Datentreuhand und Recht E-Book

VInhaltsverzeichnis

Verzeichnis der Bearbeitenden

Im Einzelnen haben bearbeitet

§ 1 Einführung

I. Nichtrechtliche Grundlagen der Datentreuhänderschaft

II. Übergreifende Rechtsfragen der Datentreuhand

III. Exemplarische Anwendungsfelder der Datentreuhand

IV. Transaktionsbasierte Datentreuhand als neuartiges Treuhandmodell

Teil 1 Konzeptionelle und technische Grundlagen

§ 2 Rechtspolitik, Typik und infrastrukturelle Bedeutung der Datentreuhand

I. Problemstellung

II. Der Datentreuhanddiskurs in seinen Anfängen und heute

1. Trust und Trustee in Großbritannien

2. Multiple Visionen: PIMS, Forschungsdatentransfer, Bürger- und Behördendaten sowie das weite Feld des Datenteilens „B2B“

3. „Datentreuhänder“: Ein Zauberwort

III. Typik, nicht Ordnung: Konstellationen mit Datentreuhand-Funktion

1. PIMS

2. Behördliche Datenbereitstellung zu Forschungszwecken

3. Verknüpfungen von Wissenschaft und Wirtschaft

4. Fremd- bzw. gemeinnütziges Datenteilen – altruistische Konzeptionen

5. Datentreuhänder als Plattformen?

6. Datentreuhänder als Kontrollstelle für Datenschutzbelange

IV. Was meint Neutralität, was meint Vertrauen? Der neue Intermediär zwischen „Honey-Pot“ und Wertschöpfungsinstrument

1. Divergierende Neutralitätskonzeptionen

VI2. Neutralität als Antithese des klassischen Plattform-Geschäftsmodells

3. Neutralität vs. kommerzielle Interessen

4. Vertrauen

V. Schlüsselfragen für Datentreuhandkonzepte und -architekturen

1. Entkoppelung

2. Datenschutz

3. Geschäftsmodelle

4. Gewährleistung von Datensicherheit und -souveränität

5. Standardisierung

VI. Datentreuhand: Ein Paradigma?

§ 3 Gaia-X als informations- und dateninfrastruktureller Rahmen

I. Einleitung

1. Stand der Datenökonomie in Deutschland

2. Regulatorischer Rahmen und dateninfrastrukturelle Kapazitäten als komplementäre Fundamente einer europäischen Datenwirtschaft

II. Probleme der Datenökonomie: Hürden beim Teilen von Daten

1. Unzureichendes Kosten-Nutzen-Kalkül: vom Fehlen datenbasierter Geschäftsmodellideen bis zur Sorge um die eigene Wettbewerbssituation

2. Zur Rolle von Informationsasymmetrien auf Datenmärkten

a) Ex-ante-Informationsasymmetrien zu Lasten des Datennutzers

b) Ex-post-Informationsasymmetrien zu Lasten des Datengebers

3. Transaktionskosten als Hindernis für Datenaustauschprozesse

a) Kosten für die Anbahnung des Vertrages

b) Kosten der Vertragsgestaltung

c) Kosten für die Durchsetzung des Vertrags

4. Marktmacht als Folge exklusiver Verfügungsgewalt über Daten

III. Neue Intermediäre/Datentreuhänder als Beitrag zur Problemlösung

1. Zum Begriff des Intermediärs

2. Funktionen von Intermediären

a) Datenintermediäre als Match-Maker

b) Datenintermediäre als Enabler von Datentransaktionen

c) Datenintermediäre als Vertrauensanker

3. „Trust by Design“: das Modell der transaktionsbasierten Datentreuhand

VIIIV. Gaia-X als informations- und dateninfrastruktureller Rahmen

1. Zielsetzungen

2. Kernprinzipien

a) Europäische Werte und Normen

b) Offenheit und Transparenz

c) Authentizität und Vertrauen

d) Souveränität und Selbstbestimmtheit

e) Freier Marktzugang und europäische Wertschöpfung

f) Modularität und Interoperabilität

g) Nutzerfreundlichkeit

h) Föderierte, dezentrale Struktur

3. Grundstruktur und Funktionsweise

a) Föderationen als Herzstück

b) Strukturelle Gliederung: Infrastruktur-, Datenaustausch- und Ökosystemebene

c) Regulatorisches Rahmenwerk: Policy Rules und Label Framework

d) Technische Referenzarchitektur und Föderationsdienste

e) Compliance-Sicherung durch digitale Clearingstellen

V. Fazit: der Beitrag von Gaia-X zur Umsetzung von Datentreuhändern

§ 4 Nutzerakzeptanz

I. Einführung

II. Methode

1. Untersuchte Anwendungsbereiche und Ausgestaltungen

a) Sektoren

b) Ausgestaltungsmöglichkeiten

2. Studiendesign

3. Einschränkungen der Studie

III. Ergebnisse

1. Allgemeine Einschätzungen zu Datentreuhändern

a) Vertrautheit mit Datentreuhändern

b) Bereitschaft zur Nutzung von Datentreuhändern

c) Wahrgenommener Nutzen

d) Allgemeine Eindrücke

2. Einfluss konkreter Faktoren auf die Nutzungsbereitschaft

a) Anonymität und Datenverarbeitung

b) Datenzugang durch Dritte

c) Organisatorische Aspekte

d) Erwartete Vorteile

e) Einfluss demographischer Faktoren

VIIIIV. Bewertende Zusammenfassung

1. Relevante Faktoren: Bedeutend oder belanglos?

a) Persönlicher und gesellschaftlicher Nutzen

b) Selbstbestimmung und Selbstverwaltung

c) Begrenzter Einfluss operativer Aspekte

2. Sektoren im Vergleich

3. Kulturelle Unterschiede in der Akzeptanz

V. Fazit

Teil 2 Übergreifende Rechtsfragen der Datentreuhand

§ 5 Rechtliche Grundlagen

I. Einleitung

II. Definitionsansätze

III. Einsatzbereiche

1. Überblick

2. Zusammenfassung und Herausforderungen

IV. (Rechtliche) Einordnung der Datentreuhand

1. Orientierungspunkte für die rechtliche Einordnung

a) Vergleich zur klassischen Treuhand

b) Vergleich zur Treuhandstiftung

c) Vergleich zu Data Trusts im Common Law

2. Ausgestaltung der Datentreuhand

a) Rechtsnatur

b) Innenverhältnis

3. Erscheinungsformen

4. Neutralität

V. Datenschutzrechtliche Grundfragen zur Datentreuhand

1. Allgemeine Grundsätze

2. Verantwortlichkeit der Datentreuhand

3. Einwilligung

a) Anforderungen

b) Stellvertretung

c) Zwischenergebnis

4. Datenschutz durch Technikgestaltung

a) Allgemeine Grundsätze

b) Föderiertes Lernen als Beispiel

VI. Regulierungsansätze

VII. Fazit

IX§ 6 Rechtsform

I. Einleitung

II. Anforderungsprofil

1. Rechtliche Rahmenvorgaben des Data Governance Act

a) Anwendungsbereich

b) Kategorien von Datenvermittlungsdiensten

c) Bedingungen für die Erbringung von Datenvermittlungsdiensten

d) Regelungszweck

2. Ökonomische Funktionsvoraussetzungen

a) Neutralität

b) Informationsasymmetrien, Datensouveränität und Marktmacht

c) Rechtssicherheit

d) Vertrauensförderung

e) Vermeidung von Interessenkonflikten

3. Sektorspezifische Regelungen

III. Gestaltung der Corporate Governance

1. Integration und Repräsentation

2. Einrichtung von Gremien

3. Unabhängigkeit von Einzelinteressen

4. Kontinuität in Mitgliedschaft und Geschäftsführung

5. Gewinnerzielung und -ausschüttung

IV. Rechtsformwahl und -gestaltung

1. Angebot an Rechtsformen

a) Grundvoraussetzung

b) Rechtsformen des öffentlichen Rechts

c) Rechtsformen des privaten Rechts

2. Gestaltungsmöglichkeiten der GmbH

a) Außenwirkung der Rechtsform

b) Haftungsbeschränkung

c) Satzungsgestaltung

d) Vinkulierung und Formstrenge der Anteilsübertragung

e) Schutz des Stammkapitals

f) Kontrolle der Geschäftsführung

g) Gesellschafter und Anteilsschwellen

V. Fazit

§ 7 Datenaltruismus

I. Praktische Relevanz des Datenaltruismus

1. Allgemeine Erwägungen

X2. Praktische Beispiele

a) Gesundheitsversorgung

b) Bekämpfung des Klimawandels

c) Verbesserung der Mobilität

d) Einfachere Entwicklung, Erstellung und Verbreitung amtlicher Statistiken

e) Verbesserung der Erbringung öffentlicher Dienstleistung und der staatlichen Entscheidungsfindung

f) Wissenschaftliche Forschung im allgemeinen Interesse

3. Verhältnis zum Data Act

II. Rechtsrahmen

1. Datenaltruismus-Konzept des DGA

2. Überblick zum Regulierungsgefüge des DGA

3. Datenverarbeitung unter dem DGA und anderen Gesetzen

a) Personenbezogene Daten

b) Nichtpersonenbezogene Daten

4. Bedeutung nationaler Regelungen

III. Governance anerkannter datenaltruistischer Organisationen

1. Besondere Treu-, Sorgfalts- und Organisationspflichten

a) Schutzvorkehrungen

b) Vermeidung von Interessenkonflikten

c) Transparenz

2. Zugangspolitik gegenüber Nutzerinnen und Nutzern

a) NutzerInnen

b) Gemeinsame Nutzung

c) Inhaltskontrolle von Nutzungsverträgen

§ 8 Datenschutzrechtliche Grundfragen

I. Einleitung

1. Treuhandmodelle

2. Treuhand und Datentreuhand

3. Datentreuhand und Datenschutz

II. Rechtsgrundlage im Datenschutzrecht

1. Einwilligung

a) Datentreuhänder als verantwortliche Stelle

b) Datentreuhänder als Auftragsverarbeiter

2. Erforderlichkeit

3. Rechtliche Verpflichtung

4. Berechtigte Interessen

a) Berechtigtes Interesse

b) Interessenabwägung

c) Anwendungsfall Betrugsprävention und Geldwäsche

III. Automatisierte Entscheidungen

XIIV. Transparenz

V. Anforderungen des Data Governance Act mit Blick auf die Verarbeitung personenbezogener Daten

VI. Verantwortlichkeit

1. Grundsätze der DS-GVO

2. Verarbeitung anonymer Daten

3. Einfluss auf die Vertragsgestaltung

VII. Zusammenfassung

§ 9 Vorgaben des Data Governance Act

I. Anwendbarkeit der Anforderungen an Datenvermittlungsdienste

1. Datenvermittlungsdienst iSd Art. 2 Nr. 11 DGA

a) Herstellen von Geschäftsbeziehungen

b) Ermöglichung der gemeinsamen Datennutzung

c) Unbestimmte Anzahl von Nutzern

d) Ausnahmetatbestände

2. Kategorisierung nach Art. 10 DGA

3. Vorrangigkeit der Regelungen zum Datenaltruismus (Art. 15 DGA)

II. Anmeldungserfordernis für Datenvermittlungsdienste

1. Anbieten von Datenvermittlungsdiensten in mehreren Mitgliedsstaaten

2. In Drittstaaten niedergelassene Datentreuhänder

3. Erklärung der Anmeldung, Änderung und Abmeldung

4. Bestätigungen der Behörde

a) Anmeldebestätigung

b) Anerkennung

5. Gebühren

III. Anforderungen an Datenvermittlungsdienste

1. Strenge Zweckbindung (Art. 12 Buchst. a DGA)

2. Strukturelle Trennung (Art. 12 Buchst. a DGA)

3. Partielles Kopplungsverbot (Art. 12 Buchst. b DGA)

4. Nutzungsbeschränkung für Metadaten (Art. 12 Buchst. c DGA)

5. Umwandlungsvorbehalt für Datenformate (Art. 12 Buchst. d DGA)

6. Zusätzliche spezifische Werkzeuge (Art. 12 Buchst. e DGA)

7. Fairness, Transparenz und Nichtdiskriminierung (Art. 12 Buchst. f DGA)

8. Prävention gegen Betrug und Missbrauch (Art. 12 Buchst. g DGA)

9. Vorsorge für den Insolvenzfall (Art. 12 Buchst. h DGA)

XII10. Gewährleistung von Interoperabilität (Art. 12 Buchst. i DGA)

