IoT-Recht

Big-Data-Anwendungen – der rechtliche Rahmen

| Autor / Redakteur: Dr. Oliver M. Habel / Nico Litzel

Besondere Herausforderung bei der vertraglichen Gestaltung von Geschäftsbeziehungen zwischen Anbietern von Big-Data- und IoT-bezogenen Anwendungen und den Anwendern in der Industrie die Vielgestaltigkeit der berührten Rechtsbereiche.
Besondere Herausforderung bei der vertraglichen Gestaltung von Geschäftsbeziehungen zwischen Anbietern von Big-Data- und IoT-bezogenen Anwendungen und den Anwendern in der Industrie die Vielgestaltigkeit der berührten Rechtsbereiche. (Bild: Pixabay / CC0)

Die Frage nach Rechten an oder ein Recht auf Zugriff auf maschinen- und personenbezogene Daten ist bei Big Data- und IoT-Anwendungen juristisch noch nicht geklärt, Standardisierungen und Interoparabilitäten sind noch offen. Dieser Beitrag gibt einen Überblick zu den rechtlichen Themen als „need to know“.

Ein Unternehmen aus dem Maschinen- und Anlagenbau bietet Geräte und Maschinen, deren Wartung und Pflege sowie den Verkauf von Ersatz- und Verschleißteilen auch international an (nachfolgend „Hersteller“). Service-Leistungen erfolgen vielfach über einen Remote-Zugang des Herstellers vom Geschäftssitz in Deutschland zu den Geräten/Maschinen bei den Kunden. Neben den allgemeinen branchenspezifischen Erfahrungen sowie dem speziellen technischen und kaufmännischen Know-how des Herstellers hat dieser per Remote Zugriff auf Maschinen- und potenziell auch auf personenbezogene Daten aus dem Betrieb der Anlage von seinen Kunden.

Business Case aus dem Maschinenbau

Der Umfang von Maschinendaten ist um das Vielfache gewachsen, nachdem der Hersteller in den letzten zwei Jahren vielfach Sensoren und andere Datenerfassungseinrichtungen bis in die Kugellager und Beschichtungen der Geräte/Maschinen installiert hat. Diese Datenfülle soll nicht nur für den jeweiligen Kunden ausgewertet werden, sondern auch zu Datenbanken ausgebaut werden, in denen ebenfalls die unstrukturierten Daten durch Einsatz von Analyse-Tools in Kennzahlen und Vergleichswerte umgewandelt werden.

Business Case aus dem Maschinenbau
Business Case aus dem Maschinenbau (Bild: IWW-Institut)

Darauf aufbauend kann der Hersteller dem Kunden ergänzende Leistungen wie z. B. die zeitnahe Auswertung der Produktionsdaten anbieten, aber auch ein anonymisiertes Benchmarking sowie Handlungsempfehlungen und Hinweise auf vorbeugende Wartungsmaßnahmen (Predictive Maintenance) geben oder auch potenziell KI-ausgelöste Regelungen und Steuerungen anbieten. Eine Schnittstelle zu den Warenwirtschaftssystemen (ERP, Enterprise Resource Planning) in der IT der Kunden sowie der ERP beim Hersteller ist ein Teil der Entwicklung. Besonders die internationale Vermarktung soll über eine Cloud-Lösung für den weltweiten Zugriff auf Daten und Tools realisiert werden.

Was sind die rechtlichen Regelungsbereiche, die sich stellen?

Big-Data und IoT: Rechtliche Rahmenbedingungen

In einem ersten Schritt ist im Detail zu verstehen, welche neuen Leistungen vom Hersteller tatsächlich angeboten werden sollen. Sind dies lediglich erweiterte Dienstleistungen wie die Bereitstellung von Produktionsdaten oder der Hinweis auf einsetzende Verschleiße? Sollen automatisierte Bestellungen über Software-Agenten ausgelöst werden? Werden Informationen zu Optimierungsmöglichkeiten bei den Abläufen gegeben oder wird selbst automatisiert in Regelungen und Steuerungen der Anlage beim Kunden eingegriffen? Erfolgt der Datenaustausch direkt oder soll ein Teil der Leistungen über eine Cloud-gestützte Anwendung angeboten werden?

