Die Verarbeitung von Daten in der Smart City birgt sowohl für Einzelpersonen als auch für Gruppen, Unternehmen und die Gesellschaft als Ganzes unterschiedliche Risiken. Bei der Entwicklung innovativer Anwendungen zur Verbesserung kommunaler Leistungen oder planerischer Entscheidungen sind daher nicht nur die Vorteile, sondern auch die unterschiedlichen Nachteile zu berücksichtigen.

Rechtliche Vorgaben, wie das Datenschutzrecht, der Schutz von Geschäftsgeheimnissen, zur IT-Sicherheit und das Wettbewerbsrecht stellen sicher, dass die Nutzung von Daten zu möglichst keinen Nachteilen führt oder zumindest, dass die Vorteile der Datennutzung die Nachteile entscheidend überwiegen. Diese Schutzgesetze bedeuten also nicht, dass Daten grundsätzlich nicht geteilt werden dürfen. Trotzdem sorgen sie oft für Unsicherheit.

Häufig fällt es den Beteiligten schwer, die gesetzlichen Vorgaben richtig zu verstehen und entsprechend umzusetzen. Dadurch wirken rechtliche Hürden größer, als sie tatsächlich sind – und Compliance-Risiken erscheinen schnell als unüberwindbar. In der Folge sehen viele Datenhaltende die Schutzgesetze vor allem als Hindernis bzw. als „Showstopper”. Das führt dazu, dass das gefühlte Risiko beim Teilen oder Nutzen von Daten den möglichen Nutzen überlagert.

Folgende Absätze beschreiben die wichtigsten Schutzgesetze und ihre Funktionsweise.

Rechtliche Vorgaben stellen sicher, dass die Nutzung von Daten zu möglichst keinen Nachteilen führt bzw. dass die Vorteile der Datennutzung die Nachteile entscheidend überwiegen.

Entgegen einer weit verbreiteten Meinung, verbietet der Datenschutz nicht die Verarbeitung personenbezogener Daten, sondern stellt nur Bedingungen für die Verarbeitung auf.

Mit diesen Bedingungen adressiert der Gesetzgeber das in der Praxis über Jahrzehnte beobachtete Problem, dass manche staatliche und wirtschaftliche Akteure zunehmend Informationen über Personen sammeln. Diese Informationen erlauben nicht nur immer weitreichendere Einblicke in das soziale und private Verhalten der Betroffenen. Die Informationen können auch immer leichter für die unterschiedlichsten Zwecke zum Nachteil der Betroffenen verwenden werden, ohne dass die Betroffenen dies wüssten, geschweige denn sich dagegen wehren könnten.

Die Anforderungen an die Verarbeitung personenbezogener Daten variieren je nach Akteur (staatliche Behörde, Unternehmen oder Privatperson) und den damit verbundenen Risiken.

Ein zentraler Grundsatz ist, dass die Datenverarbeiter technisch-organisatorische Schutzmaßnahmen implementieren, die die Betroffenen wirksam vor den Missbrauchsrisiken schützen. Dieser Grundsatz ist essentiell: Denn je besser die Schutzmaßnahmen, die Betroffenen vor den Risiken schützen, desto umfassender dürfen die Datenverarbeiter die Daten nutzen.

Besonders wirksame Schutzmaßnahmen erweitern nicht nur den rechtlichen Spielraum für die Datenteilenden, sondern fördern auch das Vertrauen der Betroffenen und der Allgemeinheit in die Datenverarbeitung. Datenteilende können aus diesem Vertrauen wiederum einen wichtigen Innovations- und Wettbewerbsvorteil erzeugen.

Je besser die Schutzmaßnahmen, die Betroffenen vor den Risiken schützen, desto umfassender dürfen die Datenverarbeiter die Daten nutzen.

Ähnlich wie beim Datenschutz bedeutet auch das Bestehen von Geschäftsgeheimnissen nicht automatisch, dass Daten nicht geteilt werden dürften.