11. Prävention gegen rechtswidrige Datenübertragungen und -zugriffe (Art. 12 Buchst. j DGA)

12. Unterrichtung bei unbefugten Datenübertragungen und -zugriffen (Art. 12 Buchst. k DGA)

13. Gewährleistung des Sicherheitsniveaus (Art. 12 Buchst. l DGA)

14. Pflichten bei Erleichterung der Ausübung von Betroffenenrechten (Art. 12 Buchst. m DGA)

15. Neutralität in Bezug auf die Bereitstellung von Werkzeugen (Art. 12 Buchst. n DGA)

16. Protokollierung (Art. 12 Buchst. o DGA)

17. Gewährleistung der Einhaltung des Wettbewerbsrechts

IV. Besondere Anforderungen des Kapitels II DGA

1. Datentreuhänder als öffentliche Stellen iSd Art. 2 Nr. 17 DGA

2. Regelungen für die Weiterverwendung

V. Verhältnis zum Datenschutzrecht

Teil 3 Exemplarische Anwendungsfelder der Datentreuhand

§ 10 Förderung der Informationsfreiheit

I. Begriffsklärungen: Informationsfreiheit, Transparenz und Open Data

II. Zugangseröffnende Normen

1. Informationsfreiheitsgesetz

a) Antragserfordernis

b) Automatisierung und Orchestrierung von Anträgen

c) Informationsgewährung

2. Landesrecht

3. Sektorenspezifische Informationsfreiheitsregime

a) Umweltinformationen

b) Verbraucherinformationen

4. Verhältnis der Zugangsansprüche zueinander

5. Open Data: § 12a EGovG

6. Grundrechtliche Informationsfreiheit

7. Ausblick: Bundestransparenzgesetz?

8. Zwischenfazit: Potenziale der Datentreuhand im Bereich der Informationsfreiheit

III. Zugangsbeschränkende Normen

1. Schutz von besonderen öffentlichen Belangen und des behördlichen Entscheidungsprozesses (§§ 3 u. 4 IFG)

2. Datenschutz (§ 5 IFG)

3. Schutz des geistigen Eigentums (§ 6 S. 1 IFG)

XIIIa) Urheberrecht

b) Sonstige gewerbliche Schutzrechte

4. Betriebs- und Geschäftsgeheimnisse (§ 6 S. 2 IFG)

a) Schutzumfang

b) Einwilligung

5. Weitere Vertraulichkeitsregime

6. Zwischenfazit: Potenziale der Datentreuhand zur partiellen informatorischen Erschließung geschützter Datenbestände

IV. Verwendung der Informationen

V. Fallbeispiel: Verbesserter Öffentlichkeitszugang zu Mikrodaten der Bundesbank über transaktionsbasierte Datentreuhänder

1. Ausgangslage und Fragestellung

2. Relevanz der Informationsfreiheit für die Frage der Bereitstellung von Bundesbankdaten

a) Grundsätzliche Zugänglichkeit amtlicher Informationen kraft IFG

b) Bereichsspezifische Transparenzregeln

3. Vertraulichkeitsregime als Beschränkungen der Informationsfreiheit

a) Aufsichtsgeheimnis

b) Grundsätzliche Vereinbarkeit transaktionsbasierter Datentreuhand-Auswertungen und § 9 Abs. 1 KWG

c) Statistische Geheimhaltung

4. Ergebnis und Ausblick

§ 11 Automatisierte Geldwäschebekämpfung

I. Einleitung

II. Ein Überblick über das System der Geldwäschebekämpfung

1. Internes Risikomanagementsystem der Finanzinstitute

a) Risikoanalyse

b) Interne Sicherungsmaßnahmen

c) Bestellung eines Geldwäschebeauftragten

d) Sorgfaltspflichten in Bezug auf Kunden

2. Umgang mit Verdachtsfällen

a) Meldung von Verdachtsfällen durch die Verpflichteten

b) Weitere Analyse durch die FIU

III. Mögliche Einsatzszenarien für den transaktionsbasierten Datentreuhänder

1. Einsatzszenarien innerhalb des internen Risikomanagements

2. Zweitverwendung von Datensätzen zu Testzwecken

3. Einsatzszenarien im Rahmen des Umgangs mit Verdachtsmeldungen

XIVa) Mittelherkunftsabfragen

b) Analyse von Verdachtsmomenten durch die Banken vor Abgabe einer Verdachtsmeldung an die FIU

c) Analyse von gemeldeten Verdachtsfällen durch die FIU unter automatisiertem Rückbezug auf die Banken

IV. Einbettung der möglichen Einsatzszenarien in das Recht der Geldwäschebekämpfung de lege lata

1. Die Überwachung von Kunden unter Einbezug von Daten dritter Banken

2. Nutzung echter Kundendaten für die Schulung von Algorithmen zur Geldwäscheerkennung

3. Verbesserung der Abfrage von Mittelherkünften

4. Verbesserungen der Qualität von Meldungen gemäß § 43 GwG

5. Einsatz zur Analyse von Verdachtsfällen durch die FIU

V. Fazit und Ausblick

§ 12 Dateninfrastrukturen für die Forschung mit Gesundheitsdaten

I. Einleitung

II. Datenzugang und -nutzung mittels Dateninfrastrukturen in Deutschland und auf europäischer Ebene

1. Dateninfrastrukturen und Datenräume

2. Aktuelle Infrastrukturinitiativen auf europäischer und nationaler Ebene in Deutschland

a) Aktuelle europäische Entwicklungen

b) Aktuelle Entwicklungen in Deutschland

3. Legislativer Rahmen

a) Europäische Vorhaben

b) Deutsche Gesetzesvorhaben im Gesundheitsbereich

III. Datentreuhänder und ihre Bedeutung für den Datenschutz in Dateninfrastrukturen

1. Datentreuhänder als neue Akteure für einen „ermöglichenden Datenschutz“

2. Die normative Einbindung von Datentreuhändern

a) DGA

b) EHDS-VO

c) GDNG

3. Dateninfrastruktureinbindung auf europäischer und nationaler Ebene

IV. Fazit

XVTeil 4 Transaktionsbasierte Datentreuhand als neuartiges Treuhandmodell

§ 13 Technische Konzeption und Umsetzung

I. Die paradoxe Wirkung der Nützlichkeit von Daten

II. Vom Vertrauen in einer transaktionalen Beziehung

III. Vom Reißbrett zur Werkbank: die technische Konzeption des transaktionsbasierten Datentreuhänders

1. Der blinde Dirigent: die Koordination von Transaktions-Verarbeitungsschritten

2. Rollenzuweisungen in Transaktionen

IV. Von der Werkbank zur Fertigungsstraße: die technische Umsetzung des Datentreuhänders

1. Externe Zugriffskontrolle durch transaktionsbezogene Programmierschnittstellen

2. Kapselung der Datenverarbeitung im Treuhänder

3. Ablauf der Registrierungsprozesse und Transaktionen

V. Fazit

§ 14 Datenschutz durch Datentreuhand

I. Datentreuhänder: Geschöpfe des Datenschutzrechts mit datenschutzrechtlichem Klärungsbedarf

II. Grundkonzept der transaktionsbasierten Datentreuhand: Paradigmenwechsel statt Teilreform

1. Spezifika transaktionsbasierter Datentreuhand

2. Paradigmenwechsel: Von der Daten- zur Prozessanonymisierung

III. Datenschutzrechtliche Einordnung des Modells transaktionsbasierter Datentreuhand

1. Fraglicher Personenbezug transaktionsbasierter Datentreuhandverarbeitungen

a) „Personenbezug“ als zunehmend unscharfes Merkmal

b) „Relative“ Bestimmung des Personenbezugs als dogmatischer Status quo

c) Nicht-epistemische Zuordnungshindernisse

d) Ergebnis: Prozessbezogene Bestimmung des Personenbezugs

2. Partielle Anwendbarkeit des Datenschutzrechts auf transaktionsbasierte Treuhandverarbeitungen

a) „Verarbeitung“

b) Personenbezug der Verarbeitung

XVIc) Rechtsfolge: partielle Anwendbarkeit des allgemeinen Datenschutzrechts

3. Verantwortlichkeiten und Rollenzuweisung für Anonymisierung und Treuhandverarbeitung

a) Die unterschiedlichen datenschutzrechtlichen Rollen

b) Anwendung auf die Konstellation der transaktionsbasierten Datentreuhand

4. Erlaubnistatbestände

5. Transparenz, Informationspflichten und Auskunftsrechte

6. Sonstige Betroffenenrechte

7. Pflichten des Datentreuhänders, insbesondere technische und organisatorische Sicherungen

IV. Treuhandrelevante Maßgaben aus dem Data Governance Act und dem Data Act

V. Ausblick: Transaktionsbasierte Datentreuhand als Impuls und Inspiration für das Datenschutzrecht

§ 15 Vertragsrechtliche Grundfragen

I. Einleitung

II. Untersuchungsgegenstand und Vorverständnis

1. Die transaktionsbezogene Datentreuhand als Vermittlungsinstanz und Infrastruktur

a) Die Ausgestaltung der Transaktionsverhältnisse als Austauschvertrag

b) Der determinierte Inhalt der Transaktionsbeziehungen

2. Die Gemeinfreiheit von Daten

III. Die gesetzlichen Vertragstypen im Vertragsrecht

1. Vertragsfreiheit als Referenzpunkt

2. Entwicklung der gesetzlichen Vertragstypen

a) Typenzwang im römischen Recht

b) Paradigmenwechsel im Vertragsrecht

3. Funktionen der Vertragstypen

a) Kompensation fragmentarischer Rechtserzeugung

b) Begrenzung der Rechtserzeugung

4. Zwischenergebnis

IV. Die Verhältnisse der Transaktionsparteien und deren rechtliche Einordnung

1. Vertragliche Beziehungen bei einzelnen Transaktionen

2. Das Transaktionsverhältnis

a) Rechte und Pflichten der Parteien

b) Kaufrechtliche Einordnung

c) Pachtrechtliche Einordnung

XVIId) Mietrechtliche Einordnung

3. Das Übermittlungsverhältnis

a) Rechte und Pflichten der Parteien

b) Werkvertragsrechtliche Einordnung

c) Dienstvertragsrechtliche Einordnung

d) Einordnung als Vertrag suis generis

4. Zwischenergebnis

V. Grenzen der privaten Normerzeugung

1. Inhaltskontrolle der determinierten Rechtserzeugung

a) Zur Notwendigkeit einer Inhaltskontrolle

b) Dogmatische Grundlagen der Inhaltskontrolle

c) Inhaltskontrolle nach §§ 307ff. BGB

d) Extension des Anwendungsbereiches der §§ 307ff. BGB

e) Transparenz- und Angemessenheitsvorgaben

f) Rechtsfolgen

2. Interdependenz von Datenwirtschafts- und Vertragsrecht

a) Rechtsgrundlagen des Datenwirtschaftsrecht im Kurzüberblick

b) DS-GVO als Verbotsgesetz nach § 134 BGB

c) DA als Verbotsgesetz nach § 134 BGB

3. Zusammenfassung

§ 16 Der transaktionsbasierte Datentreuhänder im Kartellrecht

I. Einleitung

II. Der Datentreuhänder als Unternehmen im Sinne des Kartellrechts

1. Einleitung

2. Abgrenzung des unternehmerischen Handelns zum rein hoheitlichen Handeln

3. Einordnung des Datentreuhänders als Unternehmen iSd Kartellrechts

III. Informationsaustausch und Kartellrecht

1. Grundlagen

2. Informationsaustausch über „neutrale Dritte“ als kartellrechtliches Problem

a) Allgemeines

b) Datentreuhänder und Informationsaustausch

3. Austausch aggregierter Daten

a) Grundlagen

b) Aggregation preisrelevanter Informationen

c) Verarbeitung preisrelevanter Informationen durch den Datentreuhänder

d) Austausch aggregierter Daten im Oligopol

e) Zwischenergebnis

XVIII4. Austausch anonymisierter Daten

5. Maßnahmen zur Beschränkung und/oder Kontrolle der Datenverwendung

6. Zwischenfazit zum Austausch aggregierter Daten

7. Die Leitlinien des BKartA zum Genossenschaftswesen

a) Allgemeines

b) Bedeutung für den Datentreuhänder

IV. Algorithmen und Kartellrecht

1. Einführung

2. Arten von Algorithmen

3. Keine Anerkennung der sog. ePerson

4. Das Problem der „Zurechnung“ von Algorithmen

a) Rechtliche Analyse

b) Hub-and-Spoke-Konstellationen bei Algorithmen (indirekter Informationsaustausch)

c) Haftung für Algorithmen im Kartellrecht de lege lata und de lege ferenda

V. Zusammenfassung

§ 17 AGB und Onboarding: Kommentierte Musterverträge für die transaktionsbasierte Datentreuhand