Die Erfassung des Business Case

Es sind also Dienstleistungen ebenso möglicher Gegenstand einer vertraglichen Regelung mit den Kunden wie Werke im Rechtssinn oder Miete und Geschäftsbesorgung. Zudem, wo und bei wem befinden sich die Daten, die die Quelle der neuen Leistungen sein sollen? Wer hat welche Rechte hieran? Wie sind die Interessenlagen beim Hersteller und beim Kunden? Passen eingesetzte Open-Source-Software-Module (wohl immer) bei IoT-Anwendungen in das angedachte Vertriebsmodell wegen der unterschiedlichen Lizenzanforderungen verschiedener Open-Source-Lizenzwerke?

Interne Beteiligte

Es sind die Verantwortungsbereiche auf der Ebene der Unternehmensleitung berührt sowie die Tätigkeit eines möglichen Chief Data Officer, die der Entwicklung, der IT, der Bereiche Service und Vertrieb, des Controlling sowie die von Recht und auch Patent.

Daten = Maschinen- und personenbezogene Daten

Je nach Geschäftsmodell werden personenbezogene oder personenbezogene und Maschinendaten oder nur Maschinendaten erhoben, verarbeitet und genutzt. Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (§ 3 Abs. 1 BDSG). Maschinendaten sind dagegen häufig unstrukturierte Daten, die beim Betrieb einer Maschine anfallen, z. B. vom Einsatzort abhängige Daten zu Temperatur, Licht, Feuchtigkeit, Neigung der Fläche, Erschütterungen, Umwelteinwirkungen, über Betriebsdaten des Geräts oder der Maschine bis hin zu Daten vom Zustand eines Kugellagers oder einer aufgebrachten Legierung.

MERKE: Daten sind nicht gleich Informationen. Daten sind Angaben zu Sachverhalten, Informationen sind dagegen die kognitiven Schlussfolgerungen aus Daten, die also ein Wissen voraussetzen, welche semantische Aussage die Daten haben.

Maschinendaten haben keinen Bezug zu einer Person, personenbezogene Daten können dagegen einer konkreten Personen zugeordnet werden. Für den externen Anbieter von Datenanalyse-Anwendungen können Daten anonym sein, die aber für den Betreiber von Geräten/Maschinen bei Erhalt der Auswertungen wieder konkreten Personen zugeordnet werden können, wie die Produktionsdaten zu einer bestimmten Arbeitsschicht und deren Arbeitnehmern. An Maschinendaten kann der Eigentümer bzw. der Betreiber eines Geräts/einer Maschine ebenso Interesse haben wie der Hersteller des betreffenden Geräts oder ein Zulieferer des Eigentümers/Betreibers des Herstellers, ebenso wie für Dienstleister des Eigentümers/Betreibers.

MERKE: Kann der Hersteller den Eigentümer/Betreiber eines Geräts/einer Maschine technisch an einer Datensammlung hindern? Umgekehrt, kann der Betreiber den Zugriff auf Daten durch Dritte gegen den Willen des Herstellers des Gerätes/der Maschine zulassen? Darf der Hersteller anonymisierte Daten von Kunden an Dritte weitergeben?

Schutz von Daten nach geltendem Recht

Das UrhG gewährt keinen Schutz für Daten an sich. Es kennt aber einen Schutz für Datenbankwerke sowie einen Datenbankherstellerschutz (§§ 4 bzw. 87a ff. UrhG). Letzteres ist eine Option, deren Effektivität für den Schutz der von einem Hersteller geschaffenen Datenbank(en) im Detail zu prüfen ist.

MERKE: § 17 UWG schützt Betriebs- und Geschäftsgeheimnisse. Dort ist der Schutzgegenstand aber das Geheimnis selbst. Die EU-Richtlinie 2016/943 zum vertraulichen Know-how und zu vertraulichen Geschäftsinformationen fordert in Art. 2 Nr. 1 „angemessene Schutzvorkehrungen“ als Voraussetzung für einen Geheimnisschutz. Auch hier sind nicht die Daten selbst, sondern das Geheimnis an ihnen der Schutzgegenstand.

EU-Datenfluss-Freiheit: Im VO-Entwurf der Europäischen Kommission zum freien Fluss von Rohdaten in der EU vom 13.9.17 (COM (2017) 495) final könnte Art. 6 sowie die Erläuterung zu Art. 6 und der Erwägungsgrund 11 einschlägig sein, der Anforderungen für das Angebot für Data Storage und Data Processing Services in Kombination aufstellt. Hier geht es aber um Informationspflichten, also um einen nur mittelbaren, tatsächlichen Schutz von Daten.

