Ulrich Herfurth, Rechtsanwalt in Hannover und Brüssel,
Herfurth & Partner Rechtsanwaltsgesellschaft mbH, Hannover
Juni 2015| Rechtliche Aspekte zu Industrie 4.0, Teil 3
- Informationstechnologie und Daten
Die Fragen zur Informationstechnologie sind naturgemäß das Herzstück von Industrie 4.0. Denn die IT-Systeme schaffen und erhalten die Funktionalität der vernetzten Produktion, und die Daten sind der digitale Rohstoff, mit dem die Systeme versorgt werden müssen.
5.1. Datensicherheit
Zunächst gilt es, die Daten gegen technische Störungen, Beschädigungen und Ausfälle zu sichern.
Dies ist vorrangig eine technisch-organisatorische Aufgabe, aber auch eine rechtliche Verantwortlichkeit des Managements. Es gehört zu den essentiellen Sorgfaltspflichten der Geschäftsleitung und der Aufsichtsgremien im Unternehmen, die betriebliche Sicherheit so einzurichten, dass Beschädigungen von Vermögensgegenständen, also auch Datenbeständen, verhindert werden.
Bei Unternehmen mit kritischer IT-Infrastruktur ist die Geschäftsleitung aber nicht nur gegenüber dem eigenen Unternehmen verpflichtet, sondern neuerdings auch gegenüber der Allgemeinheit: das neue IT-Sicherheitsgesetz (Gesetz zur Erhöhung der Sicherheit Informationstechnischer Systeme vom 24.07.2015) erlegt betroffenen Unternehmen im Störfall bestimmte Meldepflichten auf. Dadurch soll vermieden werden, dass Angriffe und Störungen auf weitere Systeme übergreifen und dass darauf gerichtete Angriffe abgewehrt werden können. Zu kritischen Infrastrukturen zählen solche in den Branchen Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung, Finanz- und Versicherungswesen – allerdings nur, wenn sie „von hoher Bedeutung für das Funktionieren des Gemeinwesens sind, weil durch ihren Ausfall oder ihre Beeinträchtigung erhebliche Versorgungsengpässe oder Gefährdungen für die öffentliche Sicherheit eintreten würden“. Der Gesetzgeber konkretisiert diese Merkmale derzeit noch genauer. Produktionsunternehmen unterliegen dem Katalog daher als solche nicht. Auch kleine Unternehmen (KMU) dürften kaum betroffen sein. Sie müssen aber jeweils damit rechnen, als Zulieferer und Dienstleister für Unternehmen mit kritischer Infrastruktur in vertragliche Pflichten und Haftung genommen zu werden.
Allerdings verlangt das Gesetz von den Unternehmen mit kritischer Infrastruktur auch, dass sie geeignete Maßnahmen treffen, um Störungen zu vermeiden. Die Störungen können sich dabei auf Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit der IT-Systeme, Komponenten und Prozesse beziehen, die für die Funktionsfähigkeit maßgeblich sind. Die erforderlichen Maßnahmen umfassen Infrastruktur, Personal, Störfallmanagement und Abschottungen von Prozessen und Bereichen.
Diese Anforderungen sind zwar öffentlich-rechtlicher Natur, und Verletzungen sind als Ordnungswidrigkeit teilweise mit Bußgeld bedroht, aber daraus lassen sich auch zivilrechtliche Schadenersatzansprüche ableiten. Dabei ist leicht vorstellbar, dass dieser Anforderungskatalog mit der Zeit und in abgestufter Form einen Leitbildcharakter entwickelt, der auch auf an sich nicht vom IT-Sicherheitsgesetz erfasste Unternehmen abstrahlt. Die Pflichten von Vorstand und Geschäftsführung würden dadurch im Rahmen der Business-Judgement Rule stärker konkretisiert.
