05.12.2019
Datenhandel & Datentransfer: rechtliche Herausforderungen
Besonders im Bereich des Industrial Internet of Things (IIoT) und Industrial Big Data gehört die Erzeugung und Arbeit mit Daten zum Tagesgeschäft. Während die Banken- und Versicherungsindustrie schon lange den Umgang mit großen Mengen v.a. kundenbezogener Daten im Bereich des Marketing durch Einsatz von KI-unterstützten Tools pflegt, haben sich im Bereich Industrie 4.0 diese Anforderungen an die Produkte erst in den letzten Jahren herauskristallisiert.
Datenerhebung durch feine Sensoren der Produkte z.B. aus dem Automobilbereich oder der Elektrotechnik eröffnen Möglichkeiten für die Vernetzung von Gegenständen, aber auch präventive Einsatzmöglichkeiten wie das Vorbeugen von Abnutzung oder die Verbesserung von betrieblichen Prozessen. Der Einsatz und Vertrieb von Anwendungen aus den Bereichen IIoT und Industrial Big Data ist mit rechtlichen Herausforderungen verbunden: Vertragsgestaltung, Datenschutz und der Schutz von Geschäftsgeheimnissen stehen hier im Fokus.
Datentransfer im Smart System
Für Smart Systems werden oft Plattformen entwickelt und im Rahmen einer Joint Venture betrieben, wobei die Gerätehersteller und Serviceanbieter oft variieren, sodass beim Austausch von Produktions- und Kundendaten zwischen den Geräten teils auch unterschiedliche Hersteller involviert sind. Die Übermittlung von Daten wirft dabei einige juristische Fragestellungen auf, die nachfolgend näher betrachtet werden sollen.
Eigentum an Daten?
Es stellt sich die Frage, ob beim Datenhandel oder -transfer Eigentum an diesen – entweder durch Erzeugung oder durch Übertragung – erlangt werden kann. Die Eigentumsfrage an Daten wird mehrheitlich verneint. Doch können Daten trotzdem einen kommerziellen Wert haben?
Produktions- und Kundendaten verlieren – ökonomisch betrachtet – schnell an Aktualität. Sie können zielgerichtet und kurzweilig vervielfältigt werden, sodass sie nicht exklusiv sind und auch dadurch schnell an wirtschaftlichem Wert verlieren können. Rechtlich besteht kein Ausschließlichkeitsrecht an Daten. An Produktionsdaten können sowohl der Eigentümer/Betreiber einer Maschine, wie auch der Hersteller oder Zulieferer, aber auch die Dienstleister des Eigentümers/Betreibers Interesse haben. Bereits hier stellt sich die Frage, ob und wie z.B. der Hersteller Produktions- oder Kundendaten an Dritte weitergeben darf oder ob es einer „Datenlizenz“ bedarf.
Newsletter
Alle wichtigen Neuigkeiten zu Themen wie Datenschutz, Künstliche Intelligenz, IT-Recht und vielen mehr – einmal monatlich in Ihr Postfach.
Daten und Geschäftsgeheimnisse
Produktions- und Kundendaten können mitunter Geschäftsgeheimnisse umfassen. Darunter sind nach dem neuen GeschGehG Informationen zu verstehen, die weder allgemein bekannt oder zugänglich sind, deshalb kommerziellen Wert haben, Gegenstand von angemessenen Geheimhaltungsmaßnahmen durch den Inhaber (Betriebsinhaber) sind und an deren Geheimhaltung ein berechtigtes (meist schutzwürdiges wirtschaftliches) Interesse besteht.
Mit der Einführung des GeschGehG entfällt die bisherige Differenzierung zwischen Geschäftsgeheimnissen und Betriebsgeheimnissen: sowohl technisches Know-how als auch geschäftliche Informationen sind also gleichermaßen geschützt. Auch belanglose Information, die nach Erwägungsgrund 14 der Richtlinie (EU) 2016/943 nicht umfasst sein sollen, können in der Gestalt von Big Data u.U. einen wirtschaftlichen Wert besitzen.
Technisches Know-how wie Verfahren, Prototypen, Rezepturen, aber auch Software und Produktionsdaten können ebenso unter den Begriff des Geschäftsgeheimnisses fallen wie Informationen zum kaufmännischen Geschäftsverkehr, z.B. Kundenlisten und Marktstrategien. Welche Auswirkungen hat es also, wenn Kunden- und Produktionsdaten zwischen den Anbietern verschiedener Hersteller oder Betreiber ausgetauscht werden?
