Mit zunehmender Digitalisierung werden stetig mehr Daten generiert. Die EU Kommission prognostiziert ein globales Datenvolumen von 175 Zettabytes für das Jahr 2025. 2018 waren es noch 35 Zettabytes. Zum Vergleich: Ein Zettabyte entspricht einer Milliarde Terabytes.
Bereits jetzt wird mit Daten rege gehandelt. Doch mit neuen Gesetzen wie dem Data Governance Act und dem Data Act soll dieser Datenhandel noch weitern gefördert werden. Wo gehandelt wird, gibt es aber auch einen Vertrag. Was es mit Datenlizenzverträgen auf sich hat und was in diesen stehen sollte erfahren Sie in diesem Beitrag.
Was sind Daten überhaupt?
Daten sind codierte, also maschinenlesbare, Informationen, die durch die Beobachtungen, Messungen und statistische Erhebungen gewonnen wurden.
Was ist der Unterschied zu anderen Wirtschaftsgütern?
Verglichen mit den meisten anderen Wirtschaftsgütern bestehen die folgenden Unterschiede:
- Daten sind nicht körperlich
- Sie werden festgehalten auf Speichermedien, aber nicht an ein bestimmtes Speichermedium gebunden
- Hilfskrücke der Veränderung der molekularen Oberflächenstruktur der Festplatte im Wege der Magnetisierung abzulehnen
- Daten sind nicht rival: Das gleiche Datum kann gleichzeitig von 2 Personen unabhängig voneinander in gleichem Umfang besessen werden.
- Daten sind (mehr oder weniger) kostenlos kopierbar und aufbewahrbar
- Daten sind nicht abnutzbar
- Keine technische Verschlechterung der Daten; Nur der Festplatte à Werden mit zunehmender Zeit lediglich weniger relevant
Warum braucht man überhaupt Datenlizenzverträge?
Kann ich an Daten Rechte geltend machen?
An Daten können keine Eigentumsrechte geltend gemacht werden, da es sich bei diesen nicht um einen körperlichen Gegenstand handelt.
Aber was ist mit anderen Rechten?
- Urheberrecht? Nein, das bloße Sammeln von Daten ist keine schöpferische Leistung
- Datenbankschutz (aus UrhG)? Nein, das Sammeln von Daten führt nicht zu einer Datenbank. Hierfür wären ernsthafte Investition notwendig. Ferner wird nur die Struktur der Datenbank geschützt und nicht das einzelne Datum selbst.
- Datenschutz? Weißt Daten keinen Wert zu. Ist nur ein „Verbotsgesetz“. Ermöglicht Betroffenen nur die Einschränkung der Bearbeitung ihrer Daten
- Geschäftsgeheimnisschutz? Prinzipiell denkbar, aber man muss angemessene Geheimhaltungsmaßnahmen ergreifen. Die hat man aber nur dann ergriffen, wenn man sie „geheim“ hält. In dem Moment, in denen man die Daten herausgibt, stellt sich die Frage, ob man wirklich angemessene Maßnahmen ergriffen hat. Vertraulichkeitsvereinbarungen schaffen zwar Abhilfe, aber je mehr man diese Daten teilt, desto weniger kann man sich auf den Geschäftsgeheimnisschutz berufen. Wenn man mit spezifischen Daten Datenhandel betreiben möchte, absolut unwahrscheinlich, dass man sich gleichzeitig auf Geschäftsgeheimnisschutz berufen kann!
Was bedeutet das?
Daten sind gemeinfrei! DESHALB heißen sie auch unechte Datenlizenzverträge. Weil kein Recht an den Daten eingeräumt werden kann, weil keine Rechte an den Daten bestehen.
Was ist dann ein Datenlizenzvertrag?
Ein Datenlizenzvertrag ist die Einräumung eines (faktischen) Datenzugangs zusammen mit der Einschränkung der Rechte des Datennehmers/-empfängers.
Ist man zum Abschluss eines Datenlizenzvertrages verpflichtet?
