Instandhaltung

Fernwartung 4.0 – was ist aus rechtlicher Sicht neu?

| Autor / Redakteur: Gunnar Helms / Nico Litzel

Instandhaltungskosten und Stillstandzeiten minimieren, Effizienz steigern – Industrie 4.0 soll auch auch die Fernwartung optimieren. Für Unternehmen gilt es sich in diesem Zusammenhang über ihre Pflichten und die rechtlichen Vorschriften im Bezug auf Datenschutz und -sicherheit zu informieren.
Instandhaltungskosten und Stillstandzeiten minimieren, Effizienz steigern – Industrie 4.0 soll auch auch die Fernwartung optimieren. Für Unternehmen gilt es sich in diesem Zusammenhang über ihre Pflichten und die rechtlichen Vorschriften im Bezug auf Datenschutz und -sicherheit zu informieren. (Bild: © vege - Fotolia.com)

Eine vorausschauende Instandhaltung kann durch eine vernetzte Fernwartung optimiert werden. Für Unternehmen gilt es dabei allerdings, einige rechtliche Aspekte im Bezug auf Datenschutz und Datensicherheit zu beachten.

Die Fernwartung an sich ist funktional gesehen nicht neu: Aus der Ferne, das heißt, per Datenfernübertragungsnetz und geeigneter Software, schaltet sich das Wartungspersonal auf die instandzuhaltende Maschine. Bisher geschah dies immer erst im Störungsfall mit dem Ziel, diesen zu analysieren und nach Möglichkeit ohne einen personellen Einsatz direkt vor Ort zu beheben.

Ununterbrochene Datenströme

Der wesentliche Unterschied der Variante 4.0 besteht inhaltlich darin, dass die Verbindung zur Maschine nicht erst bei Bedarf durch den Menschen, sondern von der Maschine bei einem definierten Ereignis selbstständig hergestellt wird. In vielen Fällen besteht die Verbindung per Internet sogar permanent und Daten werden ununterbrochen übermittelt – bei Bedarf auch zwischen mehreren Maschinen untereinander.

Bei entsprechend vorhandener Sensorik meldet die Maschine laufend bestimmte Betriebszustände an kritischen Baugruppen, beispielsweise Messtoleranzen, Füllstände, Temperaturentwicklungen oder Stromschwankungen. Die erzeugten Daten können jederzeit weiterverarbeitet und ausgelesen werden. Im optimalen Fall werten die Maschinen die entweder selbst- oder fremderhobenen Maschinendaten auch eigenständig aus und reagieren situationsbedingt, indem sie beispielsweise ein benötigtes Ersatzteil rechtzeitig und vollautomatisch bestellen.

Rechtliche Fragen

Dieses unter dem Begriff Predictive Maintenance (vorausschauende Instandhaltung) bekannte Verfahren perfektioniert die Ziele der klassischen Fernwartung, nämlich Stillstandszeiten zu minimieren, Instandhaltungskosten zu reduzieren und die Effizienz insgesamt zu steigern. Damit verbunden stellen sich jedoch auch zahlreiche rechtliche Fragen, die im Folgenden näher betrachtet werden sollen.

Besonders relevante Disziplinen sind dabei der Datenschutz und die Datensicherheit. Während die Datensicherheit darauf abzielt, Daten und Datenverkehr vor An- und Zugriffen sowie Missbrauch durch unberechtigte Dritte zu schützen, soll durch den Datenschutz primär der Schutz von personenbezogenen Daten gewährleistet werden.

Rechtmäßigen Datentransfer sicherstellen

Nach wie vor ist eine datenschutzrechtskonforme Ausgestaltung der Fernwartung zu beachten. In diesem Zusammenhang sollte meist zumindest eine Auftragsdatenverarbeitungs-Vereinbarung gemäß § 11 Bundesdatenschutzgesetz (BDSG) abgeschlossen werden. Dies gilt erst recht, wenn Daten in einer Cloud abgelegt werden. Damit verbunden stellt sich die Frage des rechtmäßigen Datentransfers insgesamt, vor allem bei einem Datentransfer in eine Cloud in Ländern außerhalb der EU.

Vom Schutzbereich des BDSG erfasst sind lediglich personenbezogene oder zumindest personenbeziehbare Daten. Daran ändert sich voraussichtlich auch ab Mai 2018 unter Geltung der EU-Datenschutzgrundverordnung (die EU-DSGVO gilt als Verordnung grundsätzlich unmittelbar) und der damit wahrscheinlich verbundenen Änderungen des BDSG (hinsichtlich der in der EU-DSGVO enthaltenen Öffnungsklauseln) nichts. Zwar stehen personenbezogene und personenbeziehbare Daten bei der Fernwartung eigentlich auch nicht im Vordergrund, da es um Maschinendaten geht. Die Definition des BDSG ist an dieser Stelle allerdings schwammig.

Es kommt auf den Einzelfall an

Ob das BDSG einschlägig ist oder nicht, ist letztlich eine Frage der im Einzelfall konkret betroffenen Daten und deren Zusammenwirken: Für sich genommen datenschutzrechtlich unsensible Informationen, wie reine Maschinendaten, können in der Gesamtheit datenschutzrechtlich relevant werden, zum Beispiel in Kombination mit Beschäftigten- oder Kundendaten in Form von Identitäts- und Nutzungsverhaltensdaten.