Während der Austausch von Kundendaten v.a. den Bereich des Datenschutzes und unlauteren Wettbewerbs umfasst, stellen sich bei Industriedaten besonders viele Fragen hinsichtlich der Vertragseinordnung und -gestaltung, die nachgehend näher beleuchtet werden sollen.
Zur Veranschaulichung ein Beispiel
Ein Hersteller von Maschinen bietet neben Verkauf auch Wartung und Pflege, inkl. Ersatzteile an. Hierzu eignet sich ein Service per Fernzugriff (Remote-Service) auf die Daten des Betreibers, der die proaktive Überwachung (Monitoring) und das Reporting von Störungen oder Verschleiß übernimmt, künftig gar Letztere ggf. auch selbst steuern kann. Hier findet also ein Datentransfer statt.
Für den Remote-Service benötigt der Hersteller einen Remote-Zugang. Über diesen kann er u.a. auch Geschäfts- und Betriebsgeheimnisse abrufen und hat Zugriff auf Maschinen- und Produktionsdaten sowie personenbezogene Daten aus der Anlage des Betreibers. Die Daten werden von einem beim Betreiber stehenden Server-Rechner ausgelesen und ggf. an eine private Cloud des Herstellers übermittelt und per KI-Algorithmen ausgewertet. Auch der Betreiber hat Zugang zu der IIoT-Plattform des Herstellers und kann die Auswertungen abrufen und verwerten. Mittels der gewonnenen und anonymisierten Produktionsdaten kann sich der Hersteller mit anderen Herstellern vergleichen und neue Marktstrategien entwickeln. Die gewonnen Daten haben damit erheblichen Wert für den Hersteller.
Einordnung des Vertrages zwischen Hersteller und Betreiber
Wie können sich die Vertragsparteien jeweils rechtlich absichern? Die typologische Einordnung des Vertrages über Remote-Leistungen hat Auswirkungen auch auf der Sekundärebene, da sie das anwendbare Recht bestimmt.
Hier gilt es, zuerst die verschiedenen Beziehungen zu analysieren:
- Die Nutzung des Herstellerrechners beim Betreiber stellt i.d.R. einen Mietvertrag gem. §§ 535 ff BGB dar.
- Das Monitoring und Reporting sowie der Einsatz von KI-Tools zwecks Auswertung ist als eine Dienstleistung des Herstellers zu bewerten, vgl. §§ 611 ff BGB, soweit nicht Teile des Reporting (gerade in Hinsicht auf Abnutzung und Störungen) auch als Werkvertrag einzustufen sind. Gleiches gilt für die Steuerung der Anlage, sodass im Einzelnen die Vertragsart genau geprüft werden muss.
- Die Nutzung und Zugang der IIoT-Plattform sind begrenzt auf die Dauer des Hauptvertrages. Damit ist das Mietrecht einschlägig. Darüber hinaus ist die angebotene Nutzung als Telemediendienst (TMG) zu qualifizieren.
Eine eindeutige Zuordnung zu einem Vertragstypus des BGB ist nicht möglich, weil viele der Leistungen gleichgewichtig nebeneinander bestehen. Auf der Haftungsebene hat dies zur Folge, dass kaum Rechtssicherheit besteht, weil nicht voraussehbar ist, welches Recht im Streitfalle anwendbar werden könnte. Sekundäransprüche und Exit-Maßnahmen sollten daher gesondert geregelt werden.
Wechselseitige Verpflichtungen – was sollte zudem geregelt werden?
Vertraglich ergeben sich einige wichtige Punkte, die bei Remote-Leistungen zwischen dem Hersteller und Betreiber berücksichtigt werden sollten.
Wir empfehlen, die folgenden Leistungspflichten für die Parteien im Einzelnen klar und präzise zu definieren:
- Der Betreiber muss dem Hersteller einen Zugang auf dessen Daten und deren Auswertung auf einer IoT-Plattform durch Tools gewähren. Der Hersteller wiederum muss den Zugang zu seiner IoT-Plattform zulassen und ermöglichen.
- Daneben hat der Betreiber die Pflicht, Vorgaben des Herstellers betreffend Wartung und Betrieb zu beachten sowie eine bestimmte IT- und TK-Infrastruktur bereitzustellen, die störungsfreien und schnellen Datentransfer ermöglicht. Hierzu gehört auch, die Verfügbarkeit und Erreichbarkeit der Plattform sowie deren Reaktionszeiten zu regeln.
