Abgeleitete Daten / Aus anderen Daten gewonnen: Definition und Kernkonzepte

Abgeleitete Daten bezeichnen Informationen, Datensätze oder Schlussfolgerungen, die durch Verarbeitung, Analyse, Transformation oder Extraktion aus bestehenden Datenquellen erstellt werden – und nicht direkt durch Ereignisse, Experimente oder Beobachtungen erhoben werden. Anders als Roh- oder Primärdaten (wie Sensorwerte oder Originaldokumente) sind abgeleitete Daten ein Sekundärprodukt, häufig verfeinert, aggregiert oder interpretiert. Diese Unterscheidung ist in rechtlichen, regulatorischen und technischen Kontexten grundlegend, da der Status und die Behandlung abgeleiteter Daten unterschiedliche Verpflichtungen für Organisationen, Datennutzer und -verarbeiter auslösen können.

Zum Beispiel werden in der Luftfahrt Überwachungsdaten des Luftverkehrs aus Radarechos abgeleitet und zu Flugzeugspuren oder Konfliktwarnungen verarbeitet. In der Cybersicherheit werden Bedrohungsinformationen aus Protokollen, Netzwerkaktivitäten und Vorfallhistorien abgeleitet. Jede Transformation führt neue Metadaten, potenzielle Fehler und Compliance-Aspekte ein, wie Rückverfolgbarkeit und das Risiko der Re-Identifikation bei personenbezogenen Daten.

Das Management abgeleiteter Daten ist ein Grundpfeiler der Data-Governance im Lebenszyklus von Daten. Abgeleitete Produkte – wie Analyseberichte oder zusammenfassende Statistiken – müssen sowohl gemäß den Eigenschaften der Ursprungsdaten als auch den durch die Ableitung eingeführten Merkmalen verwaltet werden, einschließlich Genauigkeit, Herkunft und Einhaltung von Datenschutz- oder Sicherheitsanforderungen.

Quelldaten: Die Grundlage der Ableitung

Quelldaten sind die originalen, unverarbeiteten Informationen, die direkt an ihrem Ursprung erhoben werden – etwa durch Sensoren, manuelle Eingaben oder direkte Beobachtung. Beispiele sind Rohdaten über Flugzeugtelemetrie, unbearbeitetes Videomaterial, Umfrageantworten oder Transaktionsprotokolle. Die Integrität und Sicherheit von Quelldaten sind entscheidend, da Fehler oder Verzerrungen auf dieser grundlegenden Ebene sich in allen abgeleiteten Daten fortsetzen.

Für Quelldaten gelten oft strengere Kontrollen hinsichtlich Zugriff, Änderung und Aufbewahrung. In der Flugsicherheit beispielsweise werden Aufzeichnungen von Cockpit-Voice- und Flugdatenschreibern im Originalzustand aufbewahrt, um eine genaue Rekonstruktion von Vorfällen zu gewährleisten. Die Aufrechterhaltung der Beweiskette und aussagekräftiger Metadaten (Zeitstempel, Sensorkalibrierung, Kontext) ist für die Zuverlässigkeit nachfolgender Analysen und regulatorische Compliance unerlässlich.

Abgeleitetes Werk: Geistiges Eigentum und rechtliche Implikationen

Ein abgeleitetes Werk ist neues Material, das durch Anpassung, Modifikation oder Aufbau auf bestehendem Inhalt geschaffen wird. Dies ist im Urheberrecht und in Regierungsverträgen zentral. Abgeleitete Werke können Übersetzungen, Adaptionen, Auszüge oder jede Transformation sein, die wesentliche Elemente des Originals einbezieht.

Beispielsweise ist Software, die aus Open-Source-Code modifiziert wurde, ein abgeleitetes Werk und unterliegt der ursprünglichen Lizenz. In Regierungsverträgen, insbesondere in der Luftfahrt und Verteidigung, erstellen Auftragnehmer abgeleitete Werke, indem sie bereitgestellte Daten verbessern oder analysieren. Die Federal Acquisition Regulation (FAR) unterscheidet zwischen „Daten, die erstmals im Rahmen des Vertrags erstellt werden“ und „Daten, die der Regierung geliefert werden“, jeweils mit unterschiedlichen Datenrechten. Eine ordnungsgemäße Dokumentation sowie die Einhaltung von Lizenz- und Zuschreibungspflichten sind entscheidend, um rechtliche Streitigkeiten zu vermeiden.