Einführung

1. Begriffsbestimmungen

2. Geltungsbereich; Rangfolge; Anlagen

3. Registrierung; Vertragsschluss

4. Mitteilungen; Form der Vertragsschlüsse

5. Leistungen des Datentreuhänders

6. Leistungsänderung

7. Vergütung

8. Personal

9. Haftung; Haftungsfreistellung

10. Nachhaltigkeit und Compliance

11. Datenschutz

12. Geltungsdauer dieser Bedingungen

13. Änderungen dieser Bedingungen

14. Streitschlichtung

15. Schlussbestimmungen

Sachverzeichnis

XIXVerzeichnis der Bearbeitenden

Dr. Alexander Alldridge, d-fine

Prof. Dr. Steffen Augsberg, Justus-Liebig-Universität Gießen

Prof. Dr. Johannes Buchheim, Philipps-Universität Marburg

Prof. Dr. Gabriele Margarete Buchholtz, Universität Hamburg

Felix Burghardt, Philipps-Universität Marburg

Prof. Dr. Michael Denga, BSP Business and Law School Berlin

Kevin Ferber, Justus-Liebig-Universität Gießen

RA Florian Frisse, Schalast Law | Tax

Prof. Dr. Petra Gehring, TU Darmstadt

Anna Lina Gummersbach, LL.M., Universität Heidelberg

Ina Gramkow, Philipps-Universität Marburg

Moritz Jetzen, Philipps-Universität Marburg

Prof. Dr. Michael Kling, Philipps-Universität Marburg

Luisa Köbel, Universität Halle-Wittenberg

Dr. Jörn Laakmann, TU Darmstadt

Leona Lassak, Ruhr-Universität Bochum

Prof. Dr. Florian Möslein, Philipps-Universität Marburg

Prof. Dr. Fruzsina Molnár-Gábor, Universität Heidelberg

Marc Nestor, Universität Heidelberg

Prof. Dr. Sebastian Omlor, Philipps-Universität Marburg

Dr. Christian Person, TU Darmstadt

XXHanna Püschel, TU Dortmund

Prof. Dr. Anne Riechert, Institut für Finanzdienstleistungen

Markus Schrenk, Philipps-Universität Marburg

Dr. Till Seidemann, TU Darmstadt

Lukas Tuschhoff, Philipps-Universität Marburg

Yohanna Villablanca, Universidad de Chile und Philipps-Universität Marburg

RA Simon Waldbröl, Schalast Law | Tax

RA Prof. Dr. Andreas Walter, LL.M., Schalast Law | Tax

XXIIm Einzelnen haben bearbeitet

§ 1

Buchheim/Möslein/Omlor

§ 2

Gehring/Laakmann/Person/Seidemann

§ 3

Person

§ 4

Püschel/Lassak

§ 5

Buchholtz

§ 6

Möslein/Tuschhoff

§ 7

Denga/Köbel

§ 8

Riechert

§ 9

Jetzen/Villablanca

§ 10

Schrenk/Buchheim

§ 11

Ferber

§ 12

Gummersbach/Nestor/Molnár-Gábor

§ 13

Alldridge

§ 14

Buchheim/Augsberg/Schrenk

§ 15

Omlor/Heine

§ 16

Kling/Burghardt/Gramkow

§ 17

Walter/Waldbröl/Frisse

1§ 1Einführung

Der vorliegende Band zu Datentreuhand und Recht gründet auf der mehrjährigen theoretisch-konzeptionellen und praktischen Auseinandersetzung der Herausgeber und Autor:innen mit Formen, Chancen, Anforderungen und rechtlich-organisatorischen Herausforderungen der Datentreuhänderschaft. Diese Auseinandersetzung stand ua im Zusammenhang verschiedener großer Drittmittelforschungsprojekte und spezifischer Förderlinien der Bundes- und Landesebenen, die den hohen datenpolitischen Stellenwert und die große praktische Bedeutung der Konzeption, Erforschung und Erprobung der Datentreuhand für Informationsgesellschaft und moderne Datenwirtschaft belegen. Vor diesem Hintergrund des „Zauberworts“1 der Datentreuhand lohnt es, in den fortdauernden Anstrengungen um eine tatsächliche und rechtliche Konzeption, Ausarbeitung und Testung geeigneter Datentreuhandlösungen eine Zwischensumme zu ziehen und den aktuellen Stand der Technik und Wissenschaft im Datentreuhandbereich näher zu beleuchten. Dem ist der vorliegende Band gewidmet, der damit sowohl über den erreichten Stand und gefundene Antworten informieren als auch offene Fragen und rechtliche und tatsächliche Fallstricke und Forschungsbedarfe markieren will, um so das große Versprechen der Datentreuhand einlösen zu helfen und allmählich praktisch werden zu lassen.

I. Nichtrechtliche Grundlagen der Datentreuhänderschaft

Die vorliegende Erkundung der mannigfaltigen Fragen rund um die Datentreuhand und Recht beginnt – auf den ersten Blick etwas überraschend – in Abschnitt A mit einem nichtrechtlichen Blick auf verschiedene Typen und Formen (Gehring/Laakmann/Person/Seidemann, § 2), infrastrukturelle Voraussetzungen (Person, § 3) und Akzeptanzchancen (Püschel/Lassak, § 4) der Datentreuhand. Denn wie häufig im Recht der neuen Technologien2 stehen die rechtlichen Maßgaben und Herausforderungen auch bei der Datentreuhand in enger Wechselbeziehung zu technologischen, infrastrukturellen und sozialen Gegebenheiten.

2Die technisch ausgefeilteste Datentreuhandinfrastruktur leistet wenig, wenn bei den potentiell datenbereitstellenden Akteuren und den Nutzenden solcher Technologie ein Verständnis für die Möglichkeiten, Chancen und Risiken dieses Instruments fehlt. Die in § 4 näher untersuchte Frage, ob und unter welchen Voraussetzungen Datentreuhandlösungen Attraktivität für verschiedene Nutzergruppen und Sektoren besitzen und dementsprechend eine Chance auf tatsächliche Akzeptanz haben, steht damit am Ausgangspunkt jeder Bestrebung, Datentreuhandlösungen praktisch zu etablieren. Dabei ist eine Verbindung rechtlich-normativer, technischer und sozial-empirischer Perspektiven auf das Phänomen der Datentreuhand besonders deshalb naheliegend, weil auf diese Weise die Erkenntnisse aus der Akzeptanzforschung – ebenso wie die Erkenntnisse aus der rechtlichen Untersuchung und Standortbestimmung – ihrerseits in die technische Konzeption und Fortentwicklung geeigneter Datentreuhandmodelle eingespeist werden können. Normative Ansprüche und Erwartungen der Nutzenden treten also nicht erst nachträglich an bereits ausentwickelte Datentreuhandlösungen heran, sondern werden vom ersten Moment in deren Entwicklung einbezogen. Normative Ansprüche sollen sich dadurch unmittelbar in den technischen Lösungen und Geschäftsmodellen der Datentreuhänderschaft widerspiegeln und kratzen nicht nur an der Oberf läche, was insbesondere Compliance-Problemen vorbeugen kann.3

Vor allem aber setzt eine solche frühzeitige normative Prägung und Rückkoppelung der Entwicklung neuer Intermediärs- bzw. Datentreuhandlösungen das besondere kreative Moment normativ-begriff licher Praktiken frei. Dieses kreative, innovationsoffene Moment ist im Fall der Datentreuhand ganz erheblich: Denn Datentreuhänderschaft und die technisch-organisatorischen Lösungen, die wir zu ihrer Entfaltung einsetzen, sind keine gegebenen Größen, keine Dinge-an-sich mit feststehenden Einsatzzwecken, Typen und Formen. Eine Beschäftigung mit Datentreuhändern und ihren rechtlichen Fragen muss daher mit der Offenheit des schillernden Datentreuhandbegriffs beginnen. Bei dieser Offenheit kann es zugleich nicht bleiben, wenn Datentreuhänder praktisch genutzt und rechtlich erfasst werden sollen. Als Vorbedingung der rechtlichen Standortbestimmung erkundet § 2 daher datenpolitische Hintergründe, Anfänge, Typen, Einsatzkonstellationen und grundlegende Herausforderungen der Datentreuhänderschaft unabhängig von einem speziellen Treuhandkonzept, um einen tentativen Begriff und Überblick des Phänomens zu gewinnen.

Die verschiedenen Formen der Datentreuhänderschaft operieren jeweils auf Grundlage digitalisierter Daten und über deren Verarbeitung. Wie jede Form digitaldatenbasierter Rechenprozesse stehen Datenverarbeitungen über Treuhandlösungen daher unter komplexen dateninfrastrukturellen Voraussetzungen. Einheitliche Datenformate und Standards, wechselseitige Lesbarkeit und standardisierte und eindeutige technische Prozesse müssen definiert werden, um auf dieser Grundlage einen zumindest teilautomatisierten Datenaustausch über Treuhänder und andere Intermediäre zu ermöglichen. Eine dieser gemeinsamen, unterschiedlichste 3technische Lösungen und digitale Dienste und Intermediäre einbettenden und umrahmenden Dateninfrastrukturen ist die europäische Plattform Gaia-X, auf deren Grundlage zahlreiche der aktuell anvisierten Datentreuhandmodelle realisiert werden sollen. Ihre datenpolitischen Ziele und ihre Funktionsweise erläutert § 3.

II. Übergreifende Rechtsfragen der Datentreuhand

Der zweite Teil des vorliegenden Handbuchs widmet sich den übergreifenden Rechtsfragen der Datentreuhand. In pandektistischer Tradition wird somit eine Art „allgemeiner Teil“ des Datentreuhandrechts angestrebt. Die einzelnen Kapitel dieses Teils verfolgen das Ziel, das Phänomen der Datentreuhand in seinen unterschiedlichen rechtlichen Erscheinungsformen systematisch zu erfassen und normativ einzuordnen. Die Kapitel legen den Fokus auf grundlegende Strukturelemente und zentrale Rechtsfragen, die sich aus der treuhänderischen Vermittlung und Verwaltung von Daten ergeben. Dies umfasst die rechtliche Verortung und Organisationsform, datenschutz- und verwaltungsrechtliche Anforderungen sowie europarechtliche Vorgaben aus dem Data Governance Act. Trotz unterschiedlicher thematischer Schwerpunkte verbindet die Beiträge die gemeinsame Zielsetzung, die Voraussetzungen und Implikationen einer vertrauenswürdigen, rechtssicheren und funktionalen Datentreuhänderschaft rechtlich zu konturieren und somit die Grundlagen für ihre praktische Ausgestaltung zu legen.

Am Anfang steht ein Beitrag zu den rechtlichen Grundlagen der Datentreuhand (Buchholtz, § 5). Die rechtliche Verortung der Datentreuhand konstituiert den gedanklichen Ausgangspunkt jeder normativen Auseinandersetzung mit ihrer Rolle im Datenökosystem. Das Kapitel nähert sich diesem Phänomen über eine systematische Gegenüberstellung mit der klassischen Treuhand, der Treuhandstiftung sowie mit sog. „Data Trusts“ im Common Law. Aus rechtsvergleichender Perspektive lässt sich ein funktionaler Begriff der Datentreuhand als treuhänderische Organisation datenvermittelnder Aufgaben zwischen mehreren Parteien ableiten. Die Analyse rechtlicher Einordnungsmodelle wird f lankiert durch eine Bestimmung typischer Einsatzbereiche, der vertraglichen Ausgestaltung und der strukturellen Voraussetzungen für rechtskonforme Treuhandbeziehungen. Dieses Kapitel bildet folglich das normative Fundament für die weitere rechtliche Auseinandersetzung mit der Datentreuhand.

