10. Herausforderung und Grenzen bei der Gestaltung von Datenverträgen

Geht es um die Gestaltung von Datenverträgen, können die im BGB normierten Vertragstypen wie Kauf-, Pacht-, oder Tauschvertrag als grober Orientierungsrahmen herangezogen werden. Dabei muss jedoch berücksichtigt werden, dass diese Vertragsarten zumeist nur mittelbar auf Rechtsgeschäfte mit Daten übertragbar sind. Dennoch haben sich Begriffe wie Datenkauf oder Datenpacht teilweise etabliert (Stender-Vorwachs und Steege 2018, S. 1363). Diese Kategorisierung lässt bereits grob die Art und den Umfang der möglichen Datenüberlassung erahnen. Beim Datenkauf erhält die Datenempfängerin oder der Datenempfänger die dauerhafte Nutzungsmöglichkeit am Datenbestand, wodurch ein endgültiger Inhaberwechsel herbeigeführt werden soll (Schur 2021, Rn. 9). Die erwerbende Person soll im Ergebnis also eine eigentumsähnliche Position erlangen, die ihm ein vollumfängliches Verfügungsrecht sichert. Nach Maßgabe von § 453 BGB sind die Vorschriften des Kaufrechts auch auf Daten (als sonstige Gegenstände) anwendbar (Hoeren 2013, S. 489).

Demgegenüber werden Rechtsgeschäfte, die lediglich eine vorrübergehende Überlassung von Daten vorsehen, als Datenpacht oder -miete angesehen. Das Nutzungsrecht an den vertragsgegenständlichen Daten ist danach zeitlich beschränkt. Durch die Möglichkeit, die Nutzungsdauer und ggf. zusätzlich den Nutzungsumfang zu begrenzen, wird daher in diesem Zusammenhang in Anlehnung an das Immaterialgüterrecht auch von Datenlizenz gesprochen (Schur 2020, S. 1142 ff.). Bei der Überlassung von Daten kann eine Zuordnung zu einer normierten Vertragsart von Bedeutung sein, denn unter Umständen hängt hiervon ab, welche Rechtsfolgen im Falle einer Leistungsstörung (etwa bei Bereitstellung von fehlerhaften Daten) zur Anwendung kommen. Treffen die Vertragsparteien keine vertragliche Regelung, wie etwa im Falle einer mangelhaften Lieferung von Daten zu verfahren ist, greifen die gesetzlichen Bestimmungen. Zum Beispiel wären bei einem Datenkauf die Vorschriften des Kaufrechts anwendbar. Viele vertragliche Vereinbarungen lassen sich jedoch nicht oder nicht eindeutig einem bestimmten Vertragstyp zuordnen, da neben der reinen Datenüberlassung noch weitere Leistungen geschuldet werden. Häufig handelt es sich dann um typengemischte Verträge, also um Vereinbarungen, in denen unterschiedliche Vertragstypen kombiniert werden. Daneben steht es den Vertragsparteien auch frei, eine von den gesetzlichen Leitbildern vollständig losgelöste (sui generis) Vereinbarung zu treffen (Hoeren 2013, S. 489).

Im Rahmen der Vertragsgestaltung sollte eingangs der Vertragsgegenstand definiert werden. Der Vertragsgegenstand beschreibt ganz grundlegend, auf was sich die vertraglichen Regelungen beziehen sollen. Die Festlegung des Vertragsgegenstands konkretisiert dabei nicht nur die Leistungspflicht, sondern gibt auch Anhaltspunkte darüber, welche gesetzlichen Regelungen im Falle von Mängeln und Pflichtverletzungen zur Anwendung gelangen können (Kuß 2020, S. 393 Rn. 11). Bei Verträgen, die die Überlassung von Daten regeln, kann die Bestimmung des Vertragsgegenstands eine Herausforderung darstellen, denn Daten sind aufgrund ihrer fehlenden Verkörperung nur wenig greifbar (Froese und Straub 2021, S. 141). Umso wichtiger ist es, die zu überlassenden Datenbestände möglichst genau zu benennen. Hierzu gehört die Klärung, was unter dem Begriff „Daten“ subsumiert werden soll. Um den Vertrag nicht zu überfrachten, bietet es sich an, eine ausführliche Beschreibung der vertragsgegenständlichen Daten in eine Anlage auszulagern und auf diese zu verweisen. Da Datensammlungen unter Umständen auch durch das Leistungsschutzrecht des Datenbankherstellers geschützt sein können (s. Abschn. 9.​2.​3), sollte eine Klarstellung erfolgen, dass auch derartige Schutzrechte vertragsgegenständlich sind. Beispielformulierung: „Gegenstand des Vertrags ist die vorrübergehende Überlassung der in Anlage 1 beschriebenen Daten, Datensammlungen und/oder Datenbanken einschließlich der jeweiligen Metadaten.“

