Datenlizenzverträge für das Data Sharing von Unternehmen

Dies liegt auch daran, dass Unternehmen oft unklar ist, welche Möglichkeiten der vertraglichen Steuerung geteilter Daten bestehen. Datenlizenzverträge können hier einen wichtigen Beitrag leisten.

Daten werden in deutschen Unternehmen inzwischen häufiger bewirtschaftet als noch vor wenigen Jahren (Büchel/Engels, 2023). Um beispielsweise Prozesse effizient entlang von Wertschöpfungsketten steuern zu können, aber auch für viele andere Anwendungen, ist der Austausch von Daten zwischen Unternehmen notwendig. Bislang betreiben jedoch nur 42 Prozent der Unternehmen aus Industrie und industrienahen Dienstleistungen Data Sharing (Büchel/Engels, 2023). Ein wesentliches Hemmnis sind Rechtsunsicherheiten (Röhl/Scheufen, 2023).

Aus diesem Grund wurden im Rahmen einer Studie für das BMBF-Projekt IEDS (Incentives and Economics of Data Sharing) Experteninterviews mit Unternehmen geführt, die bereits Erfahrungen mit Data Sharing und der Ausgestaltung von entsprechenden Verträgen gesammelt haben (zum Folgenden siehe Fries/Scheufen, 2023). Ziel war es, Kernelemente von so genannten Datenlizenzverträgen zu bestimmen, um gerade KMU zu ertüchtigen, solche Vereinbarungen abschließen und Daten über Unternehmensgrenzen hinweg teilen zu können.

Konsens besteht bei den befragten Experten dabei darüber, dass Datenlizenzverträge den Schlüssel für sicheres und effizientes Data Sharing darstellen. In vielen Fällen kursieren laut ihrer Aussage aber gegenwärtig noch schlechte oder unzureichende Datenlizenzverträge im Markt.

Elemente eines Datenlizenzvertrags

Allgemein kann ein Datenlizenzvertrag vier zentrale Elemente beinhalten: Neben der Definition der Hauptleistungen können im Datenlizenzvertrag Regelungen zum Verwendungszweck der betroffenen Daten, zum Datenschutz sowie zum Haftungs- und Konfliktmanagement getroffen werden. Innerhalb dieser einzelnen Elemente wird zwischen solchen Vertragsbausteinen unterschieden, die zwingend in einem Datenlizenzvertrag zu regeln sind (sog. „Must-have“) und solchen, die nicht zwingend und damit eher bei Bedarf zu wählen sind (sog. „Nice-to-have“). Abbildung gibt hierzu einen Überblick zu den Elementen und Bausteinen eines idealtypischen Datenlizenzvertrags.

Definition der Hauptleistungen

Zu den Hauptleistungen eines Datenlizenzvertrags gehören die Vertragsbausteine Definition (und Qualität) der Daten, deren Nutzungsrechte, die Art und Weise der Bereitstellung der Daten sowie die Gegenleistung für die Datenbereitstellung. Alle vier Vertragsbausteine sind für einen Datenlizenzvertrag zwingend und damit „Must-haves“.

Definition und Qualität. Zu den wichtigen und im Vertrag festzuhaltenden Eigenschaften von Daten zählen deren Personenbezug (ja/nein), die Art der Daten (wie Eingabe-, Ausgabe-, Bewegungsdaten sowie numerische oder alphanumerische Daten) sowie deren Darstellungsweise (zum Beispiel Datenbank, Datenmodell, Dateien). Wichtige Kriterien zur Beschreibung der Qualität der Daten sind deren Strukturierung, Aktualität, Form der Aggregation, Herkunft und gegebenenfalls Komprimierungen oder Selektionen. In diesem Zusammenhang kann es zudem sinnvoll sein, vertraglich zu vereinbaren, vorab eine zufällige Stichprobe der Daten zur Verfügung zu stellen, um möglichen Problemen einer asymmetrischen Informationsverteilung (adverse Selektion) zwischen Datengeber und -nehmer vorzubeugen. 

Nutzungsrechte. Die Definition der Nutzungsrechte erlaubt eine konkrete Beschränkung der Nutzungsmöglichkeiten der Daten. Zu unterscheiden sind dabei inhaltliche, zeitliche sowie räumliche Beschränkungen. Über die inhaltliche Beschränkung lässt sich die Nutzung der Daten eingrenzen. Hierzu zählen insbesondere auch die Weitergabe der Daten an externe Dritte sowie die Änderbarkeit der Daten. Die zeitliche Beschränkung ermöglicht es, den Zeitraum für die Datennutzung festzulegen. Im Falle einer zeitlichen Beschränkung sollte man auch über Kontrollpflichten und -möglichkeiten (in Form eines „Nice-to-have“) nachdenken, um eine Löschpflicht des Datennehmers ex-post überprüfen zu können. Die räumliche Beschränkung erlaubt zudem, die Nutzung der Daten territorial (zum Beispiel für Regionen, Länder oder kontinental) zu begrenzen. 

