In einem Datentreuhandmodell besteht die Möglichkeit des Datenaustausches zwischen Personen und Unternehmen allein unter Verwendung von virtuellen Data Spaces. Beispielsweise kann ein Unternehmen in einem Data Space gesammelte Sensordaten und daraus gewonnene Erkenntnisse zur Verfügung stellen, die ein anderes Unternehmen gegen Bezahlung für bestimmte Zwecke verwenden darf. Um hier Transparenz und Vertrauen gewährleisten zu können, bedarf es eines Regelungssystems, welches allen Parteien ausreichenden Schutz – z.B. vor Weitergabe der Daten – bietet.
Scroll down for the English version of this article.
Ein solches Regelungssystem besteht einerseits aus gesetzlichen Vorschriften, andererseits aus vertraglichen Vereinbarungen. Im Rahmen ihrer Forschung untersucht die Universität des Saarlandes sogenannte Vertragsbaukästen, die eine einfache Anpassung der Vertragsinhalte an die jeweiligen individuellen Bedürfnisse ermöglichen sollen.
Drei Akteure, ein Vertrauensmodell
Zu einem Datentreuhandmodell gehören Datengeber (bzw. Dateninhaber), Datennutzer und ein Datentreuhänder, der als Mittler zwischen den Akteuren die Herstellung von Geschäftsbeziehungen ermöglichen soll. Eine vertragliche Grundlage für das Verhältnis dieser drei Parteien muss nicht nur deren jeweilige Interessen, sondern auch die gesetzlichen Rahmenbedingungen berücksichtigen. Bei den Beteiligten ist einschlägige juristische Expertise oft nicht vorhanden und nur zu Recht hohen Kosten verfügbar, was zu Schwierigkeiten bei der Vertragsgestaltung führen kann. Hinzu kommt die Gefahr eines Ungleichgewichtes im Sinne der Ausgestaltung zu Lasten einer einzelnen Partei.
Vertragsbaukästen als Lösung
Vertragsbaukästen können dazu beitragen, Missbräuche in Data Spaces zu reduzieren und unterstützen die Parteien bei der effektiven Sicherstellung der Berücksichtigung ihrer Interessen. Diese Baukästen funktionieren dergestalt, dass der Nutzer von einem Vertragsbestandteil zum nächsten geführt wird. Am Anfang steht die Benennung der Vertragsparteien. Für die folgenden Entscheidungen steht eine große Breite an Ausgestaltungsmöglichkeiten zur Verfügung, um den jeweiligen Vertrag den Bedürfnissen der Nutzer anzupassen. Ausgewählt werden kann beispielsweise, welche Daten genau ausgetauscht werden sollen, in welcher Form dies geschieht, und wie lange der Datenaustausch andauern soll. Darüber hinaus besteht die Wahlmöglichkeit, ob Dritte Rechte an den Daten erhalten sollen – und falls ja, in welcher Form.
Besonders relevant für die Beteiligten sind auch Fragen der Gewährleistung und Haftung. Dazu gehört beispielweise die haftungsrechtliche Ausgestaltung oder die Frage, wann ein Mangel des Datenaustauschs vorliegt und wie mit einem solchen umgegangen werden soll.
Ein Vertrag wie ein Bauplan
Der Nutzer kann also – daher die Bezeichnung als Baukasten – rechtliche Ausgestaltungen in Form von Bausteinen wählen. Er wird von Baustein zu Baustein geführt und kann gewünschte Optionen anklicken, bis alle notwendigen Bestandteile für einen wirksamen Vertrag abgearbeitet wurden. Dabei sind jeweils Erläuterungen eingebaut, um dem Nutzer den Sinn der vertraglichen Regelung näher zu bringen.
Letztlich wird ein Vertrag Schritt für Schritt in der Art eines Multiple-Choice-Verfahrens aufgebaut. Der Nutzer bekommt auf der Basis seiner Angaben einen fertigen Vertragsentwurf, welcher genau auf seine Bedürfnisse zugeschnitten ist. So wird nicht nur das Haftungsrisiko minimiert, sondern auch das Vertrauen in das Datentreuhandmodell gestärkt. Es entsteht mit der vertraglichen Absicherung ein Schutz für jeden Nutzer, wobei im Zweifel auf die gesetzlich normierten Regeln zurückgegriffen werden kann. Mithin können die Risiken eines Datenraums, wie etwa Datenschutzverstöße durch fehlerhafte Anonymisierung und damit einhergehende Zugriffsmöglichkeiten auf personenbezogene Daten, durch die vertraglichen Regelungen adressiert werden. Die Nutzer können so bedenkenlos Datenräume nutzen, ohne Gefahr zu laufen, bei Missbräuchen oder Fehlkonstellationen ohne rechtlichen Schutz dazustehen.
