Vorstellung des aktuellen Standes

Am ersten Tag wurden die aktuellen Arbeitsstände im AnGeWaNt-Projekt vorgestellt. Zu Beginn präsentierten die drei Unternehmen ihre hybriden Geschäftsmodelle, die im Projekt entwickelt und umgesetzt wurden. Diese werden aktuell bei Pilotkunden getestet und sollen mittelfristig auf dem Markt angeboten werden. Neben technischen Ergänzungen an den physischen Produkten haben die Unternehmen dazu ihre Online-Dienste erweitert. Über ihre Clouds können die Firmen auch Auswertungen aus den gewonnen Daten anfertigen und ihren Kunden diese als Dienstleistung zur Verfügung stellen. Auch eine Schnittstelle zur Physikalisch-Technischen Bundesanstalt (PTB) ist in der Planung.

Daraufhin wurden die Fortschritte in den Arbeitspaketen, die die sozio-technische Entwicklung der Geschäftsmodelle begleiten, besprochen. Die Ergebnisse, die im Verlauf des Projektes entstanden sind, finden sich aktuell in der Finalisierung und werden in den nächsten Wochen auf unserer AnGeWaNt-Webseite veröffentlicht.

Erfahrungsaustausch

Im Mittelpunkt des zweiten Tages stand der Austausch von Erfahrungen. Die drei Unternehmen waren sich einig, dass sie trotz der unterschiedlichen Ausrichtung ihrer Geschäftsmodelle die gleichen Herausforderungen meistern mussten, um aus den Ideen für hybride Geschäftsmodelle erfolgreiche Produkte zu entwickeln. Dabei sind in den Unternehmen neue Methoden der Zusammenarbeit und der Projektentwicklung entstanden. Welche Erfahrungen genau gemacht wurden, ist das Thema einer Blog-Reihe, die demnächst hier veröffentlicht wird.

Die Unternehmen betonten, dass es sehr war hilfreich, sich im Rahmen des Projektes regelmäßig miteinander zu besprechen und von den Erfahrungen der anderen zu profitieren. Auch teilten die Unternehmen die Erfahrung, dass hybride Geschäftsmodelle nicht als rein technische Projekte zu verstehen sind und daher verschiedenste Akteure aus den Unternehmen einbezogen werden müssen. Auch muss arbeitsorganisatorischen Belangen ein hoher Stellenwert eingeräumt werden.

Transfer-Kit

Ein weiterer Programmpunkt widmete sich dem Transfer-Kit, das alle Ergebnisse des Projektes umfasst. Hierbei konnten die Unternehmen bewerten, wie hilfreich die Workshops, Interviews und andere Aktivitäten waren, um das hybride Geschäftsmodell einzuführen und ihr Unternehmen zu transformieren. Auch gaben sie Tipps, welche Erfahrungen anderen Unternehmen übermittelt werden sollten.

Diese Ergebnisse werden in den nächsten Wochen in die Bereitstellung des Transfer-Kits einfließen. Es wird zum Ende des Jahres auf dieser Webseite online gestellt. Zudem werden die Ergebnisse auf der Transfer-Veranstaltung des Projektes präsentiert.

Ausklang

Neben dem guten und offenen fachlichen Austausch, boten sich zudem viele Möglichkeiten für persönliche Gespräche und den Rückblick auf die gute, bald dreijährige Zusammenarbeit. Abgerundet wurde dies von einer gemeinsamen musikalischen Darbietung im Sinne „AnGeWaNt rocks“.

Um innovationsfähig zu sein, ist Kompetenzaufbau eine der Kernherausforderungen der Zukunft für Unternehmen. Dies zeigen auch die Ergebnisse aus dem Forschungsprojekt AnGeWaNt, in welchem wir mit drei Unternehmen hybride Geschäftsmodelle exemplarisch umsetzen.

Innovative Technik ermöglicht Unternehmen Produktnutzungsdaten zu erheben und diese für neue Services zu nutzen. Diese bringen den Kunden Optimierungspotenziale und den Anbietern neben ihren Produktverkäufen zusätzliche Wertschöpfung. Diese neuen Wertschöpfungspotenziale können jedoch nur gehoben werden, wenn in den Unternehmen die dafür notwendigen Kompetenzen zur Verfügung stehen. Aber welche Kompetenzen werden nun konkret gebraucht? Um sich dieser Frage zu nähern, wurden im Rahmen des Projektes AnGeWaNt Forschungsberichte ausfindig gemacht, die Aussagen zu Kompetenzbedarfen in der Arbeitswelt der Zukunft liefern.

Handlungsfelder für die zukünftige Kompetenzentwicklung

Auf technischer Seite sind die Bereiche IT und Entwicklung gefordert, sich zukünftig bspw. um die Vernetzung der Produkte und die Erfassung der Produktnutzungsdaten zu kümmern. Es wird Fachpersonal gebraucht, welches sich mit Datensicherheitsaspekten auskennt aber auch Datenwissenschaftler, die hilfreichen Informationen aus den Daten ermitteln können sowie Programmierkenntnisse für maschinelles Lernen und künstliche Intelligenz beherrschen. Gerade die Suche nach Beschäftigten mit diesen Qualifikationen gestaltet sich schwierig. Stellen sind oft lange Zeit unbesetzt und Innovationspotenziale gehen verloren.

Auch die kundennahen Bereiche stehen vor neuen Herausforderungen. Beschäftigte im Vertrieb werden zukünftig neben dem reinen Produkt auch die datengetriebenen Services vertreiben müssen. Dafür gilt es viel stärker in die Prozesse der Kunden einzusteigen, um zu verstehen, wo Daten helfen Prozesse zu optimieren und einen Mehrwert bieten können. Kompetenzen zur Prozessanalyse und ein gewisses Maß an Datenverständnis werden erforderlich. Auch Beschäftigte in den Servicebereichen benötigen anderes Know-how. Sie müssen im Umgang mit den Webplattformen zum Datenaustausch versiert sein, um den Kunden bei Problemen Hilfestellung leisten zu können. Insgesamt ist davon auszugehen, dass in Zukunft mehr technisches Know-how benötigt wird. Neue Kompetenzen erfordert auch der Umgang mit einer Vielzahl an digitalen Tools, die seit der Corona-Pandemie ohnehin verstärkt in Unternehmen zur virtuellen Kommunikation und Kollaboration eingesetzt werden.

