Von Stefan Krüger und Annette Schrickel *)Es ist ein kurioser Anachronismus des 21. Jahrhunderts: Unsere Gesetze kennen Eigentums- oder eigentumsähnliche Rechte an Sachen, Grundstücken, schöpferischen Werken oder Computerprogrammen, aber nicht an Daten.Fakt ist: Es gibt keine gesetzlichen Regelungen dazu, welche Rechte an Daten bestehen und vor allem: wem solche Rechte zustehen – und das, obwohl die Monetarisierung von Daten für Unternehmen inzwischen sogar wertvoller sein kann als ihre Produkte und Dienstleistungen selbst. In diesem rechtlichen Niemandsland lauern für Unternehmen zahlreiche Risiken und Herausforderungen, zumal es häufig an Strategien zum bilanziellen und steuerlichen Umgang mit Daten fehlt.Bislang ist völlig unklar, wem erhobene Daten gehören. Haben etwa die Fahrzeug- oder die Sensorenhersteller oder unter Umständen sogar die Softwareproduzenten Anspruch auf die Daten von vernetzten Fahrzeugen? Oder gehören die Daten den Fahrern und müsste man diese an der Nutzung “ihrer” Daten wirtschaftlich beteiligen?Derzeit gilt hier allein die Macht des Faktischen: Wer die Daten hat, kann sie – im Rahmen des datenschutzrechtlich Zulässigen – nutzen. Das bedeutet aber auch, dass niemand dafür belangt werden kann, wenn er Daten nutzt, die etwa nach einem Datenleck oder einem Hackerangriff im Internet oder anderweitig zugänglich gemacht werden – außer natürlich der Hacker selbst.Es ist mitnichten so, dass es in Deutschland keine Gesetze gibt, die den Schutz von Daten betreffen. Viele dieser Gesetze sind jedoch nur in Ausnahmefällen einschlägig, sie schützen also nur spezielle Datenarten oder nur in besonderen Situationen. So kann etwa das Datenschutzgesetz nur bei personenbezogenen Daten angewandt werden, sprich den Datensätzen, die bestimmten Individuen zugeordnet werden können. Und es schützt nur den Einzelnen vor dem Missbrauch seiner Daten. Wem das wirtschaftliche Verwertungsrecht an den Daten zusteht, wenn das Datenschutzrecht eingehalten ist, regelt es nicht. Auch ein Eigentumsrecht scheidet aus, da es an der körperlichen Abgrenzbarkeit der Daten fehlt. Lückenhafter SchutzTeilweise folgt das Recht an Daten auch der Berechtigung am Speichermedium. Ein Beispiel: § 303 a Strafgesetzbuch, welcher die Datenveränderung bestraft. Geschützt wird damit der Betreiber des Servers, auf dem die Daten gespeichert sind. Dieser Ansatz bietet nur lückenhaften Schutz, denn dabei werden nicht die Daten selbst geschützt, sondern nur das Speichermedium. Dessen Inhaber kann sich mit dieser Norm gegen den Hacker wehren, aber sie verhindert nicht die Nutzung der Daten durch Dritte.Der Ansatz, das Recht an Daten an das Eigentum am Speichermedium zu koppeln, ist in Zeiten der Cloud längst überholt. Da es bei Daten regelmäßig an einer eigenen geistigen Schöpfung des Urhebers fehlt, kommt aber auch das Urheberrecht nur in Sondersituationen zum Tragen. Fest steht: Der Rechtsrahmen bei der Kommerzialisierung von Daten ist ein Flickenteppich – mit mehr Löchern als Flicken.Die Gesetzgeber in Berlin und Brüssel diskutieren derzeit eine Lösung. Dabei ist aber noch nicht einmal klar, ob es überhaupt ein Datengesetz geben, geschweige denn wie es ausgestaltet sein wird. Einige befürchten, ein Gesetz könne zur Monopolisierung von Daten führen, während es für die Wirtschaft besser wäre, Daten möglichst frei zu teilen. Dieses Argument überzeugt jedoch nicht, denn die Tatsache, dass es keinen gesetzlichen Schutz gibt, führt nicht dazu, dass die Inhaber von Daten diese teilen. Im Gegenteil, aus Angst vor Missbrauch schützen sie ihre Daten wie Gollum seinen Ring.Eine gesetzliche Regelung wäre also für die Kommerzialisierung und das Data Sharing hilfreich, das betriebs- wie volkswirtschaftlich immense Vorteile realisieren kann. Ferner würde eine Grundlage für die Besteuerung von Daten und deren Nutzungen geschaffen werden. Doch der Weg zu einem Gesetz ist noch weit.Derzeit gilt es für Unternehmen, selbst aktiv zu werden, um schon jetzt ihre Daten zu schützen. Dieser Schutz ist