Die Wahl der Rechtsform, die den Gegenstand des nachfolgenden Kapitels bildet (Möslein/Tuschhoff, § 6), stellt eine zentrale Weichenstellung für jede Datentreuhand dar, da sie deren organisatorische Neutralität, rechtliche Bindung und ökonomische Funktionsfähigkeit beeinf lusst. Das Kapitel zeigt auf, dass die Anforderungen aus dem Data Governance Act (DGA) insbesondere eine rechtliche Selbstständigkeit fordern, jedoch keine konkrete gesellschaftsrechtliche Form vorschreiben. Im Zentrum der kautelarpraktischen Gestaltung steht daher die Herausforderung, Agency-Kosten durch geeignete Governance-Strukturen zu minimieren. Es gilt, die Balance zwischen Neutralität im Umgang mit Daten und wirtschaftlicher Tragfähigkeit zu sichern. Der Beitrag schließt mit einer 4Diskussion sektoraler Sonderregelungen und deren Auswirkungen auf mögliche Organisationsformen.

Der Datenaltruismus, dem ebenfalls ein eigenes Kapitel gewidmet ist (Denga/Köbel, § 7), ist Gegenstand eines neuen, im DGA eigenständig ausgebildeten Regelungsregimes, das die freiwillige, unentgeltliche Bereitstellung personenbezogener und nicht-personenbezogener Daten für Zwecke von allgemeinem Interesse zum Gegenstand hat. Das Kapitel analysiert die entsprechenden Vorgaben des DGA, insbesondere hinsichtlich Governance, Transparenz und Nutzerbeteiligung. Es wird deutlich, dass datenaltruistische Organisationen einer Vielzahl an rechtlichen und organisatorischen Sorgfaltspf lichten unterliegen. Zudem beleuchtet das Kapitel die sektorale Anwendung dieses Konzepts, etwa in der Gesundheitsversorgung, Umweltforschung oder Mobilitätsplanung, und diskutiert das Zusammenspiel mit dem Data Act (DA) als ergänzendem Regelungswerk der europäischen Datenstrategie.

Die Vertrauenswürdigkeit von Datentreuhandmodellen steht und fällt mit dem Umgang mit personenbezogenen Daten im Sinne der DS-GVO. Denn das Datenschutzrecht und seine Hürden gegenüber einer Datenweitergabe und -nutzung stellen eine zentrale Triebfeder der in den letzten Jahren unionsweit vorangetriebenen Entwicklung und Erprobung neuer Datentreuhandmodelle dar. Das nachfolgende Kapitel (Riechert, § 8) analysiert daher die datenschutzrechtlichen Grundlagen und mögliche Verarbeitungsgründe, insbesondere Einwilligung, vertragliche Pf lichten und berechtigte Interessen. Dabei wird deutlich, dass Datentreuhänder sowohl als Verantwortliche als auch als Auftragsverarbeiter auftreten können, je nach Ausgestaltung des konkreten Modells. Besondere Aufmerksamkeit gilt dabei dem Risiko automatisierter Entscheidungen, Transparenzanforderungen und der datenschutzrechtlichen Verantwortung innerhalb komplexer technischer Infrastrukturen. Die Ausführungen verdeutlichen, wie gründlich und tiefgreifend datenschutzrechtliche Anforderungen in die Struktur und Prozesse von Datentreuhandlösungen integriert sein müssen.

Den Abschluss des allgemeinen Teils bildet ein eigenes Kapitel zu den Vorgaben des Data Governance Act (DGA) (Jetzen/Villablanca, § 9). Das Regelwerk schafft unionsweit einheitliche Rahmenbedingungen für Datenvermittlungsdienste und definiert explizite Anforderungen für Datentreuhänder. Im Zentrum stehen dabei die Zulassung, Neutralitätspf lichten und Transparenzvorgaben, die sich insbesondere aus Kapitel III des DGA ergeben. Der Beitrag analysiert, wann ein Datentreuhänder als Datenvermittlungsdienst zu qualifizieren ist und welche rechtlichen Konsequenzen sich daraus ergeben. Ergänzend behandelt das Kapitel die Weiterverwendung geschützter Daten öffentlicher Stellen (Kapitel II DGA) und die Schnittstellen zum Datenschutzrecht. Damit tritt die Bedeutung des DGA als integratives Steuerungsinstrument für die rechtssichere Organisation von Datentreuhandprozessen deutlich zutage.

5III. Exemplarische Anwendungsfelder der Datentreuhand

Im dritten Abschnitt finden drei konkrete Anwendungsszenarien ihren Platz, die teilweise bereits auf Praxiserfahrungen beruhen. Die öffentlich-hoheitliche Sphäre nimmt dabei § 10 (Schrenk/Buchheim) in den Fokus, der das Zusammenspiel der Datentreuhand mit der verfassungsrechtlich verbürgten Informationsfreiheit thematisiert. Konkret untersucht der Beitrag das Potenzial datentreuhänderischer Modelle zur kontrollierten Öffnung staatlicher Informationsbestände. Vor dem Hintergrund des Wandels vom Aktengeheimnis zum Öffentlichkeitsprinzip analysiert er, wie Datentreuhänder dazu beitragen können, den Zugang zu amtlichen Daten rechtssicher zu ermöglichen, ohne berechtigte Vertraulichkeitsinteressen zu verletzen. Im Blickfeld steht dabei insbesondere die treuhänderische Erschließung sensibler Datenbestände – exemplarisch aufgezeigt am Umgang mit Mikrodaten der Bundesbank.

Auch auf Erfahrungswissen basiert sodann § 11 (Ferber), der geldwäscherechtliche Einsatzmöglichkeiten der Datentreuhand unter Bezugnahme auf die Entwicklung und Gründung der EuroDaT GmbH mit Sitz in Wiesbaden in Augenschein nimmt. Die EuroDaT GmbH wurde durch das Land Hessen als transaktionsbasierter Datentreuhänder für den Finanzsektor gegründet. Mit Ergebnissen der rechtswissenschaftlichen Begleitforschung im Rahmen des hessischen GovLegal-Projekts als Teilprojekt des inzwischen abgeschlossenen BMWK-Projekts „EuroDaT – Gaia-X basierter Datentreuhänder“ wird untersucht, wie das Treuhandmodell in bestehende bankaufsichtsrechtliche Abläufe integriert werden kann und welche rechtlichen Rahmenbedingungen – insbesondere aus dem Geldwäscherecht – seiner praktischen Umsetzung derzeit Grenzen setzen.

Eine besondere Datenkategorie stellen Forschungsdaten dar, deren Nutzung in Datentreuhandmodellen den Gegenstand von § 12 (Gummersbach/Nestor/Molnár-Gabor) bildet. Der Beitrag beleuchtet die Rolle von Datentreuhändern im Kontext datenbasierter Infrastrukturen, spezifisch im Gesundheitswesen. Vor dem Hintergrund europäischer und nationaler Initiativen und Rechtsakte – insbesondere der Europäischen Health Data Space-Verordnung (EHDS-VO), der DS-GVO, des DGA, des DA und des Gesundheitsdatennutzungsgesetzes (GDNG) – analysiert er die rechtlichen Rahmenbedingungen für den datenschutzkonformen Zugang zu sensiblen Gesundheitsdaten. Im Fokus stehen die Funktion von Datentreuhändern als Instrument zur Förderung von Datensicherheit, Interoperabilität und Rechtssicherheit bei der sektorenübergreifenden Datennutzung.

IV. Transaktionsbasierte Datentreuhand als neuartiges Treuhandmodell

Der abschließende Abschnitt des vorliegenden Bandes soll die allgemeinen und Anwendungsfeld-bezogenen Untersuchungen der Datentreuhand und ihrer rechtlichen Herausforderungen um eine noch konkretere Perspektive ergänzen. Er 6widmet sich daher ausschließlich der transaktionsbasierten Datentreuhand,4 also einem spezifischen und neuartigen Datentreuhandmodell. Während zahlreiche Beiträge des Bandes zurecht die Vielgestaltigkeit und Vielzweckhaftigkeit der Datentreuhänderschaft betonen, soll dieser Abschnitt an einem konkreten Treuhandmodell aufzeigen, wie der Schritt vom Modell in Richtung der praktizierten Datentreuhänderschaft gelingen kann und was dabei zu beachten ist. Die transaktionsbasierte Datentreuhand ist dabei ein par excellence-Fall des Privacy by Design,5 also des Versuchs, datenschutzrechtliche Anforderungen tief in der Konzeption technischer Lösungen und datenverarbeitungsbezogener Geschäfts- und Organisationsmodelle zu verwurzeln.

Wie, auf welchem Weg und in Richtung welcher konkreten Lösungen hier normative Erwartungen und das Recht gleichsam eine technisch-organisatorische Gestalt annehmen, ist in § 13 (Alldridge) näher dargestellt. Insbesondere zeigt dieses Kapitel auf, welche informationstechnischen und organisatorischen Lösungen bei der transaktionsbasierten Datentreuhand eine enge Zweckbindung von Verarbeitungsprozessen und eine völlige Abschirmung sensibler, insbesondere personenbezogener Informationsgehalte sicherstellen können. Die dortigen Spezifikationen und Darstellungen erlauben es zudem, sich eine konkretere Vorstellung von den im Rahmen der transaktionsbasierten Treuhand ablaufenden Datenverarbeitungsprozessen zu machen, um deren normative Anforderungen und Grenzen gehaltvoll beurteilen zu können.

Zentrale Vorfragen sind dabei datenschutzrechtlicher Art, die den Gegenstand des § 14 (Buchheim/Augsberg/Schrenk) ausmachen. Eine fundamentale rechtliche Frage, die die transaktionsbasierte Datentreuhand im Gegensatz zu anderen Datentreuhandmodellen aufwirft, betrifft die Anwendbarkeit der DS-GVO auf die über den Treuhänder laufenden Datenverarbeitungsprozesse. Da bei dieser Form der Datentreuhand die datenschutzrechtlichen Vorgaben einer engen Zweckbindung von Verarbeitungsprozessen und der wirksamen Abschirmung sensibler, insbesondere personenbezogener Informationsgehalte bereits rechtssicher in die technische und organisatorische Konfiguration integriert sind, liegt die Antwort auf diese Frage nicht auf der Hand. Sie folgt nicht unmittelbar aus der Personenbeziehbarkeit des in die Verarbeitung einbezogenen Datenmaterials. Letztlich ergibt sich hier ein gestuftes Modell der Anwendbarkeit des allgemeinen Datenschutzrechts, das für die Nutzenden zumindest eine erhebliche Erleichterung der datenschutzrechtlichen Pf lichtenstellung mit sich bringt.

Die Treuhand stellt ein klassisches und komplexes Diskursfeld der Privatrechtsdogmatik und der Privatrechtsvergleichung dar. Das BGB kennt keinen eigenständigen „Treuhandvertrag“, sondern setzt die Treuhand aus einer Vielzahl von zivilrechtlichen Einzelinstituten auf dinglicher wie schuldrechtlicher Ebene zusammen. Ganz anders verhält sich das englische Recht, dessen Trust-Struktur eine lange Entwicklungs- und Institutionalisierungsgeschichte aufweist. Bei 7einer Datentreuhand potenzieren sich zusätzlich die zivil- und vertragsrechtlichen Herausforderungen insofern, als der Gegenstand der Treuhand unkörperlicher Natur und damit keine Sache iSd § 90 BGB ist. Hinzu kommt, dass das Datentreuhandvertragsrecht zugleich komplexe regulatorische Vorgaben mit Blick auf Daten als Treuhandgegenstand abbilden und in sich aufnehmen muss. Wie sich das Vertragsrecht der transaktionsbasierten Datentreuhand dennoch ausbuchstabieren lässt, stellt § 15 (Omlor/Heine) dar.

Im Anschluss wendet sich § 16 (Kling/Burghardt/Gramkow) der kartellrechtlichen Dimension der transaktionsbasierten Datentreuhand zu. Sie berührt dort eine Reihe dogmatisch und praktisch relevanter Fragestellungen, die bislang vielfach noch unzureichend erforscht wurden. Im Mittelpunkt steht zunächst die Qualifikation des Datentreuhänders als Unternehmen im Sinne des europäischen und deutschen Kartellrechts sowie die daraus folgende Anwendbarkeit der Verhaltensnormen des Kartell- und Missbrauchsrechts. Daran anknüpfend wendet sich der Beitrag dem wettbewerbsrechtlichen Umgang mit Informationsf lüssen – insbesondere im Hinblick auf über den Treuhänder koordinierte Verhaltensweisen – und der kartellrechtlichen Einordnung des Einsatzes algorithmischer Systeme zur Datenverarbeitung zu.

