Maschinen haben keine Rechte

Der steinige Weg vom Analogen ins Digitale

Prof. Dr. Caroline Volkmann lehrt Informationsrecht an der Hochschule Darmstadt. Sie gab einleitend ein Update zum Urheberrecht im digitalen Binnenmarkt und stellte insbesondere die Reformpläne des deutschen Gesetzgebers zur Anpassung des Urhebervertragsrechts an die EU-Urheberrechts­richtlinie (DSM-RL) vor. Dabei geht es vor allem um den Anspruch auf angemessene Vergütung (Art. 18) und den Anspruch auf Auskunft (Art. 19). Die Umsetzungsfrist der Richtlinie in nationales Recht endet am 21. Juni 2021. Seit 13. Oktober 2020 liegt ein noch nicht in der Bundesregierung abgestimmter Referentenentwurf^[1] aus dem Bundesjustizministerium vor. Das Urhebervertragsrecht war bisher im Ermessen der einzelnen Mitgliedstaaten. Da Deutschland bereits bisher ein fortschrittliches Urhebervertragsrecht hatte, orientiert sich das europäisches Recht stark an diesen deutschen Regelungen, insbesondere §§ 32 ff. UrhG.

Angemessene Vergütung

Eine Ergänzung soll es in § 32 Abs. 2 bezüglich der Frage, welche Vergütung angemessenen ist, geben. Jede Nutzungsmöglichkeit soll künftig gesondert berücksichtigt werden, es sei denn eine pauschale Vergütung ist durch die Besonderheiten der Branche gerechtfertigt. Damit stellt sich nach Meinung der Referentin die Frage, ob Buy-Out, also die Veräußerung aller Rechte an einem Werk gegen ein pauschales Honorar, noch rechtssicher möglich sein wird. Außerdem sei „Besonderheiten der Branche“ ein unklarer Rechtsbegriff, der mutmaßlich vom EuGH irgendwann einmal ausgelegt werden müsse. Dabei ist auch eine Abkehr von der bisherigen deutschen Rechtsprechung möglich. Nach bisheriger Rechtslage ist Buy-Out aus Praktikabilitätsgründen bei mehreren Beteiligten ausnahmsweise zulässig, wenn es sich etwa im Filmbereich nur um rahmenbegleitende Werke oder im Verlagsbereich um nachrangige, untergeordnete Beiträge handelt. Auch Kollektivvereinbarungen zur Vergütung sind eine begründete gesetzliche Ausnahme.

Anspruch auf Auskunft

Wenn ein Urheber nicht weiß, wie sein Werk verwertet wird, kann er nicht beurteilen, ob die Vergütung angemessen ist oder eine Nachvergütung erfolgen muss. Während im geltenden Urheberrecht der Urheber von seinem Vertragspartner einmal jährlich Auskunft über die Verwertung verlangen darf, wird nach dem Entwurf des § 32 d der Vertragspartner künftig zu einer jährlichen proaktiven Information verpflichtet, unter Umständen ein hoher Aufwand für die Verwerter. Deshalb sind auch hier begründete gesetzliche Ausnahmen vorgesehen, um die Verwerter zu entlasten. Ein Ausschluss des Auskunftsanspruchs soll zwar nicht möglich sein, aber „branchenspezifisch“ können auch hier z. B. bei Unerheblichkeit des Beitrags zum Gesamtwerk oder in einer gemeinsamen Vergütungsregelung begründete Abweichungen vereinbart werden. Auf keinen Fall kann in derartigen kollektiven Vergütungsregelungen ein jährlicher Auskunftsanspruch ausgeschlossen werden und sie müssen zumindest ein vergleichbares Maß an Transparenz wie die gesetzlichen Bestimmungen gewährleisten. Der Nachvergütungsanspruch ist jedoch kritisch zu sehen, er ist unverhältnismäßig niedrig.

Dass wir nach der Urheberrechtsreform für das 21. Jahrhundert gut gerüstet sind, ist angesichts der weiterhin geltenden Schutzdauer von 70 Jahren nach Tod zweifelhaft. Eine so lange Frist mutet wie ein Relikt aus der analogen Welt an, so die Meinung von Caroline Volkmann.

