Suchen

IoT-Recht

Big-Data-Anwendungen – der rechtliche Rahmen

Seite: 3/4

Firma zum Thema

Maschinendaten des Kunden: Hersteller benötigt Remote-Zugang

Um Services und eine Hotline durchführen zu können, wird der Hersteller einen Remote-Zugang zu dem betreffenden Gerät/der Maschine benötigen, die z. B. vom Geschäftssitz des Herstellers erbracht werden. Dadurch erhält der Hersteller nicht nur von betriebsbezogenen Daten des Kunden Kenntnis, sondern wird diese Daten auch zur Auswertung auf einen Server beim Kunden herunterladen und zu seinen Servern am – zum Beispiel – Geschäftssitz übertragen. Da die Berechtigung an diesen betriebsbezogenen Daten beim Kunden bisher gesetzlich nicht geregelt ist, wird wohl der Kunde keine Einwendungen hiergegen haben, da ansonsten die Services des Herstellers nicht erbracht werden können. Mit der Gewährung des Remote-Zugriffs durch den Kunden ist deshalb die Berechtigung des Herstellers erst einmal durch Gestattung des Zugriffs geregelt.

Wie verhält es sich aber, wenn der Hersteller die heruntergeladenen Daten des Kunden für eigene Zwecke nutzen und verwerten kann, indem er beispielsweise diese Daten in eine Datenbank einstellt und zum Benchmarking nutzt oder über Analyse-Tools verallgemeinerungsfähige Auswertungsmuster aufbaut? Auch stellt damit der Zugriff auf produktions- oder einsatzbezogene Daten des Kunden einen eigenen Wert für den Hersteller dar, sodass man an eine Vergütungspflicht denken könnte. Will der Hersteller aber den Kunden anlässlich seiner künftigen Big-Data- und IoT-Anwendungen hierauf hinweisen, um sich dann selbst zunächst viel Diskussionsbedarf mit den Kunden zu schaffen? Hieran ist ein Hersteller wahrscheinlich erst einmal nicht interessiert.

Mittelfristig wird man aber davon ausgehen können, dass der Kunde diese Thematiken für sich erkennt, sowohl bezogen auf seine Betriebs- und Geschäftsgeheimnisse als auch im Hinblick auf die Vorteile für seine eigenen Zwecke, die der Hersteller anlässlich der Services für den Kunden ziehen kann. Es ist ein Abwägen zwischen Transparenz und finanzieller Fairness einerseits sowie dem Bedürfnis, keine schlafenden Hunde zu wecken.

Rechtlich ließe sich für einen Interessenausgleich daran denken, dass Hersteller und Kunden anlässlich des Erwerbs des Geräts/der Maschine oder bei Abschluss von Service-Verträgen miteinander vereinbaren, dass der Hersteller berechtigt ist, Kundendaten, zu denen er per Modem Zugriff bekommt, ausschließlich anonymisiert auch für eigene Zwecke zu nutzen und der Kunde im Gegenzug hierfür eine Lizenzgebühr zum Beispiel im Wege eines Nachlasses auf den Kaufpreis oder auf die Servicegebühren erhält. Vorteil einer solchen lizenzvertraglichen Regelung kann auch sein, dass die Lizenzgewährung gegen Entgelt damit zu gegenseitigen vertraglichen Hauptleistungspflichten werden, die im Regelfall nicht einer AGB-rechtlichen Kontrolle unterliegen.

Checkliste - Geschäftsbedingungen

1) Hersteller und Kunde sollten eine Regelung zum Umgang mit maschinen- und personenbezogenen Daten aus dem Betrieb des Geräts/der Maschine beim Kunden vereinbaren. Ist keine vertragliche Regelung vorgesehen, sondern erfolgt der Zugang und die Datenübertragung auf faktischer Ebene, spricht hierfür, dass der Kunde diese neuen Leistungsangebote des Herstellers für seinen Betrieb schlicht braucht und der Hersteller sonst nicht leisten kann.

2) Der Hersteller trägt aber das Risiko, dass ihm das Recht auf Zugang und auf Nutzung und Verwertung der anlässlich des Betriebs beim Kunden anfallenden Daten auch jederzeit untersagt werden kann und damit eine Voraussetzung des Geschäftsmodells entfällt und damit der Zugang zu Maschinendaten zu seinen Geräten/Maschinen als Hersteller auf breiter Front nicht gesichert ist. Ein Weg zur Sicherung des Datenzugangs für den Hersteller und für einen Interessenausgleich mit dem Kunden wäre die zuvor vorgestellte lizenzvertragliche Regelung als eine der gegenseitigen Hauptleistungspflichten z.B. eines Kauf- oder Service-Vertrags.

