Der Rechts­rah­men für Big Da­ta 

Recht­li­che Un­si­cher­hei­ten, vor al­lem im Hin­blick auf den Da­ten­schutz, wer­den re­gel­mä­ßig als zen­tra­les Hemm­nis ge­nannt. In­so­weit nimmt das Recht ei­ne Schlüs­sel­rol­le ein. Hier ist die Her­aus­for­de­rung bei Big Da­ta, den Pa­ra­dig­men­wech­sel in der Da­ten­ver­ar­bei­tung zu er­klä­ren und den dif­fu­sen Ängs­ten mit Trans­pa­renz und Sach­lich­keit zu be­geg­nen.

Das Recht und die Rechts­si­cher­heit spie­len ei­ne zen­tra­le Rol­le beim The­ma Big Da­ta. Zum ei­nen wer­den bei den Hemm­nis­sen für die Ein­füh­rung neu­er IKT-Lö­sun­gen vor al­lem in klei­nen und mit­tel­stän­di­schen Un­ter­neh­men im­mer wie­der die The­men Da­ten­si­cher­heit und Da­ten­schutz ge­nannt. Auch für Big Da­ta gilt: Die Un­ter­neh­men sind un­si­cher, wel­che Op­tio­nen sie nut­zen kön­nen und wo sie ggf. in der Nut­zung und Aus­wer­tung von kun­den­spe­zi­fi­schen oder ar­beits­pro­zess­be­zo­ge­nen Da­ten in recht­li­che Grau­zo­nen ge­ra­ten. Dies gilt es nä­her auf­zu­schlüs­seln, da­mit das Recht be­ach­tet oder auch an neue Be­dürf­nis­se an­ge­passt wer­den kann. Zum an­de­ren soll das Recht, et­wa in Form von Ge­set­zes­än­de­run­gen und Neu­re­ge­lun­gen, ein neu­es Schutz­sys­tem her­vor­brin­gen, das den dis­rup­ti­ven Pro­zes­sen, die mit Big Da­ta in Ver­bin­dung ge­bracht wer­den oder aus Big-Da­ta-An­wen­dun­gen her­vor­ge­hen, Kon­tu­ren ver­lei­hen und Schran­ken set­zen kann. Die Ge­währ­leis­tung von Rechts­si­cher­heit, die Schaf­fung von Big-Da­ta-Recht, wird so zu ei­nem „Pas­se­par­tout“ der Big-Da­ta-Öko­no­mie.

So­lan­ge es noch kein sol­ches aus­dif­fe­ren­zier­tes Big-Da­ta-Recht gibt – und hier­zu be­darf es ne­ben ge­setz­li­chen Spe­zi­al­re­ge­lun­gen auch ei­ner Ka­su­is­tik, die sich in der Recht­spre­chung erst über meh­re­re Jah­re ent­wi­ckeln kann – wird es auch kei­ne hun­dert­pro­zen­tig ein­deu­ti­ge und in al­len De­tails vor­her­seh­ba­re Rechts­an­wen­dung ge­ben.  

Ei­ne sol­che zu for­dern, hie­ße, In­no­va­tio­nen im Keim zu er­sti­cken. Schon des­halb wird man le­dig­lich die Be­ach­tung der zwin­gen­den Rechts­vor­schrif­ten ver­lan­gen dür­fen, um mit der Ent­wick­lung von Big-Da­ta-In­stru­men­ten und der Durch­füh­rung von Big-Da­ta-Ver­fah­ren zu be­gin­nen. Die Fern­wir­kun­gen und De­tails in den mög­li­cher­wei­se sehr kom­ple­xen Rechts­be­zie­hun­gen sind qua­si „en pas­sant“ zu be­ob­ach­ten und si­tua­ti­ons­ab­hän­gig nach­zu­steu­ern. Im Üb­ri­gen las­sen sich Kon­flik­te auch durch ver­trag­li­che Ge­s­tal­tung ver­mei­den.