Rechteklärung als Risikoabschätzung

Dr. Katrin Lehnert ist für die Rechteklärung bei der Archivierung historischer Dokumente für das Digitale Deutsche Frauenarchiv (DDF)^[2] zuständig. Dabei handelt es sich um Materialien von Einrichtungen, die dem Dachverband i.d.a.^[3] angehören, der deutschsprachige Frauen-/Lesbenarchive, Bibliotheken und Dokumentationsstellen vertritt. Das Kürzel i.d.a. steht für informieren, dokumentieren und archivieren – Dokumente sozialer Bewegungen rund um Frauenthemen sollen bewahrt werden. Das DDF bietet zeitgemäße Unterstützung bei Digitalisierungsprozessen und zur Webpräsenz. Das Projekt mit 40 Teilnehmereinrichtungen aus fünf Ländern wird vom Bundesministerium für Familie, Senioren, Frauen und Jugend unterstützt.

Die Materialien sind vielfältig, auch in rechtlicher Hinsicht. Sie spiegeln die unterschiedlichen Sammelschwerpunkte vom 19. Jahrhundert bis heute wider. Materialarten sind Fotos, Plakate, Flugblätter, audiovisuelle Materialien, auch Objekte, wie Anstecker oder T-Shirts, oder elektronische Nachlässe, wie Blogs. Zeitschriftenaufsätze und insbesondere Graue Literatur ergänzen das klassische Archivgut. Einzeldokumente können auch in persönliche Essays oder Graue Literatur eingebettet sein. Herzstück des Projekts ist ein Katalog, der die Bestände der beteiligten Einrichtungen nachweist und direkt zu den digitalisierten Dokumenten verlinkt. Eine Rechteklärung ist für jedes einzelne Dokument erforderlich.

Urheberrechte stehen meist mehreren Personen zu, wie das Beispiel eines Zeitschriftenbeitrags zeigt (Interview mit Cornelia Matzke, 1991^[4]): Rechte liegen bei der Autorin, den Fotografen der Fotos, der Redaktion. Zu den Rechten von Urheberinnen sowie Persönlichkeitsrechten innerhalb einzelner Dokumente kommen Leistungsschutzrechte hinzu.

Anonyme Urheberinnen

Herausforderungen bei der Rechteklärung des überlieferten Materials bilden nicht nur die Vielfalt der beteiligten Rechteinhaber, sondern auch die anonymen Kollektive, die in den 1970/1980er Jahren sehr verbreitet waren. Oft ist eine Vielzahl Beteiligter genannt, die verantwortlich zeichnen, oder es handelt sich anonyme Gruppen, manchmal wurde unter Pseudonymen veröffentlicht. Diese Personen ausfindig zu machen und ihre Zustimmung zur Online-Veröffentlichung zu erhalten, ist häufig ein zeitaufwändiger Prozess. Nicht immer lassen sich alle Urheberinnen feststellen – ein Risiko bei der Veröffentlichung. Es bleibt häufig: mehr Risikoabschätzung als Rechteklärung. Rechte­vorbehalte dienen auch zum Schutz der beteiligten Einrichtung. Rechtssicherheit besteht nur wenn alle Urheberinnen ihr Einverständnis gegeben haben.

Für die Veröffentlichung auf der Website des DDF ist eine Rechteklärung in den i.d.a.-Einrichtungen unabdingbar. Auch die Verwertungsgesellschaften sind wegen der Vergütung der jeweiligen Beteiligten im Boot. Diese Rechteklärung geschieht dezentral durch die gebende Einrichtung und die DDF-Geschäftsstelle und ggf. externe juristische Berater.

Vertragsgenerator statt Mustervertrag

Die urheberrechtlichen Bedingungen müssen in jedem Einzelfall vertraglich vereinbart und die Nutzungsrechte festgelegt werden. Da ein Mustervertrag der vorgefundenen Vielfalt kaum gerecht werden kann, hat die DDF-Geschäftsstelle einen Vertragsgenerator^[5] programmiert, in dem schrittweise interaktiv die wesentlichen Alternativen eingegeben werden können, sodass ein adäquater Vertragsentwurf bereitgestellt werden kann. Damit können die vielfältigen Varianten berücksichtigt und die Vertragsgestaltung erleichtert werden.

Nicht verfügbar statt vergriffen

Die EU-Urheberrechtsrichtlinie (DSM-Richtlinie), die bis Juni 2021 in deutsches Recht umgewandelt werden soll, deckt nicht alle Situationen ab, vor denen das DDF steht. Erleichterung bringt die Erweiterung des Begriffs „vergriffene Werke“ auf „nicht verfügbare Werke“. Das sind Werke, die auf keinem üblichen Vertriebsweg mehr der Allgemeinheit zur Verfügung gestellt werden können und schließt damit Werke ein, die „ursprünglich nicht für gewerbliche Zwecke gedacht waren oder niemals gewerblich genutzt wurden“ – auch Plakate, Flugblätter, Broschüren usw.

