Industrial Internet of Things (IIoT): Rechtlicher Handlungsbedarf für Unternehmen

bei

Internet der Dinge (IoT)
 / 27. February. 2018

Wenn in der Tagespresse über das Internet of Things (IoT) berichtet wird, geht es meist um die Vernetzung „intelligenter“ Haushaltsgeräte (den Kühlschrank, der rechtzeitig frische Milch bestellt) oder „connected cars“, die große Datenmengen sammeln und damit auch Unfälle verhüten können. Eine wesentlich bedeutendere (R)evolution bahnt sich aber gerade in der Industrie an, in der das Industrial Internet of Things (IIoT) die Digitalisierung der Produktion beschleunigt und wie gleich noch gezeigt wird, spielt das Recht dabei eine Schlüsselrolle.

Während heute Fertigungsanlagen noch überwiegend als „stand alone“ Maschinen betrieben werden, arbeiten in der Fabrik der Zukunft Maschinen, die nicht nur untereinander, sondern auch mit externen Zulieferern und Kunden vernetzt sind und miteinander kommunizieren. Das hat viele Vorteile für beide Seiten und ermöglicht neue Geschäftsmodelle wie die vorbeugende Wartung von Industrieanlagen (Predictive Maintenance) oder auch Products as a Service, die ihre Instandhaltung und weitere Dienstleistungen bereits beinhalten. Anstelle eines einmaligen Verkaufs tritt zunehmend die zeitweise Überlassung von Maschinen, deren Abrechnung ähnlich wie bei Software as a Service Lösungen nach dem Umfang ihres Gebrauchs und der damit erzeugten Güter abgerechnet wird. Möglich wird das durch Sensoren, die ihre Messdaten während der gesamten Nutzung der Maschine an den Hersteller liefern, der dann genaue Aussagen darüber treffen kann, wann welche Ersatzteile benötigt werden und mit welcher Lebensdauer der Maschine gerechnet werden kann. Der Anlagenbetreiber kann damit kostspielige Standzeiten vermeiden, während der Hersteller seine Produkte verbessern und zugleich neue Einnahmequellen erschließen kann. Häufig werden dabei aber die rechtlichen Aspekte nicht rechtzeitig berücksichtigt, auf die jedes Unternehmen die richtigen Antworten finden muss.

Wem gehören die Maschinendaten im Industrial Internet of Things?

Bevor Maschinendaten ausgelesen werden, um rechtzeitig Verschleißteile ersetzen zu können, muss die Frage geklärt werden, wem die Daten gehören und ob dafür die vorherige Zustimmung des Kunden als Maschineneigentümer und/oder Betreiber benötigt wird. Derzeit gibt es aber (noch) kein Eigentum an Daten, obwohl Maschinendaten oft wertvolle Unternehmensassets darstellen.
Wer die Kontrolle über seine Produktionsdaten behalten will, muss deshalb seine Anlagen nicht nur technisch absichern, sondern auch mit rechtlichen Mitteln dafür sorgen, dass er allein bestimmen kann, was mit seinen Maschinendaten geschieht und wer sie nutzen darf. Das ist allein mit einer üblicherweise verwendeten Vertraulichkeitsvereinbarung (dem Non-Disclosure Agreement, kurz „NDA“) nicht möglich, sondern bedarf eines Datennutzungsvertrages oder eines sogenannten Data Licensing Agreement (DLA) zwischen den Beteiligten. Dem Recht an Daten und damit auch den Verträgen die es regeln, kommt also entscheidende Bedeutung dafür zu, wer welche Daten zu welchen Zwecken nutzen darf.

Schutz von Geschäftsgeheimnissen im IIoT durch Industrial Security
Agreements

Allein mit dem Abschluss solcher Data Licensing Agreements ist es aber nicht getan. Unternehmen, die sich das Industrial Internet of Things zunutze machen wollen, müssen auch daran denken, sich vor ungewollten Datenabflüssen an Wettbewerber und Produktpiraten zu sichern. Nach einer Studie des Branchenverbandes Bitkom sind über die Hälfte aller deutschen Unternehmen in den vergangenen zwei Jahren Opfer von Wirtschaftsspionage, Sabotage oder Datendiebstahl geworden. Den dadurch entstandenen Schaden beziffert der Verband auf 110 Milliarden Euro. Mittlerweile betreiben auch viele Geheimdienste aktive Industriespionage und investieren hohe Summen, um ihrem Land im Wettlauf um neue Technologien einen der vorderen Plätze zu sichern.