Das Datenschutzrecht eröffnet sich nur für der Schutz von personenbezogenen Daten im obigen Sinn. Ein mittelbarer Schutz erfahren Daten durch das Eigentum an dem Datenträger oder einen deliktischen Schutz nach §§ 202a, 303a StGB (Ausspähen von Daten bzw. Datenänderungen).

Der derzeitige Stand der rechtswissenschaftlichen Diskussion verneint in der Mehrheit, dass ein Sonderrechtsschutz von Daten vom Gesetzgeber geschaffen werden sollte. Einem solchen Sonderrechtsschutz steht der Grundsatz der Gemeinfreiheit von Informationen entgegen, da ansonsten eine starke Behinderung des Informationsaustauschs entstehen kann. Auch ist eine Abgrenzung zu anderen Schutzrechten schwierig. Wer sollte hier eine rechtliche Monopolstellung für welche Daten erhalten können?

Es scheint, dass dieses Thema eines möglichen selbstständigen Rechtsschutzes von Rohdaten primär im deutschsprachigen Raum diskutiert wird. In den USA und in Kanada soll diese Diskussion nicht präsent sein. Es wird von vertraglichen Regelungen zu und im Zusammenhang mit Daten als Mittel eines Interessenausgleichs der Beteiligten ausgegangen. Derzeit ist deshalb auf erforderliche vertragliche Regelungen zu Daten zwischen einem Hersteller und seinen Kunden abzustellen.

Maschinendaten des Kunden: Hersteller benötigt Remote-Zugang

Um Services und eine Hotline durchführen zu können, wird der Hersteller einen Remote-Zugang zu dem betreffenden Gerät/der Maschine benötigen, die z. B. vom Geschäftssitz des Herstellers erbracht werden. Dadurch erhält der Hersteller nicht nur von betriebsbezogenen Daten des Kunden Kenntnis, sondern wird diese Daten auch zur Auswertung auf einen Server beim Kunden herunterladen und zu seinen Servern am – zum Beispiel – Geschäftssitz übertragen. Da die Berechtigung an diesen betriebsbezogenen Daten beim Kunden bisher gesetzlich nicht geregelt ist, wird wohl der Kunde keine Einwendungen hiergegen haben, da ansonsten die Services des Herstellers nicht erbracht werden können. Mit der Gewährung des Remote-Zugriffs durch den Kunden ist deshalb die Berechtigung des Herstellers erst einmal durch Gestattung des Zugriffs geregelt.

Wie verhält es sich aber, wenn der Hersteller die heruntergeladenen Daten des Kunden für eigene Zwecke nutzen und verwerten kann, indem er beispielsweise diese Daten in eine Datenbank einstellt und zum Benchmarking nutzt oder über Analyse-Tools verallgemeinerungsfähige Auswertungsmuster aufbaut? Auch stellt damit der Zugriff auf produktions- oder einsatzbezogene Daten des Kunden einen eigenen Wert für den Hersteller dar, sodass man an eine Vergütungspflicht denken könnte. Will der Hersteller aber den Kunden anlässlich seiner künftigen Big-Data- und IoT-Anwendungen hierauf hinweisen, um sich dann selbst zunächst viel Diskussionsbedarf mit den Kunden zu schaffen? Hieran ist ein Hersteller wahrscheinlich erst einmal nicht interessiert.

Mittelfristig wird man aber davon ausgehen können, dass der Kunde diese Thematiken für sich erkennt, sowohl bezogen auf seine Betriebs- und Geschäftsgeheimnisse als auch im Hinblick auf die Vorteile für seine eigenen Zwecke, die der Hersteller anlässlich der Services für den Kunden ziehen kann. Es ist ein Abwägen zwischen Transparenz und finanzieller Fairness einerseits sowie dem Bedürfnis, keine schlafenden Hunde zu wecken.

Rechtlich ließe sich für einen Interessenausgleich daran denken, dass Hersteller und Kunden anlässlich des Erwerbs des Geräts/der Maschine oder bei Abschluss von Service-Verträgen miteinander vereinbaren, dass der Hersteller berechtigt ist, Kundendaten, zu denen er per Modem Zugriff bekommt, ausschließlich anonymisiert auch für eigene Zwecke zu nutzen und der Kunde im Gegenzug hierfür eine Lizenzgebühr zum Beispiel im Wege eines Nachlasses auf den Kaufpreis oder auf die Servicegebühren erhält. Vorteil einer solchen lizenzvertraglichen Regelung kann auch sein, dass die Lizenzgewährung gegen Entgelt damit zu gegenseitigen vertraglichen Hauptleistungspflichten werden, die im Regelfall nicht einer AGB-rechtlichen Kontrolle unterliegen.