3) Vertragstypologisch werden die Bereitstellung von Auswertungsergebnissen und die Aussprache von Empfehlungen, die auf Big-Data-Analysen und IoT-Anwendungen beruhen, als Dienstleistungen qualifiziert werden können. Soweit vom Hersteller Steuerungen oder Regelungen beim Betrieb des Geräts/der Maschine ausgelöst werden, werden diese Leistungen einen werkvertraglichen Charakter haben, da sie auf den Erfolg der Steuerung oder Regelung angelegt sind. Bietet der Hersteller seinem Kunden an, zum Beispiel auf einer Internet-Plattform in der Cloud selbst Analysen etc. vorzunehmen, kann es sich wie bei „Software as a Service“ (SaaS) um eine mietvertragliche Regelung handeln. Ein gemischter Vertrag aus all diesen drei Leistungsarten ist ebenfalls möglich.

4) Bei der Regelung von Gewährleistung und Haftung gelten besondere Aspekte:

- Die Qualität der Daten, auf die der Hersteller Zugriff nimmt, wird wesentlichen Einfluss auf die Qualität von Analysen und Regelungen haben.
- Die Stabilität des Netzwerks, eine 100 %-ige Verfügbarkeit und die Schnelligkeit der Datenübertragung sind Voraussetzungen für jede Realtime-Anwendung.
- Die Nachweisbarkeit von Rechten des Herstellers an Daten kann Gegenstand einer Haftung für Rechtsmängel sein.
- Unter diesem Aspekt wirkt auch ein möglicher Know-how-Schutz für Kundendaten, die auch anonymisiert für Analysezwecke bereitgestellt werden.

5) Das Recht der AGB im BGB enthält zahlreiche Begrenzungen der Vertragsfreiheit. Wie kann aber eine Gewährleistung für Mängel oder auch eine sonstige Haftung hierfür eingegrenzt werden, wenn das AGB-Recht dies nicht oder nur sehr begrenzt zulässt? Zum Beispiel im Hinblick auf die Qualität von Daten, die Geschwindigkeit der Übertragung und die Stabilität des Netzes sowie bei Einsatz von KI wird man Haftungsregelung lediglich durch vertragliche Zuweisung von Verantwortungen finden können. Dies wird aber zu erhöhtem Diskussionsbedarf führen.

6) Soweit auf der Ebene der Benutzeroberflächen für den Hersteller zum Beispiel das E-Mail-Account eines Arbeitnehmers beim Kunden zugänglich wird oder andere Angaben, die es dem Hersteller auch ermöglichen, eine individuelle Person zu identifizieren, ist der Zugriff auf personenbezogene Daten gegeben. Aber auch dann, wenn der Hersteller eine Anonymisierung auf der Ebene der Benutzeroberfläche technisch realisiert, kann die Auswertung zum Beispiel von betrieblichen Daten der Anlagen, etwa Störungen, Stillstände, Geschwindigkeiten etc., von dem Kunden rückverfolgt werden, sodass auch hier eine Nutzung personenbezogener Daten durch den Hersteller stattfindet und damit das Erfordernis begründet, dass die Übertragung, Bearbeitung und Nutzung dieser gegebenenfalls nur anteiligen personenbezogenen Daten den Anforderungen des BDSG und künftig der DSGVO (ab 25.5.18) entspricht.

7) Service Level und Reaktionszeiten auf Seiten des Herstellers bedürfen einer Regelung.

8) Dem Hersteller werden Verkehrssicherungspflichten bei Steuerungen und Regelungen eines Gerätes/einer Maschine aus seiner gesetzlichen Produkthaftung nach § 823 Abs. 1 BGB treffen.

9) Eine durchsetzbare Geheimhaltungsvereinbarung zum Schutz des Know-how und von Betriebs- und Geschäftsgeheimnissen beim Kunden ist auch unter dem Aspekt von zentraler Bedeutung, weil die EU-Richtlinie 2016/943 zum vertraulichen Know-how und zu vertraulichen Geschäftsinformationen in Art. 2 Nr. 1 „angemessene Schutzvorkehrungen“ als Voraussetzung für einen Geheimnisschutz fordert. Nachdem der Kunde dem Hersteller den Zugang zu seinen betriebsbezogenen Daten geräte- bzw. maschinenspezifisch ermöglicht oder gestattet, kann eine Vertraulichkeitsverpflichtung Voraussetzung für den Fortbestand des Geheimnisschutzes sein.

10) Bei der Regelung zur Laufzeit und zur Kündigung sollte auch geregelt werden, wie der Kunde selbst Zugang zu den betriebsbezogenen Daten des Geräts/der Maschine erhält, wenn der Vertrag endet, ebenso wie welche Nutzungsrechte an Software des Herstellers enden bzw. welche Hardware möglicherweise vom Kunden herauszugeben ist, wenn sie trotz Installation beim Kunden im Eigentum des Herstellers verblieben ist.

(ID:45246819)