Weitere Informationen zu Kompetenzbedarfen für die Arbeitswelt der Zukunft finden Sie im Faktenblatt.

Autorin: Nicole Ottersböck, wissenschaftliche Expertin des ifaa.

Für ein Interview im Rahmen der Reihe „NRW Innovativ“ war Marco Poltronieri, Redakteur des WDR, zu Gast in Südlohn. Mit Wolfgang Holtermans, Leiter der Entwicklungsabteilung von PFREUNDT, und Stefan Sparwel, Leiter der Geschäftsentwicklung bei Kinshofer, hat er über das Geschäftsmodell gesprochen.

Ausgangsbasis für die Idee zum Geschäftsmodell war ein Wechsel des Altglasentsorgers in Karlsruhe. Wochenlang beschwerten sich Anwohner nach dem Wechsel über überquellende Altglascontainer. Denn dem neuen Dienstleister waren weder die Anzahl der Container, noch die Standorte dieser bekannt. Auch die Informationen, wie häufig eine Entleerung der Container notwendig ist, musste der Anbieter mühsam selbst erproben.

Die Idee des neuen Geschäftsmodells basiert nun darauf, die Füllmenge der Glascontainer sowie deren Standort direkt bei der Entleerung systematisch zu erheben. Durch die Sammlung dieser Daten lässt sich die Tourenplanung des Entsorgungsdienstleisters optimieren: Container werden nur noch angefahren, wenn sie voll sind. Das spart CO2. Zudem ermöglicht das Vorgehen eine kilogramgenaue anstelle einer pauschalen Abrechnung nach entleertem Container.

Hier geht`s zum gesamten Beitrag von WDR5

Marko Poltronieri, Redakteur des WDR, im Interview mit Wolfgang Holtermans, Leiter der Entwicklungsabteilung bei PFREUNDT und Stefan Sparwel, Leiter der Geschäftsentwicklung von Kinshofer

Relevanztest

Mit unserem pragmatischen Tool können Sie genau die richtigen Antworten finden. Ob die Entwicklung eines hybriden Geschäftsmodells für Ihr Unternehmen sinnvoll ist, das sehen Sie schnell, wenn Sie drei wichtige Fragen beantworten:

1. Wie hoch ist der Anteil der Produktumsätze an meinem Gesamtumsatz?
2. Welche Bedeutung haben produktbezogene Services für uns?
3. Ist der Ausbau von (fakturierbaren) Services ein exlizites Unternehmensziel?

Der AnGeWaNt Test bewertet Ihre Antworten und Sie sehen sofort, wie relevant das Thema Hybridisierung für Ihr Unternmehmen eigentlich ist.   (Test und Auswahl download hier)

Auswahlhilfe

Ist ein hybrides Geschäftsmodell eine sinnvolle strategische Option für Sie, dann gilt es, die richtige Methode zu wählen. Die Auswahl der “richtigen” Methode determiniert maßgeblich den Erfolg Ihres Projekts. Für die Auswahl ist natürlich die Ausgangssituation in der Firma wichtig. Hinzu kommen drei weitere Kriterien, um den passenden Ansatz zu identifizieren. Ein Stück weit bleibt die Wahl natürlich subjektiv und Ihrem Geschmack überlassen.

Unseren Relevanztest mit der Auswahlhilfe finden Sie im Downloadbereich oder direkt hier.

Warum ein White Balloon?

Ausgangspunkt für den „White Balloon“-Ansatz war die Beobachtung, dass bereits ausgearbeitete Geschäftsmodell-Ideen zu Beginn der Umsetzungsphase ins Stocken geraten. Die an der Entwicklung der neuen Geschäftsmodelle nicht beteiligten Abteilungen, nicht involvierte Mitarbeitende und auch Führungskräfte müssen nämlich ins Boot geholt werden, um die Geschäftsideen in die unternehmensinternen Geschäftsabläufe und Arbeitsprozesse zu integrieren. Dazu ist ein entsprechendes Narrativ notwendig, welches die neue Leistung beschreibt. Vielleicht noch wichtiger ist die Kommunikation mit Kundinnen und Kunden!

Es muss verhindert werden, dass hybride Leistungsangebote an den Bedarfen vorbei definiert werden. Für diese Kommunikation ist es wichtig, die grundsätzlichen Eigenschaften und Mehrwerte der digitalen Zusatzleistung konkret beschreiben oder eine „Geschichte“ erzählen zu können.

Der „White Balloon“-Ansatz bietet eine strukturierte Vorgehensweise und gleichzeitig das notwendige Narrativ, um die vorliegenden Ideen so weiterzuentwickeln, dass Mitarbeitende im Unternehmen eingebunden und Kundinnen und Kunden von der neuen Leistung überzeugt werden können.

Wer kann die Methode nutzen?

Die Methode richtet sich an produzierende kleine und vor allem mittelgroße Unternehmen, die für ihre Unternehmen ein hybrides Geschäftsmodell entwickeln wollen. Eine Idee, wie der hybride Ansatz aussehen kann, muss bereits vorhanden sein. Für Unternehmen, die noch keinen konkrete Ansatz für eine hybride Leistung ausformuliert haben, enpfehlen wir unsere Workshops aus der Reihe: hybride Geschäftsmodelle entwickeln. Diese finden im Downloadbereich.

Auch den “White Balloon” haben wir als Workshop konzipiert. Teilnehmen sollten Fach- und Führungskräfte aus Ihrem Unternehmen. Die Teilnehmerstruktur ist eine Erfolgsdeterminate für den Ansatz. Prozesse und mögliche Probleme bei Kunden müssen in der Gruppe der Teilnehmenden bekannt sein.

Methoden-Story

Die Vorgehensweise und die Erfahrungen haben wir gemeinsam mit den am Projekt beteiligten Unternehmen analysiert.

Im bewährten Format unserer Methoden-Stories haben wir die Ergebnisse und wichtige “lessons learned” zusammengefasst. In der Methoden-Story “Mit dem White Balloon-Ansatz hybride Geschäftsmodelle konkretisieren” erhalten Sie alle relevanten Informationen zur Vorbereitung, Umsetzung und Nachbearbeitung eines White Balloon Workshops in Ihrem Unternehmen. Das Dokument mit den entsprechenden Materialien können Sie hier downloaden.