Es sind im­mer wie­der zwei zen­tra­le In­ter­es­sen­ab­wä­gun­gen, an­hand de­rer Big-Da­ta- Pro­zes­se zu ge­stal­ten sind : Auf der ei­nen Sei­te geht es um ein Ab­wehr­recht der Be­trof­fe­nen, was im We­sent­li­chen durch das Da­ten­schutz­recht nor­ma­tiv er­fasst wird. Auf der an­de­ren Sei­te ste­hen die Ver­wer­tungs­rech­te der Be­tei­lig­ten im Rah­men der Wert­schöp­fung von Big Da­ta.  

Um die he­te­ro­ge­nen Fall­ge­stal­tun­gen ei­nes Big-Da­ta-Work­flows zu er­fas­sen, bie­tet es sich an, die­sen in drei grund­le­gen­de Pha­sen zu un­ter­tei­len, um die­se spä­ter nach Be­darf wei­ter aus­zu­dif­fe­ren­zie­ren. So er­ge­ben sich die drei Pha­sen Da­ten­ent­ste­hung und Da­ten­er­fas­sung, Da­ten­spei­che­rung und Da­ten­ver­ar­bei­tung so­wie Da­ten­ver­ede­lung und Da­ten­ver­wer­tung.  

Zwi­schen sol­chen Pha­sen zu un­ter­schei­den, bie­tet sich auch des­halb an, weil sich die recht­li­chen Her­aus­for­de­run­gen je nach Pha­se un­ter­schied­lich dar­stel­len. 

Die Pha­se der Da­ten­ent­ste­hung und Da­ten­er­fas­sung stellt zu­meist den Be­ginn der Wert­schöp­fungs­ket­te dar. In recht­li­cher Hin­sicht liegt hier die we­sent­li­che Wei­chen­stel­lung im Da­ten­schutz­recht. Es er­gibt sich der­zeit weit­ge­hend aus dem Bun­des­da­ten­schutz­ge­setz (BDSG), dem Te­le­me­di­en­ge­setz und Spe­zi­al­re­ge­lun­gen zu ein­zel­nen Sach­be­rei­chen wie et­wa den Ge­sund­heits­da­ten nach dem So­zi­al­ge­setz­buch. Ab 2018 gilt dann eu­ro­pa­weit ein­heit­lich die Da­ten­schutz­grund­ver­ord­nung.

Da­ten­schutz­recht kommt im­mer dann zur An­wen­dung, wenn es sich bei den er­fass­ten Da­ten um per­so­nen­be­zo­ge­ne Da­ten han­delt. So­weit es „nur“ um sach­be­zo­ge­ne Da­ten oh­ne Per­so­nen­be­zug geht (z. B. Wet­ter­da­ten, rei­ne Fahr­zeug­da­ten, Pro­dukt­da­ten, Da­ten aus ma­schi­nel­ler Steue­rung etc.), greift ggf. ein Know-how-Schutz, der Schutz von Be­triebs- und Ge­schäfts­ge­heim­nis­sen oder mit­tel­bar auch ein Ei­gen­tums­schutz, wenn zur Er­fas­sung der Da­ten phy­si­sche Hür­den zu über­win­den sind.

Die Er­he­bung, Spei­che­rung und Nut­zung per­so­nen­be­zo­ge­ner Da­ten, wie sie auch in den ver­schie­de­nen Pha­sen ei­ner Big-Da­ta-An­wen­dung in Be­tracht kom­men, sind da­ten­schutz­recht­lich ge­recht­fer­tigt, wenn hier­für ein spe­zi­el­ler Recht­fer­ti­gungs­grund be­steht (z. B. ein zu­grun­de lie­gen­der Ver­trag, in des­sen Er­fül­lung die Da­ten­er­he­bung er­folgt) oder wenn der Be­trof­fe­ne wirk­sam ein­ge­wil­ligt hat. Bei­des ist im Kon­text von Big Da­ta mög­lich, aber nicht im­mer ein­fach um­setz­bar. So­wohl bei der mas­sen­haf­ten Er­he­bung als auch bei der au­to­ma­ti­sier­ten Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Da­ten sind li­mi­tie­ren­de Vor­ga­ben (Da­ten­spar­sam­keit, Scoring nach § 28 b BDSG) zu be­ach­ten. Für be­son­ders sen­si­ble Da­ten (z. B. An­ga­ben zu Ge­sund­heit oder eth­ni­scher Her­kunft, vgl. § 3 Abs. 9 BDSG) gel­ten wei­te­re Re­strik­tio­nen. Der Er­stel­lung to­ta­ler Per­sön­lich­keits­bil­der (Pro­filing) hat das Bun­des­ver­fas­sungs­ge­richt schon vor mehr als vier Jahr­zehn­ten ei­nen Rie­gel vor­ge­scho­ben. Aus die­sen Grün­den wird in vie­len Big-Da­ta-Sze­na­ri­en über ei­ne An­ony­mi­sie­rung bzw. Pseud­ony­mi­sie­rung ver­sucht, den Per­so­nen­be­zug zu lö­sen, um nicht mehr den stren­gen Da­ten­schutz­an­for­de­run­gen un­ter­wor­fen zu sein.