Klärungsbedürftig bleibt jedoch die Frage nach den Rechten und Nutzungsbedingungen der Werke von Kollektiven. Das Urheberrecht sieht nur einen Schutz für Individuen sowie für natürliche Personen vor – nicht aber für Gruppen insgesamt.

Daneben geht es um die Zuständigkeit einer Verwertungsgesellschaft bei der Online-Publikation. § 61 d UrhG-E besagt im Entwurf, dass Kulturerbe-Einrichtungen nicht verfügbare Werke aus ihrem Bestand der Öffentlichkeit zugänglich machen dürfen, wenn keine repräsentative Verwertungsgesellschaft die Rechte für die Nutzung der jeweiligen Arten von Werken wahrnimmt. Für die Nutzung jedoch hat ein Urheber Anspruch auf Zahlung einer angemessenen Vergütung – dies bedeutet für das DDF eine Zahlung an eine möglicherweise nicht repräsentative Verwertungsgesellschaft. Hierzu hat das DDF eine Stellungnahme zum Gesetzentwurf der Bundesregierung erarbeitet, in dem diese Problematik aufgegriffen wird.

Praxistipps

Das DDF hat ferner als Handreichung die Broschüre „Bewegungsarchive digitalisieren. Praxistipps zur Rechteklärung“ herausgegeben, die in Zusammenarbeit mit iRights Law 2020 bereits in 2. Auflage veröffentlicht wurde^[6]. Behandelt werden rechtliche Aspekte des Digitalisierungsprozesses, sowie eine Übersicht, welche Dokumentarten urheberrechtlichen Schutz genießen.

Das DDF leistet mit seinem Fachportal einen wichtigen Beitrag zur Sicherung von Dokumenten zur Zeitgeschichte und Alltagskultur, zu Dokumenten nicht-amtlicher Art, die kaum in staatlichen Archiven zu finden sind. Mit den vielen anschaulichen Praxisbeispielen beleuchtete der Vortrag wichtige Aspekte der mit dem DGI-Praxistag aufgeworfenen Fragestellungen.

EU-Datenschutz-Grundverordnung

Im zweiten Abschnitt, moderiert von Barbara Reißland, gab es zwei Vorträge mit Bezug zur EU-Datenschutz-Grundverordnung, und zwar aus Sicht der beiden Anwendungen Blockchain sowie Cloud Computing.

Public Permissonless Blockchain Bitcoin

Prof. Dr. Peter Preuss lehrt Wirtschaftsinformatik an der FOM–Hochschule für Ökonomie und Management in Stuttgart. In seinem Vortrag fragte er nach der Vereinbarkeit von Blokchain-Technologie und DSGVO am Beispiel der Public Permissonless Blockchain Bitcoin. Eine Blockchain ist eine verteilte Transaktionsdatenbank, bei der die einzelnen Transaktionen als Datenblöcke aneinander gekettet werden. Die Transaktionsdatenbank ist eine replizierte verteilte Datenbank, die also nicht auf einem zentralen Server, sondern auf jedem am Netzwerk angeschlossenen Rechner gespeichert ist. Auf jedem Server des verteilten Netzwerks ist eine komplette Kopie der aktuellen Blockchain gespeichert. Die Transaktionsblöcke werden im Fall der Bitcoin-Anwendung von einem sog. Miner erzeugt und an alle teilnehmenden Rechner verteilt. Dafür erhält er eine Provision. Jeder Währungsteilnehmer hat eine Adresse, die als Bitcoin-Konto (Wallet) fungiert. Transaktionen werden von den Teilnehmern durch elektronische Signaturen mit öffentlichen und privaten Schlüsseln beurkundet. Die Absicht einer Überweisung zwischen zwei Konten wird an alle Netzwerkteilnehmer geschickt. Die anonymen Miner beobachten das Netz und wetteifern dann darum, wer die Transaktion als erster als gültigen Block an die Blockchain anhängen kann. Dazu müssen Hashtags berechnet werden. Northern Bitcoin hat 280 Container mit spezialisierten Computern zum Berechnen der Hashtags. Alle etwa zehn Minuten erhält der jeweilige Gewinner 6,25 Bitcoin, also etwa 72.400 Euro plus Transaktionsgebühr. Northern Bitcoin setzt damit täglich etwa 7,2 Millionen Euro um. Insgesamt ist Bitcoin mit einer Marktmacht von derzeit 214 Milliarden Euro die wertvollste Kryptowährung weltweit.