5.1.2. Datendienstleister
Sobald ein Unternehmen zur Unterstützung oder Sicherung des IT-Betriebs externe Berater, Systemhäuser, Softwareanbieter, Rechenzentren und ganze Outsourcing-Systeme als Dienstleister einsetzt, sind deren Rechte und Pflichten sehr sorgfältig zu vereinbaren: Leistungsumfang, Leistungserfolg, Services, Service-Level, Haftung, faktische Haftungswerte, Versicherungen und anderes. Fragen zur Sicherung sind:
- Wo sollen / dürfen eigene Daten gespeichert werden?
- Wer kontrolliert den Datenaustausch?
- Wie können Daten – insbesondere in einer „Cloud“ – gegen Zugriffe Dritter geschützt werden?
Besonders gefährlich können aber Eingriffe von Menschen oder von Menschen gesteuerter Systeme sein. Daher muss das Unternehmen Schutzmassnahmen gegen gleichartige Angriffe treffen, deren Angriffsrichtung und Angriffsmethode unterschiedlich sind und denen daher mit differenzierten Abwehrmaßnahmen begegnet werden muss. Dazu zählen vorrangig:
5.1.3. Schutz gegen externe Datenangriffe durch Dritte
Cyber Crime / staatliche Industriespionage durch ausländische Dienste oder private Spionage durch Wettbewerber. Hier sind vor allem technische und organisatorische Maßnahmen zum Schutz der Daten im Betrieb, in der Auslagerung und beim Transfer zu treffen gegen
- Datenmissbrauch
- Datendiebstahl
- Datensabotage (Blockade, Veränderung)
- Erpressung
5.1.4. Schutz gegen externe Datenangriffe durch Vertragspartner
Dabei gilt zunächst der gleiche Grundsatz wie gegenüber Dritten. Allerdings kommt hier gefahrerhöhend hinzu, dass Geschäftspartner systembedingt gerade Zugriff auf die IT-Systeme und Daten über Schnittstellen und nach Transfers haben müssen. Zu den technischen Sicherungen kommen damit rechtliche Instrumente hinzu, insbesondere vertragliche Verwendungsbestimmungen. Auch hier gelten die Risiken
- Datenmissbrauch
- Datendiebstahl
- Datensabotage (Blockade, Veränderung)
- Erpressung
Wie also können Daten gegen zweckwidrige Verwendung (auch des Vertragspartners) geschützt werden?
5.1.5. Schutz gegen interne Datenangriffe
Eigene Mitarbeiter stellen mit ca. 75% der Fälle von Wirtschaftskriminalität die größte Tätergruppe im Unternehmen dar. Dabei sind es typischerweise vertrauenswürdige und qualifizierte Personen in Schlüsselfunktionen im Unternehmen, die aus diversen Motiven ihre Stellung missbrauchen zu
- Datenmissbrauch
- Datendiebstahl
- Datensabotage (Blockade, Veränderung)
- Erpressung
Sicherlich werden Unternehmen mit Mitarbeitern vertragliche Regelungen zum Schutz des Unternehmens treffen, aber auch technologische Kontrollsysteme installieren müssen, die gerade dann eingreifen, wenn sich ein Mitarbeiter bewusst vertrags- und rechtswidrig verhält.
- Wer hat für eine fehlerfreie Übermittlung zu sorgen?
- Wer gilt als Verursacher, wenn die Grenzen nicht erkennbar sind?
5.2. Computerstrafrecht
Der Bedeutung von Daten als Wirtschaftsgut hat der Gesetzgeber mit den Straftatbeständen der Datenveränderung in § 303a StGB und der Computersabotage in § 303b StGB Rechnung getragen. Diese Normen ahnden das Löschen, Unterdrücken, Unbrauchbarmachen und Verändern von fremden Daten durch Unbefugte sowie erhebliche Störungen von Datenverarbeitungsanlagen durch Zerstörung, Beschädigung, Unbrauchbarmachung, Beseitigung oder Veränderung von Anlagen oder Datenträgern. Die Taten können im besonders schweren Fall mit bis zu zehn Jahren Freiheitsstrafe belegt werden, insbesondere wenn dadurch ein Vermögensverlust großen Ausmaßes herbeigeführt wurde. Das dürfte bei einem Cyberangriff auf ein Unternehmen in der Produktionskette regelmäßig der Fall sein.
