleistungen kann man nur noch unter Inkaufnahme von Big Data beanspruchen. Und wer möchte noch die Möglichkeit missen, praktisch jedes Buch online bestellen zu können? Oder juristische Beiträge wie diesen online zu lesen? Jüngst publiziertes Beispiel ist der Finanzsektor. In ihrer Ausgabe vom 22. April 2015 schreibt die NZZ einleitend:

«Big Data und kognitive Systeme bieten Banken neue Möglichkeiten, Daten auszuwerten und so ihre Kunden besser kennenzulernen und persönlicher anzusprechen. Hiesige Banken zögern noch, in der angelsächsischen Welt und in Asien geht die Entwicklung zügig voran.»¹¹

Niemand wird daher behaupten wollen, die Juristengemeinde habe Big Data dank Datenschutzrecht in den Griff bekommen, oder sei auch nur annähernd auf dem Weg dahin. Im Gegenteil, der Abstand zwischen Realität und rechtlicher Erfassung vergrössert sich ständig.

Aber warum ist das so? Der Autor vertritt die Auffassung, dass weder strafrechtliche Sanktionsandrohungen noch konsumentenschützerische Überlegungen noch Kassandrarufe aus der Datenschutzgemeinde die tatsächliche Herausforderung meistern können. Die tatsächliche Herausforderung ist die nicht mehr rückgängig zu machende Tatsache, dass der Mensch heute nicht nur Unmengen von Daten (Informationen) produziert¹², sondern dass er diese Informationsmengen auch speichern, und auch in kürzester Zeit analysieren, und damit zeitnah und aktuell auswerten kann.

Den Juristen sollte aufhorchen lassen, dass sich das World Economic Forum (WEF) seit drei Jahren regelmässig mit Big Data befasst und dazu zahlreiche, oft umfangreiche und gut belegte und illustrierte Reports publiziert hat¹³. Dabei ist es aufschlussreich, dass diese Papers ebenfalls mit Datenschutz begannen, sich aber weiterentwickelt haben. Eine Auswahl:

Januar 2011:Personal Data: The Emergence of a New Asset Class
Januar 2012: Big Data, Big Impact: New Possibilities for International Development
Mai 2012: Rethinking Personal Data: Strengthening Trust
Februar 2013: Unlocking the Value of Personal Data: From Collection to Usage

Da darf man ruhig sagen, dass das WEF-Paper vom Januar 2011 visionär war, und dass dasjenige vom Februar 2013 die Richtung weist. Im September 2014 publizierte Nathan Eagle im WEF-Forum einen Blog-Beitrag mit dem Thema «What’s the value of your personal data?» und wurde zitiert mit der Aussage «Individuals who use the internet are at the bottom of a broken economy»¹⁴. Er schätzt dort, dass alleine die Personendaten der Internet-User in Kürze einen Wert (!) von mehr als $100 haben werden – ein Multi-Milliarden-Wert schon heute.

Und Nathan Eagle spricht aus, was der Kern der Sache ist: «[...] we need to view personal data as an asset rather than as a by-product». Er greift damit auf eine Aussage zurück, die Meglena Kuneva (ehemalige EU-Kommissarin für Verbraucherschutz) im März 2009 zugeschrieben und im oben aufgeführten WEF-Paper vom Januar 2011 auf Seite 5 abgedruckt ist: «Personal data is the new oil of the Internet and the new currency of the digital world».

Nun ist «new oil» oder «asset» leichter ausgesprochen als juristisch getan. «Asset», also Vermögenswert, ist zudem noch keine juristische Einordnung.

Es stellt sich also die Frage, was sind – in juristischer Einordnung – Informationen?

Ein Recht sind Informationen (Personendaten, Sachdaten) nach unserer Rechtsordnung zweifelsfrei nicht. Sind sie eine Sache? Unsere Rechtsordnung regelt die Sachen in Art. 641 ff. des Zivilgesetzbuches (ZGB). Wer Eigentümer einer Sache ist, so Art. 641 ZGB, kann über sie in den Schranken der Rechtsordnung nach seinem Belieben verfügen; er kann sie von jedem unrechtmässigen Besitzer herausverlangen und kann jede ungerechtfertigte Einwirkung abwehren. Wer Eigentümer einer Sache ist, hat das Eigentum auch an ihren natürlichen Früchten, Art. 643 ZGB. Das ZGB fährt dann fort, im Neunzehnten Titel (Art. 655 ff. ZGB) das Grundeigentum zu regeln, und im Zwanzigsten Titel (Art. 713 ff. ZGB) das Fahrniseigentum. Die Zweite Abteilung (Art. 730 ff. ZGB) regelt die beschränkten dinglichen Rechte, und hier sei die Nutzniessung hervorgehoben, Art. 745 ff. ZGB, deren Wesen darin besteht, dem Berechtigten den Genuss von «beweglichen Sachen [Art. 713 ff. ZGB], [...] Rechten [z.B. Markenrechten] oder [...] einem Vermögen [Art. 766 ZGB]» zu verleihen.