Schon hier ist die Fra­ge auf­zu­wer­fen, in­wie­weit die Ak­teu­re, oh­ne die die Da­ten­be­stän­de erst gar nicht er­zeugt wür­den, an ei­nem spä­te­ren Ge­winn aus der Ver­ar­bei­tung und Ver­ede­lung je­ner Da­ten zu be­tei­li­gen sind. Das be­trifft et­wa den Her­stel­ler von Sen­so­ren oder ei­ner Black­box im Fahr­zeug, den Be­trei­ber ei­ner Such­ma­schi­ne, aber auch und be­son­ders ein­zel­ne Per­so­nen, de­ren (per­sön­li­che) Da­ten er­fasst wer­den. Hier wird erst­mals die Fra­ge nach ei­nem „Da­ten­ei­gen­tum“ oder nach ver­gleich­ba­ren Aus­schließ­lich­keits­rech­ten auf­ge­wor­fen. Dies wird am En­de ei­ne Fra­ge der kon­kre­ten Ver­trags­ge­stal­tung sein. Da­ne­ben ist be­reits an die Ver­wer­tungs­rech­te aus dem Ur­he­ber­recht zu den­ken, so­weit die Da­ten Werk­s­cha­rak­ter ha­ben, al­so Ge­gen­stand ei­nes ur­he­ber­recht­li­chen Schut­zes sein kön­nen.

In der zwei­ten Pha­se des Big-Da­ta-Work­flows – Da­ten­spei­che­rung und Da­ten­ver­ar­bei­tung – geht es um Spei­cher­me­di­en und Ver­ar­bei­tungs­mo­di und die da­mit ver­bun­de­nen Fra­gen. Das Da­ten­schutz­recht ist hier wei­ter re­le­vant, al­ler­dings in Ab­hän­gig­keit von der Wei­chen­stel­lung in der ers­ten Pha­se. So­weit der Per­so­nen­be­zug näm­lich nicht ge­löst wur­de (was bei be­stimm­ten An­wen­dun­gen auch sinn­voll ist, um et­wa be­stimm­te per­so­na­li­sier­te Diens­te wie ein The­ra­pie­an­ge­bot nach Big- Da­ta-Ana­ly­se von Ge­sund­heits­da­ten er­brin­gen zu kön­nen), kommt es in der zwei­ten Pha­se be­son­ders dar­auf an, dass sich die Da­ten­ver­ar­bei­tung im Rah­men der Recht­fer­ti­gung ver­hält. Nach dem Grund­satz der Zweck­bin­dung muss ei­ne Zweck­än­de­rung (so lu­kra­tiv die­se auch sein mag) ver­mie­den wer­den, so­lan­ge man nicht er­neut ei­ne ent­spre­chen­de Ein­wil­li­gung des Be­trof­fe­nen ein­holt, was sehr auf­wen­dig sein kann.  