Als zentraler Vertragsbestandteil müssen die Parteien die Art und den Umfang der angestrebten Datennutzung bestimmen. Dabei steht die Einräumung von Datennutzungsrechten im Mittelpunkt. Enthält der Vertrag keine Bestimmungen zu Nutzungsrechten, darf die oder der Datenempfangende die Daten im Prinzip unbeschränkt für die eigenen Zwecke nutzen, da es in Bezug auf Daten gerade kein Eigentum oder ein anderes vergleichbares absolutes Recht gibt. Folglich sollte der Umfang der einzuräumenden Nutzungsrechte möglichst detailliert ausformuliert werden. Wird eine dauerhafte und unbeschränkte Überlassung der Daten angestrebt (Datenkauf), ist dies vertraglich festzuhalten. Durch eine derartige Vereinbarung kann die Exklusivität der Datennutzung sichergestellt werden. Ein solches Vorgehen kann dort sinnvoll sein, wo die empfangende Person sich durch die Verwertung des Datenbestands einen Wettbewerbsvorteil am Markt verschaffen möchte (von Oelffen 2020, S. 146.). Der häufiger anzutreffende Fall wird aber die zeitlich befristete Überlassung von Daten sein (Datenpacht), da hierdurch die Datenhoheit und die damit verbundenen Einflussmöglichkeiten des Datengebenden nicht vollständig aufgegeben werden. In diesem Zusammenhang wird auch der Begriff der Datenlizenz verwendet (Schefzig 2015, S. 551 ff.). Dabei ist aber zu beachten, dass durch eine Datenlizenz – im Gegensatz zu einer Lizenz im Urheberrecht – keine Rechte an einem absoluten Recht verschafft werden. Ein absolutes Recht ist dadurch gekennzeichnet, dass es gegenüber jedermann wirkt. Der Inhaber eines absoluten Rechts kann allein über sein Recht verfügen und Dritte von der Benutzung ausschließen. Vertraglich eingeräumte Datennutzungsrechte entfalten demgegenüber nur eine relative Wirkung. Der Datengeber kann etwaige Ansprüche also nur gegenüber seinem Vertragspartner (inter partes) geltend machen. Eine Rechtswirkung gegenüber Dritten entfaltet eine vertragliche Regelung nicht. Insofern hat der Datengeber in der Regel ein hohes Interesse daran, eine Datenweitergabe an Dritte zu verhindern bzw. nur dann zu gestatten, wenn hierdurch bestimmte, im Vertrag vorgesehene Zwecke erfüllt werden sollen. Zur Sicherstellung der Datenhoheit kann es daher empfehlenswert sein, pauschal alle nicht ausdrücklich erlaubten Nutzungshandlungen zu untersagen und die Nutzungsbefugnisse auf solche Rechte zu beschränken, die explizit vertraglich geregelt sind (Schur 2021, Rn. 22). In diesem Zusammenhang kann es auch im Interesse der Vertragsparteien liegen, den Zweck der beabsichtigten Datennutzung zu bestimmen. Zum einen hat die Festlegung des Nutzungszwecks Auswirkungen auf den Umfang der Leistungspflicht: Treffen die Vertragsparteien beispielweise eine Vereinbarung, dass die überlassenen Daten für bestimmte Zwecke nicht geeignet sind, dann hilft eine solche Festlegung bei der Auslegung im Falle von Streitigkeiten hinsichtlich des Haftungsumfangs. Zum anderen dient eine Zweckfestlegung auch dazu, gerade im Hinblick auf sensible Daten eine ausufernde Datennutzung zu unterbinden. Das kann insbesondere bei schützenswerten Unternehmensdaten wichtig sein, denn dort hat das datengebende Unternehmen in der Regel ein hohes Interesse daran, dass die überlassenen Daten nur für den im Vertrag festgelegten Zweck verwendet werden. Im Zusammenhang mit der Bestimmung von Nutzungsumfang und -zweck wird es in der Regel auch unschädlich sein, den Datenempfänger zur Löschung der Daten nach Vertragsbeendigung zu verpflichten und im Nachgang einen entsprechenden Löschnachweis einzufordern. Eine Löschungszusicherung sollte auch für den Fall vereinbart werden, wenn Verträge aufgrund von Mängeln rückabgewickelt werden müssen (Quelle: Daten im Rechtsverkehr – Überlegungen für ein allgemeines Datenvertragsrecht).