- Der Betreiber benötigt u.U. eine Lizenz für die Software, die er für den Datentransfer auf den Rechner des Herstellers nutzt.
- Im Einzelfall ist stets zu prüfen, ob eine Datenlizenz seitens des Herstellers erforderlich ist, da sich unter den erzeugten Datenmengen auch Geschäfts- und Betriebsgeheimnisse befinden können (s.o.). Während der Hersteller an den Daten auch das Interesse zur Nutzung zu eigenen Zwecken haben kann – wofür er eine Lizenz benötigen wird – kann es für den Betreiber unabdingbar sein, hier eine Geheimhaltungsklausel (sog. NDA) abzuschließen oder in den Vertrag miteinzubeziehen.
- Die Qualität der Daten sollte sichergestellt sein.
- Hinsichtlich des Rechners beim Betreiber muss auch gewährleistet sein, dass der Betreiber seinen Zugangs- und Bereitstellungspflichten nachkommt: zur Produktionsstätte als auch zur Anlage.
- Datenschutzrechtlich sind – sofern personenbezogene Daten betroffen sind – v.a. die Grundsätze zur Sicherheit der Datenverarbeitung (Art. 32 Abs. 1 DSGVO) und ggf. Vorgaben zu einer Datenschutz-Folgenabschätzung (Art. 35 DSGVO) zu beachten; im Zweifel muss auch in Erwägung gezogen werden, ob eine Auftragsverarbeitungsvereinbarung (Art. 28 DSGVO) erforderlich ist.
- Mängelansprüche sollten vorausschauend und überlegt in den Vertrag mit einbezogen werden. Durch fehlerhafte Berechnungen können bspw. falsche Entscheidungen in der Marktstrategie getroffen werden, was zu erheblichen Mangelfolgeschäden führen kann. Dies ist ein Haftungsrisiko für den Hersteller und ein betriebliches Problem beim Betreiber. Z.B. könnten Kündigungsklauseln hinsichtlich nur einzelner Auswertungs-Dienstleistungen vereinbart werden, um den Vertrag nicht in Gänze zu gefährden. Hinsichtlich Störungsmeldungen könnten Mitwirkungspflichten des Betreibers vereinbart werden.
- Die deliktische Haftung zu regeln bietet sich an, wenn bspw. autonom arbeitende Systeme eingesetzt werden.
- Als (Neben-)Pflicht kann auch die Vereinbarung zur Vornahme von Virenschutzmaßnahmen in Betracht kommen, da bislang im B2B-Bereich noch nicht geklärt ist, ob solche Maßnahmen als Verkehrssicherungs- oder Nebenpflicht zum Vertrag besteht.
Fazit
Der Vertrieb von IIoT und Industrial Big Data Anwendungen stößt auf rechtliche Probleme, insbesondere in der vertraglichen Einordnung und Vertragsgestaltung. Einzelfallbezogene Klauseln im Bereich Nutzung und Verwertung von Daten sind sowohl auf beiden Seiten des Datentransfers unabdingbar – stets unter Berücksichtigung der besonderen Vertragsziele.
Dies gilt seit der Einführung des GeschGehG umso mehr, weil mit dem Datentransfer ein weiterer Regelungsbereich erforderlich wird. Nur wenn angemessene Schutzmaßnahmen ergriffen worden sind, z.B. mittels einer Vertraulichkeitsverpflichtung, sind die Parteien rechtlich abgesichert. Besonders bei Verträgen, die einen Fernzugriff umfassen, gehört der Abschluss von NDA’s, die Art und Umfang der schützenswerten Information festlegen, unbedingt einbezogen.
Die Anwälte unserer Kanzlei Schürmann Rosenthal Dreyer zeichnen sich durch besondere Expertise in allen für IIoT und Industrial Big Data relevanten Bereichen aus – von passgenauer Vertragsgestaltung über Wettbewerbsrecht bis hin zum Datenschutz. Gerne beraten wir Sie einzelfallbezogen und mit der erforderlichen Präzision.
Vereinbaren Sie jetzt ein
unverbindliches Erstgespräch!
Lassen Sie uns über Ihre Herausforderungen sprechen und vereinbaren Sie ein unverbindliches Erstgespräch mit unseren spezialisierten Anwält:innen.
Unsere Experten zum Thema
Weitere Neuigkeiten
12.09.2024
Microsoft Copilot für M365 & Datenschutz: So gelingt der sichere Einsatz im Unternehmen
04.09.2024
AI as a Service (AIaaS): So funktioniert die Implementierung im Unternehmen
31.07.2024