Ne­ben das Da­ten­schutz­recht tritt in der zwei­ten Pha­se das IT-Si­cher­heits­recht. Ge­ra­de die Mas­se und Kom­ple­xi­tät der Da­ten, die hier ge­spei­chert und ver­ar­bei­tet wer­den, er­for­dern Vor­keh­run­gen zum Schutz der Ver­füg­bar­keit und In­te­gri­tät, ggf. auch der Ver­trau­lich­keit der Da­ten­be­stän­de. Das IT-Si­cher­heits­ge­setz ist zu be­ach­ten, wenn so­ge­nann­te kri­ti­sche In­fra­struk­tu­ren be­trof­fen sind, al­so In­fra­struk­tu­ren in be­stimm­ten Sek­to­ren (z. B. En­er­gie, IKT oder Was­ser, vgl. die Ver­ord­nung zur Be­stim­mung kri­ti­scher In­fra­struk­tu­ren – BSI-Kri­tisV – zu der Fra­ge, wel­che An­la­gen dar­un­ter­fal­len), de­ren Aus­fall bzw. Be­ein­träch­ti­gung zu Ver­sor­gungs­eng­päs­sen und wei­te­ren schäd­li­chen Aus­wir­kun­gen für Staat und Ge­sell­schaft füh­ren kön­nen.  

Auch das Ur­he­ber­recht er­langt ei­ne be­son­de­re Be­deu­tung in der zwei­ten Pha­se, weil und so­weit es dort um den Schutz von Da­ten­ban­ken und die Rech­te der hier­an Be­tei­lig­ten geht.

Die drit­te Pha­se ei­nes Big-Da­ta-Work­flows kann als Da­ten­ver­ede­lung oder Da­ten­ver­wer­tung be­zeich­net wer­den. Es geht um be­son­de­re Ver­wer­tungs­mög­lich­kei­ten der ag­gre­gier­ten Da­ten in un­ter­schied­li­chen Kon­tex­ten, die mehr oder we­ni­ger na­he an den ur­sprüng­li­chen Da­ten­er­fas­sungs­sze­na­ri­en lie­gen. Von Da­ten­ver­ede­lung kann und soll­te auch des­halb ge­spro­chen wer­den, weil es bei Big Da­ta be­son­ders um Wert­schöp­fung, al­so die Schaf­fung von Mehr­wer­ten geht, die über die ein­fa­che Da­ten­nut­zung bei der klas­si­schen Da­ten­ver­ar­bei­tung weit hin­aus­geht. Die­sen Mehr­wert gilt es – ins­be­son­de­re über ver­trag­li­che Ge­stal­tun­gen – den am Pro­zess Be­tei­lig­ten zu­zu­ord­nen.

Big-Da­ta-An­wen­dun­gen kön­nen au­ßer­or­dent­lich kom­plex sein. Un­ter recht­li­chen Ge­sichts­punk­ten lohnt es sich, ex­em­pla­risch Sze­na­ri­en („Use Ca­ses“) zu er­pro­ben, bei de­nen die Zahl der un­be­kann­ten Fak­to­ren noch über­schau­bar bleibt.

Die Band­brei­te der An­wen­dungs­mög­lich­kei­ten für die Wert­schöp­fung durch Ver­ar­bei­tung gro­ßer Da­ten­men­gen ist enorm. Von der En­er­gie­wen­de über neue Ver­kehrs­sys­te­me, me­di­zi­ni­sche For­schung und Dia­gnos­tik, der Vor­her­sa­ge von Kri­sen­si­tua­tio­nen, der La­ge­be­wer­tung und Ge­fah­ren­ab­wehr zur Ver­bes­se­rung der in­ne­ren Si­cher­heit, neu­en Fi­nanz­dienst­leis­tun­gen bis hin zu Con­nec­ted Car, di­gi­ta­len Ein­kaufs­wel­ten, adres­sa­ten­ge­nau­em On­line-Mar­ke­ting und In­dus­trie 4.0 : All das, was man mit Big Da­ta ver­bin­den kann, ist letzt­lich nichts an­de­res als die kon­se­quen­te, den der­zei­ti­gen und künf­ti­gen tech­no­lo­gi­schen Mög­lich­kei­ten der Da­ten­er­fas­sung, Da­ten­ver­wer­tung und Da­ten­ver­ede­lung fol­gen­de Zu­sam­men­füh­rung von Nut­zer­inter­es­sen und Ge­schäfts­mo­del­len. Bei al­len Un­klar­hei­ten und Un­wäg­bar­kei­ten sind doch ein ho­her ge­sell­schaft­li­cher Nut­zen und er­heb­li­che Ge­win­ne durch Big-Da­ta-An­wen­dun­gen zu er­war­ten.