Die Transaktionsketten, die über die gesamte Blockchain entstehen, sind einsehbar, unveränderlich und können nicht gelöscht werden. Was bedeutet das nun für den Datenschutz? Der erste Schritt der Transaktionen ist völlig anonym, es gibt keine Legitimationsprüfung, etwa durch den elektronischen Personalausweis. Auch der Austausch erfolgt anonym. Die Identifikationsparameter können jedoch eventuell indirekt ermittelt werden, z. B. über die Kreditkartendaten oder beim Kauf eines Gegenstands, der verschickt werden, muss über die Lieferadresse. Die Identifikationsparameter sind also nicht anonym, sondern pseudonymisiert. Es kann daher nicht ausgeschlossen werden, dass ein Personenbezug (zukünftig) hergestellt werden kann. Daher ist die DSGVO anzuwenden.

Dabei gibt es auf Anhieb gleich drei Konfliktpunkte. Die DSGVO fordert in Artikel 16 ein Recht auf Berichtigung, Blockchains basieren jedoch auf der Unveränderlichkeit der Transaktionen. Artikel 17 der DSGVO verbürgt das Recht auf Löschung („Recht auf Vergessenwerden“), Transaktionen können aber nicht gelöscht werden und Artikel 18 schließlich sichert das Recht auf Einschränkung der Verarbeitung, Transaktionen sind jedoch öffentlich, es gibt keine Kontrolle, wer die Transaktionen dezentral verarbeitet. Alle drei Forderungen der DSGVO widersprechen den unabdingbaren Charakteristika der Bitcoin Blockchain. Es gibt keinen vertrauenswürdigen Intermediär, der sich um Löschung oder Änderung kümmern könnte. Und wegen der hohen Marktkapitalisierung würden Änderungen an den Bitcoin-Protokollen nicht akzeptiert werden.

Unvereinbarkeit mit DSGVO

Eine Lösung aus informatischer Sicht könnte in einer strikten Anonymisierung der pseudonymen Identifikationsparameter bestehen. Möglich wäre das durch die Etablierung (anonymer) Intermediäre. Der Mixer vermengt pseudonyme Bitcoin-Transaktionen und bildet daraus einen anonymen Bitcoin-Pool, aus dem Bitcoins an anonyme Bitcoin-Adressen (abzgl. Servicegebühr) zurücküberwiesen werden. Man muss dazu für eine Transaktion eine oder mehrere Zieladressen angeben mit einer Zeitspanne, nach der zurück überwiesen werden soll, sowie eine individuelle Servicegebühr, die nicht automatisch berechnet wird. Durch die Verwendung der Intermediäre entstehen jedoch neue Probleme, man muss darauf vertrauen, dass sie alles im Nachgang löschen, und man muss darauf vertrauen, dass sie die Bitcoins nicht unterschlagen, sondern zurück überweisen.

US-Behörden allerdings stufen solche Mixer als illegal ein, weil darüber Geldwäsche erfolgen kann, die sich nicht aufdecken lässt. Als Fazit bleibt, dass DSGVO und Bitcoin Blockchain unvereinbar sind.

Cloud Computing Services

Die nächste Referentin, Annika Selzer, ist Rechtswissenschaftlerin am Fraunhofer-Institut für Sichere Informationstechnologie (SIT) und im Nationalen Forschungszentrum für angewandte Cybersicherheit ATHENE. Sie stellte in ihrer Präsentation Datenschutzaspekte bei der Nutzung von Cloud Computing Services im beruflichen Kontext, insbesondere die Anforderungen der DSGVO vor. Die Nutzung von Cloud Computing Services bietet gerade für mittelständische Unternehmen eine Reihe von Vorteilen. Der Betrieb einer eigenen lokalen Serverinfrastruktur zur Speicherung und Verarbeitung von Mitarbeiter- und Kundendaten verursacht u. a. Anschaffungskosten für die Hardware, Raumkosten, Energiekosten für den Betrieb und die Klimatisierung, sowie Lizenzgebühren für Software. Und nicht zuletzt braucht man Know-how, also Personal für die Administration samt Rufbereitschaft, und muss die Kapazität des Rechenzentrums für die maximal erforderliche Auslastung ausstatten, selbst wenn man die volle Kapazität nur zeitweise benötigt. Verlagert man die Datenspeicherung und -verarbeitung stattdessen zu einem externen Cloud Service, dessen Kernexpertise der Betrieb von Rechenzentren ist, gewinnt man an Flexibilität und spart in der Regel Kosten. Der Nachteil aus juristischer Sicht ist allerdings, dass Kunden- und Mitarbeiterdaten, nicht mehr im eigenen Unternehmen, sondern an anderen Orten liegen. Die Verarbeitung solcher personenbezogenen Daten, also Daten, die einer noch lebenden Person zugeordnet werden können, unterliegt dem Datenschutzrecht. Und bei Verstößen dagegen sind hohe Bußgelder fällig.