Im engen Zusammenhang mit der Einräumung von Datennutzungsrechten steht die Frage des Datenzugangs. Erst wenn die technischen Umstände der Datenbereitstellung geklärt sind, können Daten genutzt und für die jeweils intendierten Zwecke verarbeitet werden. In diesem Zusammenhang sollten die Vertragsparteien die technischen Umstände der Datenüberlassung bzw. -übertragung möglichst genau festlegen. Hierzu ist es notwendig, dass Datenstandards, -formate und -schnittstellen definiert werden (Sattler 2020, S. 74 Rn. 125). Nur wenn dieses „Wie“ der Datenbereitstellung geklärt ist, lassen sich daraus verbindliche und auch rechtlich durchsetzbare Handlungspflichten ableiten. Bei der Festlegung von Übergabepunkten sind auch etwaig notwendige Mitwirkungshandlungen der Vertragsparteien zu bedenken. Ebenso sollte vertraglich festgelegt werden, wer die Kosten der Datenbereitstellung zu tragen hat (Sattler, S. 74 Rn. 125). Da die Bestimmung der technischen Umstände der Datenbereitstellung von herausragender Bedeutung ist, empfiehlt es sich, diese unter Einbeziehung der IT-Abteilung vorzunehmen (Apel 2021, Rn. 8).

Die Tragfähigkeit einer vertraglichen Vereinbarung zeigt sich besonders deutlich, wenn eine zugesicherte Leistung nicht oder nicht in der erwarteten Qualität erbracht wird. Im Falle einer Leistungsstörung stellt sich regelmäßig die Frage, ob und in welchem Umfang der Schuldner für die Schlechtleistung einzustehen hat. Die Beantwortung der Frage, wann Daten als vertragsgemäß anzusehen sind bzw. wann ein Mangel vorliegt, erweist sich häufig als schwierig. Der zivilrechtliche Mangelbegriff lässt sich nur teilweise auf Daten übertragen. Außerdem hängt die Brauchbarkeit von Daten sehr stark vom intendierten Verwendungszweck ab. Nicht zuletzt fehlt es häufig an Metriken zur Objektivierbarkeit der Datenqualität. Auch die Umsetzung der Digitale-Inhalte-Richtlinie (EU 2019/770) verspricht in diesem Zusammenhang keine wirkliche Klarstellung, da die dort aufgestellten Grundsätze zur Vertragsmäßigkeit digitaler Produkte (§ 327d BGB-RefE) nur im B2C-Bereich gelten. Für die Frage der Mangelhaftigkeit von Daten ist daher auf die bestehenden Regelungen des BGB zurückzugreifen. Ein Mangel liegt vor, wenn die Ist-Beschaffenheit von der Soll-Beschaffenheit abweicht. Für eine solche Feststellung ist es notwendig, dass die Vertragsparteien die Beschaffenheit der Daten vertraglich bestimmt haben. Festgelegt werden können beispielsweise Anforderungen zur Aktualität oder Einheitlichkeit der Daten. Die Festlegung von Mindeststandards stellt einerseits sicher, dass der oder die Datenempfangende die bereitgestellten Daten bestimmungsgemäß verarbeiten kann. Anderseits lässt sich eine Abweichung von zugesicherten Eigenschaften leichter feststellen. Die Bestimmung von konkreten Beschaffenheitskriterien ist auch deswegen von hoher Relevanz, weil sich die Mangelfreiheit von Daten ansonsten nach objektiven Kriterien bestimmt. Maßgeblich ist dann, ob die bereitgestellten Daten für den im Vertrag vorgesehenen Zweck geeignet sind. Ist keine Zweckeignung gegeben, stellt dies einen Mangel dar. Aus diesem Grund sollte neben der Bestimmung der Datenqualität auch der Verwendungszweck in den Vertrag aufgenommen werden (Schur 2021, Rn. 13; Kuß 2020, S. 414). Verzichten die Vertragsparteien hierauf, wird auf objektive Kriterien wie die übliche Beschaffenheit und Eignung zur gewöhnlichen Verwendung abgestellt. Da diese Kriterien in Bezug auf Daten schwer zu ermitteln sind, sollten die Vertragsparteien vorsorglich Beschaffenheit und Verwendungszweck vertraglich festhalten.