Zwar liegt die strafrechtliche Verfolgung primär im Interesse des Staates und nicht unmittelbar im Interesse des geschädigten Unternehmens – aber oft kann erst die Beteiligung am Strafverfahren als Anzeigeerstatter oder Nebenkläger dem Geschädigten Erkenntnisse zur Tat verschaffen, die nur im Rahmen eines strafrechtlichen Ermittlungsverfahrens gewonnen werden können. Ein Verantwortlicher im Unternehmen wird kaum auf diese Quelle als Grundlage für einen etwaigen zivilrechtlichen Haftungsprozess verzichten können. Dies gilt auch und gerade für Ermittlungen bei mutmaßlichen Angriffen aus den Reihen der eigenen Belegschaft.
5.3. Versicherung von Cyberrisiken
Versicherer erwarten, dass Cyberrisiken wachsende Bedeutung erlangen und dass der Bedarf an Versicherungen gegen Cyberrisiken wächst. Die bisherigen Modelle der IT-(Hardware) Versicherung, Software-Versicherung, Betriebshaftpflichtversicherung und der Vertrauensschadenshaftpflichtversicherung decken Cyberrisiken nicht oder nur teilweise ab. Erste Policenmodelle zum Schutz gegen Cyberrisiken sind auf dem Markt und umfassen zusätzlich auch Assistenz im Schadenfall.
5.4. Datenschutz, Informationelle Selbstbestimmung
Aus Sicht der Mitarbeiter und der Kunden kommt dem Datenschutz unter Industrie 4.0 erhöhte Bedeutung zu. Die Zuordnung von Daten als technische oder aber personenbezogene Daten ist oft umstritten, weil letztere dem gesetzlichen Personendatenschutz unterfallen. Damit ist deren Umgang streng reglementiert und auch Gegenstand von arbeitsrechtlichen individuellen oder kollektiven Regelungen und Vereinbarungen. Einige Frage dazu sind:
- Müssen Bereiche existieren, in denen eine Datenerhebung untersagt ist?
- Welche Prozessdaten sind personenbezogene Daten (Kameraüberwachung von Arbeitsprozessen aus Sicherheitsgründen / Kooperation Mensch / Roboter)?
- Wie ist die Sammlung sensibler Daten Dritter zu beurteilen?
- Dürfen/müssen (relevante) Daten an (Sicherheits-)Behörden weitergegeben werden?
- Inwieweit dürfen Datenschutzbestimmungen (angesichts der Rechte Dritter) für Parteien disponibel sein?
- Wie muss die IT-Compliance-Struktur im Unternehmen geändert werden?
- Welches Datenschutzrecht gilt bei Auslandsberührung, also Datentransfer, Datenzugriff, Datenbearbeitung?
5.5. Vermögensschutz, Eigentumsschutz
Letztlich befürchten viele Unternehmen, dass sie die Hoheit über ihre Daten verlieren, weil sie bei anderen zumindest in Kopie lagern, im Rahmen der Produktion verändert werden, mit anderen Daten vermischt, aggregiert und ausgewertet werden und damit letztlich neue Datenbestände geschaffen werden. Fraglich ist also, wem an welchen Beständen primäre und sekundäre Rechte zustehen und wie diese gesichert und durchgesetzt werden können.
Ob die bisherigen Instrumente wie Urheberrecht und Schutz von Datenbanken ausreihen, um das neue Spektrum abzudecken, ist noch Gegenstand der Diskussion. Interessant wäre es, Rechtsinstrumente aus dem Sachenrecht für physische Gegenstände auf Daten zu übertragen. Fragen sind dann:
- Übertragung von Rechtsfiguren des Sachenrechts auf IP (Dateneigentümer, Datenbesitzer, Datenverwahrung, Datennutzungsrechte, Datenmiete, aber auch Datenlizenz)
- Wem gehören die Daten? Wer ist Dateneigentümer?
- Wer ist Datenbesitzer?
- Muss (ggf.: wie kann) verhindert werden, dass Daten über den konkreten Anlass hinaus genutzt werden?