Das würde alles wunderbar auf Information, vor allem Personendaten, als «Asset» passen, wenn Information eine Sache wäre. Man muss nicht weit suchen um herauszufinden, dass das nicht der Fall ist. Statt vieler: Haab im Zürcher Kommentar (1977), N 20 Einleitung vor Art. 641 ZGB, Wiegand im Basler Kommentar (4. Auflage 2011) N 5 Vor Art. 641 ff. ZGB, Meier-Hayoz im Berner Kommentar N 61 Systematischer Teil: Körperlichkeit ist unabdingbares Merkmal, und Abgrenzungskriterium, für Sachen.

Freilich kennt unsere Rechtsordnung auch unkörperliches Eigentum, nämlich die Immaterialgüterrechte. Die Einordnung von Informationen als immaterialgüterrechtliches Eigentum scheitert aber am Numerus Clausus der Immaterialgüter. Immaterialgüter, und damit Schutz von geistigem Eigentum, gibt es nur, soweit er gesetzlich vorgesehen ist, also für Patente, Marken, urheberrechtliche Werke, Designs, Topographien und Sorten¹⁵. Alles andere darf «von Dritten frei benutzt werden»¹⁶, somit auch Informationen.

Den Immaterialgüterrechten kommen im Rechtsverkehr zwei Erscheinungen nahe. Erstens das Geheimnis, das einen verwertbaren Vermögenswert darstellen kann, und zweitens das damit eng verwandte Know-How, das begrifflich (siehe Art. 39 Ziff. 2 des Anhangs 1C des Abkommens zur Errichtung der Welthandelsorganisation [TRIPs]¹⁷) geheim oder jedenfalls nur schwer öffentlich zugänglich sein muss. Geheime Informationen können daher sehr wohl ein «asset» sein, d.h. ein Wirtschaftsgut wie zum Beispiel Know-How, das einem Immaterialgüterrecht nahe kommt und zum Beispiel verwertbar und lizenzierbar ist. Big Data im hier untersuchten Kontext – Kundendaten, über welche zum Beispiel Amazon, Facebook, Google und Banken verfügen, befasst sich aber nicht mit geheimen Informationen. Geheim im Rechtssinne ist in der Regel die Auswertung, welche die Unternehmen erstellen¹⁸.

Man mag sich fragen, ob Kundendaten, die nur dem Kunden selber und beispielsweise Amazon bekannt sind, nicht noch als geheim im Rechtssinne gelten. Es ist deswegen nicht der Fall, weil dem Kunden der Geheimhaltungswille fehlt, was nach Art. 39 Abs.2 TRIPs und ebenso in der Rechtsprechung zum strafrechtlichen Schutz von Geheimnissen unabdingbar ist¹⁹. In der vorliegend untersuchten, weitaus häufigsten Konstellation gibt der Kunde Bestelldaten preis, deren Geheimhaltung ihm das Unternehmen eben gerade nicht ermöglicht. Der Kunde kann im Ladengeschäft anonym einkaufen, aber er kann nicht online anonym einkaufen²⁰. Und selbst wenn er es könnte, d.h. wenn er als Besteller anonym bliebe, hätte das Unternehmen dennoch Informationen, die für eine Auswertung nützlich sind.

An dieser Konstellation, nämlich dass die vom Kunden preisgegebenen Informationen nicht geheim im Rechtssinne sind, scheitert auch das mögliche Denkmodell einer Lizenzierung dieser Daten an das Unternehmen. Rein faktisch kann von einer Lizenzierung im herkömmlichen Sinn im hier untersuchten Kontext (Amazon, Facebook, Banken usw.) ohnehin nicht die Rede sein. Die Allgemeinen Geschäftsbedingungen sehen zwar verbreitet ein vorbehaltloses Benutzungsrecht vor²¹, aber eben an Daten, bezüglich welcher der Kunde kein Geheimhaltungsrecht geltend macht – oder geltend machen kann²².

Datenschutzrecht? Datenschutzrecht gewährt kein Recht an Informationen, sondern verbietet lediglich Dritten, Informationen zu sammeln, oder Informationen, die sie haben, zu verwenden. Datenschutzrecht ist ein Abwehrrecht, und begründet kein Vermögensrecht. Das ist auch der entscheidende Unterschied zum Sachenrecht. Das Sachenrecht erlaubt dem Eigentümer in Art. 641 Abs. 2 ZGB, die Sache vom unrechtmässigen Besitzer herauszuverlangen. Das ist ein Konzept, das dem Datenschutzrecht fremd ist. Es erlaubt der betroffenen Person, die sachenrechtlich besehen keineswegs zwingend auch deren «Eigentümer» sein müsste, vom Dritten den Nicht-Gebrauch oder gar die Löschung zu verlangen. Aber die Information (Personendaten) kommt damit nicht zur betroffenen Person (dem «Eigentümer») zurück. Datenschutzrecht verleiht negative Herrschaft, nicht positive.

