Produkthaftung

Compliance-Fragen in der Industrie 4.0

| Autor / Redakteur: Martin Kuppinger* / Stephan Augsten

Sobald Maschinen eigenständige Entscheidungen treffen können, stellt sich zwangsläufig die Frage nach den Verantwortlichkeiten.
Sobald Maschinen eigenständige Entscheidungen treffen können, stellt sich zwangsläufig die Frage nach den Verantwortlichkeiten. (Bild: Archiv)

Industrie 4.0 und das Internet der Dinge (Internet of Things, IoT) haben die Diskussion um IT-Sicherheit befeuert. Gleichzeitig sind Fragen der Produkthaftung in vielen Unternehmen in den Fokus gerückt. Wer ist eigentlich für was verantwortlich, wenn eine Firma vernetzte Dinge vertreibt beziehungsweise selbst einsetzt?

In der Welt des Smart Manufacturing kommunizieren Dinge, Geräte und Maschinen autonom miteinander. In Echtzeit tauschen sie riesige Datenmengen untereinander aus, um Produkte unter anderem flexibel auf individuelle Wünsche maßzuschneidern.

Vernetzte Güter sind aber logischerweise stärker Gefahren ausgesetzt als andere, indem sie eine zusätzliche Angriffsfläche über das Internet bieten. Im Extremfall können sich Angriffe auf solche cyberphysikalischen Systeme und Services in jeder Hinsicht verheerend auswirken.

Produktsicherheit wird damit zum Thema Nummer 1 für jede Organisation, die vernetzte Dinge verkauft. Diese Dinge enthalten Software, die man „Dinglein“ nennen könnte. Dabei handelt es sich nicht um eine App mit Benutzerschnittstelle, sondern um einen kleinen Code, der sich selbstständig mit Apps und Backend-Services verbindet – genau wie umgekehrt.

Schon beim Programmieren solcher „Dinglein“ gilt es die Prinzipien von Security und Privacy by Design bedingungslos anzuwenden. Sie müssen auch sicher betrieben werden, inklusive einem ausgereiften Konzept für das Patch-Management.

Werden Sicherheitsexperten in Unternehmen damit wieder zu notorischen Neinsagern und Innovationsverhinderern? Höchstens auf den ersten Blick. Sicherheit und Datenschutz sind, richtig angefasst, Chance und Treiber für deutlich höhere Agilität. Das ist ein kritischer Erfolgsfaktor.

Wer den Prinzipien folgt, bringt neue Produkte viel schneller – und sicherer! – auf den Markt. Zwischen Sicherheitsrisiken und einer zu späten Markteinführung muss sich letztlich nur entscheiden, wer sich nicht an ihnen ausrichtet. Das zeigt deutlich, welche Vorgehensweise empfehlenswerter ist.

Komplexes Geflecht von Aktoren

Was soll geschehen, wenn etwas in der durch und durch vernetzten Wertschöpfungskette schiefläuft und physischen Schaden verursacht? Wer ist für die Konsequenzen oder Fehler im Endprodukt verantwortlich? Und wer haftet im Schadensfall für von (semi-)autonomen Maschinen ausgeführte Handlungen?

Mit diesen Fragen befasste sich die Rechtsexpertin Dimitra Kamarinou von der Londoner Queen Mary Universität in einem Vortrag auf der European Identity & Cloud Conference 2016 in München. Schließlich geht es nicht nur um die Verantwortung der eigenen Mitarbeiter

Heutzutage sind viele externe Partner am Produktionsprozess beteiligt, etwa von anderen Unternehmen, staatlichen Organisationen, Zulieferern und Cloud-Service-Providern. In vielen Fällen sind auch die Konsumenten selbst in die Herstellung eines Produkts eingebunden, etwa indem sie dieses online konfigurieren. Ein komplexes und engmaschiges Geflecht von Handelnden also, in dem die Verantwortlichkeiten nicht immer klar zuzuweisen sind.

In jedem Fall gehen sie künftig klar über das reine Produzieren eines Produkts hinaus. Es ist daher zu empfehlen, vorab vertraglich festzulegen, wer gegebenenfalls für welchen Schaden zuständig ist und entsprechend dafür haftet. Das dient auch dazu, die Ursachen herauszufinden, d. h. ob etwa eine bestimmte Handlung den Schaden verursacht hat. Das hilft zudem Versicherern, das Risiko im Voraus zu bewerten und zu kalkulieren.

Es kann zudem entscheidend sein, in welchem Land die Verträge geschlossen werden, da die Gesetze bezüglich Produkthaftung sich teilweise stark unterscheiden. Aufgrund des starken Globalisierungsgrads der Lieferkette in der Industrie 4.0 werden häufig mehrere Länder und Gesetzgeber involvier sein. Erschwert werden diese Umstände auch noch durch die Fragen, ob es sich um ein B2B- oder B2C-Geschäft handelt.

Kundeninformationen müssen künftig wohl auch Hinweise enthalten, wie lange ein Produkt bei normalem Gebrauch hält und wann bzw. wie oft ein Update notwendig ist. Hinzukommen sollte eine Information darüber, wie lange Updates überhaupt erhältlich sind, was also passiert, wenn der Lebenszyklus der Hardware den der Software weit übersteigt.

Verantwortlichkeiten sind nicht eindeutig

Wenn Maschinen oder Roboter, die ohne zusätzliche Befehle und Kontrolle menschlicher Bediener durch einen Algorithmus selbstständig tätig werden können, außer Kontrolle geraten, stellt sich die Frage der Verantwortlichkeit. Liegt sie beim Entwickler, beim Besitzer, beim Nutzer des Algorithmus, der Maschine selbst oder einer Kombination aus allem?

Die Antwort hierauf ist nicht einfach. Manchmal ist der Prozess, dem der Algorithmus folgt, um eine bestimmte Entscheidung zu treffen, nicht transparent und auch nicht rückverfolgbar. Dann ist auch nicht klar, wer für was wann haftbar zu machen ist.

Martin Kuppinger: „Sicherheit und Datenschutz sind, richtig angefasst, Chance und Treiber für deutlich höhere Agilität.“
Martin Kuppinger: „Sicherheit und Datenschutz sind, richtig angefasst, Chance und Treiber für deutlich höhere Agilität.“ (Bild: KuppingerCole)

Der Nutzen autonomer Maschinen ist für Staaten, Hersteller und Technologiefirmen in jedem Fall zu groß, um ganz darauf zu verzichten. Eine Antwort auf die Frage, ob die Profiteure Kompensationsprogramme für IoT-Opfer finanzieren werden, liegt wohl noch in ganz weiter Ferne.

* Martin Kuppinger ist Gründer des Analystenunternehmens Kuppinger Cole, das sich mit digitalen Identitäten, Identity und Access Management, GRC (Governance, Risk Management, Compliance) und Cloud Computing beschäftigt.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44117332 / Compliance und Datenschutz )