Der abschließende § 17 (Walter/Waldbröl/Frisse), der standardisierte Vertragsmuster zur praktischen Implementierung und Nutzung transaktionsbasierter Datentreuhandlösungen enthält, spiegelt den Umstand wider, dass ein gelingender und verlässlicher Datenaustausch bei gleichzeitiger Abschirmung kritischer Informationsgehalte eine ebenso sehr rechtlich-organisatorische wie technische Herausforderung ist. An Datentreuhandmodellen sind stets mehrere Akteure beteiligt, jedenfalls datenbereitstellende und datennutzende Stellen sowie Intermediäre, die diese Datentransaktion ermöglichen. In einer solchen Akteursmehrheit, die gemeinsam eine Datentreuhandverarbeitung zustande bringt, sind Aufgaben und Verantwortlichkeiten adäquat zu spezifizieren und Haftungsrisiken zuzuweisen. Hierbei müssen auch diverse regulatorische Anforderungen und Risiken, die in anderen Teilen dieses Bandes betrachtet werden, angemessen in vertragliche Pf lichtenzusammenhänge übersetzt werden. Auf diese Weise kann ein enges Zusammenspiel von Recht und Technik eine verlässliche und rechtssichere kooperative Datennutzung ermöglichen. Wie man hierbei ganz konkret rechtlich vorgehen kann, sollen standardisierte Vertragsmuster eines typisierten transaktionsbasierten Datentreuhänders deutlich machen.

  1 Gehring, Datentreuhänder – dauern Wunder etwas länger?, FAZ v. 10.3.2024, abruf bar unter: https://www.faz.net/aktuell/wirtschaft/datentreuhaender-dauern-wunder-etwas-laenger-19576785.html.

  2 Zur engen Wechselbeziehung von Recht und Technik s. Bennett Law Innovation & Tech 2013, 1 (1ff.); Brownsword/Harel International Journal of Law in Context 2019, 107 (108ff.); zum Datenschutzrecht als technisch angetriebenes Recht, s. von Grafenstein ua Computer Law & Security Law Review 2022, 1 (5ff.); Dewitte Technology and Regulation 2023, 80 (80ff.); zu den Herausforderungen im Vertragsrecht s. Schulze/Staudenmayer (Hrsg.) Digital Revolution -Challenges for Contract Law in Practice/Schulze/Staudenmayer, 2016, 19ff.; Specht, Diktat der Technik, 2019.

  3 Allg. zur compliance by design Hoess ua Towards a Design Science Research Process for Legal Compliance by Design 2024, PACIS 2024, abruf bar unter: https://aisel.aisnet.org/pacis2024/track04_dessci/track04_dessci/3, S. 2; Louven/Saive NZKart 2018, 348 (348ff.); Konferenz der Informationsfreiheitsbeauftragten (IFK), Prinzipien der Informationsfreiheit und Umsetzungshinweise zur „Informationsfreiheit by Design“ v. 25.7.2024, S. 4ff.

  4 Hierzu einführend auch Buchheim/Augsberg/Gehring JZ 2022, 1139.

  5 Vgl. Buchheim/Augsberg JZ 2024, 365 (367); Bull Sinn und Unsinn des Datenschutzes, 2015, 86f.; Yee (Hrsg.), Privacy Protection Measures and Technologies in Business Organizations: Aspects and Standards/Cavoukian, 2011, 170ff.; Preneel/Ikonomou (Hrsg.) Privacy Technologies and Policy/van Rest ua, 2014, 55ff.; Waldman Cornell Int'l. L. J. 2020, 147 (149ff.); Lee Oslo Law Review 2017, 105 (111ff.); Simitis/Hornung/Spiecker gen. Döhmann/Hansen, 2. Auf l. 2025, Art. 25 DS-GVO Rn. 5ff. mwN.

9Teil 1Konzeptionelle und technische Grundlagen

§ 2Rechtspolitik, Typik und infrastrukturelle Bedeutung der Datentreuhand

Literatur:

Augsberg, Steffen/Gehring, Petra (Hrsg.) (2022): Datensouveränität. Positionen zur Debatte. Frankfurt/New York: Campus. https://www.campus.de/e-books/wissenschaft/philosophie/datensouveraenitaet-17434.html [9.7.2024]; Bernemann, Julian/Kneuper, Ralf (2023): Personal Information Management Systems nach TTDSG. HMD Praxis der Wirtschaftsinformatik 60, 308–321. https://doi.org/10.1365/s40702-023-00946-4; Blankertz, Aline/Specht-Riemenschneider, Louisa (2021): Wie eine Regulierung für Datentreuhänder aussehen sollte. Berlin: Stiftung Neue Verantwortung. https://www.interface-eu.org/storage/archive/files/regulierung_fuer_datentreuhaender.pdf [9.7.2024]; BMAS [Bundesministerium für Arbeit und Soziales] (2020): Datenschutzrechtliche Dimensionen Datentreuhänder – Kurzexpertise. Berlin: BMAS. https://www.bmas.de/DE/Service/Publikationen/Forschungsberichte/fb-550-datenschutzrechtliche-dimensionen-datentreuhaender.html [9.7.2024]; BMBF [Bundesministerium für Bildung und Forschung] (2024a): Eckpunkte BMBF Forschungsdatengesetz (Stand 28.2.2024, veröffentlicht am 3.7.2024). https://www.bmbf.de/SharedDocs/Downloads/DE/gesetze/forschungsdatengesetz/sonstige/Eckpunktepapier.pdf?__blobpublicationFile&v=3[30.4.2025]; BMBF [Bundesministerium für Bildung und Forschung] (2024b): Wissenschaftliche Begleitung und Vernetzung der Projekte zur Entwicklung und praktischen Erprobung von Datentreuhandmodellen in den Bereichen Forschung und Wirtschaft. Arbeitspaket 1.1 Bericht zur Bestandsaufnahme. https://www.technopolis-group.com/wp-content/uploads/2024/04/BMBF-Datentreuhandmodelle-Begleitforschung-Bestandsaufnahme.pdf [25.6.2024]; BMBF [Bundesministerium für Bildung und Forschung] (2024c): Wissenschaftliche Begleitung und Vernetzung der Projekte zur Entwicklung und praktischen Erprobung von Datentreuhandmodellen in den Bereichen Forschung und Wirtschaft. Bericht zu Arbeitspaket 1.2: Anforderungen und Umsetzungshemmnisse für Datentreuhandmodelle. https://www.technopolis-group.com/wp-content/uploads/2024/04/BMBF-Datentreuhandmodelle-Begleitforschung-Umsetzungshemmnisse-1.pdf [10.7.2024]; Botta, Jonas (2021). Delegierte Selbstbestimmung? PIMS als Chance und Risiko für einen effektiven Datenschutz. In: MMR 12/2021, 946–951; Buchheim, Johannes/Augsberg, Steffen (2024): Von der Verarbeitung personenbezogener Daten zur personenbezogenen Datenverarbeitung. In: JuristenZeitung (JZ) 79, 365–375; Buchheim, Johannes/Augsberg, Steffen/Gehring, Petra (2022): Transaktionsbasierte Datentreuhand. Nutzungsszenarien, Kennzeichen und spezifische Leistungen eines neuen Modells gemeinsamer Datennutzung. In: JuristenZeitung (JZ) 77, 1139–1147; Buchner, Benedikt/Haber, Anna C./Hahn, Horst K./Kusch, Harald/Prasser, Fabian/Sax, Ulrich/Schmidt, Carsten O. (2021): Das Modell der Datentreuhand in der medizinischen Forschung. In: Datenschutz und Datensicherheit (DuD) 12/2021, 806–810; Carovano, Gabriele/Finckh, Michèle (2023): Regulating data intermediaries: The impact of the Data Governance Act on the EU's data economy. In: Computer Law & Security Review 50, September 2023. https://doi.org/10.1016/j.clsr.2023.105830 [9.6.2024]; DEK [Datenethikkommission der Bundesregierung] (2019): Gutachten der Datenethikkommission der Bundesregierung. https://www.bmi.bund.de/SharedDocs/downloads/DE/publikationen/themen/it-digitalpolitik/gutachten-datenethikkommission.pdf;jsessionid=417B37294009FFEEFD508D8EE641A18B.live861?__blobpublicationFile&v=7 10[4.7.2024]; DGA – siehe „Verordnung (EU) 2022/868 des Europäischen Parlaments …“; DSK [Datenschutzkonferenz] (2023): Entschließung der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder vom 23. November 2023: Datenschutz in der Forschung durch einheitliche Maßstäbe stärken. https://www.datenschutzkonferenz-online.de/media/en/2023-11-23_DSK-Entschliessung_DS.pdf [9.7.2024]; Europäische Kommission (2020): Mitteilung der Kommission an das Europäische Parlament, den Rat, den Europäischen Wirtschafts- und Sozialausschuss und den Ausschuss der Regionen. Eine europäische Datenstrategie. https://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:52020DC0066 [26.6.2024]; Feth, Denis/Rauch, Bernd/Krohmer, Daniel/von Albedyll, Jannis/Barreto Villela, Karina (2022): Datentreuhänder – begriff liche Einordnung und Definition. In: Blog des Fraunhofer-Institut für Experimentelles Software Engineering (IESE). https://www.iese.fraunhofer.de/blog/datentreuhaender-definition/ [15.6.2024]; Floridi, Luciano (2020): The Fight for Digital Sovereignty: What It Is, and Why it Matters, Especially for the EU. In: Philosophy & Technology 33, 369–378. https://doi.org/10.1007/s13347-020-00423-6 [5.9.2024]; Fraunhofer IESE (2023): Projekt KickStartTrustee. Ein branchenübergreifender Leitfaden für die zielgerichtete Konzeption, die beschleunigte Umsetzung und den erfolgreichen Betrieb von Datentreuhändern, Kapitel Grundlagen und Einführung, Landkarte. https://fraunhofer-iese.github.io/KickStartTrustee/Grundlagen%20und%20Einf%C3%BChrung/Landkarte/ [1.7.2024]; Gailhofer, Peter/Franke, Johannes (2021): Datenregulierung als sozial-ökologische Weichenstellung. In: Zeitschrift für Umweltrecht (ZUR) 10/2021, 532–541; Gailhofer, Peter/Franke, Johannes/Gsell, Martin/Kollosche, Ingo/Thomas, Dirk/Stockhaus, Heidi/Best, Aaron (2022): Datengovernance und -regulierung für ein nachhaltiges Berlin. Berlin: Öko-Institut e. V. https://www.ecologic.eu/sites/default/files/publication/2022/30010-Report24-Datengovernance-uebergeordnete-Erkenntnisse-und-Empfehlungen.pdf [9.7.2024]; Gehring, Petra (2022): „Datensouveränität vs. Digitale Souveränität: Wegweiser aus dem konzeptionellen Durcheinander“ in Augsberg, Steffen/Gehring, Petra (Hrsg.): Datensouveränität. Positionen zur Debatte, S. 19–44. Frankfurt/New York: Campus. https://www.campus.de/e-books/wissenschaft/philosophie/datensouveraenitaet-17434.html [09.07.2024]; Gehring, Petra (2024): Datentreuhänder – dauern Wunder etwas länger? In: FAZ vom 11.3.2024. https://www.faz.net/aktuell/wirtschaft/datentreuhaender-dauern-wunderetwas-laenger-19576785.html [9.6.2024]; Golland, Alexander (2021): Das Telekommunikation-Telemedien-Datenschutzgesetz. Cookies und PIMS als Herausforderungen für Website-Betreiber. In: Neue Juristische Wochenschrift (NJW) 31/2021, 2238–2243; Grimm, Veronika/Groß, Christiane/Specht-Riemenschneider, Louisa (2023): Wie das Klimageld doch noch kommen kann. In: Süddeutsche Zeitung vom 19.12.2023. https://www.sueddeutsche.de/wirtschaft/bundeshaushalt-klimageld-veronika-grimm-1.6321295?reducedtrue [15.6.2024]; Hall, Wendy/Pesenti, Jérôme (2017): Independent Report: Growing the artificial intelligence industry in the UK. https://www.gov.uk/government/publications/growing-the-artificial-intelligence-industry-in-the-uk [9.6.2014]; Hennemann, Moritz/ von Ditfurth, Lukas (2022): Datenintermediäre und Data Governance Act. In: Neue Juristische Wochenschrift (NJW) 75 (27), 1905–1910; Kempny, Simon/Krüger, Heike S./Spindler, Manfred (2022): Rechtliche Gestaltung von Datentreuhändern. Ein interdisziplinärer Blick auf „Data Trusts“. In: Neue Juristische Wochenschrift (NJW) 2022, 1646–1650; Kommission Wettbewerbsrecht (2019): Ein neuer Wettbewerbsrahmen für die Digitalwirtschaft. Berlin: BMWK. https://www.publikationenbundesregierung.de/pp-de/publikationssuche/ein-neuer-wettbewerbsrahmen-fuer-die-digitalwirtschaft-1669480 [11.6.2024]; Lindner, Maximilian/Straub, Sebastian (2023): Datentreuhänderschaft. Status Quo und Entwicklungsperspektiven. Berlin: VDI/VDE. https://www.iit-berlin.de/wp-content/uploads/2023/02/SDW_Datentreuhand.pdf [11.07.2024]; Luhmann, Niklas (1973): Vertrauen. Ein Mechanismus der Reduktion sozialer Komplexität. Stuttgart: Enke 1989; Piétron, Dominik/Gailhofer, Peter/Sommer, Felicitas (2022): Nachhaltige Daten-Governance in der Daseinsvorsorge. https://codina-transformation.de/wp-content/uploads/CODINA_Kurzstudie_Nachhaltige-Daten-Governance_in_der_Daseinsvorsorge.pdf [9.7.2024]; RatSWD (2024): Über uns [Webseite]. https://www.konsortswd.de/ueber-uns/ratswd/ [16.6.2024]; RfII (2023): Datentreuhänder: Potenziale für wissenschaftskonformes 11Datenteilen – Herausforderungen für die institutionelle Ausgestaltung. (RfII Berichte, No.5) Göttingen: RfII. https://rfii.de/de/dokumente/ [8.6.2024]; Richter, Heiko (2021): Europäisches Datenprivatrecht: Lehren aus dem Kommissionsvorschlag für eine „Verordnung über europäische Daten-Governance“. In: Zeitschrift für Europäisches Privatrecht 29 (3), 634–667; Specht-Riemenschneider, Louisa/Blankertz, Aline/Sierek, Pascal/Schneider, Ruben/Knapp, Jakob/Henne, Theresa (2021): Die Datentreuhand. Ein Beitrag zur Modellbildung und rechtlichen Strukturierung zwecks Identifizierung der Regulierungserfordernisse für Datentreuhandmodelle. In: MMR-Beil. 6/2021, 25–48; Specht-Riemenschneider, Louisa/Radbruch, Alexander (2021): Forschung braucht Daten. In: Deutsches Ärzteblatt 118 (27–28), S. 1358–1361. https://www.aerzteblatt.de/pdf.asp?id=220270 [9.7.2024]; Specht-Riemenschneider, Louisa/Kerber, Wolfgang (2022): Designing Data Trustees – A Purpose-Based Approach. https://www.kas.de/documents/252038/16166715/Designing+Data+Trustees+-+A+Purpose-Based+Approach.pdf/ffadcb36-1377-4511-6e3c-0e32fc727a4d [30.4.2025]; Specht-Riemenschneider, Louisa/Heineking, Bernadette (2024): Datenverarbeitung in sicheren Verarbeitungsumgebungen am Beispiel von MRT-Gehirnscans. In: Datenschutz und Datensicherheit (DuD) 2/2024, 110–117; Stiftung Datenschutz (2017): Handlungsempfehlungen: „Neue Wege bei der Einwilligung im Datenschutz – technische, rechtliche und ökonomische Herausforderungen“. https://stiftungdatenschutz.org/praxisthemen/abgeschlossene-projekte/einwilligung-und-pims [15.5.2024]; Verordnung (EU) 2022/868 des Europäischen Parlaments und des Rates vom 30. Mai 2022 über europäische Daten-Governance und zur Änderung der Verordnung (EU) 2018/1724 (Daten-Governance-Rechtsakt). https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX%3A32022R0868 [24.9.2024] – Zitiert als DGA; von Ditfurth, Lukas (2024): Datenmärkte, Datenintermediäre und der Data Governance Act. 1. Auf lage. Berlin/Boston: Walter de Gruyter; von Ulmenstein, Ulrich Freiherr (2020): Datensouveränität durch repräsentative Rechtswahrnehmung. In: Datenschutz und Datensicherheit (DuD) 8/2020, 528–534; Weber, Patrick/Werling, Maximilian/Lasi, Heiner (2023): Datentreuhänder. Einordnung und Schlüsselfunktionen in digitalen Ökosystemen. https://ferdinand-steinbeis-institut.de/wp-content/uploads/2024/01/Whitepaper-Datentreuhaender_3881.pdf [11.7.2024]; Weber, Patrick et al. (2022): Checkliste Datengenossenschaft. https://www.datengenossenschaft.com/wp-content/uploads/2022/12/BWGV_Broschuere_Checkliste_Datengenossenschaften_Web.pdf [11.7.2024]; Wendehorst, Christiane/Schwamberger, Sebastian/Grinzinger, Julia (2020): „Datentreuhand – wie hilfreich sind sachenrechtliche Konzepte“, in: Pertot, Tereza (Hrsg.), Rechte an Daten, 103–121. Tübingen: Mohr Siebeck.