Checkliste - Geschäftsbedingungen

1) Hersteller und Kunde sollten eine Regelung zum Umgang mit maschinen- und personenbezogenen Daten aus dem Betrieb des Geräts/der Maschine beim Kunden vereinbaren. Ist keine vertragliche Regelung vorgesehen, sondern erfolgt der Zugang und die Datenübertragung auf faktischer Ebene, spricht hierfür, dass der Kunde diese neuen Leistungsangebote des Herstellers für seinen Betrieb schlicht braucht und der Hersteller sonst nicht leisten kann.

2) Der Hersteller trägt aber das Risiko, dass ihm das Recht auf Zugang und auf Nutzung und Verwertung der anlässlich des Betriebs beim Kunden anfallenden Daten auch jederzeit untersagt werden kann und damit eine Voraussetzung des Geschäftsmodells entfällt und damit der Zugang zu Maschinendaten zu seinen Geräten/Maschinen als Hersteller auf breiter Front nicht gesichert ist. Ein Weg zur Sicherung des Datenzugangs für den Hersteller und für einen Interessenausgleich mit dem Kunden wäre die zuvor vorgestellte lizenzvertragliche Regelung als eine der gegenseitigen Hauptleistungspflichten z.B. eines Kauf- oder Service-Vertrags.

3) Vertragstypologisch werden die Bereitstellung von Auswertungsergebnissen und die Aussprache von Empfehlungen, die auf Big-Data-Analysen und IoT-Anwendungen beruhen, als Dienstleistungen qualifiziert werden können. Soweit vom Hersteller Steuerungen oder Regelungen beim Betrieb des Geräts/der Maschine ausgelöst werden, werden diese Leistungen einen werkvertraglichen Charakter haben, da sie auf den Erfolg der Steuerung oder Regelung angelegt sind. Bietet der Hersteller seinem Kunden an, zum Beispiel auf einer Internet-Plattform in der Cloud selbst Analysen etc. vorzunehmen, kann es sich wie bei „Software as a Service“ (SaaS) um eine mietvertragliche Regelung handeln. Ein gemischter Vertrag aus all diesen drei Leistungsarten ist ebenfalls möglich.

4) Bei der Regelung von Gewährleistung und Haftung gelten besondere Aspekte:

- Die Qualität der Daten, auf die der Hersteller Zugriff nimmt, wird wesentlichen Einfluss auf die Qualität von Analysen und Regelungen haben.
- Die Stabilität des Netzwerks, eine 100 %-ige Verfügbarkeit und die Schnelligkeit der Datenübertragung sind Voraussetzungen für jede Realtime-Anwendung.
- Die Nachweisbarkeit von Rechten des Herstellers an Daten kann Gegenstand einer Haftung für Rechtsmängel sein.
- Unter diesem Aspekt wirkt auch ein möglicher Know-how-Schutz für Kundendaten, die auch anonymisiert für Analysezwecke bereitgestellt werden.

5) Das Recht der AGB im BGB enthält zahlreiche Begrenzungen der Vertragsfreiheit. Wie kann aber eine Gewährleistung für Mängel oder auch eine sonstige Haftung hierfür eingegrenzt werden, wenn das AGB-Recht dies nicht oder nur sehr begrenzt zulässt? Zum Beispiel im Hinblick auf die Qualität von Daten, die Geschwindigkeit der Übertragung und die Stabilität des Netzes sowie bei Einsatz von KI wird man Haftungsregelung lediglich durch vertragliche Zuweisung von Verantwortungen finden können. Dies wird aber zu erhöhtem Diskussionsbedarf führen.

6) Soweit auf der Ebene der Benutzeroberflächen für den Hersteller zum Beispiel das E-Mail-Account eines Arbeitnehmers beim Kunden zugänglich wird oder andere Angaben, die es dem Hersteller auch ermöglichen, eine individuelle Person zu identifizieren, ist der Zugriff auf personenbezogene Daten gegeben. Aber auch dann, wenn der Hersteller eine Anonymisierung auf der Ebene der Benutzeroberfläche technisch realisiert, kann die Auswertung zum Beispiel von betrieblichen Daten der Anlagen, etwa Störungen, Stillstände, Geschwindigkeiten etc., von dem Kunden rückverfolgt werden, sodass auch hier eine Nutzung personenbezogener Daten durch den Hersteller stattfindet und damit das Erfordernis begründet, dass die Übertragung, Bearbeitung und Nutzung dieser gegebenenfalls nur anteiligen personenbezogenen Daten den Anforderungen des BDSG und künftig der DSGVO (ab 25.5.18) entspricht.