Abgeleitete Klassifizierung: Sicherheit und Vertraulichkeit in der nationalen Sicherheit

Abgeleitete Klassifizierung ist ein formeller Prozess, bei dem neue Materialien aus bereits klassifizierten Quellen erstellt werden. In den USA regelt Executive Order 13526 die abgeleitete Klassifizierung und verlangt, dass alle Kennzeichnungen und Deklassifizierungsanweisungen der Ausgangsmaterialien übernommen werden. Im Gegensatz zur originären Klassifizierung erfordert die abgeleitete Klassifizierung keine eigene Autorität, wohl aber strikte Einhaltung der Kennzeichnungs- und Dokumentationsvorgaben.

Dies ist insbesondere in der Luftfahrt wichtig, etwa bei der Zusammenfassung klassifizierter Bedrohungsinformationen oder technischer Schwachstellen. Fehler bei der abgeleiteten Klassifizierung können zu unbefugten Offenlegungen oder rechtlichen Haftungen führen, weshalb Dokumentation und Compliance entscheidend sind.

Limited Rights Data und Restricted Computer Software: Datenrechte in Bundesverträgen

Limited Rights Data und Restricted Computer Software sind Begriffe für geistiges Eigentum, das im Rahmen von Regierungsverträgen geschaffen oder geliefert wird. Limited Rights Data umfasst technische Daten, die auf eigene Kosten entwickelt wurden und proprietäre oder sensible Informationen enthalten können; die Nutzung durch die Regierung ist in der Regel auf interne Zwecke beschränkt. Restricted Computer Software bezieht sich auf Software, die auf eigene Kosten entwickelt wurde, als Geschäftsgeheimnis gilt oder dem Urheberrecht unterliegt, wobei die Regierung nur zur Ausführung – nicht zur Änderung oder zum Reverse Engineering – berechtigt ist.

Auftragnehmer müssen ihre Rechte bei Vertragsabschluss oder Datenlieferung geltend machen, indem sie vorgeschriebene Legenden oder Hinweise verwenden. In der Luftfahrt stellt die korrekte Kennzeichnung sicher, dass proprietäre Software oder Daten geschützt sind und gleichzeitig den Regierungsbedarf abdecken. Das Versäumnis, Rechte ordnungsgemäß geltend zu machen, kann zum Verlust des Schutzes und zu unbeabsichtigter Offenlegung führen.

Sekundärnutzung und Datenschutz: Regulatorische Schutzmechanismen

Sekundärnutzung ist die Wiederverwendung oder Weiterverarbeitung personenbezogener Daten zu anderen als den ursprünglichen Erhebungszwecken. Nach dem UK GDPR und Data Protection Act 2018 ist die Sekundärnutzung streng reguliert, um die Privatsphäre zu schützen. Organisationen müssen sicherstellen, dass der neue Zweck mit dem ursprünglichen vereinbar ist, eine rechtmäßige Grundlage besteht und die Vorgaben zur Datenminimierung und Sicherheit eingehalten werden.

So dürfen Strafverfolgungsbehörden Daten, die zu Ermittlungszwecken erhoben wurden, nicht für andere Zwecke verwenden, es sei denn, dies ist ausdrücklich genehmigt. Für besondere Kategorien (z. B. biometrische Daten) oder strafrechtlich relevante Daten gelten zusätzliche Schutzvorkehrungen, die strengere Bedingungen und ggf. Datenschutz-Folgenabschätzungen (DPIA) erfordern. Organisationen müssen die Verarbeitungstätigkeiten dokumentieren und die Einhaltung nachweisen, um Sanktionen zu vermeiden.

Frucht des verbotenen Baumes: Ausschlussregel im Strafbeweisrecht

Die Frucht des verbotenen Baumes-Doktrin im US-amerikanischen Recht schließt Beweise aus, die durch illegale Durchsuchungen oder Beschlagnahmen erlangt wurden, ebenso wie alle daraus abgeleiteten Beweise. Diese Doktrin soll Verstöße gegen den vierten Verfassungszusatz abschrecken, indem solche Beweise vor Gericht unzulässig sind. In der Luftfahrt werden zum Beispiel Beweise aus unbefugten Gepäckdurchsuchungen oder unrechtmäßig abgerufenen Aufzeichnungen ausgeschlossen.