In ei­ner Big-Da­ta-Ma­trix kann man er­mit­teln, ob ein An­wen­dungs­fall un­ter recht­li­chen As­pek­ten eher tri­vi­al oder be­son­ders an­spruchs­voll ist. Recht­li­che Re­le­vanz ha­ben be­son­ders Kri­te­ri­en wie die kon­kre­te Ein­wil­li­gung der Be­trof­fe­nen, die An­for­de­run­gen an An­ony­mi­sie­rung oder Pseud­ony­mi­sie­rung, die Art und Men­ge der Da­ten oder die Zweck­bin­dung.

Ei­ne Viel­zahl von Rechts­fra­gen im Zu­sam­men­hang mit dem Ein­satz von Big-Da­ta-Me­tho­den ist heu­te aber schlicht noch nicht ab­schlie­ßend ge­klärt. Im Fol­gen­den nur ei­ni­ge Bei­spie­le :

Nach gel­ten­dem Da­ten­schutz­recht gilt der Grund­satz der in­for­mier­ten Ein­wil­li­gung (§§ 4, 4 a BDSG). Der Be­trof­fe­ne muss dem­zu­fol­ge die Trag­wei­te sei­ner Ent­schei­dung vor­her­se­hen kön­nen, al­so ge­nau wis­sen, was mit sei­nen per­so­nen­be­zo­ge­nen Da­ten ge­sche­hen soll. Das ist bei Big-Da­ta-An­wen­dun­gen ei­ne gro­ße Her­aus­for­de­rung, weil und so­weit die Ver­ar­bei­tung und Ver­wer­tung der Da­ten weit über den ur­sprüng­li­chen Zweck hin­aus­ge­hen kön­nen. Teil­wei­se wis­sen die An­bie­ter von Big-Da­ta-Ana­ly­sen im Zeit­punkt des Da­ten­zu­griffs selbst noch nicht ab­schlie­ßend, wo­für die Da­ten ein­mal ver­wen­det wer­den sol­len. Und selbst wenn dies in ei­nem Fall be­kannt sein mag, sind doch Fol­ge­ver­wen­dun­gen, die Über­mitt­lung an Drit­te und spä­te­re Zweck­än­de­run­gen denk­bar, über die zu­nächst nicht in­for­miert wird (oder wer­den kann).

Bei Big-Da­ta-Ver­fah­ren stellt sich nicht nur die Fra­ge, mit wel­chen Schutz­rech­ten und Schutz­po­si­tio­nen sich der Ein­zel­ne ge­gen die Er­fas­sung „sei­ner“ Da­ten weh­ren kann. Viel­mehr ist auch zu klä­ren, wie er – um­ge­kehrt – an der Ver­wer­tung / Ver­mark­tung die­ser Da­ten par­ti­zi­pie­ren kann. Das be­trifft zum ei­nen den Nut­zer / Ver­brau­cher, um „des­sen“ Da­ten es geht. Da­ne­ben tre­ten wei­te­re Be­rech­tig­te auf den Plan. Aus die­sem Grund sind vor der Kon­zep­ti­on von Big-Da­ta-An­wen­dun­gen die Schutz­rech­te der ein­zel­nen Ak­teu­re zu klä­ren, um die An­wen­dung nicht nur zum Lau­fen zu brin­gen, son­dern auch das Ge­schäfts­mo­dell durch­zu­rech­nen.

Nach gel­ten­dem Recht gibt es Ei­gen­tum aber nur an kör­per­li­chen Ge­gen­stän­den, al­so kein Da­ten­ei­gen­tum. Roh­da­ten als Be­stand­tei­le der Da­ten­men­gen in Big-Da­ta-Ver­fah­ren sind über­dies we­der im­ma­te­ri­al­gü­ter­recht­lich ge­schützt noch schutz­fä­hig. Vom Ur­he­ber­recht ab­ge­se­hen, ent­ste­hen die wei­te­ren Im­ma­te­ri­al­gü­ter­rech­te im­mer erst nach ei­nem ge­setz­lich ge­nau vor­ge­schrie­be­nen Pu­bli­zi­täts­akt (Ver­öf­fent­li­chung im Pa­tent­blatt, Ein­tra­gung ins Mar­ken­re­gis­ter usw.). Die Ent­ste­hung und Er­fas­sung ei­nes Da­tums, die nach­fol­gen­de Spei­che­rung und auch das spä­te­re Ver­edeln sind da­von nicht er­fasst.