7) Service Level und Reaktionszeiten auf Seiten des Herstellers bedürfen einer Regelung.

8) Dem Hersteller werden Verkehrssicherungspflichten bei Steuerungen und Regelungen eines Gerätes/einer Maschine aus seiner gesetzlichen Produkthaftung nach § 823 Abs. 1 BGB treffen.

9) Eine durchsetzbare Geheimhaltungsvereinbarung zum Schutz des Know-how und von Betriebs- und Geschäftsgeheimnissen beim Kunden ist auch unter dem Aspekt von zentraler Bedeutung, weil die EU-Richtlinie 2016/943 zum vertraulichen Know-how und zu vertraulichen Geschäftsinformationen in Art. 2 Nr. 1 „angemessene Schutzvorkehrungen“ als Voraussetzung für einen Geheimnisschutz fordert. Nachdem der Kunde dem Hersteller den Zugang zu seinen betriebsbezogenen Daten geräte- bzw. maschinenspezifisch ermöglicht oder gestattet, kann eine Vertraulichkeitsverpflichtung Voraussetzung für den Fortbestand des Geheimnisschutzes sein.

10) Bei der Regelung zur Laufzeit und zur Kündigung sollte auch geregelt werden, wie der Kunde selbst Zugang zu den betriebsbezogenen Daten des Geräts/der Maschine erhält, wenn der Vertrag endet, ebenso wie welche Nutzungsrechte an Software des Herstellers enden bzw. welche Hardware möglicherweise vom Kunden herauszugeben ist, wenn sie trotz Installation beim Kunden im Eigentum des Herstellers verblieben ist.

Schnittstellen zu den jeweiligen ERP-Systemen

Die Schnittstellen beim Kunden und beim Hersteller zu den jeweiligen ERP-Systemen sind zu schaffen. Ist dies eine lizenzpflichtige erweiterte Nutzung der vorhandenen ERP-Lizenz?

IT-Sicherheit beim Hersteller

Eine ausreichende Ausstattung zur IT-Sicherheit beim Hersteller insbesondere an der Schnittstelle vom Hersteller zum Kunden, aber auch beim Hersteller anlässlich der Vornahme von Auswertungen/Analysen und bei Datenbanken ist eine technische Herausforderung.

Telekommunikationsgesetz/Teledienstegesetz

Soweit der Hersteller eine Internet-Plattform für Kunden bereitstellt oder SIM-Karten in den vertriebenen Geräten/Maschinen verbaut, ist die Anwendbarkeit der Regelungen des Telemediengesetzes und des Telekommunikationsgesetzes zu prüfen, insbesondere auch im Hinblick auf die bereichsspezifischen Datenschutzregelungen.

Interoperabilität unter dem Gesichtspunkt einer Gewährleistung

Auf der Herstellerseite können Prozesse für Standardisierungen und die Schaffung von Interoperabilität auch unter dem Gesichtspunkt einer Gewährleistung zu verfolgen sein.

Künstliche Intelligenz

Schließlich kann zum Beispiel der Einsatz von KI-Tools dazu führen, dass auch Exportkontrollvorschriften bezogen auf bestimmte Software oder Hardware beim Vertrieb zu berücksichtigen sind.

Fazit

Besondere Herausforderung bei der vertraglichen Gestaltung von Geschäftsbeziehungen zwischen Anbietern von Big-Data- und IoT-bezogenen Anwendungen und den Anwendern in der Industrie ist die Vielgestaltigkeit der berührten Rechtsbereiche mit der Besonderheit, dass es noch keine ausgebildeten industrieüblichen Muster gibt, wie mit maschinen- und personenbezogenen Daten und den unterschiedlichen Interessen daran umzugehen ist, wie die Verantwortlichkeiten für Datenqualität, die Stabilität einer Datenübermittlung, für Fehler bei Analysen und Steuerungen/Regelungen geregelt werden können, aber dennoch die engen Grenzen des bestehenden AGB-Rechts im BGB zu berücksichtigen sind. Die fachliche Aufarbeitung beginnt erst.

Autor: RA Dr. Oliver M. Habel, tecLEGAL Habel Rechtsanwälte, München

Der Beitrag ist ursprünglich bei unserem Partner IWW Institut erschienen. Verantwortlicher Redakteur: Jürgen Schreier, Industry of Things

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45274196 / Compliance und Datenschutz )