Ob Adamos, Siemens Mindsphere oder ABB Ability – die Zahl der IoT-Plattformen auf dem Markt ist riesig. IT-Anbieter, Technikkonzerne und Maschinenbauer haben das Potenzial erkannt, das Services bieten, die man rund um die vernetzten Anlagen in den Werkshallen anbieten kann. Mit den IoT-Angeboten erhalten Maschinenbauer eine Cloud-Plattform, auf der sie ihren Kunden Dienstleistungen wie Predictive Maintenance zur Verfügung stellen können. Dafür nutzen sie die Daten aus den Maschinen, die sie an ihre Kunden verkauft haben.
Das entscheidende Element sind also die Daten. In ihnen schlummert quasi ein kaum zu ermessender Schatz an Wissen. Doch wem gehören diese Daten? Gerade weil diese so wertvoll sind, ist die Antwort hochinteressant – aber auch schwierig.
Daten sind kein Eigentum
Indem das Anwenderunternehmen einem anderen Unternehmen – Maschinenbauer oder Dienstleister – einen entsprechenden Zugriff gewährt, gibt es zunächst die Kontrolle über die eigenen Daten ab. „Die Datenkontrolle hat immer derjenige, der im Besitz der Daten ist“, sagt der auf IT-Recht spezialisierte Anwalt Dr. Andreas Leupold. „Und wer im Besitz der Daten ist, kann damit erst mal tun, was ihm beliebt – wenn dem nicht gesetzliche Vorschriften oder vertragliche Vereinbarungen entgegenstehen.“ Der Grund liegt in der aktuellen Gesetzeslage: Anders als an physischen Objekten – der Jurist spricht von körperlichen Sachen – kann an Daten kein Eigentum erworben werden. Diese Rechtslage werde in den Datennutzungsverträgen, die zwischen Dienstleister und Anwenderunternehmen geschlossen werden, häufig ignoriert, meint Leupold.
„Viele machen es sich zu leicht und nehmen Verpflichtungen in ihren Verträgen auf, die zum Beispiel so lauten: ‚Der Maschinenbetreiber oder der Auftraggeber bleibt der Eigentümer aller Daten auf den Maschinen‘. Doch das ist nicht hilfreich, weil unwirksam. Denn es gibt eben kein Dateneigentum“, sagt der Anwalt.
Wer also seine Daten auf einer Cloud-Plattform zur Verfügung stellt, muss etwas tiefer in die Materie einsteigen. In den entsprechenden Verträgen muss laut Leupold genau definiert werden, welche Daten betroffen sind und was mit diesen geschehen darf. „Es ist im Einzelnen zu spezifizieren, welche Nutzungsrechte dem Vertragspartner eingeräumt werden.“
Zugriff auf Fertigungs-Knowhow
Dabei sei es auch wichtig, wie schutzbedürftig die jeweiligen Datenarten sind. Die Daten selbst sind schließlich nur die Grundlage. Die Informationen, die aus ihnen gewonnen werden, können gegebenenfalls schützenwertes Wissen wie zum Beispiel Fertigungs-Knowhow darstellen. „Ein IT-Spezialist eines großen Konzerns berichtete mir kürzlich von dem Predictive-Maintenance-Angebot eines Maschinenherstellers. Nachdem er sich dieses genauer angesehen hatte, war klar: Der Maschinenbauer erhält damit vollen Einblick in die Produktion“, berichtet Leupold.
Der Schutz solcher sensiblen Informationen sei erst im Frühjahr neu geregelt worden, erklärt Leupold. „Es reicht nun nicht mehr, beispielsweise Fertigungs- oder Konstruktions-Knowhow als geheim zu bezeichnen, sondern man muss dieses durch angemessene technische Schutzmaßnahmen auch vor einer Offenlegung schützen.“
Das heißt, dem Anwenderunternehmen muss daran gelegen sein, dass seine Daten in der Cloud ausreichend geschützt sind – schon allein um sicher zu sein, dass die damit verknüpften Informationen den gesetzlichen Anforderungen an ein schützenswertes Geschäftsgeheimnis entsprechen. Die Tatsache, dass der Anbieter eines Services seinerseits der Nutzer eines Cloud-Dienstes ist, macht die ganze Sache für das Anwenderunternehmen allerdings nicht einfacher.
Um das Thema Datenhoheit zu regeln, kommt bei der IoT-Plattform Adamos, an der verschiedene Industrieunternehmen beteiligt sind, ein sogenannter Data Broker zum Einsatz. Dieser ermöglicht eine konfigurationsbasierte Weiterleitung und Subskription von Daten zwischen zwei oder mehr Adamos-Mandanten.
Diese Funktion sei besonders in verteilten Einsatzszenarien nützlich. So kann zum Beispiel der Datenaustausch zwischen Endkunden – also Maschinenbetreibern – und Maschinenhersteller gesteuert werden. „Je nach Kritikalität der Daten kann der Endkunde selektiv entscheiden, welche der Maschinendaten an den Hersteller weitergeleitet werden sollen.“
Angemessene Entschädigung
Eventuell könnte ein Unternehmen, das seine wertvollen Daten zur Verfügung stellt, dafür auch eine Gegenleistung verlangen. Diese Möglichkeit bringt Uwe Seidel in einem Gastbeitrag für die Automationspraxis ins Spiel. Eine solche Entschädigung müsse nicht finanziell sein, so Seidel, der als Senior Consultant bei VDI/VDE Innovation + Technik tätig ist. „Es stellt sich allerdings die Frage, ob beispielsweise eine kostenlose Nutzung eines Dienstes als Gegenleistung für eine Datenübergabe angemessen ist – oder weitere Leistungen zur Verfügung gestellt werden sollten.“
Nach Meinung von Seidel würde die Einführung eines Leistungsschutzrechtes, das die Frage der Datenhoheit einheitlich regelt, in solchen Fällen Klarheit für alle Akteure schaffen. Die Nutzung von Musterverträgen würde laut Seidel ebenso für einheitliche Maßstäbe sorgen.