- Begründet die über den konkreten Anlass hinaus getätigte Nutzung Ansprüche für den Datenlieferanten?
- Wer hat das Recht an Sekundärdaten, die sich aus Primärdaten ergeben?
- Darf der Datenempfänger überlassene Daten (anonym) auswerten?
- Darf der Datenempfänger überlassene Daten (anonym) von mehreren Überlassern auswerten / aggregieren / analysieren?
- Muss der Datenempfänger Informationen / Analysen / Auswertungsergebnisse an die Lieferanten der Primärdaten zurückgewähren / Einblick einräumen?
- Wie müssen / können solche Datenrechte und -pflichten in einer hoch verdichteten Datenmischbasis in einer Lieferkette / Prozesskette zugeordnet werden?
- Wie ist der Wert des Eigentums an einer Sache zu beurteilen, wenn diese ohne geeignete Software und Datenzufluss ihre Funktion nicht erfüllen kann?
5.6. Provider und Plattformen
In der vernetzten Produktion wird es einen erheblichen Bedarf an Infrastruktur für das Vorhalten, den Austausch und die Verarbeitung von Daten geben. Dabei sind Strukturen nach ihrem Zweck zu unterscheiden, ob sie lediglich unilateral durch ein Unternehmen genutzt werden oder multilateral durch mehrere bzw. viele Teilnehmer.
5.6.1. Provider
Unilaterale Strukturen dienen den Interessen eines Unternehmens, indem dieses seine Daten und Prozesse an ein konkretes Rechenzentrum (Host) oder an Anbieter von Serverkapazitäten (Cloud) auslagert, gegebenenfalls auch mit ausgelagerter Software (Software as a service) oder als ausgelagerte Gesamtabwicklung von betrieblichen Funktionen (Outsourcing). Dabei können diese Dienste durchaus auch Dritten zur Verfügung gestellt werden, etwa als Online-Bestellplattform, Internetpräsenz, Serviceportal oder anderes – es bleibt aber stets bei dem Angebot des einen Unternehmens.
Die wesentliche rechtliche Problematik besteht dabei in der Gewährleistung der Funktionalität der Providerdienste zur Verfügbarkeit und Sicherheit der Daten, definiert nach Leistungsebenen auf Grundlage vertraglicher Vereinbarungen und Leistungsbeschreibungen (service level agreements). Bereits heute dürfte die Leistungsfähigkeit und Sicherheit von Rechenzentren den IT-Strukturen in den meisten Unternehmen überlegen sein, bzw. nicht mit vertretbarem Aufwand von mittelständischen Unternehmen erreichbar sein. Unternehmen, die ihre Daten und Prozesse einem Provider anvertrauen, müssen allerdings nicht nur die Funktionalität vertraglich sicherstellen, sondern auch den Schutz ihrer Daten vor unbefugten Zugriffen. Provider haben regelmäßig kein eigenes begründetes Interesse an den fremden Daten ihrer Kunden, da sie lediglich im Wege der Auftragsverarbeitung damit befasst sind und die Daten nicht integraler Teil einer Produktions- oder Leistungskette sind. Daher dürfen Provider ihre Kundendaten nicht für eigene Zwecke nutzen oder Dritten verfügbar machen. Unternehmen als Kunden sollten sich vom Provider garantieren lassen, dass nur befugte Mitarbeiter Datenzugang erhalten und dass diese durch entsprechende Vertraulichkeitsvereinbarungen verpflichtet werden. Aus Sicht des Unternehmens müssen Unternehmensdaten gegen Einblick Dritter geschützt werden und Personendaten nach den Vorgaben des Datenschutzrechts. Die Bedeutung von Zertifizierungen für Provider wird weiter zunehmen, insbesondere soweit sie die Einhaltung der Vertraulichkeitspflichten des Providers nachweisen.