Es gibt Ausnahmen, darunter die Good-Faith-Exception (gutgläubiges Vertrauen auf einen gültigen Durchsuchungsbefehl), die Independent-Source-Doktrin (Beweise, die unabhängig von der illegalen Handlung erlangt wurden) und die Inevitable-Discovery-Regel (Beweise, die ohnehin rechtmäßig gefunden worden wären). Angemessene Schulung und klare Verfahren sind unerlässlich, um sicherzustellen, dass Beweise rechtmäßig erlangt und zulässig sind.

Rechtliche und regulatorische Rahmenbedingungen: Überblick

Nationale Sicherheit und Klassifizierung

Der Umgang mit abgeleiteten Daten im Kontext der nationalen Sicherheit wird durch Gesetze und Executive Orders geregelt, insbesondere die US Executive Order 13526. Alle abgeleiteten Produkte müssen die höchste Klassifizierung der Quelle, ordnungsgemäße Kennzeichnung und Dokumentation beibehalten. Behörden wie DoD, FAA und Geheimdienste verfügen über detaillierte Leitfäden zur Kennzeichnung und Handhabung abgeleiteter Informationen. Verstöße können zu Strafen oder dem Verlust der Sicherheitsfreigabe führen.

Regierungsverträge und Datenrechte

FAR 52.227-14 und verwandte Klauseln regeln den Umgang mit Daten in Bundesverträgen, unterscheiden zwischen Daten, die im Rahmen des Vertrags erstellt wurden, gelieferten, aber nicht erstellten Daten und Drittdaten. Die Rechte der Regierung (unbegrenzt, eingeschränkt, limitiert) hängen von der Finanzierung und den Vertragsbedingungen ab. Auftragnehmer müssen Rechte bei der Einreichung kennzeichnen und dokumentieren. Unterbleibt dies, kann der Schutz verloren gehen. Die Weitergabe der Rechte an Unterauftragnehmer und eine klare Dokumentation sind für die Compliance erforderlich.

Verarbeitung personenbezogener Daten und Strafverfolgung

Die Verarbeitung personenbezogener Daten, insbesondere durch Strafverfolgungsbehörden, ist nach UK GDPR, DPA 2018 und anderen Rahmen streng geregelt. Abgeleitete personenbezogene Daten – wie Verhaltensprofile oder Analysen – müssen mit derselben Sorgfalt behandelt werden wie direkt erhobene Daten. Strafverfolgungsbehörden dürfen Daten nicht ohne ausdrückliche gesetzliche Grundlage für andere Zwecke verwenden, und besondere Kategorien (z. B. biometrische oder Gesundheitsdaten) unterliegen weiteren Bedingungen und Schutzvorkehrungen.

Strafverfahren und Ausschlussregel

Gerichte prüfen die Zulässigkeit von Beweismitteln besonders kritisch, wenn diese aus unrechtmäßigen Handlungen stammen. Die Ausschlussregel und die „Frucht des verbotenen Baumes“-Doktrin verlangen eine Überprüfung der Kausalitätskette, erkennen aber Ausnahmen an, wenn ein Ausschluss nicht gerechtfertigt ist. Diese Standards gelten sowohl für physische als auch digitale Beweise.

Operative Prinzipien und Compliance-Checklisten

Abgeleitete Klassifizierung (nationale Sicherheit)

• Quellenidentifikation: Alle Quelldokumente auf Klassifizierung, Deklassifizierungsfristen und Zusatzvermerke prüfen.
• Kennzeichnung: Höchste Klassifizierung anwenden und Deklassifizierungsanweisungen übernehmen.
• Dokumentation: Alle Quellen zur Nachvollziehbarkeit auflisten.
• Schulung: Schulung alle zwei Jahre absolvieren und dokumentieren.
• Verantwortlichkeit: Klassifizierer auf jedem Dokument kennzeichnen.
• Aufzeichnungen: Klassifizierungsmaßnahmen und Audits dokumentieren.

