Die Antwort ist komplex: Weder das deutsche noch das europäische Recht kennen ein ausdrücklich gewährtes „Dateneigentum“. Stattdessen müssen Unternehmen auf eine Kombination verschiedener Rechtsinstrumente setzen – vom Datenbankrecht über den Geschäftsgeheimnisschutz bis zu vertraglichen Vereinbarungen. Dieser Beitrag beleuchtet die Schutzfähigkeit von Daten und die Schutzlücken, die in der Praxis bestehen – und zeigt, welche Strategien Unternehmen beim Umgang mit Trainingsdaten verfolgen sollten.
1. Kein ausdrückliches Eigentumsrecht an Daten
Nach geltendem Recht sind Daten nicht durch ein eigentumsähnliches Recht geschützt. Allerdings kennt das Urheberrecht ein spezielles Datenbankrecht: Hat ein Unternehmen erheblichen Aufwand in eine Datensammlung investiert, entsteht ein exklusives Recht für den Hersteller (sui generis, §§ 87a ff. UrhG), das Dritten die Entnahme wesentlicher Teile untersagt. Dieses Recht verschafft eine ähnliche Ausschlussposition wie klassische IP-Rechte – allerdings nur für strukturierte Sammlungen und befristet (15 Jahre ab Veröffentlichung).
Nicht jede Sammlung erfüllt diese Voraussetzungen: Fehlt ausreichender Investitionsaufwand, greift der Schutz z.B. nicht. Auch der neue EU-Data Act (Verordnung (EU) 2023/2854) schränkt den Datenbankschutz, etwa für IoT-generierte Daten, ein (vgl. Art. 43 Data Act). Zudem erlauben urheberrechtliche Schranken für Text- und Data-Mining (z.B. §§ 44b, § 60d UrhG) die Nutzung geschützter Werke zu KI-Trainingszwecken – ohne Zustimmung des Rechteinhabers. Datenbankhersteller können zwar Widerspruch (Opt-out) gegen manche Nutzungen einlegen, stehen aber vor der Herausforderung, dass gesetzliche Freiräume für Datenanalysen zunehmen.
2. Geschäftsgeheimnisse: Schutz durch Vertraulichkeit
Bestimmte sensible Daten, mit denen Unternehmen arbeiten, können als Geschäftsgeheimnisse geschützt sein. Das Geschäftsgeheimnisgesetz (GeschGehG) definiert geschützte Informationen als solche, die nicht allgemein bekannt oder ohne Weiteres zugänglich sind, wirtschaftlichen Wert besitzen und durch angemessene Geheimhaltungsmaßnahmen gesichert wurden.
Trainingsdaten können diese Kriterien erfüllen – etwa proprietäre Datensätze zur KI-Entwicklung, die intern verbleiben. Entscheidend ist, dass das Unternehmen aktive Schutzmaßnahmen ergreift: Zugriff nur für Befugte, vertragliche Verschwiegenheitsvereinbarungen (NDAs) und technische Sicherungen. Ohne solche Maßnahmen bestehen keine Ansprüche auf Basis des Geschäftsgeheimnisgesetzes.
Zusätzlich gilt: Erlangt ein Dritter den Datensatz eigenständig oder durch Analyse eines Produkts, greift der Geheimnisschutz ebenfalls nicht. Unternehmen müssen daher strategisch abwägen, welche Daten sie geheim halten und wann alternative Schutzwege (etwa Patente oder Offenlegung gegenüber Partnern via Lizenz) sinnvoll sind (siehe hierzu auch unseren Blogbeitrag zum Thema „Der Schutz von Geschäftsgeheimnissen im Zeitalter der KI: Rechtliche Herausforderungen und strategische Ansätze”).
3. Verträge und Lizenzen: Kontrolle über die Datennutzung
Wo weder Immaterialgüterrechte noch Geheimnisschutz greifen, kommen vertragliche Regelungen ins Spiel. Unternehmen sichern ihre Datensätze oft durch Nutzungsvereinbarungen oder Lizenzbedingungen ab, die genau festlegen, was ein Empfänger der Daten damit tun darf – und was nicht.
Beispielsweise kann beim Datenaustausch mit einem Partner vertraglich untersagt werden, die erhaltenen Informationen an Dritte weiterzugeben oder für andere Zwecke zu verwenden. Auch offene Lizenzen (z.B. Creative Commons) ermöglichen es, Daten mit bestimmten Auflagen zu teilen, während proprietäre Verträge die exklusive Nutzung beim Lizenznehmer belassen oder die Weiterverwendung stark einschränken.
Wichtig zu wissen: Verträge binden nur die Parteien, die sie abschließen – Verträge zu Lasten Dritter sind unwirksam. Gelangen Daten unbefugt in fremde Hände, helfen Vertragsklauseln allein nicht oder nur bedingt (z.B. in Form von Regressansprüchen gegenüber dem Vertragspartner) weiter – hier muss auf gesetzliche Ansprüche (und ggf. schnelle gerichtliche Maßnahmen) zurückgegriffen werden. Dennoch sind klare vertragliche Regeln ein zentrales Instrument, um die Kontrolle über Unternehmensdaten zu behalten – gerade in Kooperationen und Datenpartnerschaften.
Fazit: Datensätze strategisch schützen und Lücken schließen
Kein einzelnes Recht bietet einen umfassenden Rundumschutz für Daten. Unternehmen sind daher gut beraten, mehrgleisig zu fahren: Wichtige Datensätze sollten identifiziert und je nach Art durch Datenbankrechte, technische und organisatorische Geheimhaltungsmaßnahmen und klug ausgestaltete Verträge geschützt werden.
Diese Schutzkonzepte müssen regelmäßig überprüft und an neue Technologien angepasst werden – gerade im Bereich KI, wo sich Nutzungsmöglichkeiten rasant entwickeln.
Der rechtliche Rahmen bewegt sich derweil: Anstatt ein vollwertiges „Dateneigentum“ einzuführen, setzt der Gesetzgeber auf Zugangsrechte und Datenpools (Stichwort Data Act) sowie auf neue Schrankenregelungen für KI-Anwendungen.
Für Unternehmen heißt das, dass eigene Daten wertvoll bleiben – aber nur, wenn sie proaktiv geschützt und vertraglich abgesichert werden. Wer frühzeitig entsprechende Vorkehrungen trifft und die Entwicklungen im Datenrecht im Blick behält, minimiert das Risiko von Datenverlusten und schafft zugleich die Grundlage, um mit Partnern sicher kooperieren zu können.