Auch im Verhältnis zum Provider unterliegt das Unternehmen den nationalen und europäischen Datenschutzbestimmungen, deren Wirksamkeit mit der demnächst zu erwartenden Verabschiedung der Europäischen Datenschutzgrundverordnung deutlich erhöht werden dürfte. Die Auslagerung von europäischem Datenschutz unterliegenden Personendaten auf Server in Drittstaaten ist bislang kaum rechtlich einwandfrei möglich, ebensowenig der Zugriff von dort. Erst jüngst hat der EuGH die von der Europäischen Kommission abgesegnete Praxis zur Datenübermittlung an Empfänger in den USA als unzulässig beurteilt: die staatlichen Zugriffsrechte in den USA lassen sich zwischen Unternehmen nicht wirksam durch Musterklauseln im Sinne eines geschützten Datenumfelds (safe harbor) einschränken.
5.6.2. Plattformen
Plattformen dienen als mulitlaterale Strukturen der Verknüpfung vieler, voneinander unabhängiger Nutzer. Sie stellen eine Infrastruktur zur Verfügung, auf der die Nutzer sich bewegen und ohne Zutun des Plattformbetreibers miteinander in Verbindung treten und Transaktionen abwickeln können.
Im Grundsatz sind Plattformen nach ihrer Funktion zu unterscheiden; sie sind Informationsplattform (google), Kontaktplattform (facebook, diverse Partnersuchportale), Kommunikationsplattform (whats app), Archivplattform (Instagram), Handelsplattform (ebay, Reiseportale, Autoportale, Immobilienportale, Finanzdienstleistungsportale), Verkaufsplattform (Amazon), Zahlungsverkehrsplattform (paypal) und anderes mehr. Dabei mischen sich Funktionalitäten im Rahmen von Social Media Angeboten, bis hin zu sich widersprechenden Angeboten wie unabhängige Preisvergleiche und Produktverkauf. Ob ein Portal rechtlich eine Plattform darstellt, bestimmt sich nach seiner konkreten Struktur.
Die besonderen rechtlichen Fragen zu Plattformen hängen mit einer nicht immer klar definierten Haftung für die Angebote und Transaktionen ihrer Nutzer zusammen. Grundsätzlich wird ein Plattformbetreiber die Gewährleistung und Haftung für Leistungsmängel seiner Nutzer vertraglich ausschließen, er will nicht für die Qualität der auf der Plattform vertriebenen Produkte rechtlich einstehen müssen, auch nicht für die Seriosität und Bonität von Anbieter und Nachfrager. Dass ein Plattformbetreiber ein geschäftliches Interesse an einem möglichst zuverlässigen Kundenportfolio hat, ist eine andere Frage, die er gerne mittels Kundenbewertungen beantwortet. Ob sich ein Plattformbetreiber auch dann von einer Haftung freizeichnen kann, wenn er die Verkaufsbedingungen für Transaktionen seiner Nutzer einheitlich vorgibt, ist zweifelhaft – er rückt damit möglicherweise aus Sicht des Nutzers nahe an das Bild als Anbieter der Leistung.
Kritisch ist auch die Haftung des Plattformbetreibers für rechtswidrige Inhalte, die von Nutzern eingestellt werden. Während in Kommunikationsplattformen die Verletzung von Persönlichkeitsrechten (eigenes Bild) und öffentlich-rechtlichen Schranken (Gewaltverherrlichung, Volksverhetzung u.a.) im Vordergrund steht, liegen die Risiken in Informations- und Handelsplattformen in Verletzungen des Urheberrechts, Designrechts, Markenrechts und anderer gewerblicher oder geistiger Schutzrechte. Die Haftung für derartige rechtswidrige Inhalte wird zurzeit von der Rechtsprechung nicht einheitlich behandelt: regelmäßig ist ein Plattformbetreiber verpflichtet, auf Verlangen des Verletzten rechtswidrige Angebote auf seiner Plattform zu entfernen, stets wenn eine gerichtliche Verfügung dies anordnet. Die Rechtsprechung hat aber inzwischen in Einzelfällen auch die Forderung aufgestellt, dass der Plattformbetreiber verpflichtet sein soll, die Rechtmäßigkeit der bei ihm eingestellten Angebote eigenständig zu überprüfen, jedenfalls wenn es sich um Wiederholungen einer bereits festgestellten Verletzung handelt. Gegen derartige Prüfungspflichten wenden sich die Plattformbetreiber mit dem Argument, dass eine Plattform einer Messe, einer Börse oder dem Anzeigenteil einer Publikation vergleichbar sei, nicht aber selbst Anbieter ist. Die Unterscheidung ist deshalb von Brisanz, weil die Entfernung von Inhalten nur eine Unterlassungspflicht darstellt, eine Verletzung einer Prüfungspflicht aber einen Schadensersatzanspruch mit weitreichenden Folgen begründen könnte.