I. Problemstellung

1

Die herrschende Sicht auf digitale Daten ist gelinde gesagt ambivalent. Einerseits werden Daten als ein ökonomisches Gut behandelt, das man trotz materieller Besonderheiten mehr oder weniger klassisch kauft und verkauft bzw. zur Nutzung lizenziert (oder auch generiert sowie dann vermarktet). Anderseits besteht die zwar gängige, aber zumeist vage Vorstellung eines universalen „Teilens“ von Daten, als seien sie frei zirkulierendes Wissen oder jedenfalls ein für die Wissensgesellschaft unverzichtbares Gemeingut. Zwischen der einen und der anderen Sichtweise klafft eine schmerzliche Lücke. Auf welche Weise kann man ein kopierbares, schon in der Prozessierung f lüchtiges Gut in kontrollierter Form handhaben und in einem marktlichen Umfeld kooperativ nutzen? Wie lassen sich Daten nutzbar machen, ohne dass man sie an eine in deren Verwertung undurchsichtige Plattformindustrie verliert? Wie lassen sich überschaubare Formen der Datenverwertung organisieren, in welchen eine Datenhergabe, eine Datenspende oder auch das 12Einverständnis eines Dateninhabers mit einer spezifischen Art der Datennutzung „rückholbar“ bleiben – mithin die vollständige Kontrolle über Art und Zweck der Datennutzung, also eine „Souveränität“ der Datengeber über die eigenen Daten gewährleisten?1

2

Tatsächlich verharren Dateninhaber, die aus Daten Wert schöpfen wollen, derzeit häufig vor der Alternative, ihre Daten entweder vollständig für sich zu behalten oder aber ohne faire Kontrollchancen wegzuschenken. Privatpersonen und Unternehmen verhalten sich hier durchaus ähnlich. Und sie empfinden diese Alternative als schlecht – denn die Wahl zwischen ganz oder gar nicht droht datengetriebene Innovationen schon im Keim zu ersticken. Gestaltungsspielräume, seien sie ökonomisch oder altruistisch motiviert, werden kaum eröffnet. Daten zu schützen und ihren Wert zu erkennen mag zwar besser sein, als sie den Falschen anzuvertrauen. Man macht aus ihnen aber eben auch nur wenig, solange man sie nicht teilen will. Dabei ist das Misstrauen in die Mechanismen einer Datenindustrie, wie sie in den letzten zwei Jahrzehnten marktbeherrschend wurde, zweifellos begründet: Plattform-Ökonomien basieren auf der Vervielfältigung der Nutzungsweisen eines „nicht rivalisierenden“ Gutes, das der Plattformbetreiber an der Primärquelle möglichst nur abschöpft, um dann Wertschöpfungszyklen zu befeuern, die eine Fülle neuartiger, datengetriebener Konsumgüter, Werbung und Informationsdienste sowie eine Vielzahl von Automatisierungsoptionen an die Gesellschaft und ihre Märkte zurückgeben – und dies zu einem ökonomisch wie ökologisch hohen Preis. Es gibt also große Mehrwertversprechen von Daten und zugleich große Datenbedarfe. Gleichwohl gibt es rationale Gründe, mit der Datenhergabe und der Datenweitergabe äußerst vorsichtig zu sein.2 Wie sich die aus einer personen- und organisationsübergeifenden, kollaborativen Datennutzung resultierenden Mehrwertversprechen einlösen lassen, ohne hierbei die Datensouveränität der Beteiligten zu gefährden, ist nach wie vor eine offene Frage von größter praktischer Relevanz.

3

Auf die skizzierte Problemkonstellation reagiert der Diskurs über die Datentreuhand. Er hat in kurzer Zeit einen ebenso faszinierenden wie schillernden Gegenstandsbereich geschaffen, der allerdings rasch unterschiedliche Zielbilder hervortreten lässt. Im Folgenden werden Hinsichten zur Erschließung des Gegenstandsbereich vorgeschlagen, ohne dabei die Heterogenität des Diskurses zu leugnen. In einem ersten Schritt werden wir den vielschichtigen Bedeutungsgehalt des Datentreuhandbegriffs aufzeigen, der sich in den letzten Jahren herausgebildet hat; dabei zeichnen wir zentrale Diskussionslinien des gegenwärtigen Diskurses nach (II). Darauf hin sollen einige Konstellationen mit Datentreuhandfunktion beleuchtet werden, um so ein wenig Ordnung in die unübersichtliche Gemengelage zu bringen (III). Ein besonderes Augenmerk verdient die lebhaft geführte Auseinandersetzung mit der Frage nach Neutralität und Vertrauen des Datentreuhänders, von deren praktischer Beantwortung zukünftige Entwicklungen sowie Erfolge in besonderem Maße abhängen dürften (IV). Abschließend gehen wir auf einige weitere Schlüsselfragen ein, die für die Ausgestaltung von Datentreuhändern relevant sind (V).

13II. Der Datentreuhanddiskurs in seinen Anfängen und heute

4

Was Deutschland betrifft, kann man derzeit von einem regelrechten Experimentierfeld in Sachen Datentreuhandschaft sprechen. Forschungsdatenzentren erweitern ihre Dienste,3 Nichtregierungsorganisationen (NGOs) suchen nach Treuhandkonstrukten, um beispielsweise von Bürgern „gespendete“ Daten zu verwalten und zur Entwicklung bürgernaher Serviceapplikationen zu nutzen,4 Unternehmen erproben sehr verschiedene data sharing Konzepte für den B2B-Bereich. In Theorie und Praxis bilden sich derzeit verschiedene, partiell gar widersprüchliche Datentreuhandmodelle, -konzepte und -verständnisse heraus.5

5

Flankiert wird die Diskussion zu Datentreuhändern auf europäischer Ebene durch den Data Governance Act (DGA), ein explizit den „neuen Intermediären“ gewidmeter EU-Rechtsakt, der im Juni 2022 in Kraft getreten ist. Der DGA legt einen relativ offenen Rahmen für Datenintermediäre fest, er setzt auf Freiwilligkeit und im Grunde auch auf Kreativität.6 Zugleich beinhaltet er jedoch Maßgaben und Anforderungen, die neue Intermediäre sowie auch eine Datentreuhand binden: nicht nur Gewinnerzielungsabsichten, sondern auch als Verarbeitung gewertete Zwischenschritte bei einer treuhänderischen Dienstleistung werden eingeschränkt.7

1. Trust und Trustee in Großbritannien

6

Bekannt wurden die Stichworte Data Trust und Data Trustee zunächst in Großbritannien, wo sie in direktem Zusammenhang mit der zunehmenden Mobilisierung personenbezogener Daten für die KI-Forschung stehen: Unterstützt durch ein schon 2012 etabliertes Open Data Institute (ODI) sowie eine Data Trusts Support Organisation (DTSO) sollen neuartige Abmachungen – umschrieben als „proven and trusted frameworks and agreements“ – die Datenweitergabe sichern und auch „trust and ease around sharing data“ verbessern.8 Um einen neuartigen 14Rechtsrahmen soll es sich bei der so geschaffenen Vertrauenssphäre nicht handeln: „These trusts are not a legal entity or institution, but rather a set of relationships underpinned by a repeatable framework, compliant with parties' obligations, to share data in a fair, safe and equitable way.“9 Im Zweifel wäre es vielmehr die DTSO, die „by default [can] act as a trustee, a third party that helps manage a data trust.“10

7

Wie auch immer diese Garantiefunktion aussehen soll: Das englische Trust wie auch Trustee meint eine andere, nämlich eine hinsichtlich des Rollengefüges von Treugeber, Treugut und eventuellen Dritten passivere Verwalterposition als diejenige, die durch die deutsche Treuhand umschrieben wird.11 Obwohl es sich auch bei letzterer nicht um einen ausdefinierten Rechtsbegriff handelt, kann man jedenfalls sagen, dass sich die Rolle eines Treuhänders im deutschen Kontext nicht auf die eines bloßen Verwahrers beschränkt. Man könnte von einem „starken“ Intermediär sprechen, dem an den neuralgischen Punkten einer digitalen Prozesskette eine mittelnde wie auch ordnende Funktion zukommt. So wird mitunter explizit auf das „Handeln“ des Treuhänders hingewiesen, welches dieser „an den Interessen der anderen Vertragspartei auszurichten“ habe.12 Die Europäische Kommission13 spricht wiederum von „neuartige[n] neutrale[n] Vermittler[n] im Wirtschaftszweig der personenbezogenen Daten“, denen „ein erhebliches Potenzial“ innewohnt und die darum „ein unterstützendes Umfeld“ benötigen. Damit hat der Datentreuhand-Diskurs in Deutschland einerseits von vornherein die Freiheitsgrade, auch rechtlich und praktisch „aktivere“ Intermediäre zu entwerfen. Andererseits lässt sich die Datentreuhand vergleichsweise freihändiger in Rechtsbegriffe einfassen und präzisieren. Datentreuhandschaft muss weder in engen Vorgaben gedacht werden noch darf sie eine bloße Metapher bleiben.