Es macht zurzeit das Schlagwort einer «Personal Data Economy» die Runde, was durchaus in die Denkrichtung der WEF-Papiere passt. Aber selbst die spärliche Literatur dazu²³ ist datenschutzrechtlich ausgerichtet – um nicht zu sagen «fixiert», aber soweit ersichtlich massgeblich deswegen, weil man nur über Datenschutzrecht einen raschen Weg zum Ziel erkennt. Der Vergleich mit Software und Urheberrecht liegt nahe, und die Unzulänglichkeit einer versuchten Erfassung von Big Data mit Datenschutzrecht ist offensichtlich: Datenschutzrecht kümmert sich nicht um den Wert, namentlich nicht um den wirtschaftlichen Wert, von Information.

Auch wo sich Autoren mit Information als Gegenstand des Rechts befasst haben, sind de lege lata keine Anküpfungspunkte sichtbar geworden, welche der wirtschaftlichen Tatsache der Information als «asset» zum auch rechtlichen Durchbruch verhelfen würden. Der unbestrittene Pionier, Jean Nicolas Druey, hat zwar schon 1995/96 sein fundamentales Werk «Information als Gegenstand des Rechts» publiziert, und sofort Aufmerksamkeit erregt²⁴, aber die Diskussion ist nicht weitergeführt worden.

Sie ist namentlich nicht in eine Richtung geführt worden, welche der Information dieselbe rechtliche Stellung gewähren würde wie Oel. Das ist keineswegs gottgegeben. Der Gesetzgeber hat Wege gefunden, die zweifellos unkörperliche und kaum fassbare «Energie» zur Sache zu erheben. Man kann Energie gemäss Art. 142 StGB «stehlen». Noch besser: Als Fahrnis gelten nach Art. 713 ZGB auch «Naturkräfte, die der rechtlichen Herrschaft unterworfen werden können und nicht zu den Grundstücken gehören». Wasserkraft, Nuklearkraft und Elektrizität gehören ganz unstreitig dazu²⁵.

Es ist im (bezüglich Sachenrecht) germanisch geprägten europäischen Rechtsraum nicht einmal ein sachenrechtliches Dogma, dass nur körperliche Sachen (und Energie) eine «Sache» sein könne. Das österreichische ABGB schreibt in § 285: «Alles, was von der Person unterschieden ist, und zum Gebrauche der Menschen dient, wird im rechtlichen Sinne eine Sache genannt». Ähnlich § 353 ABGB: «Alles, was jemandem zugehört, alle seine körperlichen und unkörperlichen Sachen, heissen Eigentum». Geradezu sprechend ist § 292 ABGB: «Körperliche Sachen sind diejenigen, welche in die Sinne fallen; sonst heisst sie unkörperliche»²⁶. Und wie Wiegand (Fn 16) richtig fortfährt, führt die enge schweizerische und deutsche Begriffsbestimmung dazu, dass Partikularrechte (hinausgehend über Immaterialgüterrechte) geschaffen werden müssen, «verursacht durch die Zunahme von verkehrsfähigen Gegenständen, deren Körperlichkeit, Abgegrenztheit oder Beherrschung zweifelhaft ist (elektronische Gegenstände, biotechnologische Gegenstände)».

Die Erkenntnis wäre da, wie man sieht. Die Umsetzung hingegen ist noch nicht einmal angedacht.

Fazit: Das geltende Recht hat keine Antwort auf die Frage, ob und in welchem Umfang es überhaupt möglich wäre, anders als mit individuellen Vereinbarungen die Auswertung von Informationen über den Kunden und sein Verhalten zu verbieten, oder in Grenzen zu erlauben. De lege lata wird das auch so bleiben, weil Informationen über den Kunden und sein Verhalten nicht als solche Rechtsschutz geniessen. De lege ferenda wäre ein grosser Schritt zu tun, um das über Jahrhunderte gewachsene Verständnis von Immaterialgut und Eigentum so zu erweitern, dass damit die Herausforderungen der Gegenwart zu bewältigen sind.

---

 

Dr. iur. Robert G. Briner, Rechtsanwalt, ist Partner bei CMS von Erlach Poncet AG in Zürich. Er leitet dort die Gruppe Immaterialgüter- und Technologierecht. Er hat Lehraufträge an der Universität Zürich und an der Fachhochschule St. Gallen, ist Autor zahlreicher Fachartikel, Vorsitzender der Rechtskommission von SwissICT, und Vorstandsmitglied der Deutschen Gesellschaft für Recht und Informatik DGRI.