An die Anlagensicherheit wird aber in deutschen Unternehmen noch viel zu wenig gedacht und wenn dies doch geschieht, fehlt es häufig dennoch an einem zumindest ausreichenden Sicherheitsniveau bei den Datenempfängern. Nur wenn in der gesamten digitalen Supply Chain vergleichbare Maßnahmen für eine sichere Produktion getroffen werden, können teure Datenverluste vermieden werden. Das verlangt auch der Schutz von Geschäftsgeheimnissen, der nach der neuen EU-Know-how Schutzrichtlinie nur noch gewährt wird, wenn die betroffenen Informationen angemessenen Geheimhaltungsmaßnahmen unterworfen wurden. Das bedeutet, dass vertrauliche Geschäftsinformationen nur noch dann der gesetzliche Schutz für Geschäftsgeheimnisse zuteilwird, wenn sie mit technischen Mitteln und vertraglichen Vereinbarungen vor einer rechtswidrigen Nutzung geschützt wurden. Dazu müssen mit allen Partnern in der gesamten Lieferkette Industrial Security Agreements (ISA) geschlossen werden, die ein einheitliches Schutzniveau sicherstellen. Das ist nicht trivial und erfordert immer individuelle Lösungen, da nicht alle Daten und Geschäftsinformationen denselben Schutz benötigen und Zulieferer oder Dienstleister ihre eigenen Schutzkonzepte entwickelt haben, die sich nicht immer mit denen ihrer Auftraggeber decken und gravierende Lücken aufweisen können. Nur wenn Recht und Technik ineinandergreifen und der Anwalt nicht zu spät eingebunden wird, lassen sich Lösungen finden, die nicht nur die „Compliance“ gewährleistet, sondern dafür sorgen, dass aus Daten auch Produkte werden können. Wenn dann physische Produkte und Daten in neuen Product-Service Systems (PSS) vereint werden, erfordert das auch geeignete Verträge, mit denen die daraus entstehenden Rechte und Verantwortlichkeiten geregelt werden.

Nutzung personenbezogener Daten im Industrial Internet of Things

Schließlich werden im IIoT häufig auch personenbezogene Daten ausgetauscht. Das ist aber nur dann zulässig, wenn es eine gesetzliche Erlaubnis dafür gibt oder die betroffenen Personen darin eingewilligt haben. Auch Maschinendaten sind oft mit personenbezogenen Daten, etwa über den sie bedienenden Mitarbeiter verknüpft und können erst dann genutzt werden, wenn die datenschutzrechtlichen Konsequenzen bedacht wurden. Wer heute noch meint, dass Datenschutzverstöße lediglich ein Kavaliersdelikt darstellen, wird sich bald auf unangenehme Überraschungen einstellen müssen, denn ab 25. Mai 2018 ist die Europäische Datenschutzgrundverordnung (DSGVO) anzuwenden, die in solchen Fällen Geldbußen von bis zu 20 Millionen Euro oder 4% des (konzernweiten) Jahresumsatzes vorsieht. Um dem zu begegnen, muss der Schutz personenbezogener Daten schon bei der Produktentwicklung berücksichtigt werden („Data Protection by Design“) und auch in der Produktionsstraße umgesetzt werden.