Die bislang überwiegend in Sozialen Medien und in Handelsplattformen auftretenden Verletzungen können in ähnlicher Form auch in industriellen Plattformen auftreten, etwa für den Einkauf, in der Logistik oder zum Personaleinsatz (crowd working). Dabei kann es sich um Verletzungen von technischen Schutzrechten (Patente, Muster, Design, auch Urheberrecht für Software) handeln, aber auch um die Bereitstellung von rechtswidrig erlangten Personendaten oder Unternehmensdaten. Greift ein Verletzter oder vermeintlich Verletzter die Veröffentlichung einer Information auf der Plattform an, kann die Entscheidung zur Entfernung des Angebots erhebliche wirtschaftliche Folgen für den Plattformbetreiber und den Anbieter mit sich bringen. Der Plattformbetreiber wird wegen des Schadenersatzrisikos dazu neigen, dem Verlangen nach dem Entfernen des Angebots nachzukommen, der Anbieter verliert damit zumindest vorübergehend sein Angebot auf der Plattform und damit möglicherweise Geschäft.
5.7. Telekommunikation
Die Übermittlung von Daten und das Angebot von Diensten im Rahmen der M2M-Kommunikation können die Beteiligten bestimmten Pflichten aus dem Telekommunikationsrecht unterwerfen.
Die Übermittlung von Daten stellt rechtlich in der Regel Telekommunikation dar und umfasst häufig Telekommunikationsdienste im Sinne des Telekommunikationsgesetzes (TKG). Es kommt dabei nicht darauf an, dass die Informationen in der Telekommunikation von Mensch zu Mensch übermittelt werden.
Die Kommunikationsinfrastruktur besteht zumeist in Form von Mobilfunknetzen, so dass die Netzbetreiber „Erbringer“ der TK-Leistungen sind, Vertragspartner für bestimmte Dienste „Teilnehmer“ und die Kunden der Dienste, z.B. Fahrer von Connected Cars, „Nutzer“ im Sinne des TKG.
Ob es sich bei M2M-Kommunikationsplattformen um Telekommunikationsdienste handelt, hängt von der konkreten Funktion ab: die Übermittlung von Steuersignalen von und an beteiligte M2M-Geräte ist in der Regel ein Telekommunikationsdienst, bei der Bereitstellung von Inhalten auf der Plattform zum Abruf durch Nutzer ist die Übermittlung hingegen nicht das wesentliche Element. Zur Abgrenzung des Charakters gemischter Dienste wird gerne das ISO/OSI Schichtenmodell für Internetdienste herangezogen[1]. Die Schichten 1 bis 4 haben eher Übertragungscharakter, die Schichten 5 bis 7 eher Inhaltscharakter.
M2M-Dienste stellen in der Regel nicht die Übertragung von Informationen in den Vordergrund, sondern Inhalte und Funktionalitäten wie z.B. Fahrzeugdaten (Fahrweise, Ortung); sie sind damit typischerweise keine Telekommunikationsdienste, sondern Telemediendienste im Sinne des Telemediengesetzes (TMD).
Unterfällt ein M2M-Dienst dem TKG, hat der Erbringer der Dienste eine Anzahl von Pflichten zu erfüllen, die sich auf Kundenschutz, Frequenznutzung, Nummerierung, Fernmeldegeheimnis und TK-Überwachung beziehen.
[1] Schütz, in Beck, TKG, 4. Aufl. 2013, § 6 Rdnr. 35 ff