Zu beachten ist zudem, dass eine Vertragspartei nur dann schadensersatzpflichtig wird, wenn sie die Schlechtleistung zu vertreten hat. Das BGB differenziert in diesem Zusammenhang zwischen Vorsatz und Fahrlässigkeit (§ 276 Abs. 1 BGB). Im Bereich der Fahrlässigkeit wird zudem zwischen einfacher Fahrlässigkeit und grober Fahrlässigkeit differenziert. Häufig wird versucht, die Haftung für bestimmte Verschuldensformen auszuschließen. Im Grundsatz steht den Parteien dabei aufgrund der im Zivilrecht geltenden Vertragsfreiheit ein großer Handlungsspielraum zur Verfügung. Bei individuell ausgehandelten Verträgen kann die Haftung fast vollständig ausgeschlossen werden. Ausgenommen hiervon ist die Haftung für vorsätzlich herbeigeführte Schäden (§ 276 Abs. 3 BGB) oder Fälle, in denen der Ausschluss der Haftung gesetzlich untersagt ist. So ist beispielsweise der Ausschluss der Haftung für Schäden nach dem Produkthaftungsgesetz nicht möglich. Der Haftungsausschluss im Rahmen von Allgemeinen Geschäftsbedingungen (AGB) gestaltet sich demgegenüber als restriktiver. Haftungsausschlüsse bei Verletzung von Leben, Körper, Gesundheit und bei grobem Verschulden sind danach unzulässig.

Eine wichtige zu erfüllende Anforderung bei der Überlassung von Daten ist die Festlegung von IT-Sicherheitsmaßnahmen. Unternehmen werden sensible Informationen nur dann bereitstellen, wenn der Datenempfänger wirksame und überprüfbare Schutzmaßnahmen zusichert, die etwa den unberechtigten Zugriff durch Dritte verhindern und die versehentlichen Datenfreigaben (Datenpannen) vorbeugen. Im Hinblick auf die Wahl von geeigneten IT-Sicherheitsmaßnahmen können sich die Vertragsparteien an den datenschutzrechtlichen Anforderungen der EU-Datenschutzgrundverordnung oder der ISO-Norm 27001 orientieren. Die Gewährleistung der IT-Sicherheit ist nicht nur in vertragsrechtlicher Hinsicht geboten, sondern auch vor dem Hintergrund des Geschäftsgeheimnisschutzes (s. Abschn. 9.​2.​3). Handelt es sich bei den in Daten verkörperten Informationen um Geschäftsgeheimnisse, sind diese durch das Geschäftsgeheimnisgesetz (GeschGehG) vor unberechtigter Erlangung, Nutzung und Offenlegung geschützt. Dies gilt allerdings nur, wenn der Inhaber des Geschäftsgeheimnisses angemessene Schutzmaßnahmen ergriffen hat. Hierzu gehören neben Schutzmaßnahmen technischer Natur auch die vertraglichen Maßnahmen zur Gewährleistung der Datensicherheit.