Anwalt Leupold empfiehlt Anwenderunternehmen, die Datenkontrolle mit dem Service-Provider individuell zu regeln. „Stellen Sie sich vor, ein Maschinenhersteller, der Predictive Maintenance anbietet, möchte auf ganz andere Daten zugreifen als ein anderer Dienstleister. Da ist es sinnvoll, sich für jeden Fall genau anzusehen, was nötig ist.“
Aufgepasst beim Plattformwechsel
Dabei sollte man auch genau betrachten, was passiert, wenn die Cloud-Plattform gewechselt wird. „Das Unternehmen muss sicherstellen, dass es dann die Daten in einem passenden Format erhält, um diese problemlos an den neuen Cloud-Betreiber weitergeben zu können“, erklärt Leupold. Auch hier fehlt eine klare gesetzliche Regelung – zumindest was Maschinendaten betrifft. Für personenbezogene Daten gebe es das Recht auf Datenportabilität. Bei reinen Maschinendaten ohne Personenbezug sei dies nicht der Fall. Auch in diesem Fall ist also wichtig, was vertraglich vereinbart wird.
Beim Löschen der Daten, die noch beim alten Dienstleister liegen, gibt es allerdings einen Haken – wenn man der Aussage von Guido Jouret folgt, dem Chief Digital Officer von ABB. Dieser unterscheidet beim Thema IoT drei Arten von Daten: Identitätsdaten, Messdaten und Insight-Daten, die durch künstliche Intelligenz gewonnen werden.
„Wenn Kunden zu anderen Anbietern wechseln, können wir nur versprechen, die ersten beiden Datentypen – also Identität und Messung – zu löschen“, so Jouret. „Was wir nicht löschen können, sind die Insight-Daten. Diese Erkenntnisse werden in Hunderten von ähnlichen Unternehmen Branche generiert und es ist unmöglich, die eingeflossenen Daten eines einzelnen Unternehmens aus dem ganzen See der Erkenntnisse herauszufiltern.“
Von der rechtlichen Komplexität beim Thema Cloud sollten sich Firmen aber nicht abschrecken lassen. Grundsätzlich sei das Erstellen von Verträgen, welche die Datennutzung regeln, zwar nicht trivial, meint Leupold. Aber die Zeit, die dafür aufgebracht werden muss, sei „gut investiert“.
Und aus rechtlicher Sicht spräche grundsätzlich nichts dagegen, die IoT-Plattformen aus der Cloud zu verwenden, wenn diese Nutzung technisch und vertraglich hinreichend abgesichert wird. Denn: „Für alle Herausforderungen gibt es auch eine Lösung“, so der Anwalt.
Rechtsanwalt Dr. Andreas Leupold plädiert für ein Datenerzeugerrecht.Bild: Leupold
Interview: Dr. Andreas Leupold, Rechtsanwalt für IT-Recht
„Daten-Thema ist im Mittelstand unbekannt“
Herr Dr. Leupold, anders als an körperlichen Sachen kann an Daten noch kein Eigentum erworben werden. Gibt es diesbezüglich aus Ihrer Sicht Nachholbedarf beim Gesetzgeber?
Leupold: Da gehen die Meinungen auseinander. Es gibt Stimmen, die verhindern wollen, dass so etwas wie ein Dateneigentum geschaffen wird. Dahinter steht die Befürchtung, dass man dann den Schutz des geistigen Eigentums sozusagen kannibalisieren könnte. Aber ich meine, dass wir schon längst eine datengetriebene Wirtschaft haben. Und um aus Daten einen Mehrwert zu erzeugen, müssen diese analysiert und daraus dann Informationen gewonnen werden. Die Daten bilden also die Grundlage, um daraus einen Wissensschatz zu heben. Daher brauchen wir in der einen oder anderen Form eine Zuordnung der Daten.
Gibt es bereits entsprechende Initiativen in der Politik?
Leupold: Die Europäische Kommission hat bereits vor zwei Jahren einen Vorschlag für die Einführung eines Datenerzeugerrechtes unterbreitet – das heißt die Zuordnung von Rechten an denjenigen, der die Daten erzeugt hat. Dieser Vorschlag liegt aber im Moment auf Eis. Und leider geht diesbezüglich derzeit auch nicht allzu viel voran. Es wäre aber wünschenswert für die Wirtschaft, wenn man eine Lösung finden würde – auch wenn es Widerstände gibt.
Sie haben immer wieder mit Fällen zu tun, in denen es um die rechtliche Absicherung von Daten auf Cloud-Plattformen geht. Sind denn den meisten Unternehmen die Stolperfallen bewusst?
Leupold: In meiner ganz persönlichen Wahrnehmung ist das Thema im Mittelstand weitgehend unbekannt. Bei den großen Unternehmen sieht das meistens anders aus. Aber auch dort ist die Situation noch nicht so, dass man im Geschäftsalltag schon stets auf vertragliche Regelungen zurückgreifen kann, die das berücksichtigen.
Wie ist es auf Seiten der Cloud-Anbieter?
Leupold: Durch die Datenschutzgrundverordnung, die monatelang durch die Presse ging, sind viele problembewusster geworden, was den Schutz von personenbezogenen Daten betrifft. Aber für die reinen Maschinendaten, die eben nicht personenbezogen sind, fehlt es häufig noch an entsprechenden Regelungen von Seiten des Diensteanbieters.