2. Multiple Visionen: PIMS, Forschungsdatentransfer, Bürger- und Behördendaten sowie das weite Feld des Datenteilens „B2B“

8

Zweifellos ist die Datentreuhand in wenigen Jahren zu einem ‚Modebegriff ‘14, wenn nicht zu einem der „Zauberworte deutscher Digitalpolitik“15 geworden. Die Umstände sind allerdings durchaus nicht ganz die gleichen wie in England. 15So hebt das – politisch kurzzeitig wichtige – Gutachten der interministeriellen Datenethikkommission „neutrale Datentreuhänder“ als Lösung hervor, um kritische Daten zu analysieren, zu verknüpfen und in kontrollierter Form zu teilen16. Damit ist weniger die Datengewinnung für die KI-Forschung bzw. überhaupt die Steigerung der Bereitschaft zur Datenhergabe im Fokus als vielmehr die Chance, aufgrund ihres Personenbezugs kritische Daten unter datenschutzkonformen Bedingungen auszuwerten. Das zu dieser Zeit parallel diskutierte Stichwort lautet „Personal Information Management Systems“ (PIMS). Hierbei handelt es sich um Softwaredienste, die Bürgerinnen und Bürgern einen Dienste- und Anbieter-übergreifenden Überblick bieten, welche ihrer personenbezogenen Daten wo gespeichert sind, und ihnen ein Einwilligungsmanagement für die Hergabe (und ggf. sogar den Verkauf) persönlicher Daten anbieten. So stehen schon zu Beginn des Diskurses über Datentreuhandschaft den Beteiligten zwei im Grunde verschiedene Belange bzw. Zielstellungen vor Augen: zum einen die Erleichterung des Teilens zwischen Partnern zwecks (einer von beiden Seiten intendierten) Analyse, zum zweiten die Erleichterung des kontrollierten Hergebens, vielleicht sogar „Spendens“ von Daten. Letzteres lässt sich auch als Stärkung von Verbraucherrechten reformulieren, bei gleichzeitiger Verbesserung des Datenzugangs für Unternehmen.17 Ersteres bettet die Dienstleistungsfunktion der Treuhand in ein komplexeres Beziehungsgefüge rund um die Datenanalyse und also Datenprodukte ein.

3. „Datentreuhänder“: Ein Zauberwort

9

Die rechtswissenschaftliche Literatur der ersten Stunde scheint primär die PIMS und damit das Weggeben von Daten – oder jedenfalls eine C2B-Konstellation – vor Augen zu haben; sie räumt dem Einwilligungsmanagement als Teil von Datentreuhand breiten Raum ein und scheint die Auf bewahrung von Daten, die Gewährung des Zugriffs auf einen dem Treugeber auf Dauer verfügbaren, quasi persönlichen Datenbestand (nicht aber dessen Aus- oder Verwertung) im Fokus zu haben.18 Ob allerdings PIMS – zumeist eigentlich eine personalisierte und technisch gesehen eben doch plattformgebundene Software – als Treuhänder zu betrachten sind, kann man aus verschiedenen Gründen in Zweifel ziehen. Insbesondere, wenn hierbei die einseitige Form des bloßen Einwilligens in die Datennutzung im Vordergrund steht, nicht aber wechselseitige Verträge, die an die Datennutzung beispielsweise schuldrechtliche Verpf lichtungen knüpfen. Überhaupt stellt sich die Frage, ob eine Datentreuhand bloß einen Datenzugriff oder, drastischer gesprochen, die individuelle Datenweggabe erleichtern soll – also im Wesentlichen ein Instrument des kontrollierten „Öffnens“ darstellt –, oder aber ob sie als neuartige Organisation zu denken wäre: Eine Organisation, die als „neutrale“, aber eigenständige Akteurin nicht nur den Willen eines Beteiligten 16(des Datengebers), sondern mehrere Willen zugleich ausführt, also tatsächlich „mittelt“, und schließlich komplexere Rechtsgeschäfte und Geschäftsmodelle auf den Datenmärkten induzieren kann. Vor diesem Hintergrund sind auch die 2023 diskutierten Szenarien zur Auszahlung eines Klimabonus an Bürgerinnen und Bürger interessant. Zwar geht es hier um Daten, die zu bestimmten Zwecken abgegeben werden sollen. Dennoch erinnert die Funktion des vorgeschlagenen Datentreuhänders, die in den fraglichen Szenarien etwa durch das Bundeszentralamt für Steuern übernommen werden könnte,19 weniger an ein PIMS als vielmehr an eine Art Clearing-Stelle zur Übermittlung von Daten zwischen Behörden.

10

Versucht man, einen Überblick über vorgeschlagene Datentreuhand-Konzepte zu gewinnen, und spricht man mit den bottom up entstandenen Datentreuhand-Initiativen, die auf Bedarfe in ihren jeweiligen Kontexten reagieren wollen, dann zeigt sich ein sehr buntes Bild – eine Vielfalt, die sich auch in diesem Handbuch abbildet. Aus rechtswissenschaftlicher Sicht sind schon früh Unterscheidungen wie diejenige von Verwaltungs-, Mehrwert- und Zugangstreuhand vorgeschlagen worden.20 Das wirkt noch recht kontextfrei und gleichzeitig eng; der für den B2B-Bereich relativ interessanteste Fall der „Mehrwerttreuhand“ ist am wenigsten bestimmt.21 In technischer Perspektive steht vielfach die Frage nach „zentraler“ oder aber „dezentraler“ Auf bewahrung und Nutzung der Daten im Vordergrund.22 Im ersteren Fall gleicht der Treuhänder, sofern er die Daten hält, zu denen er Zugang vermittelt, letztlich einer in vertrauensstiftender Weise reglementierten (oder vielleicht hoheitlichen) Plattform, im letzteren Fall sieht man in Formen der „Föderation“ den neuen Intermediär. Andere sehen schlichtweg in dem „Vertrauen“, das ein Datentreuhänder als „Vermittlungsinstanz“ zu mobilisieren vermag, das Erfolgskriterium und zugleich die – wenn auch minimale – Spezifik der Datentreuhand.23 Solche Bestimmungsversuche gehen allein vom Marktgeschehen oder besser von der erhofften Akzeptanz aus, bleiben vage und sind gänzlich unjuristisch gedacht.

17III. Typik, nicht Ordnung: Konstellationen mit Datentreuhand-Funktion

11

Wir nennen – ohne daraus bereits eine Typik abzuleiten, dennoch basierend auf empirischer Exploration24 – einige recht unterschiedliche Konstellationen, in denen Beteiligte etwas etablieren, das die Funktion eines Datentreuhänders übernehmen soll.

1. PIMS

12

Die PIMS wurden bereits genannt: Hierbei handelt es sich um die frühe, ua seitens der Stiftung Datenschutz25 vorgeschlagene Idee, das individuelle Datenmanagement personenbezogener Daten und Datenspuren (etwa aus dem sportlichen und gesundheitsbezogenen Self-tracking) einschließlich der Möglichkeit, diese Daten weiterzuleiten bzw. Zugriff zu erlauben, durch Softwaresysteme zu automatisieren und damit im Interesse von Verbrauchern wie auch von Datennehmern zu erleichtern. Individuelle Datenschutzpräferenzen sollen über verschiedene Anbieter und Dienste hinweg durchsetzbar sein sowie auch Betroffenenrechte gemäß einschlägiger Datenschutznormen geltend gemacht werden können.26 Inzwischen werden PIMS ua im TTDSG als Werkzeuge (nur) für das Einwilligungsmanagement eingestuft,27 womit ihre Bedeutung für die Diskussion um die Datentreuhand schwindet. Gleichwohl realisieren bestimmte im Medizinbereich schon länger etablierte Datentreuhänder einen Dienst wahlverwandten Typs: Eng verbunden mit Datenbanken oder auch Datenzentren verwalten sie Einwilligungsdokumente, die mit Patientendaten oder personenbezogenen Daten von Versuchspersonen verknüpft sind. Anonymisierungs- oder Pseudonymisierungsdienste kommen hinzu, womit ein solcher Treuhänder Patienteninteressen schützen, aber eben auch die Medizinforschung erleichtern kann. Im Kern kreist seine Dienstleistung um die datenschutzrechtlichen Erfordernisse bei der Nutzung von Patientendaten (Zweckbindung, Personenbeziehbarkeit). Auch klassische Aufgaben des Forschungsdatenmanagements, Qualitätssicherung (Standardisierung, gute Metadaten) und Verknüpfung heterogener Datenbestände können Aufgaben sein, in die beispielsweise ein Universitätsklinikum „seinen“ Datentreuhänder einbindet.28,29

182. Behördliche Datenbereitstellung zu Forschungszwecken

13

Damit ist ein zweites Praxisfeld angesprochen, in welchem sich ebenfalls Akteure finden, die ihrem Selbstverständnis nach Datentreuhänder sind: die Forschung nicht auf Patienten-, sondern auf Behörden- und Sozialdaten. Typischerweise geht es hier um Public Sector-Daten, die entweder aufgrund gesetzlicher Vorgaben oder im Rahmen von Forschung (etwa durch Ministerien beauftragter sogenannter Ressortforschung) erhoben wurden und sind und aus verschiedenen Gründen kritisch sind: als Mikrodaten über Unternehmen oder private Haushalte, als Daten, die vulnerable Gruppen betreffen, als Daten, deren Bekanntwerden den ökonomischen Wettbewerb verzerren könnte. Einwilligungsmanagement spielt in diesem Feld eine untergeordnete Rolle, nicht aber die Pseudo- oder Anonymisierung – und auch die Kontrolle eines oft komplexen Forschungsdesigns, mit welchem Wissenschaftlerinnen im Einzelfall (und nicht selten nur „physisch“, also recherchierend und lesend, aber ohne Möglichkeiten zum Download) Datenzugang erhalten. Die Forschungsdatenzentren des Statistischen Bundesamtes Destatis, der Deutschen Bundesbank oder auch der Bundesanstalt für Arbeit verstehen sich in diesem Sinne als Datentreuhänder, die Daten vorhalten, kuratieren, aggregieren, teils auch selbst auswerten, für die externe Nutzung im Einzelfall aber auch in spezifischer Form auf bereiten (Pseudonymisierung, Anonymisierung), Verträge schließen, Workf lows definieren sowie Begutachtungs- und Kontrollfunktionen übernehmen, um eine De-Anonymisierung bzw. Re-Identifikation von pseudonymisierten/anonymisierten Daten zu verhindern. Auch die Eckpunkte für ein aktuell in Vorbereitung befindliches Forschungsdatengesetz stellen den Auf bau eines deutschen Micro Data Center in Aussicht, der „im Sinne eines One-Stop-Shop“ organisiert sein soll, und spricht in diesem Zusammenhang explizit von Datentreuhandstellen vergleichbarer Art in anderen Ländern. Das neue Mikrodatenzentrum soll eine „zentrale Rolle als Vertrauens- und Vermittlerstelle“ spielen, welche die Zugangsbedingungen für Forschende im Hinblick auf Daten der öffentlichen Hand, insbesondere Statistik- und Registerdaten, verbessern und somit datenbasierte Forschung erleichtern soll.30