Teilweise können Datenlizenzverträge auf Basis gesetzlicher Vorschriften erforderlich sein. Hier ist unter anderem an Vorschriften des Geschäftsgeheimnisgesetzes (GeschGehG) zu denken oder an den neuen Art. 4 Abs. 13 Data Act (DA).
Was ist der gesetzliche Rahmen eines Datenlizenzvertrages?
Mangels gesetzlicher Ausformung des Vertragstyps des Datenlizenzvertrags besteht eine weitgehende Vertragsfreiheit. Dies gilt umso mehr im B2B Verhältnis. Die Vertragsfreiheit muss sich jedoch an allgemeine Grenzen halten:
Was besagt der Grundsatz der Relativität der Schuldverhältnisse?
Abgeschlossene Datenlizenzverträge wirken nur inter partes. Es kann kein universelles, absolutes, zulasten jedermann wirkendes Immaterialgüterrecht geschaffen werden.
Dateninhaber kann bei unbefugtem Zugriff auf die Daten durch Dritte keine Ansprüche gegen diese Dritten geltend machen (Da die Daten gemeinfrei sind und er keine Rechte über diese verfügt). Nur gegen den Vertragspartner wegen der Verletzung seiner Pflichten.
Was kann zur Unwirksamkeit des geschlossenen Vertrages führen?
Verstöße gegen ein Verbotsgesetz können gem. § 134 BGB zur Nichtigkeit des Vertrages führen.
Sofern es sich bei den Vertragsbedingungen um allgemeine Geschäftsbedingungen i.S.d. § 305 Abs. 1 BGB handelt, unterliegen die Datenlizenzverträge einer Inhaltskontrolle nach § 307 Abs. 1 BGB. Mangels gesetzlicher Vorgaben zum Datenlizenzvertrag wird der § 307 Abs. 2 Nr. 1 BGB von geringer Relevanz sein.
Als Ersatz für die fehlende gesetzliche Regelung könnte angedacht werden die Grundsätze der EU-Kommission im Hinblick auf Datenlizenzverträge als Leitbild der AGB-Kontrolle heranzuziehen:
- Transparenz
- Anerkennung der gemeinsamen Wertschöpfung
- gegenseitige Achtung der Geschäftsinteressen
- Gewährleistung eines unverfälschten Wettbewerbs
- Minimierung der Abhängigkeit von einem Anbieter
ABER: § 307 Abs. 2 Nr. 1 spricht von gesetzlichen Vorgaben à Grundsätze der EU-Kommission erfüllen nicht den gleichen Anspruch
Der Data Act verbietet die Verwendung missbräuchlicher Vertragsklauseln gegenüber Kleinstunternehmen, kleinen und mittleren Unternehmen gem. Art. 13 Abs. 1 DA. Dies bezieht sich jedoch nur auf Klauseln, die einseitig auferlegt wurden. Verhandelte Klauseln werden vom Art. 13 Abs. DA werden nicht umfasst.
Woraus besteht ein Datenlizenzvertrag?
Hauptleistungspflichten
Welche Daten werden vertraglich zugesichert? Weisen die Daten Personenbezug auf? Was ist das Format? Wo kommen die Daten her? Hier müsste der Datensatz, der an den Vertragspartner weitergegeben wird eindeutig beschrieben werden, damit im Falle von Streitigkeiten der Rahmen der geschuldeten Daten eindeutig ermittelt werden kann
Art der Daten
Wie stellt man die geschuldeten Daten im Vertrag dar?
Hash-Wert der Datei, die die Daten beinhaltet
Wichtig: Der Hash-Wert ist nicht eindeutig.
- Zwei Datensätze können den gleichen Hash-Wert haben
- Theoretisch möglich, aber faktisch unmöglich
- Man kann keine zweite Datei mit dem exakt gleichen Hash-Wert finden (mit den heutigen Computing-Fähigkeiten nicht möglich)
- Keine Analyse möglich, vielmehr müsste man im Trial & Error Verfahren vorgehen
Wie definiere ich zukünftige Daten im Vertrag?