Das sagen die Unternehmen

Wolfgang Holtermans, Leiter Entwicklung, PFREUNDT GmbH

„Die Betrachtung der technologischen Treiber hat uns bei der Ideenfindung und Beschreibung von neuen produktbegleitenden Services inspiriert und unterstützt. Bei der Umsetzung der in den Workshops erarbeiteten Canvasse wurde jedoch schnell klar: hier fehlt es noch an Konkretisierung. Zum einen musste der Vertrieb enger eingebunden werden. Zum anderen brauchten wir eine konkretere Beschreibung unserer Service-Idee, um damit an unsere Zielkundengruppe herantreten zu können. Mit dem „White Balloon“-Ansatz konnten wir genau diese beiden Punkte realisieren und recht schnell durch eine Kundenbefragung validieren.“

Klaus Helming, Leiter Vertrieb Lifttechnik; PAUS GmbH

„Mit Hilfe des „White Balloon“-Workshops ist es uns gelungen, die bereits vorliegende Service-Idee im Umfeld der Lifttechnik am Beispiel des Anhängerkrans soweit zu konkretisieren, dass wir damit in vorbereitende Kundengespräche gehen konnten. Wichtig für PAUS war auch die Diskussion der Preismodelle, die für uns als Maschinenbau-Unternehmen vollständig neu waren. Mit dem Freemium-Ansatz planen wir, im Bereich Lifttechnik unsere digitalen Leistungen differenzierter anzubieten.“

Hilfe bei der Umsetzung?

Wenn Sie Fragen zur Umsetzung des Workshops haben oder Unterstützung benötigen, um ein hybrides Geschäftsmodell zu entwickeln, sprechen Sie uns einfach an:

Michael Guth: mg@zenit.de               Wir freuen uns auf Ihre Kontakaufnahme

Keine Daten ohne Systeme – Anforderungen an Systeme?

Der Blick auf die Maschinendaten muss damit abgerundet werden, dass man sich bewusst macht, dass die Daten als solche nicht der einzige Anknüpfungspunkt für zukünftige und heute schon vorhandene Gesetze sind. Wird, wie eingangs erwähnt, neue Wertschöpfung dadurch erreicht, dass alte Maschinen „smart“ gemacht werden, gelten für diese Maschinen rechtliche Anforderungen, die wahrscheinlich zuvor nicht einschlägig waren. Wird z. B. zur Beantwortung der Frage, wie die in der Maschine während ihrer Benutzung generierten Daten aus der Maschine heraus transportiert werden sollen, die Antwort WiFi, Bluetooth, NFC, o.ä. gegeben, bewegt man sich in der Regel in den jeweils nationalen Gesetzen zur Umsetzung z. B. der Richtlinie 2014/53/EU über die Bereitstellung von Funkanlagen auf dem Markt, der Richtlinie 2014/35/EU über die Bereitstellung elektrischer Betriebsmittel (Niederspannungsrichtlinie) oder der Richtlinie 2014/30/EU über die elektromagnetische Verträglichkeit.

Abgesehen von den somit angesprochenen elektrotechnischen Herausforderungen, denen man sich als produzierende*r Mittelständler*in sicherlich gut gewachsen sieht, muss man auch die Herausforderungen der Informationstechnologie in den Blick nehmen. Angenommen die Kühlschränke, die man bislang produzierte, sollten nunmehr als „smarte“ Kühlschränke nach dem Konzept von IoT permanent mit dem Internet verbunden sein, so darf man die Frage nach der Verantwortlichkeit stellen, wenn dieser Kühlschrank zum Zombie in einem Botnetz wird und gesteuert durch den Command & Control Server Angriffe gegen die IT eines Krankenhauses fährt, wodurch dort Steuerungssysteme ausfallen und Menschen ums Leben kommen. Wie das Handelsblatt und zahlreiche weitere Medien am 18.09.2020 zu berichten wussten, kam es nach einem Hackerangriff auf die Uni-Klinik Düsseldorf zu einem Todesfall. Am 09.02.2021 berichtete der Sicherheitsspezialist G DATA, dass sich im US-Bundesstaat Florida Unbekannte über ein schlecht gesichertes Remote-Wartungsprogramm Zugriff auf Systeme eines Wasserwerkes verschafft hatten. Dabei konnten sie die Konzentration einer zur Wasserbehandlung eingesetzten Chemikalie verändern. Aus Sicherheitskreisen wie etwa dem Cybercrime-Kompetenzzentrum beim LKA NRW ist nunmehr schon seit mindestens zwei Jahren regelmäßig wiederkehrend zu vernehmen, dass sich die Frage nicht mehr stellt, ob sich ein Unternehmen einem Cyberangriff ausgesetzt sehen wird, sondern heute nur noch zu fragen ist, wann der nächste Angriff stattfinden wird. Die Lage der IT-Sicherheit in Deutschland 2020 wurde vom Bundesamt für Sicherheit in der Informationstechnik im gleichnamigen Jahresbericht, den die Behörde am 20.10.2020 veröffentlichte, als „angespannt“ bezeichnet. Um zwei andere Beispiele zu nennen, die nicht Leib und Leben bedrohten, sondern nur Geld und wirtschaftliche Existenzen: Der niedersächsische MDax-Konzern Symrise, der etwa 10.000 Mitarbeiter beschäftigt, wurde Mitte Dezember 2020 Opfer einer schweren Attacke unbekannter Hacker. Die Produktion in Holzminden stand weitgehend still, berichtete das Handelsblatt am 14.12.2020. Andere Zeitungen berichteten nicht nur von IT-Sicherheitsvorfällen, sondern wurden selbst davon beeinträchtigt. Die Funke Mediengruppe wurde am 22.12.2020 nach eigenen Angaben Opfer eines Hackerangriffs. Die Tageszeitungen WAZ, Hamburger Abendblatt und Berliner Morgenpost erschienen in der Folge als erheblich dünnere Notausgaben. Diese Beispiele zeigen, dass zunehmend kriminelle Energie gezielt gegen Schwachstellen der IT-Sicherheit eingesetzt wird, etwa um Lösegeldzahlungen zu erpressen. Mit dem 2019 als Präventionsprojekt der Sicherheitspartnerschaft NRW erstmalig erstellten „Lagebild Wirtschaftsschutz“ wurden aufgrund repräsentativer Erhebungen Beschreibungen der Unternehmenssicherheit erarbeitet, mit dem Fokus auf Wirtschafts- und Cyberkriminalität gegen kleine und mittlere Unternehmen. Während althergebrachte, physische Sicherheitsaspekte durchaus von den meisten Unternehmen adäquat adressiert wurden, war die IT-Sicherheit eher unerschlossenes Brachland.