Um diese Unsicherheit zu vermeiden, bietet es sich an, personenbezogene oder auch nur personenbeziehbare Daten im Rahmen der Fernwartung erst gar nicht zu erfassen. Falls dies unvermeidbar oder nicht sicher planbar ist, sollten diese Informationen jedenfalls vor einer weiteren Verarbeitung entfernt werden (Anonymisierung oder Pseudonymisierung). Erst, wenn auch das nicht möglich oder wenn gerade die Verarbeitung von BDSG-sensiblen Daten gewollt ist, muss eine Lösung erstellt werden, die auch insofern datenschutzkonform ist: Wenn kein gesetzlicher Erlaubnistatbestand gefunden werden kann, bedeutet das: Die betroffenen Personen müssen ausdrücklich einwilligen. An eine wirksame Einwilligung werden jedoch strenge Maßstäbe gelegt.

Haftungsrisiko kann hohe Geldbußen für Unternehmen zur Folge haben

In einem rechtlichen Fachartikel darf an dieser Stelle natürlich ein Hinweis auf Haftungsrisiken nicht fehlen: Neben etwaigen Ansprüchen der betroffenen Personen drohen bei Datenschutzverstößen hohe Geldbußen, unter der Geltung der EU-DSGVO in Höhe von bis zu 4 % des weltweiten Jahresumsatzes.

Des Weiteren muss die Fernwartung datensicherheitskonform ausgestaltet und damit vor dem An- und Zugriff durch unberechtigte Dritte geschützt sein. Dies betrifft die Sicherheit der Daten, der Datenübertragungswege sowie der angeschlossenen Maschinen insgesamt. Es hat bereits zahlreiche Cyberattacken gezielt auf Fernwartungssysteme geben. Die Gefahren sind Industriespionage, Sabotage und – tatsächlich bereits geschehen – Lösegelderpressungen.

Datensicherheit: Rechtliche Vorgaben und Handlungsempfehlungen

Gibt es rechtliche Vorgaben mit dem Ziel der Datensicherheit? Ja. Bereits das BDSG enthält einen gewissen Datensicherheitsansatz über die sogenannten technischen und organisatorischen Maßnahmen (TOM), § 9 BDSG, auch wenn dieser wiederum primär dem Schutz der personenbezogenen Daten dienen soll. Darüber hinaus definiert das IT-Sicherheitsgesetz bestimmte Vorgaben. Dies zwar vor allem mit dem Ziel des Schutzes von kritischer Infrastruktur (zum Beispiel Versorgung, Gesundheit, Finanzwesen, Telekommunikation), aber auch Unternehmen und deren IT allgemein sollen damit sicherer gemacht werden.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) sieht erhebliche Risiken im Missbrauch von Fernwartungszugängen und veröffentlicht auf seiner Internetseite unter dem Stichwort IT-Grundschutz konkrete Empfehlungen und Umsetzungshinweise zur Planung und Absicherung von Fernwartungssystemen – Anbieter sollten mindestens diese Empfehlungen einhalten. Vorgaben in diesem Zusammenhang machen auch technische Vorschriften, wie etwa die EN 415-10 für Verpackungsmaschinen, oder Zertifizierungsnormen, beispielsweise ISO 27001 oder DIN EN ISO 18217.

Auch mobile Endgeräte sind zu abzusichern

Neben stationären Systemen werden im Rahmen der Fernwartung immer häufiger auch mobile Endgeräte, wie Smartphones oder Tablets, mit dazugehörigen Apps eingesetzt. Die aufgezeigten Themen gilt es an dieser Stelle gleichermaßen zu beachten.

Weitere vertragsrelevante Aspekte, die es sowohl im Maschinenkaufvertrag als auch im separaten (Fern-)Wartungsvertrag zu regeln gilt:

  • Rechtserheblichkeit von (Willens-)Erklärungen, die von Maschinen generiert werden,
  • Eigentums- und Nutzungsrechte an Daten (wem „gehören“ sie und wer darf damit was machen),
  • Haftungsregelungen für den Schaden, den die Maschinen eventuell ohne ein Zutun der menschlichen Hand verursachen (einschließlich Einsichts- und Auditrechten),
  • „klassische“ Vertragselemente, wie etwa Leistungsgegenstand, Vergütung und so weiter.

Abschließend sei jedem Unternehmen und seiner Geschäftsleitung auch unter Qualitätsmanagement- und Compliance-Aspekten empfohlen, Fernwartungslösungen in technischer und rechtlicher Hinsicht durch professionelle Anbieter prüfen und einrichten zu lassen.

Dieser Artikel stammt von unserem Partnerportal MaschinenMarkt. Verantwortliche Redakteurin: Beate Christmann

* Gunnar Helms ist Rechtsanwalt und Partner bei Lawentus Rechtsanwälte in 20354 Hamburg, Tel. (0 40) 34 10 76 20, gunnar.helms@lawentus.com

Kommentare werden geladen....

Kommentar zu diesem Artikel abgeben

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44578438 / Recht & Sicherheit)