3. Verknüpfungen von Wissenschaft und Wirtschaft

14

Forschungszugänge zu Medizin- und Behördendaten (wie auch auf den öffentlichen Sektor spezialisierte Forschungsdatenzentren31) gab es schon lange 19Zeit bevor PIMS oder der Begriff „Datentreuhand“ ihre Karriere begannen. Ab 2020 ist mit mehreren Förderinitiativen des Bundesministeriums für Bildung und Forschung (BMBF) ein weiteres, deutlich experimentelleres Feld von Projekten entstanden, die Formen des „Teilens“ von Daten aus der Forschung oder überhaupt an der Grenze von Wissenschaft und Wirtschaft entwickeln sollen – und dies nun ausdrücklich unter dem Titel „Datentreuhänder“. Ein solches „Sandboxing“ ist wissenschaftspolitisch gewollt, und dies wohl unter dem doppelten Vorzeichen eines „Öffnens“ wissenschaftlicher Datenbestände wie auch, um eine Datennutzung, die Übergabepunkte Richtung Wirtschaft vorsieht, gleichwohl wissenschaftsfreundlich zu gestalten.32

15

Betrachtet man die derzeit mehr oder weniger aus der Wissenschaft heraus initiierten Projekte neuartiger Datentreuhänder, so lässt sich jedenfalls sagen: „den“ BMBF-Treuhänder gibt es nicht. Vielmehr mischen sich Ideen, Treuhandstellen des schon beschriebenen ersten, einwilligungszentrierten, und zweiten, forschungsfragenzentrierten, Typs weiterzuentwickeln, mit Ideen, Daten aus der Forschung aufzubereiten, um sie mittels einer geeigneten (wissenschaftseigenen oder auch kommerziell betriebenen) Plattform zu monetarisieren. Hinzu kommen Ideen, die Sammlung und Auswertung von Daten der öffentlichen Hand als wissenschaftliche Transfer- bzw. Dienstleistung anzubieten oder aber Formate des „Teilens“ von Industriedaten mit deren Beforschung zu verbinden. Besonders markant ist der zuletzt genannte Ansatz: Wirtschaftliche Akteure einer Region, einer Branche oder eines bestimmten Marktsegments verfügen über Daten, deren gemeinsame Auswertung ihnen – trotz unterschiedlicher ökonomischer Interessen oder sogar Konkurrenzlagen – gleichermaßen nutzen würde. Die Wissenschaft wiederum bietet ihre Kompetenzen zu einer methodisch optimalen Datenanalyse wie auch zu gewissen Koordinationsleistungen an. Der Datentreuhänder wird hier durch eine Art Clubmodell getragen. Wissenschaft selbst – sei es allein, sei es an der Seite etwa der Vertreter von Verbänden – fungiert als gleichsam neutraler Dritter, der Unternehmen dazu verhilft, sich für eine (wissenschaftsgeleitete) Auswertung von zu diesem Zweck gepoolten oder auch nur verknüpften Daten zusammenzutun. Je nachdem, wie stark die Unternehmen sich hierbei aufeinander einlassen, scheint eine Art Genossenschaftsgedanke diese neue Familie von Datentreuhandkonzepten zu inspirieren.33 Ob auf diese Weise nachhaltige Konstrukte entstehen und welche Rolle die wissenschaftlichen Beteiligten auf Dauer bei solchen – letztlich nur als B2B-Lösungen zukunftsfähigen – Datentreuhandmodellen spielen werden, ist eine derzeit noch unbeantwortbare Frage.

204. Fremd- bzw. gemeinnütziges Datenteilen – altruistische Konzeptionen

16

Weit weg von Datentreuhand-Förderaktivitäten, die PPP-Projekte an der Schnittstelle Wissenschaft/Wirtschaft anschieben sollen, haben auch NGOs und Unternehmen die Impulse des Data Governance Act zumindest registriert. So könnte man als direktes Motiv hinter der Entscheidung des Gesetzgebers, eine „altruistische“ Variante in den Data Governance Act einzuführen, Smart City-Szenarien vermuten: Einwohnerinnen und Einwohner eines Quartiers spenden umweltrelevante Daten für stadtteilbezogene Maßnahmen an ihre Kommune, auf selbstverwalteten Flächen entwickeln Bürgergruppen eigene „smarte“ Nachhaltigkeitsmodelle etc.34 In der Tat gibt es in Deutschland auch Treuhand-Aktivitäten, die in solchen Kontexten für eine Vision des gemeinnützigen Teilens werben, etwa in Kooperation mit kommunalen Verkehrsbetrieben oder Energieversorgern oder einer NGO wie dem Öko-Institut e. V.35 Mit dem datenpolitischen Leitbild des Altruismus hat der DGA ein interessantes, überraschendes, aber naheliegendes Postulat formuliert. Gleichwohl schweigt sich der Gesetzgeber zu allen Details (jenseits der vielleicht sogar überbetonten Zurückhaltung, die er „altruistischen“ Intermediären auferlegt)36 erst einmal aus. Dass es schwierig ist, die Vision des neutralen Intermediärs mit derjenigen einer basisdemokratischen Partizipation einer großen Zahl von Datengebern rechtssicher zu verknüpfen, überrascht nicht, zumal technisch hier zumeist speicherintensive Plattformlösungen ins Auge gefasst werden müssen, die – sollen sie erstens funktionieren, und zweitens auch „souverän“ ausgestaltet sein – ausgesprochen aufwendig zu etablieren und nur um den Preis hoher Kosten zu betreiben sind.

5. Datentreuhänder als Plattformen?

17

Plattform – das ist auch das Stichwort, an welchem sich die Geister scheiden, wenn es um Datentreuhandmodelle für den marktlichen B2B-Bereich geht, seien diese nun profitorientiert oder auch nicht. Es ist der Grundgedanke des DGA, Daten nicht Plattformen und Plattformbetreibern zu überlassen, sondern neue Intermediäre – und so auch Treuhänder – als Akteure auszulegen, die den Datenmarkt generell verändern: Bottom-up sollen sie Monopolbildung verhindern helfen und Unternehmen eine neuartige Pluralität von Optionen für den Datenaustausch anbieten, ohne in den Wettbewerb innerhalb eines spezifischen Sektors einzugreifen. Gesucht werden damit B2B-Treuhandkonzepte, die ohne plattformtypische Geschäftsmodelle (Verwertung oder Vermarktung von Kundendaten oder Daten über Kunden) auskommen, die rollen- und rechtemäßig streng auf bloße Mittlerdienste verpf lichtet sind, und die idealerweise sogar ohne 21die schiere Möglichkeit, Einblick in die von ihnen vermittelten Daten zu nehmen, tätig werden (vgl. Erwgr. 2 und 27 des DGA).

18

Geht man noch einen Schritt weiter, dann löst man die Kernaufgabe der vertrauenswürdigen Intermediation ganz von derjenigen der Auf bewahrung wertvoller Datenbestände ab, die im Digitalbereich aus technischen Gründen so schwer auf wirklich vertrauenswürdige Weise zu leisten ist. Ein neutraler Datentreuhänder sollte dann möglichst gar keine eigenen Daten „haben“, sondern lediglich deren kooperative Nutzung bzw. Analyse ermöglichen, also die Vermittlung von der für die Plattform-Industrie so zentralen technischen wie geschäftlichen Voraussetzung des Verfügens über einen Datensilo und einer „Verwaltung“ von Datenbeständen gänzlich trennen. Letzteres ist der – mittels avancierten Federated Learning-Technologien realisierbare – Ansatz der sogenannten „transaktionsbasierten“ Datentreuhand.37 Dieses Treuhand-Konzept wird aktuell durch den für das GAIA-X Ökosystem entwickelten Datentreuhänder EuroDaT vertreten.38 Die transaktionsbasierte Datentreuhand adressiert den Bereich marktlicher Akteure, bleibt als Ansatz aber gleichwohl generisch, denn sie schließt Nutzungen etwa zum Zweck der Analyse von Daten aus der Wissenschaft oder im B2G Bereich (also zwischen privatwirtschaftlichen Unternehmen und Kommunen, Behörden, Verwaltungen) nicht aus. Der transaktionsbasierte Ansatz stellt einen Paradigmenwechsel dar. Er fordert sowohl hinsichtlich der Interpretation des DGA (der in der Frage des Datenmittlers eng daherkommt, nämlich Intermediäre ohne Speicher nicht zu kennen und daher nicht mitzudenken scheint) als auch hinsichtlich des dominierenden Datenschutz-Diskurses Innovationsfreude ein. Von einem „Innovationsimpuls für ein angestaubtes Datenschutzrecht“39 ist die Rede. Dass auf Datensätze „zu keinem Zeitpunkt des [Analyse-]Zyklus jemand Zugriff“ hat40 und der Datentreuhänder weder Daten noch Analyseergebnisse noch den Auswertungsalgorithmus kennt, verschiebt die Grundlagen dessen, wovon das herkömmliche Datenschutzrecht als Prämisse ausgeht.41

6. Datentreuhänder als Kontrollstelle für Datenschutzbelange

19

Demgegenüber haben Datenschützer den Datentreuhänder bislang vor allem als eine Art Datenschutz-Kontrollstelle gesehen, also eine Art verlängerten Arm der Datenschutzbeauftragten selbst, deren Datendienstleistungen (vor allem Anonymisierung oder Pseudonymisierung) somit „G2B“ und Hand in Hand mit Aufsichtsdienstleistungen ausgestaltet wären. Dabei hat die Bundesdatenschutzkonferenz zuletzt im Zusammenhang mit dem deutschen Gesundheitsdatennutzungsgesetz 22auf die Notwendigkeit hingewiesen, „unabhängige Datentreuhandstellen“ einzubinden.42 Sowohl die Positionierung von Datentreuhändern – im Markt oder quasi als Marktaufsicht – als auch die datenschutzrechtlichen Aspekte der transaktionsbasierten Datentreuhand sind von daher aktuell und auch in diesem Handbuch erst noch in der Diskussion.

IV. Was meint Neutralität, was meint Vertrauen? Der neue Intermediär zwischen „Honey-Pot“ und Wertschöpfungsinstrument

20

Privates Einwilligungsmanagement als App (PIMS), Treuhandstellen, die Einwilligungen und Datensätze gemeinsam vorhalten, Treuhänder, die Forschenden (idealerweise remote) Umgebungen für die hochspezifische, abgeschirmte wie auch überprüf bare Datenarbeit offerieren, Club- und Genossenschaftsmodelle für die Datenauswertung, gemeinwohlorientierte und auch partizipative Formen kollektiver Datenspende, B2B-Dienste als – gegebenenfalls doch, aber spezifisch ausgelegte – Plattformlösung, oder aber die transaktionsbasierte Datentreuhand und schließlich die Datentreuhandstelle als hoheitlicher Datenschutzgarant: alle der skizzierten Ansätze wollen vertrauenswürdig sein und alle nehmen auch das Merkmal der angestrebten Neutralität für sich in Anspruch. Dabei ist es freilich einfacher, die Gegner zu identifizieren – kommerzielle Hyperscaler, digitale Plattformen mit der ihnen inhärenten Neigung zur Monopol-/Oligopolbildung oder, in der Wissenschaft, auch die großen Datenkonzerne hinter digitalen Katalogdiensten und Verlagen –, als eindeutig festzulegen, worin denn nun eigentlich die Neutralität eines Datentreuhänders bestehen sollte.

1. Divergierende Neutralitätskonzeptionen

21

Wenn Datenschutzrechtler von der „Unabhängigkeit“ einer „Stelle“ sprechen, meinen sie, dass diese nicht nur staatlich (und damit marktunabhängig) agiert, sondern dass ihr, orientiert am Leitbild der richterlichen Unabhängigkeit, sogar innerhalb der Administration niemand Weisungen erteilen kann. Nehmen wir an, dies stellte den einen Pol eines (sagen wir: öffentlich-rechtlichen) Neutralitätsverständnisses dar, so besteht der zweite Pol eines (sagen wir: rein zivilrechtlichen) Neutralitätsverständnisses womöglich in dem Ziel, dem Treuhänder ein Geschäftsmodell zu geben, bei welchem, vertraglich und sogar technisch garantiert, erstens die „Blindheit“ des Intermediärs hinsichtlich der Daten und der Datenverarbeitung sowie zweitens der allen Marktteilnehmern gleichermaßen zugängliche, reine Unterstützungscharakter der Leistung das eigentliche Produkt sein 23soll.43