Der Rechtsrahmen für die IT-Sicherheit in allgemeinen Produkten bzw. Maschinen ist aktuell noch als rudimentär zu bezeichnen. Der zuvor erwähnte Todesfall löst reflexartig Überlegungen aus, die in Richtung Produktsicherheit und Produkthaftung gehen und die auch – ungeachtet der neuen Technik – in den alten Rechtsrahmen passen, weil dieser technikneutral formuliert ist. Dieser Haftungsrahmen ist ganz besonders in den Blick zu nehmen, falls – wie eingangs erwähnt – in die Maschinen im Zuge der Digitalisierung auch Aktoren, also Komponenten zur Steuerung der Maschine, eingebracht werden sollen (oder bereits vorhanden sind) und die Systeme dann auch noch vernetzt werden.

Thematisch spezielle Anforderungen brachte im Jahr 2015 das „IT-Sicherheitsgesetz“. Es fügte in § 13 TMG einen neuen Absatz 7 ein, der die entscheidenden Vorgaben macht, jedenfalls dann, wenn über die Systeme die Maschinendaten auch dem Benutzer der Maschine zugänglich gemacht werden. Zumindest in diesen Fällen dürfte von einem Anbieter-Nutzer Verhältnis im Sinne des TMG auszugehen und der Anwendungsbereich vorgenannter Norm unzweifelhaft eröffnet sein. Danach ist u. a. durch technische und organisatorische Vorkehrungen sicherzustellen, dass kein unerlaubter Zugriff auf die für den Dienst genutzten technischen Einrichtungen möglich ist. Verstöße gegen die Norm sind aktuell schon bußgeldbewehrt; allerdings ist noch kein Fall öffentlich bekannt geworden, in dem ein solches Bußgeld einmal verhängt worden wäre. Der Bundestag debattierte am 28.01.2021 über den Entwurf des „IT-Sicherheitsgesetz 2.0“ BT-Drs. 19/26106). Im Entwurf vorgeschlagen ist ein neuer § 7d BSI-G, der dem Bundesamt für Sicherheit in der Informationstechnik eine Kompetenz verleihen soll, Anordnungen zur Mangelbeseitigung im Bereich der Schutzmaßnahmen gem. § 13 Abs. 7 TMG treffen zu können. Am Rande bemerkt sei, dass im Bundeskabinett der Entwurf eines Telekommunikations-Telemedien-Datenschutzgesetz (TTDSG) zirkuliert (und auch schon der Öffentlichkeit „geleakt“ wurde), der jedoch vom Kabinett noch nicht beschlossen wurde. Daher hat die Bundesregierung das Gesetzgebungsverfahren dazu noch nicht förmlich eingeleitet. Der an die Öffentlichkeit gelangte Entwurf sieht eine Aufhebung u. a. von § 13 TMG vor, wobei die dort in Absatz 7 durch das IT-Sicherheitsgesetz 2015 eingeführte Regelung erhalten bleiben und nur an eine andere Stelle (§ 19 Abs. 4 TTDSG) verschoben werden soll. Mit dem im Bundestag gestellten Antrag vom 09.02.2021 (BT-Drs. 19/265339) wird derzeit versucht, die Bundesregierung dazu zu bewegen, das Gesetzgebungsverfahren zum TTDSG formell einzuleiten. Da sich dieser Entwurf auch auf die Umsetzung der ePrivacy-Richtlinie in Deutschland bezieht, ist dieses Gesetzgebungsverfahren, so es denn begonnen wird, von herausgehobener Bedeutung für den zukünftigen Umgang mit Maschinendaten.

Mit Blick auf die Praxis ist bedauerlich, dass das Thema Maschinendaten in einen sich gegenwärtig stark in Veränderungsprozessen befindlichen Rechtsrahmen fällt. Gleichzeitig ist aus diesem Blickwinkel heraus erfreulich, dass die bislang nur rudimentär vorhandenen Regeln ausgebaut und dadurch konkretisiert werden, so dass für die Zukunft eine verlässlichere Basis geschaffen wird. Hinsichtlich der Reformen im Zusammenhang mit dem IT-Sicherheitsgesetz 2.0 und dem Telekommunikations-Telemedien-Datenschutzgesetz könnte es für die beteiligten Praktiker ein Ansatz sein, zumindest die die Wahl zum 20. Deutschen Bundestag abzuwarten, die für den September des laufenden Jahres geplant ist. Sollten die beiden genannten Reformen nicht bis dahin mit Gesetzgebungsverfahren abgeschlossen worden sein, darf aufgrund des Grundsatzes der Diskontinuität davon ausgegangen werden, dass erst wieder einige Zeit vergehen wird, bis die die Themen dann – ggf. – erneut auf Tagesordnung kommen.

