Compliance-Herausforderungen der Digitalisierung

Durch die allgemein stark zunehmende Menge an Daten gewinnen dieselben im Geschäftskontext stets an Bedeutung. Von einem Unternehmen intern gesammelte Sachdaten können in Kombination mit unternehmensexternen Daten bspw. zu einer gesteigerten Effizienz innerhalb der Organisation sowie zu Wettbewerbsvorteilen führen. Nicht zuletzt erlauben unternehmensexterne Sachdaten auch die Schaffung neuer Geschäftsmodelle, deren Umsetzung ohne diese nicht möglich gewesen wäre. Durch die Vielzahl an Möglichkeiten der Nutzung von Sachdaten ist es wichtig, dass für die Beschaffung solcher Daten funktionierende Compliance-Prozesse vorliegen. Während zwar an Daten kein Eigentum im Sinne des Sachenrechts entstehen kann, können je nach Art und Ursprung der Daten trotzdem Ausschliesslichkeitsrechte an ihnen bestehen. Ein Verstoss dagegen kann nicht nur Reputationsschäden zur Folge haben, sondern auch zivil- oder strafrechtliche Konsequenzen haben.

Das Datenschutzgesetz (DSG) findet ausschliesslich auf die Bearbeitung von Personendaten natürlicher oder juristischer Personen Anwendung, weshalb es in Bezug auf die vorliegende Bearbeitung von Sachdaten ausser Acht gelassen werden kann. Da sich Sachdaten allerdings zu Personendaten wandeln können, muss die Compliance sicherstellen, dass allfällige Personendaten vor der Bearbeitung als solche identifiziert werden.

Sachdaten können urheberrechtlich geschützt werden, wenn sie entweder eine geistige Schöpfung mit individuellem Charakter darstellen oder falls eine Datenbank im Sinne eines Sammelwerks vorliegt und sich der individuelle Charakter in Bezug auf die Auswahl bzw. Anordnung zeigt. Werden urheberrechtlich geschützte Werke vom Unternehmen nicht als solche erkannt und in der Folge verletzt, drohen sowohl zivil- als auch strafrechtliche Sanktionierungen. Einen noch weitergehenden Schutz bietet das Instrument des Datenbankschutzes sui-generis im EU-Raum, welcher aufgrund der Rechtsprechung in Bezug auf Sachdaten allerdings deutlich eingeschränkt wurde. Insgesamt muss die Compliance also sicherstellen können, dass die verwendeten Daten nicht urheberrechtlich geschützt sind, was aufgrund der fehlenden sofortigen Erkennbarkeit allerdings besonders schwierig ist. Es ist demnach wichtig, immer auch den Ursprung der Daten zu beachten.

In Bezug auf wettbewerbsrechtliche Aspekte ist insb. Art. 5 lit. c UWG anwendbar. Demgemäss ist es unlauter, das marktreife Arbeitsergebnis eines anderen ohne angemessenen eigenen Aufwand durch technische Reproduktionsverfahren als solches zu übernehmen oder zu verwerten. Wird unlauterer Wettbewerb betrieben, so drohen zivil- und strafrechtliche Sanktionen, welche grösstenteils analog zum Urheberrecht sind. Aus Sicht der Compliance ist diese Regelung mit einer grossen Ungewissheit darüber, ob bei einer Datensammlung oder -übernahme allfällige Ausschliesslichkeitsrechte bestehen, gleichzustellen. Es kann somit nur Risikominimierung und keinesfalls Rechtssicherheit geschaffen werden.

Weiter sind aus der Perspektive des Wettbewerbsrechts kartellrechtliche Risiken zu betrachten. So sind die Regelungen im Kartellgesetz unter Umständen auch auf den Umgang mit Sachdaten anwendbar. Die Compliance hat somit grundsätzlich zu prüfen, ob die entsprechenden Daten dazu führen könnten, dass marktbeherrschende Unternehmen entstehen. Es ist hierbei auf die allgemeingültigen Massnahmen zu verweisen.

Zur Umsetzung von Compliance-Massnahmen eignet sich ein vierstufiges Vorgehen, das unterteilt wird in die Stufen der Lückenanalyse, Risikoanalyse, Projektkonzeption und der Implementierung. Beim ersten Schritt, der Lückenanalyse, sollen bestehende Prozesse analysiert und auf mögliche Lücken untersucht werden. In der folgenden Risikoanalyse wird anschliessend geschätzt, welche entdeckten Lücken das grösste Risiko darstellen und deshalb prioritär behandelt werden sollten. Bei der Projektkonzeption wird sodann auf Basis der vorangehenden Schritte ein unternehmensweites Konzept erstellt, mit welchem eine Risikominimierung bezüglich der möglichen Verstösse erreicht werden kann. Im letzten Schritt wird dieses Konzept schliesslich im Unternehmen implementiert. Neben diesem vierstufigen Vorgehen ist auch auf das COSO-Framework zu verweisen. Als Möglichkeit für die Einhaltung der erarbeiteten Compliance-Prozesse bietet sich das Setzten von Anreizen an. In jedem Fall empfiehlt es sich für Unternehmen, eine Anwältin oder einen Anwalt zu Rate zu ziehen, welche/r sie in der Implementierung geeigneter Massnahmen unterstützt und berät.

Mehr zu diesem Thema finden Sie in Teichmann, F. & Koch, J. (2021). Compliance-Herausforderungen der Digitalisierung — Daten-, Urheber- und wettbewerbsrechtliche Aspekte der Industrie 4.0. ZRFC, 16(2), 84–90.