Bevor ein Unternehmen sich für das Cloudcomputing entscheidet, sollte daher geklärt werden, ob eine Datenschutzfolgeabschätzung durchzuführen ist und ob wegen der Cloud-Nutzung zusätzliche Dokumentations- und Informationspflichten entstehen. Vor allem aber muss von vornherein die Exit-Strategie mit bedacht werden. Welche Migrations- und Löschungsmöglichkeiten bietet der Cloud-Anbieter, und zu welchen Kosten? Sicherzustellen ist, dass man bei der Kündigung des Cloud Service die eigenen Daten in einer weiter verarbeitbaren Form zur Verfügung gestellt bekommt.

Auftragsdatenverarbeitung

Aus Sicht des Datenschutzes ist Cloud Computing in der Regel als Auftragsdatenverarbeitung zu betrachten. Dies ist ein rechtliches Konstrukt. An sich ist ein Unternehmen nicht berechtigt, seine Daten einem anderen Unternehmen zu geben. Ein Verantwortlicher kann jedoch einen Gehilfen mit einem Teil der Datenverarbeitung betrauen, z. B. Schreddern von Unterlagen, Durchführung von Mailings oder eben Bereitstellung von Datenspeicherungs- und -verarbeitungsdienstleistungen in der Cloud. Dazu wird ein Auftragsverarbeitungsvertrag abgeschlossen. Meistens kennen Cloudanbieter die DSGVO und haben sie bereits in ihren Verträgen berücksichtigt. Das auftraggebende Unternehmen entscheidet allein über die Zwecke der Datenverarbeitung und bleibt verantwortlich für das, was beim Cloudanbieter geschieht. Konsequenterweise hat das Unternehmen umfangreiche Kontrollpflichten. Früher geschah das häufig durch Vor-Ort-Kontrolle durch den eigenen Datenschutzbeauftragten, heute greift man meist auf die Datenschutzzertifizierung des Cloud Service zurück. Regelmäßige Kontrolle bedeutet hierbei, zu prüfen wann das DSGVO-konforme Zertifikat abläuft und ein neues anzufordern.

In Drittstaaten nur mit Zusatzvereinbarung

Innerhalb der EU wird die EU-DSGVO überall angewandt, aber wie sieht es mit Cloud-Anbietern in Drittstaaten außerhalb der EU, etwa in den USA, aus? Da das Privacy Shield vom Europäischen Gerichtshof gekippt worden ist, muss ein angemessenes Datenschutzniveau gemäß Artikel 4 ff. DSGVO „künstlich“ hergestellt werden, wenn man einen US-amerikanischen Cloud Service nutzt. Das bedeutet, dass zusätzlich zum angebotenen Auftragsverarbeitungsvertrag zwingend die Standarddatenschutz­klauseln der EU vereinbart werden müssen. Daneben lassen sich jederzeit für spezielle Anforderungen auch noch individuelle Vereinbarungen treffen.

Wer den Cloud Service nur zur Speicherung und Aufbewahrung von Daten nutzt und keine Verarbeitungen damit in der Cloud durchführen lässt, kann die Daten gut verschlüsselt in die Cloud und zur Verarbeitung auf den eigenen Server zurück übertragen. In einem solchen Fall ist Datenschutz gewährleistet. Unabdingbar ist es, alles zu dokumentieren, u. a. den Eintrag in das Verzeichnis der Verarbeitungstätigkeiten, Auftragsverarbeitungskontrollen, ggf. Datenschutz-Folgenabschätzung. Die Anforderungen zur Dokumentation sind bei kleinen Unternehmen oder Vereinen etwas abgemildert (§ 30 DSGVO). Wenn ein Verein eine Mailingliste bei einem Anbieter von Mailbox-Systemen speichert, ist dies Auftragsdatenverarbeitung, über die die Mitglieder, die auf der Mailingliste stehen, durch den pauschalen Hinweis auf den Einsatz des Auftragsdatenverarbeiters zu informieren sind.