Ausblick

Das Thema ist politisch hochgradig virulent und Änderungen der Rechtslage sind zu erwarten. Am 19.02.2020 verkündete die EU-Kommission die sog. „europäischen Datenstrategie“ und sie legt u.a. am 25.11.2020 den bereits oben erwähnten Entwurf des „Daten-Governance-Gesetz“ (COM(2020) 767 final) sowie am 16.12.2020 den Entwurf für eine neue Richtlinie über Maßnahmen zur Gewährleistung eines hohen gemeinsamen IT-Sicherheitsniveaus (COM(2020) 823 final) vor. In Deutschland beschloss am 27.01.2021 das Kabinett die sog. „Datenstrategie der Bundesregierung“ – mit rund 240 Maßnahmen…

Autor:       Stefan Sander, LL.M., B.Sc.  Rechtsanwalt und Fachanwalt für IT-Recht, Software-Systemingenieur

Bisher sind in der Blogreihe Maschinendaten – Einführung und Rechtsrahmen für nicht-personenbezogene Daten folgende Beiträge erschienen

1. Einführung + Der Rechtsrahmen für nicht-personenbezogene Daten (10.03.2021)
2. Maschinendaten als personenbezogene Daten: Gilt der Datenschutz?  (17.03.2021)
3. Maschinendaten – Neue Wertschöpfungen durch Daten und Systeme (24.03.2021)
4. Grenzen für vertraglich geschaffene Rechtspositionen an Maschinendaten (14.04.2021)

Bislang selten betrachtet wurde das Thema Daten im Kontext einer Unternehmensinsolvenz. Eine der Kernaussagen in diesem Kontext ist, dass Daten in die Insolvenzmasse fallen (ausführlich Steinrötter/Bohlsen ZZP 2020, 459: Digitale Daten und Datenträger in Zwangsvollstreckung und Insolvenz). Insoweit sei nur kurz angemerkt, dass vertragliche Gestaltungen, die an die Eröffnung eines Insolvenzverfahrens anknüpfen und dann z. B. Kündigungsmöglichkeiten vorsehen, in aller Regel unwirksam sind (für das in der Praxis häufig anzutreffende Beispiel der Kündigungsmöglichkeit für diesen Fall liegt der Grund darin, dass eine solche Vertragsgestaltung das gesetzliche Wahlrecht des Insolvenzverwalters, ob laufende Verträge fortgesetzt werden oder nicht, aushöhlen würde).

Der Vertragsgestaltung zur Konstruktion von Rechten an Maschinendaten sind zudem dort Grenzen gesetzt, wo es kraft Gesetzes Zugangsrechte zu Daten gibt. Solche ergeben sich nur höchst ausnahmsweise aus allgemeinen Gesetzen, also solchen, welche sich nicht speziell mit Daten befassen. Anzuführen ist insoweit namentlich das Kartellrecht und ein etwaiger sich daraus ergebener Kontrahierungszwang, der zur Erteilung sog. Zwangslizenzen führen kann. Die sog. „essential facilities doctrine“ könnte auf einen Datenbestand anzuwenden sein (ausführlich Louven NZKart 2018, 217: Datenmacht und Zugang zu Daten) oder die Verhinderung des Zugangs zu den Daten bzw. zum System, welches mit den Daten arbeitet, könnte im Einzelfall ein Marktmachtmissbrauch sein (wie z.B. in BGH, Urt. v. 06.10.2015 − KZR 87/13, Rn. 108 ff.). Im Wesentlichen ergeben sich gesetzliche Zugangsrechte indes aus Gesetzen, die spezielle Regelungen für den Umgang mit Daten beinhalten. Am 25.11.2020 veröffentlichte die EU-Kommission einen Vorschlag für eine neue Verordnung, der sie den Titel „Daten-Governance-Gesetz“ gab (COM(2020) 767 final). Sobald sich der Rat und das Parlament je einen Standpunkt zu diesem Vorschlag gebildet haben, wird der Trilog, mithin das ordentliche europäische Gesetzgebungsverfahren seinen Lauf nehmen. Ziel des allgemein gehaltenen, also nicht-sektorspezifischen Vorschlags ist ein Rechtsrahmen für die Nutzung von Daten, die im Rahmen bestehender Vorschriften zur Verfügung gestellt werden, ohne diese bestehenden Vorschriften zu ändern oder neue sektorale Verpflichtungen zu schaffen. Insoweit sei nur am Rande bemerkt, dass es sektorspezifische Rechtsvorschriften über den Datenzugang gibt, die bereits in Kraft sind, in Bereichen wie Automobilindustrie (Verordnung (EG) Nr. 595/2009 – u. a. Zugang zu Fahrzeugreparatur- und -wartungsinformationen), Zahlungsdienstleister (Richtlinie (EU) 2015/2366 – u. a. Zugang zu Bankkonten und Zahlungsdaten) , Daten intelligenter Verbrauchsmesssysteme (Richtlinie (EU) 2019/944), Stromnetzdaten (Verordnung (EU) 2017/1485), intelligente Verkehrssysteme (Richtlinie 2010/40/EU), Umweltinformationen (Richtlinie 2003/4/EG) und Geodaten (Richtlinie 2007/2/EG – u. a. Schaffung einer gemeinsamen Geodateninfrastruktur (INSPIRE)).

Das nunmehr vorgeschlagene Daten-Governance-Gesetz zielt insbesondere darauf ab, die Verfügbarkeit von Daten zur Nutzung zu fördern, indem es Regelungen für die gemeinsame Datennutzung durch Unternehmen gegen Entgelt in jedweder Form enthält. Auch soll die Nutzung personenbezogener Daten ermöglicht werden, mithilfe eines „Mittlers für die gemeinsame Nutzung personenbezogener Daten“, der die betroffene Person bei der Ausübung ihrer Rechte gemäß der Datenschutz-Grundverordnung unterstützen soll. Es steht jedoch zu erwarten, dass dieser Vorschlag für eine neue Verordnung hochgradig umstritten sein wird (vgl. etwa Wischmeyer/Herzog NJW 2020, 288: Daten für alle? Grundrechtliche Rahmenbedingungen für Datenzugangsrechte) und das Gesetzgebungsverfahren daher sehr lange dauern wird.

Autor:       Stefan Sander, LL.M., B.Sc.  Rechtsanwalt und Fachanwalt für IT-Recht, Software-Systemingenieur

Bisher sind in der Blogreihe Maschinendaten – Einführung und Rechtsrahmen für nicht-personenbezogene Daten folgende Beiträge erschienen

1. Einführung + Der Rechtsrahmen für nicht-personenbezogene Daten (10.03.2021)
2. Maschinendaten als personenbezogene Daten: Gilt der Datenschutz?  (17.03.2021)
3. Maschinendaten – Neue Wertschöpfungen durch Daten und Systeme (24.03.2021)

Digitale Unterstützung beim Eichen durch die AnGeWaNt-Plattform

Im Rahmen des Projektes AnGeWaNt hat die PTB eine prototypische Plattform aufgebaut, um den Eichprozess zukünftig deutlich zu vereinfachen. Dazu wurden zwei Schlüsselprozesse digital abbildet und können nun von Unternehmen, die geeichte Waagen herstellen, eingebunden werden. Damit ist es möglich, die beiden folgenden Anträge digital einzureichen:

• Der digitale Eichantrag ermöglicht es, den Antrag formalisiert, automatisiert und deutschlandweit einheitlich an zentraler Stelle einzureichen. Das zuständige Eichamt wird benachrichtigt und bearbeitet den Antrag.
• Der Softwareupdateantrag ermöglicht es ebenso, den Antrag für ein Softwareupdate online formalisiert und automatisiert einzureichen. Der Prozess wird digital zwischen allen Beteiligten abgebildet und vereinfacht den Dokumentenaustausch stark.