Sind zwischen Datenhaltern und Datennutzern die Geschäftsbeziehungen nicht ausreichend etabliert und/oder gehen mit dem Schutz der Geschäftsgeheimnisse zu viele Unsicherheiten und ggf. auch Kosten einher, dann werden die Daten nicht geteilt, obwohl dies grundsätzlich mit entsprechenden Schutzmaßnahmen möglich wäre - auch, wenn das Datenteilen Vorteile für alle Akteure hätte.

Vertraulichkeitsvereinbarungen regeln alle notwendigen technischen und organisatorischen Maßnahmen, um die Geschäftsgeheimnisse vor dem Zugriff Dritter ihrer Veröffentlichung zu schützen.

Damit Geschäftsgeheimnisse geschützt sind, braucht es objektive Anhaltspunkte, dass der Geheimnisträger diese auch wirklich schützen möchte. Diese Anhaltspunkte können in der Implementierung der bereits erwähnten technischen und organisatorischen Schutzmaßnahmen gesehen werden. Wie schon beim Datenschutz zählen auch hier wieder technische und organisatorische Zugriffskontrollen, aber auch die Anonymisierung unter solche Maßnahmen. Weil der Geschäftsgeheimnisschutz also nicht nur tatsächlich, sondern auch rechtlich mit der wirksamen Implementierung von Schutzmaßnahmen steht und fällt, gibt es in der Praxis insofern eine erhöhte Vorsicht und Unsicherheit.

Das Kartellrecht dient dem Schutz des wirtschaftlichen Wettbewerbs, indem es Unternehmen dazu verpflichtet, im freien Markt um Angebot und Nachfrage fair zu konkurrieren. Wettbewerbswidrige Praktiken wie Preisabsprachen oder Marktaufteilungen, die auf Kosten der Kunden oder Wettbewerber gehen, sind ebenso untersagt wie der Missbrauch von Marktmacht durch wirtschaftlich dominante Unternehmen.

Das Kartellrecht schützt den wirtschaftlichen Wettbewerb, indem es wettbewerbswidrige Praktiken wie Preisabsprachen oder Marktaufteilungen untersagt.

Die Digitalisierung hat die Marktwirtschaft nicht nur durch innovative Produkte und Dienstleistungen erweitert, sondern auch ihre Strukturen tiefgreifend verändert. Dadurch sieht sich das Wettbewerbsrecht mit völlig neuen Herausforderungen konfrontiert. Auch beim Datenteilen zwischen Kommunen und Unternehmen stellen sich wettbewerbsrechtliche Fragen, da der Austausch sensibler Informationen negative Auswirkungen auf den fairen Wettbewerb haben kann.

Neben dem Datenschutz und dem Schutz von Geschäftsgeheimnissen gibt es zunehmend Vorschriften zur Gewährleistung der IT- und Datensicherheit. Diese stellen insb. sicher, dass die Integrität, Verfügbarkeit und Vertraulichkeit der Daten gewährleistet ist.

Ein wichtiges Gesetz für Kommunen ist die KRITIS-Verordnung. Sie zielt darauf ab, den Schutz von Infrastrukturen sicherzustellen.

Die rechtlichen Anforderungen an die Verarbeitung von Daten in der Smart City sind komplex und erfordern eine präzise Abstimmung zwischen Akteuren aus verschiedenen Disziplinen. Um den rechtlichen Anforderungen zu genügen, müssen Verwaltungen, Unternehmen und andere Stakeholder technische und organisatorische Maßnahmen umsetzen. Dies wiederum erfordert eine systematische und kooperative Herangehensweise.

Angesichts dieser Herausforderungen wird die Einbindung spezialisierter Intermediäre, die als vertrauenswürdige Instanzen agieren, immer wichtiger.

Um den rechtlichen Anforderungen zu genügen, müssen Stakeholder miteinander kooperieren.