Der ur­he­ber­recht­li­che Werk­schutz ver­langt ei­ne per­sön­li­che geis­ti­ge Schöp­fung, vgl. § 2 Abs. 2 UrhG. Das ein­zel­ne Da­tum ist häu­fig ei­ne rein ma­schi­nel­le Pro­duk­ti­on, be­sitzt für sich al­lein ge­nom­men kei­nen geis­ti­gen Ge­halt und nicht die er­for­der­li­che Schöp­fungs­hö­he. Da­her kommt dem ein­zel­nen Da­tum auch kein ur­he­ber­recht­li­cher Werk­schutz zu. Ab­ge­se­hen da­von mö­gen Big-Da­ta-An­wen­dun­gen auch wei­te­re Da­ten her­vor­brin­gen, die al­lei­ne durch tech­ni­sche Ana­ly­sen ent­ste­hen, so­dass kaum von ei­ner per­sön­li­chen Schöp­fung ge­spro­chen wer­den kann, für die Ur­he­ber­schutz be­an­sprucht wer­den könn­te. Zwar darf sich ein Ur­he­ber tech­ni­scher Mit­tel be­die­nen. Der Mensch darf die Ma­schi­ne aber nicht le­dig­lich be­herr­schen, son­dern muss mit ih­rer Hil­fe aus ei­ge­ner geis­ti­ger Quel­le ei­ne schöp­fe­ri­sche Ge­stal­tung her­vor­brin­gen. So­lan­ge das krea­ti­ve Pro­gramm wirk­lich in ei­ner Ma­schi­ne „ver­kör­pert“ ist, fol­gen fak­tisch das Recht an den Er­geb­nis­sen bzw. die Ver­fü­gungs­mög­lich­keit über die Er­geb­nis­se dem Ei­gen­tum an der Ma­schi­ne. Als (Leis­tungs-)Schutz­rech­te kom­men bei Big Da­ta des­halb eher sol­che aus § 87 b UrhG für die Be­trei­ber der Da­ten­ban­ken in Be­tracht.

Dem­ge­gen­über schei­det ein pa­tent­recht­li­cher Schutz weit­ge­hend aus. Hier­für müss­te ei­ne Big-Da­ta-Da­ten­ana­ly­se ei­ne „tech­ni­sche Au­ßen­wir­kung ha­ben“. Das heißt, dass die Soft­ware die Lö­sung ei­nes tech­ni­schen Pro­blems mit tech­ni­schen Mit­teln be­stim­men oder zu­min­dest be­ein­flus­sen muss, wie es wohl oft­mals im Rah­men der in­dus­tri­el­len Pro­duk­ti­on der Fall sein wird. Dar­an kann es feh­len, wenn es im Rah­men von Big-Da­ta-Da­ten­ana­ly­sen nicht um die Lö­sung ei­nes tech­ni­schen Pro­blems mit tech­ni­schen Mit­teln, son­dern eher um die Lö­sung ei­nes tat­säch­li­chen Pro­blems mit tech­ni­schen Mit­teln geht.