In diesem Video werden die beiden digitalisierten Prozesse vorgestellt. Zudem werden weitere Funktionen der Plattform erläutert.

Zum Video:

Digitaler Workflow für metrologische Dienstleistungen

Die Plattform aus dem Projekt AnGeWaNt ist nur ein Schritt von vielen, die die PTB unternimmt, um die Digitalisierung im gesetzlichen Messwesen voranzutreiben. Den aktuellen Stand stellt die PTB vom 12. bis 16. April auf der Hannover Messe vor.

Online finden Sie weitere Informationen und Videos , die die Vorhaben im Einzelnen präsentieren. So bietet die PTB für ihre zahlreichen metrologischen Dienstleistungen zukünftig einen digitalen Workflow an. Er basiert auf einem elektronischen Kundenportal, digitalen Kalibrierzertifikaten und einer Plattform (Metrology Cloud), die künftig den europäischen Austausch metrologischer Daten ermöglichen soll.

Kontakt: Dr. Alexander Oppermann (E-Mail: alexander.oppermann@ptb.de)

Neue Wertschöpfungen durch Daten und Systeme: Zuweisung von Rechten?

Für den vorzugswürdigen Fall, dass es sich konzeptionell sicherstellen lässt, die Maschinendaten aus der Bewertung als „personenbezogene Daten“ und damit aus dem Datenschutz herauszuhalten, stellt sich die Frage, ob diese (Maschinen-)Daten zugunsten von irgendjemandem geschützt sind? Die wichtigste Feststellung zu diesem Punkt ist die, dass es kein Eigentum an Informationen gibt und damit auch kein Eigentum an Maschinendaten. Eigentum gibt es im Grundsatz nur an Sachen und diese sind qua Definition nur körperliche Gegenstände. Daraus folgt, dass die bisweilen in der Praxis anzutreffenden, vertraglichen Absprachen wie z. B. „Dateneigentümer der bei Betrieb der Maschine entstehenden Informationen ist der Maschinenhersteller“ ins Leere laufen. Denn die Rechtsposition „Eigentümer*in“, in die jemand durch diese Klausel eingewiesen werden soll, gibt es nicht.

Betrachtet man die diversen Rechtsmaterien, die unter dem Begriff „Geistiges Eigentum“ zusammengefasst werden (d.h. das Patent- und das Markenrecht sowie die verwandten Schutzrechte), so ist festzustellen, dass sich diese Regeln – entsprechend dem Eigentum in Bezug auf Sachen – jeweils im Kern um ein ausschließliches Recht an einem immateriellen Gut drehen. Die wohl einzige Materie, die insoweit für die meisten Fälle ernsthaft in Betracht kommt, ist das Recht der Geschäftsgeheimnisse (instruktiv Hessel/Leffer MMR 2020, 647: Rechtlicher Schutz maschinengenerierter Daten). Dieses Rechtsgebiet wurde durch die Richtlinie (EU) 2016/943 zum Schutz von Geschäftsgeheimnissen europaweit harmonisiert, welche in Deutschland durch das Geschäftsgeheimnisgesetz umgesetzt wurde. Mit Inkrafttreten dieses Gesetzes zum 26.04.2019 wurde dabei die hierzulande bislang geltende Rechtslage massiv verändert, insbesondere dadurch, dass Informationen jetzt nicht mehr, weil sie etwaig kraft Natur der Sache geheimhaltungsbedürftig seien, allein deshalb von Rechts wegen als Geschäftsgeheimnis geschützt werden. Der Begriff Geschäftsgeheimnis wurde in Deutschland im Zuge der Gesetzesänderung erstmals legaldefiniert. Diese Definition in § 2 Nr. 1 GeschGehG setzt für den Status Geschäftsgeheimnis das Vorhandensein von angemessenen Geheimhaltungsmaßnahmen voraus. Möchten sich Maschinenhersteller*innen zumindest potentiell die Tür offenhalten, Maschinendaten für sich als Geschäftsgeheimnisse reklamieren zu können, muss er/sie allen, denen er/sie seine Maschinen verkauft, vermietet oder sonst überlässt, vertraglich verbieten, die Maschinendaten zur Kenntnis zu nehmen (um diese Kenntnisnahme „unbefugt“ werden zu lassen). Ferner müssen Geheimhaltungsmaßnahmen, insbesondere technischer Art, in mindestens angemessenem Umfang ergriffen werden. Zudem sollte – in den meisten Fällen müsste – auch das Beobachten, Untersuchen, Rückbauen oder Testen der Maschine vertraglich untersagt werden, um eine Pflicht zur Beschränkung der Erlangung des Geschäftsgeheimnisses zu konstruieren. Denn kraft Gesetzes sind diese Handlungen, bei Abwesenheit der vorgenannten Beschränkung, zur Erlangung des Geschäftsgeheimnisses erlaubt (vgl. § 3 Abs. 1 Nr. 2 lit. b) GeschGehG).