ein maßgeblicher Erfolgsfaktor für die zukünftige wirtschaftliche Nutzung von Daten. Wird er vernachlässigt, kann dies zum Verlust der Kommerzialisierbarkeit führen – der rechtliche Schutz, die Wertschöpfung ist ausgeschlossen.Im Rahmen ihrer Datenstrategie sollten Unternehmen daher klären, welchen Mehrwert die Nutzung von Daten für ihr bestehendes Geschäftsmodell bringen kann und welche datengetriebenen Geschäftsopportunitäten möglich sind. Kernstück des zu schaffenden Rechtsrahmens ist eine lückenlose vertragliche Infrastruktur. Sowohl die Generierung der Daten, die konzerninterne Verwendung als auch die Nutzung des Datenpools durch Dritte bedarf detaillierter Verträge, die regeln, welche Daten in welcher Form zu welchem Zweck wie lange genutzt werden dürfen. Häufig sind hierbei steuerliche Vorgaben und Gestaltungsmöglichkeiten zu berücksichtigen.Steuerliche Gestaltungsoptionen müssen zeitgleich mit der Entwicklung der Datenstrategie bewertet werden. Denn eine spätere Umstrukturierung oder Verlagerung der Daten auf andere Gruppengesellschaften kann zu unerwünschten steuerlichen Transaktionskosten bis hin zur Anwendung der Grundsätze der Funktionsverlagerung führen.Daten als zunehmend kritischer Erfolgsfaktor verändern – losgelöst von physischer Präsenz – die Wertschöpfung in Unternehmen. Dadurch kann sich der Ort der Gewinnbesteuerung verlagern. Die bestehenden Steuergesetze bilden die Besteuerung digitaler Geschäftsmodelle gleichwohl nur unzureichend ab. Zusammen mit zunehmenden Transparenzvorschriften sorgen die Rechtsunsicherheit und die steigende Prüfungsintensität seitens der Finanzverwaltungen dafür, dass sich Unternehmen steuerlich klar positionieren müssen. Klare StrukturenDeshalb sollten Unternehmen klare Strukturen schaffen, um steuerliche Risiken zu minimieren und Gestaltungsmöglichkeiten zu nutzen. Ein durchdachtes Verrechnungspreissystem, sowohl konzeptionell wie auch dokumentiert, ist unerlässlich, um datenbezogene Geschäftsvorfälle zwischen den Konzerngesellschaften ertragsteuerlich angemessen abzubilden.Zudem sollten Unternehmen für eine korrekte umsatzsteuerliche Behandlung von Geschäftsbeziehungen zu Datenprovidern, Kunden und Konzerngesellschaften sorgen. Auch die Klärung möglicher Quellenbesteuerung durch Rechteüberlassung und die steuerliche Förderung von Innovationsprojekten im In- und Ausland sind wichtige Schwerpunkte. Außerdem sollten Unternehmen die Entstehung latenter Steuern bei Auseinanderfallen von handels- und steuerbilanziellen Ansätzen im Blick behalten. Transparenz für KapitalmarktNeben dem Recht an Daten und der steuerlichen Handhabung spielt auch die Bilanzierung eine wichtige Rolle. Daten können nicht nur eine Schlüsselgröße zur Bestimmung des Unternehmenswertes darstellen – ihre Bilanzierung in der externen Berichterstattung kann auch eine höhere Transparenz für den Kapitalmarkt schaffen und – abhängig von der Risikoeinschätzung durch Analysten und Banken – so für bessere oder schlechtere Finanzierungskonditionen sorgen.Vor diesem Hintergrund sollten Unternehmen prüfen, wie ihre Daten bilanziert werden und welche Ansatzpunkte es zur Ermittlung des beizulegenden Zeitwertes gibt. Darüber hinaus ist zu analysieren, welche Daten ungenutzt bleiben und Kosten verursachen, aber auch inwieweit diese ein Risiko für das Unternehmen darstellen und zu einer bilanziellen Verbindlichkeit werden können, wenn sie schlecht verwaltet oder gesichert sind. Auch Wertminderungen müssen berücksichtigt werden – beispielsweise nach Cyberangriffen.Es zeigt sich, dass Unternehmen bei der Kommerzialisierung ihrer Daten selbst aktiv werden müssen, um im rechtlichen Niemandsland ihre Daten zu schützen und sich dabei steuerlich wie bilanziell klug aufzustellen. *) Dr. Stefan Krüger ist Partner von EY Law und leitet den Bereich Digitales Recht in Deutschland, Österreich und der Schweiz. Annette Schrickel ist Partner von EY im Bereich International Tax and Transaction Services und leitet die Steuerabteilung am Standort Frankfurt/Eschborn.