Wer nur als Privatperson, also ohne unternehmerische Anbindung, Cloud Services für private Zwecke nutzt, ist übrigens nicht verpflichtet, sich den Dokumentationspflichten der DSGVO zu unterwerfen.

Forschungsdaten und KI

Unter der Moderation von Stefan Zillich ging es im dritten Abschnitt des DGI-Praxistags um Rechtsfragen, die sich beim Umgang mit Forschungsdaten stellen, und um die Schutzrechte beim Einsatz Künstlicher Intelligenz.

Forschungsdatenmanagement

Prof. Dr. Franziska Boehm ist Bereichsleiterin für Immaterialgüterrechte in verteilten Informationsinfrastrukturen (IGR) bei FIZ Karlsruhe – Leibniz-Institut für Informationsinfrastruktur und Professorin am Karlsruher Institut für Technologie (KIT), Zentrum für angewandte Rechtswissenschaft (ZAR). In ihrem zusammen mit Thomas Hartmann vorbereiteten Vortrag gab sie einleitend einen Überblick über die Rechtsfragen, die bei den verschiedenen Gruppen auftreten, die vom Forschungsdatenmanagement (FDM) betroffen sind, Forschende, Wissenschaftseinrichtungen, öffentliche Forschungsförderer, Forschungspartner aus der Wirtschaft, Wissenschaftsverlage oder die interessierte Öffentlichkeit. Ein aktuelles Beispiel ist die geplante Nationale Forschungsdateninfrastruktur (NFDI). Sie „soll die Datenbestände von Wissenschaft und Forschung systematisch erschließen, nachhaltig sichern und zugänglich machen sowie (inter-)national vernetzen. Sie wird in einem aus der Wissenschaft getriebenen Prozess als vernetzte Struktur eigeninitiativ agierender Konsortien aufgebaut werden.”^[7] Im Oktober 2020 haben die bisher neun bewilligten Konsortien die Arbeit aufgenommen. Sie betreffen Ingenieur- und Naturwissenschaften ebenso wie Geistes- und Sozialwissenschaften sowie die Lebenswissenschaften, also ein stark aufgefächertes fachliches Spektrum, in dem auch jeweils sehr unterschiedliche Forschungsdaten anfallen, spezifische Fragen auftreten und rechtliche Besonderheiten zu berücksichtigen sein werden. Andere Beispiele sind die Science Cloud der EU oder Initiativen auf Länderebene in Deutschland. Anschließend ging die Referentin exemplarisch auf drei Aspekte der rechtlichen Rahmensetzung für Wissenschaftseinrichtungen ein.

Urheberrecht im FDM

Während Textpublikationen unabhängig vom Fachgebiet und der Forschungsmethode als Werk stets urheberrechtlich geschützt sind, variiert der Urheberschutz bei digitalen Forschungsdaten je nach der Fachwissenschaft und den angewandten Forschungsmethoden. An den Daten selbst besteht jedoch grundsätzlich kein Urheberschutz. Anders sieht es aus, wenn die Daten in einer Datenbank gespeichert werden, dann greift der Schutz von Datenbanken nach § 87 b UrhG. Er soll einen Schutz für den Aufwand bieten, der für den Aufbau der Datenbank nötig war, ist also im Grunde ein Investitionsschutz. Ein solches Herstellerrecht gibt es in den USA nicht.

Datenschutzrecht im FDM

Während der Datenschutz bei Textpublikationen kaum relevant ist, weisen digitale Forschungsdaten häufig einen Personenbezug auf oder sind ggf. kombiniert mit anderen Informationen datenschutzrelevant. Welche Einwilligungserklärungen beachtet werden müssen, mit welchen Tools pseudonymisiert werden darf, all das ist noch offen und wird erst in den nächsten Jahren geklärt und rechtswissenschaftlich aufbereitet werden.

Arbeitsrecht im FDM

Arbeitsverträge mit wissenschaftlichem Personal und sonstige Vorgaben der Wissenschafts­einrichtungen enthalten meistens Standardklauseln zu Nutzungsrechten der Arbeits- und Forschungsergebnisse. Darin kann künftig auch explizit geregelt sein, dass wissenschaftlich Beschäftigte eine Ablieferungspflicht für digitale Forschungsdaten haben oder dass sie z. B. von vornherein ein digitales Laborbuch führen müssen. Dabei muss stets die grundgesetzliche Wissenschaftsfreiheit berücksichtigt werden.