Kommt es jedoch nicht Betracht, die Maschinendaten effektiv geheim zu halten (etwa weil Benutzer*innen der Maschine die Daten auch verwenden können sollen), bietet gegenwärtig keine der Rechtsmaterien des sog. „Geistigen Eigentums“ einen Rechtsrahmen, in dem man sich mit Maschinendaten bewegt. Der Schutz maschinengenerierter Daten beruht daher in der juristischen Praxis weit überwiegend auf dem Grundsatz der Privatautonomie. Es ist vertraglich ein immaterielles Gut zu konstruieren, d. h. es sind die Rechte und Pflichten an Maschinendaten durch entsprechende Vertragsgestaltung zu erschaffen, was separate Vertragswerke nicht voraussetzt, sondern auch in Allgemeinen Geschäftsbedingungen erfolgen kann. Weil es zur Anwendung und Auslegung sowohl der zivilrechtlichen, der strafrechtlichen und der kapitalmarktrechtlichen „Verbotsvorbehalte” kaum Rechtsprechung gibt, ist es sogar als erforderlich zu bezeichnen, der bestehenden Rechtsunsicherheit durch Verträge entgegenzutreten (ausführlich Sassenberg/Faber: Rechtshandbuch Industrie 4.0 und Internet of Things, 2. Auflage 2020, § 2 Rn.107 ff.).

Kurzfazit für die Anwendungspraxis: Sowohl zur Förderung von Rechtssicherheit als auch zur Vermeidung von Streitigkeiten sollten insbesondere die Übermittlung und Nutzung der maschinengenerierten Daten detailliert vertraglich geregelt werden, im Verhältnis von demjenigen, in dessen Besitz sich die Maschine befindet, zu demjenigen, der Zugang zu den Daten haben und diese nutzen können soll. Besondere Herausforderungen ergeben sich bei mehrseitigen Beziehungen oder Lieferketten, nicht nur deshalb, weil eine Vielzahl von Interessen miteinander kollidieren.

Autor:       Stefan Sander, LL.M., B.Sc.  Rechtsanwalt und Fachanwalt für IT-Recht, Software-Systemingenieur

Weiter geht’s mit dieser Blogreihe nach den Osterferien mit dem vierten Beeitrag: Grenzen für vertraglich geschaffene Rechtspositionen an Maschinendaten

Bisher sind in der Blogreihe Maschinendaten – Einführung und Rechtsrahmen für nicht-personenbezogene Daten folgende Beiträge erschienen:

1. Einführung + Der Rechtsrahmen für nicht-personenbezogene Daten (10.03.2021)
2. Maschinendaten als personenbezogene Daten: Gilt der Datenschutz?  (17.03.2021)

Maschinendaten als personenbezogene Daten: Anwendbarkeit des Datenschutzes

Das maßgeblich durch die Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung) geprägte Datenschutzrecht schützt nicht alle Daten, was einem landläufigen Irrtum entsprechen würde. Vom Gesetz geschützt werden nur „personenbezogene Daten“, mithin alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (die im Datenschutz als “betroffene Person” bezeichnet wird) beziehen. An die Feststellung, dass die in Rede stehenden Daten unter diese Definition fallen, knüpft der Anwendungsbereich des Datenschutzrechts. Besondere Brisanz hat das Thema, weil das Datenschutzrecht von der Regelungstechnik „Verbot mit Erlaubnisvorbehalt“ (vgl. Art. 6 Abs. 1 DS-GVO) dominiert wird. Ist es anwendbar, würde in vielen Fällen eben dieses grundsätzliche Verbot durchgreifen und der Nutzung der Maschinendaten entgegenstehen.

Klar kennzeichnende Informationen, wie z. B. der volle Name einer Person, beziehen sich auf eine „identifizierte“ Person (etwa dann relevant, wenn sich ein Beschäftigter zwecks Betriebes der Maschine an dieser mit einem Benutzerkonto anmelden muss). Wesentlich diffiziler ist die Frage, wann Informationen in Bezug auf eine „identifizierbare“ Person vorliegen. Die Verbindung anderer Informationen mit solchen klar kennzeichnenden Informationen, wie etwa dem vollen Namen, bzw. die Möglichkeit, eine Verbindung herstellen zu können, infiziert alle anderen damit in Zusammenhang stehenden Informationen. Ob eine Information auf eine identifizierbare natürliche Person bezogen werden kann und sie deshalb als „personenbezogenes Datum“ zu bewerten ist, beurteilt sich jeweils aus Perspektive des Verantwortlichen (grundsätzlich der/die RechtsträgerIn, der/die mit den Daten Umgang hat) und ist im Grundsatz von seinem Kontextwissen abhängig (ein Bezug zu einer identifizierbaren Person liegt etwa vor, wenn in vorgenanntem Beispiel Informationen über den jeweiligen Zustand der Maschine (vermeintlich Informationen „nur“ in Bezug auf die Maschinen) mit dem zum Zeitpunkt der Benutzung angemeldeten Benutzerkonto in Verbindung gebracht werden). Für die Frage, ob für den/die Verantwortliche*n in Bezug auf eine Information eine natürliche „identifizierbar“ ist, wird zwar zunächst auf das bei den Verantwortlichen tatsächlich vorhandene Kontextwissen abgestellt, doch muss er/sie sich für diese Fragestellung nach der Rechtsprechung zusätzlich jegliches Kontextwissen zurechnen lassen, welches er/sie sich mit legalen Mitteln beschaffen könnte (EuGH, Urt. v. 19.10.2016 – C‑582/14).

Für die Praxis folgt daraus z. B. die Empfehlung, dass die durch Sensoren generierten Maschinendaten so beschaffen und abgespeichert sein sollten, dass sie sich auf keine identifizierbare natürliche Person beziehen lassen. Wichtig ist insoweit darauf zu achten, dass dies für keinen Rechtsträger, der/die Umgang mit diesen Daten hat, jeweils aus seiner/ihrer Perspektive der Fall sein sollte (es sind also für die potentiell Beteiligten „MaschinenherstellerInnen“, „MaschinenverleiherInnen“, „MaschinenbenutzerInnen“, etc.) separate Bewertungen dieser über den Anwendungsbereich des Datenschutzrechts entscheidenden Frage vorzunehmen). Dringend zu empfehlen ist es, den im Datenschutzrecht kodifizierten Grundsatz der Datenminimierung (vgl. Art. 5 Abs. 1 DS-GVO) nicht erst bei Anwendbarkeit des Datenschutzrechts, sondern schon bereits bei der Planung eines datengetriebenen Geschäftsmodells soweit es geht umzusetzen. Beispielsweise für Systeme, die im Kontext des Maschinenverleihs im B2B Bereich eine unsachgemäße Benutzung einer Maschine erkennen und dokumentieren können sollen, wird es in aller Regel nicht erforderlich sein, diese auf Verwendung von personenbezogenen Daten auszulegen. Im B2C Bereich hingegen ist schon der Kunde eine natürliche Person, so dass Informationen darüber, ob der Kunde/die Kundin eine Maschine unsachgemäß benutzt hat, wohl stets „personenbezogene Daten“ sein werden (auch wenn innerhalb der Maschine die Daten keinen Rückschluss auf die Identität des Benutzers ermöglichen, ist es das Kontextwissen desjenigen/derjenigen, der/die später Umgang mit diesen Daten hat, welches die Frage beantwortet, ob für ihn/sie diese Daten „personenbezogene Daten“ darstellen).