Datenrechte in Regierungsverträgen

• Datenidentifikation: Daten nach Ursprung und Finanzierungsquelle unterscheiden.
• Rechtsgeltendmachung: Begrenzte oder eingeschränkte Rechte bei der Einreichung mit entsprechender Dokumentation geltend machen und kennzeichnen.
• Lizenzierung: Lizenzen für Drittkomponenten sichern.
• Hinweise: Vorgeschriebene Legenden/Hinweise an Lieferungen anbringen.
• Flow-Down an Unterauftragnehmer: Einheitliche Rechte und Pflichten in der Lieferkette sicherstellen.
• Aufzeichnungen: Umfassende Dokumentation für Audits und Streitfälle führen.

Weitergabe und Verarbeitung personenbezogener Daten

• Bewertung: Notwendigkeit und Verhältnismäßigkeit der Sekundärnutzung prüfen.
• Rechtsgrundlage: Gesetzliche Grundlage identifizieren und dokumentieren.
• Rechtmäßigkeit: Zulässigkeit nach DSGVO bestimmen (öffentliches Interesse, Einwilligung etc.).
• Besondere Daten: Bedingungen für besondere Kategorien/strafrechtliche Daten einhalten.
• Minimierung: Umfang der Daten beschränken; soweit möglich Anonymisierung oder Pseudonymisierung nutzen.
• Compliance: Laufende Kontroll- und Transparenzmaßnahmen implementieren.

Ausschluss von Strafbeweisen

• Erwerbsprüfung: Rechtmäßigen Erwerb der Beweise bestätigen.
• Ableitung prüfen: Beweiskette und Herkunft analysieren.
• Ausnahmen prüfen: Anwendbarkeit von Ausnahmen bewerten.
• Widerspruchsverfahren: Zulässigkeitseinwände rechtzeitig erheben.
• Dokumentation: Umfassende Aufzeichnungen zu Beweisen und Verfahren führen.

Beispiele und Anwendungsfälle

Nationale Sicherheit: Erstellung einer abgeleiteten Geheimdienstzusammenfassung

Ein Luftfahrtsicherheitsanalyst erhält eine klassifizierte Bedrohungsbewertung. Um die Führungsebene zu informieren, fasst der Analyst die wichtigsten Erkenntnisse für das Publikum zusammen, paraphrasiert sie und versieht die Zusammenfassung mit derselben Klassifizierung wie die Quelle, einschließlich Deklassifizierungsanweisungen und Quellverweisen. Dies gewährleistet Schutz und Nachvollziehbarkeit gemäß Executive Order 13526.

Regierungsverträge: Leistungsberichte auf Basis von Testdaten

Ein Verteidigungsauftragnehmer nutzt von der Regierung bereitgestellte Testdaten, um Leistungsberichte mit eigenen Algorithmen zu erstellen. Die Rohdaten (im Rahmen des Vertrags erstellt) werden mit unbegrenzten Rechten an die Regierung geliefert; proprietäre Erweiterungen werden als Limited Rights Data oder Restricted Software mit entsprechenden Hinweisen geltend gemacht und schützen so die Interessen beider Parteien.

Personenbezogene Daten: Weitergabe von Ermittlungsdaten an zivile Behörden

Eine Strafverfolgungsbehörde erhebt personenbezogene Daten im Rahmen einer Ermittlung. Später bittet eine zivile Behörde um die Daten zur statistischen Auswertung. Vor der Weitergabe prüft die Behörde die Rechtsgrundlage, stellt die Vereinbarkeit mit dem ursprünglichen Zweck sicher, minimiert den Datensatz und dokumentiert die Einhaltung von DSGVO und DPA 2018.

Fazit

Abgeleitete Daten – ob in Regierung, nationaler Sicherheit, Wirtschaft oder im privaten Bereich – bringen einzigartige rechtliche, regulatorische und operative Implikationen mit sich. Organisationen müssen zwischen Quell- und abgeleiteten Daten unterscheiden, geistiges Eigentum und Datenrechte verwalten, Sicherheits- und Datenschutzvorgaben einhalten und einen rechtmäßigen Umgang mit Beweismitteln sicherstellen. Sorgfältige Dokumentation, Compliance-Checklisten und kontinuierliche Schulung sind entscheidend, um Risiken zu minimieren und den Wert abgeleiteter Informationen zu maximieren.