Bereitstellung. Bei der Bereitstellung der Daten können neben der Zeit und dem Medium (zum Beispiel Cloud, USB-Stick usw.) der Bereitstellung auch die Aktualisierung der Daten geregelt werden. Zur Absicherung einer reibungslosen Bereitstellung ist zudem eine Verpflichtung des Datennehmers zur (schriftlichen) Bestätigung des Datenempfangs empfehlenswert. 

Gegenleistung. Zu jeder Leistung (Datenabgabe) gehört in der Regel eine Gegenleistung. Hier sollten möglichst die einzelnen Preisbestandteile der Daten im Vertrag ausgewiesen werden, um Situationen bei zum Beispiel mangelhafter Datenqualität oder verspäteter Bereitstellung oder Aktualisierung der Daten abzusichern. 

Verwendungszweck der Daten

Ein „Must-have“ des Datenlizenzvertrags ist die Konkretisierung eines Verwendungszwecks. Dabei kann eine solche Zweckbindung oftmals hilfreich sein, um den Datengeber davon zu überzeugen, seine Daten mit anderen Marktakteuren zu teilen. Auch mit Blick auf Daten mit potenziell schützenwerten oder sensiblen Inhalten (vor allem Geschäftsgeheimnisse) ist ein Verwendungszweck unabdingbar und kann mit den Vertragsbausteinen Schutz gegen Dritte, Kontrollpflichten sowie Schadensersatz und Vertragsstrafen zusätzlich flankiert werden.

Datenschutz

Weil der Datengeber oftmals ein Interesse an den bereitgestellten Daten behält, sind zusätzliche Regelungen zum Datenschutz sinnvoll. Das betrifft vor allem konkrete Regelungen zum Schutz gegen Dritte als ein „Must-have“ eines Datenlizenzvertrags, die sich mit Vereinbarungen zu Löschpflichten und Kontrollpflichten ergänzen lassen. 

Schutz gegen Dritte. Beim Schutz gegen Dritte sind vor allem Regelungen zum „Wo“ und „Wie“ des Hostings der Daten zu treffen, zumal diese haftungsrechtliche Folgen haben können. Gerade für den Datengeber bietet es sich an, ein gewisses Sicherheitslevel vertraglich vorzugeben, um einen Zugriff durch unbefugte Dritte auszuschließen. Sollen weitere Kontrollpflichten als „Nice-to-have“-Baustein ergänzend vertraglich vereinbart werden, könnte ein Hosting der Daten durch den Datennehmer eine Kontrolle technisch erschweren. Daneben können vertragliche Regelungen für den Zugriff einzelner Dritter sowie potenzielle Exklusivvereinbarungen getroffen werden. 

Löschpflichten. Eine Verpflichtung des Datennehmers zum Löschen der Daten kann sinnvoll sein, insbesondere wenn im Kontext der Nutzungsrechte eine konkrete Nutzungszeit vereinbart wurde. 

Kontrollpflichten. Konkrete Regelungen für Kontrollpflichten und -möglichkeiten sind vor allem dann sinnvoll, wenn Sicherungs- oder Löschungspflichten für die Daten vereinbart wurden. 

Haftungs-/Konfliktmanagement

Die Vertragsbausteine zum Haftungs- und Konfliktmanagement können ergänzende („Nice-to-have“) Aspekte wie Schadensersatz, zusätzliche Vertragsstrafen sowie Mediations- und/oder Schiedsklauseln berücksichtigen. Der Schadensersatz ist dabei eng an die Datensicherung geknüpft, die durch den „Must-have“-Baustein zum Schutz gegen Dritte (Element (3) Datenschutz) geregelt wird.

Fazit

Ein individuell ausgestalteter Lizenzvertrag ist Grundvoraussetzung für ein rechtssicheres und effizientes Data Sharing. Empirisch ist die Zurückhaltung beim Data Sharing vor allem auf das fehlende Bewusstsein und die fehlenden Kenntnisse zum Datenschutz und über die Möglichkeiten der vertragsrechtlichen Begleitung des Data Sharing zurückzuführen (Röhl/Scheufen, 2023). Hier sollte man kleinen und mittelständischen Betrieben die Rechtsunsicherheit nehmen. Dies kann durch die Vermittlung von Kenntnissen zu Möglichkeiten der Datenlizenzverträge geschehen. Perspektivisch ist es auch denkbar, sie mithilfe eines Vertragsinformationsgenerators zu unterstützen, der es in einem interaktiven Onlinetool erlaubt, selbstständig und flexibel einzelne Vertragsbestandteile auszuwählen und so einen auf die individuellen Bedürfnisse passenden Vertragsentwurf zu generieren. Dies wird im IEDS-Projekt umgesetzt. Der Gesetzgeber könnte zudem über die Einführung dispositiver Normen – beispielsweise in Form von Musterverträgen für Datenlizenzen, auf die sich die Vertragsparteien einigen können – eines Datenvertragsrechts nachdenken, um Transaktionskosten zu senken und Markteintrittsbarrieren abzubauen (Rosenkranz/Scheufen, 2022).