Sollte es sich konzeptionell nicht vermeiden lassen, dass die Maschinendaten aus einer der Perspektiven als personenbezogene Daten zu bewerten sind, ist die geplante Wertschöpfung mit den Maschinendaten daraufhin zu hinterfragen, ob der Plan überhaupt zulässigerweise realisiert werden darf und falls ja, welche Anforderungen sodann einzuhalten sind. Dazu ist anzumerken, dass mit Blick auf Maschinendaten in vielen Fällen ergänzend bzw. verdrängend zu den allgemeinen Regeln der Datenschutz-Grundverordnung die spezielleren Regeln der Richtlinie 2002/58/EG (Datenschutzrichtlinie für elektronische Kommunikation (ePrivacy)) zur Anwendung kommen. Die im Mai 2018, zum Inkrafttreten der DS-GVO, vom EDSA veröffentlichte „Erklärung des Europäischen Datenschutzausschusses zur Überarbeitung der ePrivacy-Verordnung und zu den Auswirkungen auf den Schutz der Privatsphäre“ hat bis heute nicht an Aktualität verloren, insbesondere soweit es dort heißt: „Übermittlungsdienste, die zur Erbringung von Maschine-zu-Maschine-Diensten genutzt werden, fallen ebenfalls in den Anwendungsbereich der geltenden Richtlinie.“ Der EDSA betont dort, wie auch schon zuvor seine Vorgängerinstitution, die sog. Art. 29 Gruppe, in ihrem Working Paper 216, „dass Metadaten der elektronischen Kommunikation weiterhin ohne Einwilligung weiterverarbeitet werden dürfen, nachdem sie vollständig anonymisiert wurden“. Dazu muss man jedoch bedenken, dass Informationen, sobald und solange sie anonymisiert sind, sich gerade nicht auf eine identifizierbare natürliche Person beziehen, mithin keine personenbezogenen Daten sind und deshalb außerhalb des Anwendungsbereichs des Datenschutzrechts liegen.

Die ePrivacy-Richtlinie soll nach dem Vorschlag der EU-Kommission vom 10.01.2017 (COM/2017/010 final) zurückgenommen und durch eine Verordnung ersetzt werden – ein politisch hochgradig umstrittener Gesetzesvorschlag. Der am 20.10.2017 verabschiedete Standpunkt des Parlaments betonte die Notwendigkeit, gerade für die Kommunikation in den Bereichen Maschine-zu-Maschine (M2M) und Internet-of-Things (IoT) klarere Abgrenzung gegenüber den allgemeinen Regeln der DS-GVO einzuführen. Maschinendaten werden in diesen Bereichen als Bestandteile „elektronischer Kommunikationsdienste“ der Regulierung unterfallen, so dass der weitere Verlauf dieses Gesetzgebungsverfahren für das hier betrachtete Thema von herausgehobener Bedeutung ist. Der am 10.02.2021 gefasste Standpunkt des Rates nähert sich diesem Thema so: „Sobald elektronische Kommunikationsdaten aus einem geschlossenen Gruppennetz in ein öffentliches elektronisches Kommunikationsnetz übertragen werden, gilt diese Verordnung für diese Daten, auch wenn es sich um M2M-/IoT-Daten und Personal-/Home-Assistant-Daten handelt.“

Für einige Verwirrung sorgt derzeit die Richtlinie (EU) 2019/770 über bestimmte vertragsrechtliche Aspekte der Bereitstellung digitaler Inhalte, deren Umsetzungsfrist noch läuft und deren Inhalte deshalb in Deutschland noch nicht Gesetz wurden. Diskutiert wird der Aspekt „personenbezogene Daten als Gegenleistung“. Die Richtlinie selbst hat sich insoweit eigentlich klar positioniert, indem die begrenzenden Elemente betont wurden: „Digitale Inhalte oder digitale Dienstleistungen werden häufig auch dann bereitgestellt, wenn der Verbraucher keinen Preis zahlt, sondern dem Unternehmer personenbezogene Daten zur Verfügung stellt. Solche Geschäftsmodelle treten in verschiedenen Formen in einem erheblichen Teil des Marktes auf. Obwohl in vollem Umfang anerkannt wird, dass der Schutz personenbezogener Daten ein Grundrecht ist und daher personenbezogene Daten nicht als Ware betrachtet werden können, sollte mit dieser Richtlinie sichergestellt werden, dass die Verbraucher im Zusammenhang mit solchen Geschäftsmodellen Anspruch auf vertragliche Rechtsbehelfe haben.“

Der Praxis könnte also geraten werden, dieses deutsche Umsetzungsgesetz abzuwarten, welches ob dieses Punktes von besonderer Bedeutung für das Thema des Umgangs mit Maschinendaten ist. Sofern es erfolgsrelevant ist, das geplante Geschäftsmodell schnellst möglich auf den Markt zu bringen und daher das Umsetzungsgesetz nicht abgewartet werden kann, sollte zumindest das Gesetzgebungsverfahren beobachtet werden – und das Risiko von Änderungsbedarfen aufgrund geänderter gesetzlicher Rahmenbedingungen kalkuliert werden.

Autor:       Stefan Sander, LL.M., B.Sc.  Rechtsanwalt und Fachanwalt für IT-Recht, Software-Systemingenieur

Bisher ist in der Blogreihe Maschinendaten – Einführung und Rechtsrahmen für nicht-personenbezogene Daten folgender Beitrag erschienen:

1. Einführung + Der Rechtsrahmen für nicht-personenbezogene Daten (10.03.2021)