Auf die Frage, welche rechtlichen Ansprüche Bürgerwissenschaftler geltend machen können, kam im Chat der Hinweis, dass es zum rechtlichen Rahmen von Citizen Science aktuell ein Projekt am Museum für Naturkunde Berlin gibt^[8] und dass die Website https://www.forschungsdaten.info viele gute Einstiegsinformation zu Forschungsdaten bietet, auch zu den Rechtsfragen.

Künstliche Intelligenz

Dr. Till Kreutzer, Rechtsanwalt bei iRights.Law Rechtsanwälte Berlin, setzte sich mit verschiedenen Aspekten des Rechtsschutzes beim Einsatz Künstlicher Intelligenz auseinander, wobei er sich auf selbstlernende Algorithmen bzw. selbstlernende Software bezog, die mit Daten (Input) trainiert werden und schließlich Arbeitsergebnisse (Output) erzeugen.

Rechte an der KI

Gibt es Rechte an der KI selbst? Computerprogramme sind seit 40 Jahren über das Urheberrecht mit geringen Schutzanforderungen geschützt. Algorithmen werden vom Urheberrecht jedoch nicht geschützt, obgleich die Algorithmen häufig die eigentliche innovative schöpferische Leistung darstellen, und nicht die anschließende Umsetzung in eine Software. Wir haben es also mit der Situation zu tun, dass die Grundlagen für das Aufschreiben in einer Programmiersprache nicht geschützt werden können, sondern nur der daraus entwickelte Maschinecode oder Quellcode.

Auch das Patentrecht erstreckt sich nicht auf Algorithmen. Patentrechtlich kann nur eine gesamte Vorrichtung, die als Komponente eine KI enthält, geschützt werden.

Rechte an den Trainingsdaten

Ob es Rechte an Trainingsdaten gibt, hängt entscheidend davon ab, um welche Daten es sich handelt. Metadaten oder Rohdaten sind urheberrechtlich nicht geschützt, aber aus Sicht der Informatik sind auch Textdokumente nur Daten. Dabei stellt sich dann die Frage, welche Rechtsgebiete in Betracht kommen. Neben dem Urheberrecht können das auch Datenschutzrecht und Persönlichkeitsrecht (Abbildung von Personen) sein. Das Recht am eigenen Bild erstreckt sich allerdings nicht auf eine Kopie der Abbildung, die nur intern verarbeitet wird, sondern ist nur anzuwenden, wenn das Bild wieder veröffentlich wird.

Urheberrechte können an Trainingsdaten durchaus bestehen, zwar nicht an reinen Forschungsdaten, aber dann, wenn die Forschungsdaten aus Werken bestehen. Trainiert man die KI etwa mit Musikaufnahmen aus dem 20. Jahrhundert, damit sie anschließend in der Lage ist, Kompositionen zu erzeugen, die wie eine Komposition von Bach klingt, dann können an den Aufnahmen Leistungsschutzrechte bestehen, obgleich Bach seit mehr als 70 Jahren tot ist. Wenn ein Komponist noch lebt, gilt das UrhG und es muss eine Nutzungserlaubnis erteilt werden

Die Ausnahmeregelung für Text- und Datamining bezieht sich bisher nur Forschungsdaten, aber das könnte sich mit der Urheberrechtsreform 2020/21 ändern.

Das Datenbankherstellerrecht bezieht sich auf eine Datenbank insgesamt, die Entnahme einzelner Daten ist nicht verboten, sie wird erst dann problematisch, wenn man wesentliche Bestandteile einer Datenbank übernimmt.

Geschützte Firmennamen oder Logos sind nicht geschützt, wenn sie als Trainingsdaten verwendet werden, denn die gewerblichen Schutzrechte sollen davor schützen, dass die Marken für eigene Produkte verwendet werden, was zu Qualitätsverwirrung führen könnte. Wenn man nur die KI damit trainiert, sollte das unproblematisch sein.

Vertragliche Beschränkungen sind hingegen ein Problem, denn sie können strenger sein als es die gesetzlichen Bestimmungen wären. Verträge können vorschreiben, dass man Daten nur für bestimmte Zwecke nutzen darf – und Verträge sind einzuhalten. Wenn im Vertrag etwas verboten ist, kann man sich schadensersatzpflichtig machen, wenn man sich darüber hinwegsetzt. Man sollte sich daher immer genau anschauen, was Verträge ermöglichen und verbieten. Einige Wissenschaftsverlage haben in ihren Nutzungsregeln stehen, dass die Daten nicht für Datenanalysen verwendet werden dürfen, wenn keine kostenpflichtige Zusatzvereinbarung getroffen worden ist.