Neue rechtliche Herausforderungen in der Fabrik der Zukunft

Anlass den Datenschutz in die Geschäfts- und Produktionsprozesse zu integrieren bietet vor allem eine noch junge Entwicklung im Industrial Internet of Things: Dort gelangen nämlich zunehmend Assistenzsysteme zum Einsatz, die der Unterstützung der Mitarbeiter bei der Herstellung von Produkten dienen sollen. Je mehr sich diese Systeme durchsetzen, umso mehr personenbezogene Daten fallen dabei aber auch an. Wenn etwa der Arbeitshandschuh mit einem Barcodescanner ausgestattet ist, der die Arbeitsschritte seines Trägers aufzeichnet, dann muss vor dem ersten Einsatz geprüft werden, ob es dazu der Einwilligung des Arbeitnehmers oder eines Betriebsratsbeschlusses bedarf. In der Fabrik der Zukunft kommunizieren Bauteile mit dem Monteur und geben ihm eine akustische und/oder sensorische Rückmeldung, wenn sie fachgerecht verbaut wurden. Heute noch rein lokale Arbeitsplätze in der Fertigungsstraße werden mit anderen Standorten vernetzt sein, sodass ein Monteur in Asien und sein deutscher Kollege mittels Übertragung von Augmented Reality Daten und anderen Technologien zusammenarbeiten können, ohne ihre Produktionsstätten verlassen zu müssen. Die Vorteile einer derart vernetzten Produktion, die durch das Industrial Internet of Things erst möglich wird, liegen auf der Hand: weniger Fehler bei der Endmontage, was auch eine teure Produkthaftung vermeiden hilft, eine verbesserte Qualitätskontrolle und nicht zuletzt weniger Arbeitsunfälle sind nur einige davon. Das Beispiel verdeutlicht aber zugleich, dass Maschinendaten und personenbezogene Daten oft nicht mehr zu trennen sein werden und tiefe Einblicke in die Produktion zulassen, die nur den dazu befugten Personen gewährt werden sollten. Dazu bedarf es einer ganzheitlichen technischen und rechtlichen Absicherung, die alle Datenflüsse im Unternehmen und der Supply Chain erfasst.

Die digitale Welt ist und bleibt also voller Herausforderungen, die nicht mit altbewährten Methoden bewältigt werden können, sondern neue Lösungen erfordern, die unterschiedliche Disziplinen wie Recht, Wissenschaft und Technik zusammenführen müssen, damit Unternehmen wettbewerbsfähig bleiben und die deutsche Industrie ihre in vielen Bereichen errungene Marktführerschaft nicht verliert. Smart Production verlangt Smart Solutions, bei denen die Rechtsabteilungen und externe Berater frühzeitig eingebunden werden, um intelligente Lösungen zur rechtlichen Absicherung zu konzipieren und umzusetzen, damit Innovationen ihre gewünschte Wirkung erzielen können.

Dr. Andreas Leupold LL.M. berät seit über 20 Jahren als Industrieanwalt Unternehmen aus Deutschland, England, USA und vielen anderen Ländern im Technologie- und IT-Recht, Datenschutzrecht, Medienrecht, Markenrecht, Urheberrecht und Wettbewerbsrecht. Er ist Gründungsmitglied und Beirat des Industrienetzwerkes „mobility goes additive“ der Deutschen Bahn und regelmäßig Referent auf Konferenzen zum IT-Recht und zur additiven Fertigung. Im April 2016 hat er das erste Buch zu den rechtlichen Aspekten des industriellen 3D-Drucks für CEO´s im Verlag Franz Vahlen veröffentlicht. Ferner ist er Herausgeber und Co-Autor des im Verlag C.H. Beck im Oktober 2017 erschienenen Handbuches 3D Printing -und des ebenfalls bei C.H. Beck in dritter Auflage erschienenen Münchener Anwaltshandbuches IT-Recht. Dr. Andreas Leupold wurde auf Empfehlung seiner Berufskollegen in die „The Best Lawyers® in Germany “ Liste für Informationstechnologie- Urheber und Medienrecht aufgenommen und wird in der Handelsblatt-Liste der im IT- Urheber und Medienrecht empfohlenen Wirtschaftsanwälte geführt. Anfang 2018 wurde seine Kanzlei mit dem 2018 Corporate Intl Global Award “3D Printing Sector Law Firm of the Year in Germany 2018“ ausgezeichnet.

Vorheriger ArtikelIoT-Plattformen sind Voraussetzung für Industrie 4.0
Nächster ArtikelDer Weg zur Digitalen Transformation