Werden durch die Vertragsparteien Allgemeine Geschäftsbedingungen (AGB) verwendet, so unterliegen die Bestimmungen der Inhaltskontrolle (§ 307 BGB). Bestimmungen in AGB sind unwirksam, wenn sie den Vertragspartner des Verwenders entgegen Treu und Glauben unangemessen benachteiligen. Eine unangemessene Benachteiligung kann sich daraus ergeben, dass eine Klausel nicht klar und verständlich formuliert ist und damit gegen das sogenannte Transparenzgebot verstößt. Eine unangemessene Benachteiligung ist etwa anzunehmen, wenn von wesentlichen Grundgedanken einer gesetzlichen Regelung abgewichen wird oder wesentliche Rechte und Pflichten, die sich aus der Natur des Vertrags ergeben, so eingeschränkt werden, dass die Erreichung des Vertragszwecks gefährdet ist (§ 307 Abs. 2 Nr. 1–2 BGB). Die Wahrung des Transparenzgebots kann bei Datenverträgen zu praktischen Schwierigkeiten führen. Denn diese Art von Verträgen lassen sich nur bedingt einem gesetzlich geregelten Vertragstyp zuordnen. Es fehlt in diesem Zusammenhang schlicht an einem gesetzlichen Leitbild (Kraus 2015, S. 546; Schefzig 2015, S. 563). Vor diesem Hintergrund sollten die Vertragsparteien die Leistungspflichten und den Leistungsumfang im Hinblick auf Daten besonders klar und verständlich ausarbeiten. Unklare Formulierungen und sich widersprechende Klauseln gehen zulasten des Verwenders der AGB und sollten vermieden werden.

Die Austauschbarkeit von Daten unterliegt vor allem dann Beschränkungen, wenn es sich um personenbezogene Daten handelt. Personenbezogene Daten sind gemäß Art. 4 Nr. 1 DSGVO „alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen“. Ein Personenbezug ist auch dann anzunehmen, wenn eine Identifizierung erst durch Hinzuziehung von Zusatzinformationen möglich ist (Kühling und Buchner 2020, Art. 4 Rn. 19) Bei reinen Unternehmensdaten oder Sachinformationen, die auch nicht mittelbar zu einer Identifizierung einer Person führen, ist der Anwendungsbereich der DSGVO nicht eröffnet. Die Verarbeitung von personenbezogenen Daten unterliegt strengen Vorgaben. So gebietet unter anderem der Grundsatz der Zweckbindung, dass Daten nur für festgelegte, eindeutige und legitime Zwecke erhoben werden dürfen. Eine Sekundärnutzung zu anderen Zwecken ist nur in sehr begrenztem Umfang möglich und häufig gänzlich ausgeschlossen. Werden personenbezogene Daten datenschutzwidrig weitergegeben, kann dies Auswirkungen auf die Wirksamkeit des zugrunde liegenden Vertrags haben. Im Grundsatz sieht § 134 BGB vor, dass Rechtsgeschäfte nichtig sind, die gegen ein gesetzliches Verbot verstoßen. Erweisen sich Verträge als nichtig, können sie rückabgewickelt werden. Inwieweit Verträge bei einem Verstoß gegen das Datenschutzrecht nichtig sind, ist derzeit noch nicht höchstrichterlich entschieden. Aus Gründen der Rechtssicherheit ist bei der Vertragsgestaltung daher zu prüfen, ob personenbezogene Daten verarbeitet werden sollen. Ist das der Fall, sind die Vorgaben des Datenschutzrechts (nicht zuletzt mit Blick auf drohende Bußgelder) einzuhalten. Werden personenbezogene Daten gemeinschaftlich oder im Auftrag verarbeitet, muss der Vertrag in der Regel durch eine datenschutzrechtliche Zusatzvereinbarung (zum Beispiel einen Auftragsdatenverarbeitungsvertrag) flankiert werden.