Rechte am Output der KI

Die Frage nach dem Urheberrecht am Output ist nicht leicht zu beantworten, das ist tatsächlich rechtliches Neuland. Wenn Menschen am Arbeitsergebnis Anteil haben, könnte es Rechte geben. Je besser die KI jedoch funktioniert, umso besser schafft sie eigenständig Ergebnisse ohne Zutun einer Person. Je weniger menschliche Unterstützung einfließt, umso weniger ist der Output urheberrechtlich geschützt. Ein Beispiel ist das an Rembrandt-Malerei erinnernde „Edmond de Belamy“-Porträt, das 2018 bei Christies für über 400.000 US$ versteigert worden ist und von einem Algorithmus geschaffen wurde. Das Urheberrecht verlangt immer eine natürliche Person als Urheber. Der persönliche Beitrag des Menschen muss deutlich erkennbar sein, wenn Urheberrechte geltend gemacht werden sollen. Maschinen haben keine Rechte.

Das Datenschutzrecht ist in vollem Umfang anwendbar, sodass es für den Output durchaus Nutzungsbeschränkungen geben kann. Das Datenbankrecht als Datenbankherstellerrecht und Investitionsschutzrecht gilt unabhängig davon, wie die Datenbank entstanden ist. Ebenso gilt das Marken- und Designrecht, weil es auch hierbei gleichgültig ist, ob Menschen oder eine KI das Logo oder Design erzeugt haben. Schwieriger ist es mit dem Patentrecht, weil dort ein Erfinder vorausgesetzt wird, der zwangsläufig ein Mensch ist. Deshalb gibt es laut aktuellem Stand auch keine KI-bezogenen Patente.

Abschließend ging es um die Frage, wie man Daten für eine breite Wiederverwendung veröffentlichen kann. Wenn man die üblichen Creative-Common-Lizenzen auf Metadaten anwendet, entsteht möglicherweise die Verpflichtung zur Nennung eines Urhebers. Man legt Nutzern damit eine Pflicht auf, die es ohne die gewählte Lizenz gar nicht gäbe. Die Veröffentlichung unter CC0 oder als public domain sind deshalb die einzigen Wege, um die rechtssichere Wiederverwendung zu gewährleisten. Wenn man genannt werden will, ergeben sich die Pflichten dazu oft aus anderen Regelungssystem, wie der guten wissenschaftlichen Praxis, die es erfordert Quellen zu nennen.

Zum Schluss

Die zahlreichen über die Chat-Funktion gestellten Fragen und Hinweise sowie die eingetroffenen Rückmeldungen belegen, dass der DGI-Praxistag 2020 mit dem gewählten Thema das Interesse seines Publikums getroffen, den fachlichen Austausch angeregt und viele aktuelle und direkt verwertbare Informationen vermittelt hat. Der Dank für die reibungslose Vorbereitung und die erfolgreiche Durchführung dieser gelungenen Veranstaltung, die auch der DGI viele Impulse gegeben hat, geht an das traumhafte Kuratorenteam, unsere Mitglieder Elgin Jakisch, Barbara Reißland und Stefan Zillich, die als selbstständige Informationsfachkräfte tätig sind und in ihrer Berufspraxis häufig auch mit Rechtsfragen konfrontierte werden, sowie an die Mitarbeiterinnen der Geschäftsstelle der DGI, deren Arbeit derzeit wegen der Pandemiebedingten Einschränkungen ebenfalls unter erschwerten Bedingungen stattfindet. Unserem diesjährigen Sponsor Schweitzer Fachinformationen danken wir für seine wertvolle finanzielle Unterstützung.

Die Online-Konferenz ist nicht aufgezeichnet worden; deshalb haben wir uns bemüht, ausführlich zu berichten. Die freigegebenen Vortragsfolien sind jedoch auf der Webseite https://dgi-info.de/dgi-praxistage-2020-programm/ einsehbar.

Deskriptoren: Tagung, DGI, Informationsrecht, Europäische Union, Deutschland, Archiv, Datenschutz, Datenverarbeitung, Forschungsdaten, Künstliche Intelligenz, Urheberrecht