- Datenquelle definieren („Sensoren“)
- Sensoren wandeln Merkmale aus ihrer Umwelt in ein elektronisches Signal um
- Definieren über welchen Zeitraum welche Daten erhoben werden
- Sensorenmenge und Austausch von Sensoren (bspw. beim Reifenwechsel) beachten!
Reicht die (ausschließliche) Verwendung der Definition aus dem Data Act?
Nein, da diese zu ungenau sind. Am Beispiel der Produktdaten: „Hardware + Sensor + Zugang = vernetztes Produkt“
- Viel zu ungenau, um Vertragsgegenstand zu definieren
Qualität der Daten
Was umfasst die Vorgabe der Qualität der Daten?
Die Daten werden in der Regel für die Datenanalyse und KI-Training verwendet
Wieso ist das relevant wofür die Daten verwendet werden?
Art. 10 Abs. 3 AI Act-ParlE:
„Die Trainingssätze […] müssen
- relevant
- hinreichend repräsentativ
- angemessen auf Fehler überprüft und
- im Hinblick auf den beabsichtigten Zweck so vollständig wie möglich sein.
- Sie haben die geeigneten statistischen Merkmale […]“
Heißt: Bei fehlerhaften Trainingsdaten kann der Betrieb der KI untersagt werden („rotten egg Problem“)
- Vertragliche Absicherung notwendig!
Aus was ergeben sich die geeigneten statistischen Merkmale?
- Werden Altdaten verwendet, hält sich die KI an Maßstäbe der Altdaten. Alles was die KI nicht kennt ist „schlecht“.
- Das heißt: die Daten müssen für Settings in denen sie eingesetzt werden repräsentativ sein!
- Es ist eine Leistungsbeschreibung des Datensatzes notwendig
- KI muss stets weitertrainiert werden, um den Entwicklungen in der Welt gerecht zu werden.
- Die Datenqualität muss laufend sichergestellt werden, damit die KI, die anfangs „modern“ war, nicht veraltet. Datenlizenzverträge können daher fast als „Dauerschuldverhältnis“ festgehalten werden.
Weiterer Faktor:
- Trainingsdaten werden verwendet, um die Gewichtung vom Output zu bestimmen.
- Es kann dazu kommen, dass Trainingsdaten beim KI-Output fast 1:1 wiederausgegeben werden.
- Dies kann im Zusammenhang mit personenbezogenen Daten, geistigem Eigentum und Geschäftsgeheimnissen zu Problemen führen. Ganz abgesehen von etwaigen Rechtsgrundlagenerfordernissen nach DSGVO.
- Es sollten daher Pflichten im Vertrag festgehalten werden, um diesen Prozessen entgegenzuwirken
Sind „As-is“ Vereinbarungen möglich?
Daten werden gekauft wie sie sind. Das heißt bei „As-is“ Vereinbarungen kann es keinen Mangel geben und somit auch keine Ansprüche aus Gewährleistungsrecht.
- Soll-Zustand = Ist-Zustand
- Besonderheit aus dem Data Act: 13 Abs. 5 DA: Eine Vertragsklausel gilt als missbräuchlich […], wenn sie Folgendes bezweckt oder bewirkt: a) eine unangemessene Beschränkung der Rechtsmittel bei Nichterfüllung von Vertragspflichten oder der Haftung bei einer Verletzung dieser Pflichten […]
- „As-is“ Vereinbarung könnten daher unwirksam sein im B2B Verhältnis, weil sie gegen Art. 13 Abs. 5 DA verstößt
- Auslegung des „bewirkt“ ausschlaggebend
- Gilt dann aber auch NUR für die Datenlizenz; Hybride Verträge im Übrigen unberührt
- Findet aber erst Anwendung, wenn ein Verhandlungsversuch gestartet wurde (NICHT WIE BEI AGB; GENAU ANDERSHERUM)
- Unternehmen müssen sich der Frage stellen, ob sie eher nach Art. 13 DA oder nach § 307 ff. AGB zur Rechenschaft gezogen werden wollen
- Eins von Beiden wird stets greifen
- Unternehmen müssen sich der Frage stellen, ob sie eher nach Art. 13 DA oder nach § 307 ff. AGB zur Rechenschaft gezogen werden wollen
- „As-is“ Vereinbarung könnten daher unwirksam sein im B2B Verhältnis, weil sie gegen Art. 13 Abs. 5 DA verstößt
Sonstige Hauptleistungspflichten
Nutzungsrechte
Was darf der Vertragspartner mit den Daten machen? Darf er sie an Dritte weitergeben? Wird der Bestand von Nutzungsrechten von bestimmten Bedingungen abhängig gemacht? Diese und weitere Fragen müssen vertraglich niedergeschrieben werden, damit der Vertragspartner weiß, was er zu tun und was er zu unterlassen hat.