Wer hinter dem Forschungsansatz steht
Der Lehrstuhl für Rechtsinformatik (Prof. Dr.-Ing. Christoph Sorge) arbeitet an der interdisziplinären Verknüpfung des Rechts der Digitalisierung mit technischen Aspekten der IT-Sicherheit und des Datenschutzes. Der Lehrstuhl gehört der juristischen Fakultät an, ist mit dem CISPA Helmholtz Center for Information Security assoziiert und kooptiert in der Fakultät für Mathematik und Informatik. Juristen und Informatiker arbeiten im interdisziplinären Team zu Fragestellungen an der Schnittstelle beider Fächer, etwa zu Datenschutz und IT-Sicherheit in verschiedenen Anwendungsfeldern wie maschinellen Lernverfahren und dem Internet of Things.
[ENG]
Contract toolkits as an essential trust mechanism for data spaces
Why contracts are the foundation of data spaces
In a data trustee model, individuals and companies can exchange data solely through virtual data spaces. For example, one company may provide sensor data and insights collected in a data space, which another company can then use for specific purposes in exchange for payment. To ensure transparency and trust in such exchanges, a regulatory framework is required that offers all parties adequate protection, such as safeguards against the unauthorized transfer of data. This framework consists of both legal provisions and contractual agreements.
As part of its research, Saarland University is studying so-called contract toolkits. These are designed to simplify contractual agreements by allowing contract terms to be flexibly adapted to the specific needs of the parties involved.
Three actors, one trust model
A data trustee model involves three key actors: data providers (or owners), data users, and a trustee. The trustee acts as an intermediary, enabling business relationships between the parties. A contractual framework governing their relationship must take into account not only the interests of all three parties but also the applicable legal requirements.
In practice, however, the parties often lack access to the necessary legal expertise, or it is only available at high cost. This creates challenges in drafting contracts and increases the risk of imbalanced agreements that favor one side at the expense of another.
Contract toolkits as a solution
Contract toolkits can help reduce misuse in data spaces and ensure that the interests of all parties are adequately addressed. These toolkits work by guiding users step by step through different contract components. The process begins with naming the contracting parties. From there, users can choose from a wide range of options to tailor the contract to their needs.
For example, users can specify exactly which data will be exchanged, in what form, and for how long. They can also decide whether third parties should be granted rights to the data, and if so, under what conditions.
Equally important are issues of warranty and liability. The toolkits allow users to address questions such as liability structures, what constitutes a defect in data exchange, and how such cases should be handled.
A contract like a blueprint
The toolkit approach allows users to select legal building blocks in a modular fashion—hence the name. Users are guided from one block to the next, choosing the relevant options until all necessary elements for a valid contract are completed. Explanations are provided along the way to help users understand the purpose of each clause.
Ultimately, the toolkit produces a contract step by step, similar to a multiple-choice process. Based on their inputs, users receive a complete draft that is tailored to their specific requirements. This minimizes liability risks and strengthens trust in the data trustee model.
By providing contractual safeguards, each party receives protection, with fallback options to statutory rules where needed. In this way, risks associated with data spaces—such as data protection breaches due to faulty anonymization and unauthorized access to personal data—can be addressed contractually. As a result, users can participate in data spaces with confidence, without the fear of being left unprotected in the event of misuse or unforeseen problems.
Who is behind this research
The Chair of Legal Informatics (Prof. Dr.-Ing. Christoph Sorge) at Saarland University works at the intersection of digital law, IT security, and data protection. The chair is part of the Faculty of Law, is affiliated with the CISPA Helmholtz Center for Information Security, and is associated with the Faculty of Mathematics and Computer Science. Legal scholars and computer scientists collaborate in an interdisciplinary team on issues at the interface of both fields, such as data protection and IT security in application areas like machine learning and the Internet of Things.