Selbst wenn ei­ne grund­sätz­li­che Er­laub­nis be­steht, Mas­sen­da­ten zu er­fas­sen, ist dies kein Frei­brief für die wei­te­re Be­hand­lung. So müs­sen die Da­ten si­cher ver­wahrt und ver­ar­bei­tet (evtl. auch an­ony­mi­siert) wer­den. Hier­zu zäh­len ins­be­son­de­re die Ge­währ­leis­tung der Ver­füg­bar­keit, In­te­gri­tät und Ver­trau­lich­keit der Da­ten. So­wohl die Roh­da­ten als auch die ag­gre­gier­ten Da­ten müs­sen so ge­spei­chert und zum Ab­ruf bzw. zur wei­te­ren Ver­wen­dung vor­ge­hal­ten wer­den, dass der Be­rech­tig­te je­der­zeit Zu­gang hat, der Un­be­fug­te wie­der­um wirk­sam aus­ge­schlos­sen bleibt. Au­ßer­dem ist ein Schutz vor Ma­ni­pu­la­ti­on der Da­ten­be­stän­de (von in­nen und von au­ßen) zu be­werk­stel­li­gen, weil sonst die Da­ten­ba­sis ver­fälscht und die Schluss­fol­ge­run­gen aus der Ana­ly­se feh­ler­haft wä­ren. Das Si­cher­heits­ni­veau muss der Be­deu­tung der je­wei­li­gen Big-Da­ta-An­wen­dung an­ge­passt wer­den. Al­ler­dings sind un­ter an­de­rem die Haf­tungs­maß­stä­be noch weit­ge­hend un­ge­klärt.

Ins­ge­samt ist die Ge­währ­leis­tung der IT-Si­cher­heit ge­ra­de bei Big-Da­ta-An­wen­dun­gen wich­tig und an­spruchs­voll zu­gleich. Big Da­ta oh­ne IT-Si­cher­heit ist wert­los und kann so­gar ge­fähr­lich sein. Wenn gan­ze Big-Da­ta-Work­flows und Wert­schöp­fungs­ket­ten von der Ver­füg­bar­keit und In­te­gri­tät der durch sie er­ho­be­nen Da­ten ab­hän­gen, stellt ei­ne Kom­pro­mit­tie­rung je­ner IT-Si­cher­heit das ge­sam­te Sys­tem in­fra­ge.

So sehr man sich um ei­ne rechts­kon­for­me Ge­stal­tung von Big-Da­ta-An­wen­dun­gen und die Ge­währ­leis­tung von IT-Si­cher­heit be­mü­hen kann und be­mü­hen soll­te, so klar ist zu­gleich, dass man IT-Un­si­cher­heit bzw. IT-Ri­si­ken mit den dar­aus er­wach­sen­den Schä­den nicht ver­mei­den kann. Par­al­lel zum IT-Si­cher­heits­recht muss ein In­for­ma­ti­ons­haf­tungs­recht und In­for­ma­ti­ons­fol­gen­recht ent­wi­ckelt wer­den, des­sen Kon­tu­ren bis­lang nur leicht aus­ge­prägt wur­den.

In der Tat ist das gel­ten­de Recht nicht in der La­ge, al­le Fall­ge­stal­tun­gen im Kon­text von Big-Da­ta-An­wen­dun­gen zu­frie­den­stel­lend ab­zu­de­cken. Die Ak­teu­re sind da­her ge­for­dert, den In­ter­es­sen­aus­gleich ein­schließ­lich der Nut­zungs- und Ver­wer­tungs­rech­te so­wie der Er­lös­an­tei­le rechts­ge­stal­tend durch Ver­trä­ge selbst in die Hand zu neh­men. Die be­son­de­re Her­aus­for­de­rung aus recht­li­cher Sicht ist, je­nen ge­setz­li­chen Rah­men zu schaf­fen, der Ori­en­tie­rungs­si­cher­heit für al­le Ak­teu­re gibt, oh­ne de­ren in­no­va­ti­ve Ent­fal­tung zu be­hin­dern. Für den Ge­setz­ge­ber be­deu­tet dies zu­gleich, das rich­ti­ge Maß an Re­gu­lie­rung zu fin­den. De­tail­ver­liebt­heit wä­re hier ge­nau­so kon­tra­pro­duk­tiv wie die Scheu, Wei­chen zu stel­len und da­mit die Über­nah­me von Ver­ant­wor­tung für die Fol­gen tech­ni­scher In­no­va­tio­nen zu ver­wei­gern. Dies führt auch zu der not­wen­di­gen Dis­kus­si­on um die Be­deu­tung nor­ma­ti­ver Steue­rung der Tech­nik­ent­wick­lung.