Bereitstellung
Daten sind gemeinfrei. Aber man benötigt einen Zugang! Was sind die Modalitäten der Bereitstellung? Muss ein SLA abgeschlossen werden? Werden die Daten nur über ein spezifisches Sicherheitsportal zur Verfügung gestellt oder werden sie vielleicht auf einem physischen Datenträger geliefert? Muss eine separate Software bezogen werden, um auf die Daten zugreifen zu können? Diese und andere Informationen müssen dem Vertragspartner zur Kenntnis im Vertrag integriert werden, damit dieser weiß, wie er seine vertraglich zugesicherten Daten erhalten kann.
Gegenleistung
Was erhält der Dateninhaber für die Bereitstellung der Daten? Geld? Oder vielleicht eine Sach- oder Dienstleistung? Neben der Art (und ggf, Höhe) der Gegenleistung müssen auch die Modalitäten für die Erbringung der Gegenleistung festgehalten werden. Was passiert bei Ausfall der Gegenleistung.
Weitere Vertragsbestandteile
Was sollte neben den Hauptleistungspflichten vertraglich festgehalten werden?
- Konkretisierung des vereinbarten Verwendungszwecks
- Sicherstellung, dass der Datenempfänger die Daten nicht anderweitig verwendet
- Für Fälle in denen die Daten dennoch anderweitig verwendet werden, kann der Verstoß durch den Einbau von Schadensersatzpflichten und Vertragsstrafen geahndet werden.
- Schutz gegen Dritte:
- Der Dateninhaber möchte die Daten, die er an den Datenempfänge weitergibt i.d.R. geschützt wissen.
- Zu diesem Zweck können im Vertrag verbindliche Sicherheitsanforderungen vorgeschrieben werden, die der Datenempfänger einzuhalten hat.
- Schutz von Rechten Dritter:
- Sollten die Daten Urheberrechte, personenbezogene Daten oder Geschäftsgeheimnisse enthalten, sollte der Datenempfänger verpflichtet werden, Maßnahmen zu ergreifen, um die Wahrung dieser Rechte zu gewährleisten
- Sind die Daten bereits anonymisiert sollte dem Datenempfänger die Rekonstruktion der Daten untersagt werden
- Der Dateninhaber möchte die Daten, die er an den Datenempfänge weitergibt i.d.R. geschützt wissen.
Was könnte noch im Datenlizenzvertrag abgedeckt werden?
Es ist auch denkbar die folgenden Elemente in einen Datenlizenzvertrag könnten zu integrieren:
- Beteiligung des Dateninhabers an den sekundären Analyseergebnissen
- Schutz von Know-How
- Vermeidung von Wettbewerbsproblemen
- Kündigungsvorschriften
- Exit-Management
- KI-Entwicklung benötigt einen ständigen Zufluss neuer (aktuellerer) Daten
- Ein Aufhören von heute auf morgen ist nicht möglich. Dies hätte erhebliche Auswirkungen auf die Entwicklung der KI
- Phasing-out kann daher vertraglich festgehalten werden
- KI-Entwicklung benötigt einen ständigen Zufluss neuer (aktuellerer) Daten
Fragen?
Die Gestaltung des Datenlizenzvertrags unterliegt der Privatautonomie. Die genaue Ausgestaltung obliegt daher Ihnen. Gerne unterstützen wir Sie bei der Erstellung eines rechtssicheren Datenlizenzvertrages. Nehmen Sie einfach mit uns Kontakt auf.