Wie Anfang Februar angekündigt, starten wir nunmehr eine fünfteilige Serie zum Thema „Maschinendaten – Rechtsrahmen, Fallstricke und Lösungsansätze“.

In der Umsetzungsphase hybrider Geschäftsmodelle war bei den Anwenderfirmen im Projekt AnGeWaNt immer deutlicher geworden, dass die Nutzung der Maschinendaten aus rechtlicher Sicht alles andere als trivial ist. Aus diesem Grunde haben wir einen Fachanwalt für IT-Recht beauftragt, die notwendigen Rechtsfragen rund um die Generierung und Nutzung von Maschinendaten auszuleuchten. Entstanden ist daraus die Blogreihe: „Maschinendaten – Rechtsrahmen, Fallstricke und Lösungsansätze“, die heute startet

Im Wochenrythmus werden wir uns  folgenden Themen widmen:

1. Einführung + Der Rechtsrahmen für nicht-personenbezogene Daten (10.03.2021)
   
2. Maschinendaten als personenbezogene Daten: Anwendbarkeit des Datenschutzes (17.03.2021)
   
3. Neue Wertschöpfungen durch Daten und Systeme: Zuweisung von Rechten? (24.03.2021)
   
4. Grenzen für vertraglich geschaffene Rechtspositionen an Maschinendaten (14.04.2021)
   
5. Keine Daten ohne Systeme – Anforderungen an Systeme? Ausblick (21.04.2021)
   

Einführung

„Die Corona-Krise beschleunigt die Digitalisierung“, darüber besteht auf breiter Front Konsens. Berichtet wird dies nicht nur aus der Industrie, die sich schon seit Längerem mit Themen wie dem Internet-of-Things (IoT), der Industrie 4.0 oder Predictive Maintenance befasst. In einer repräsentativen Umfrage im Auftrag des BITKOM vom Oktober 2020 bestätigt diese Aussage auch die öffentliche Verwaltung. Wenig überraschend, dass auch der deutsche Mittelstand zunehmend digitaler wird, in allen Bereichen der Wertschöpfung, wie auch alle Branchen und Firmengrößen. Zu diesem Ergebnis kommt die fünfte Ausgabe der im Auftrag der Telekom durchgeführten repräsentativen Studie Digitalisierungsindex Mittelstand 2020/2021.

Die digitale Unterstützung bestehender Prozesse oder der Austausch eines analogen Ablaufs durch eine digitale Alternative ist das Eine – etwas Anderes ist es jedoch, wenn mit der Digitalisierung von Maschinen neue „Produkte“ entstehen, weil durch das Erheben von Daten und deren Nutzung eine gänzlich neue Wertschöpfung betrieben wird. Beispielsweise bei der Bewirtschaftung von Gebäuden und anderen Bauwerken mithilfe von Software (Stichwort: Building Information Modeling) ist derartiges seit Längerem schon gelungen. Ist es geplant, zum Erheben der Daten erforderliche Sensoren in die zu bauenden Maschinen einzubringen, ist der gedankliche Weg nicht mehr weit, auch Aktoren einzubringen und Systeme zu vernetzen. Im Fokus soll daher hier das datengetriebene Geschäftsmodell stehen, als ein zu erschließendes Neuland für den produzierenden Mittelstand. Der nachstehende Überblick zum Rechtsrahmen für Maschinendaten soll insoweit als Orientierungshilfe dienen, für die Produzenten bzw. Maschinenhersteller einerseits sowie die häufig mit gegenläufigen Interessen agierenden Kundinnen und Kunden andererseits, also die Rechtsträger, die die Maschinen durch ihre Beschäftigten benutzen und dabei Daten generieren. Für eilige Leser*innen sei als Quintessenz vorab mitgeteilt: Ungeachtet der Frage, in welchem dieser Lager man steht, man erhält das, was man sich vertraglich ausbedingt und wenn im Vertrag nichts zu diesem Thema geregelt ist, erhält insoweit man im Zweifel nichts.

Der Rechtsrahmen für nicht-personenbezogene Daten

Daten, die nicht als personenbezogene Daten zu bewerten sind und deshalb nicht dem Recht des Datenschutzes unterfallen, werden schon seit geraumer Zeit als „das neue Öl“ oder „das neue Gold“ bezeichnet (ausführlich Fries/Scheufen MMR 2019, 721: Märkte für Maschinendaten – Eine rechtliche und rechtsökonomische Standortbestimmung). Dabei ist es im Vergleich zur Prominenz des Datenschutzrechts in der öffentlichen Wahrnehmung bislang Vielen verborgen geblieben, dass auch die Verordnung (EU) 2018/1807 geltendes Recht ist, die einen Rahmen für den freien Verkehr nicht-personenbezogener Daten in der EU geschaffen hat. Die EU-Kommission veröffentlichte erläuternde Leitlinien (COM/2019/250 final) zum Zusammenspiel der Verordnung (EU) 2018/1807 mit der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung) und flankierte die Veröffentlichung mit dem Kommentar des damals für den digitalen Binnenmarkt zuständigen Kommissionsvizepräsidenten, Andrus Ansip: „Bis 2025 dürfte die Datenwirtschaft 5,4 Prozent des BIP der EU-27 generieren, was 544 Mrd. Euro entspricht.“

Diese Verordnung (EU) 2018/1807 regelt jedoch im Wesentlichen nur die (Un-)Zulässigkeit von Datenlokalisierungsauflagen und ist damit für den praktischen Umgang mit Maschinendaten nahezu nicht relevant. Vor allem ist zu betonen, dass ihre Regelungen gegenüber dem Datenschutzrecht nachrangig sind, was sich ihrem Art. 2 Abs. 2, insbesondere dem Satz 2 ergibt: „Bei einem Datensatz, der aus personenbezogenen und nicht-personenbezogenen Daten besteht, gilt diese Verordnung für die nicht-personenbezogenen Daten des Datensatzes. Sind personenbezogene und nicht-personenbezogene Daten in einem Datensatz untrennbar miteinander verbunden, berührt diese Verordnung nicht die Anwendung der Verordnung (EU) 2016/679.“ Was die Wendung untrennbar miteinander verbunden bedeutet, ist in keiner der beiden Verordnungen definiert und zukünftig ggf. durch die Rechtsprechung zu klären. Dieselbe Frage, also wie mit solchen gemischten Datensätzen umzugehen ist, stellt sich auch bei der Bestimmung des Anwendungsbereichs des Datenschutzrechts – also bei der Frage: Sind die Informationen als personenbezogene Daten zu bewerten? Für die Anwendungspraxis folgt daraus, dass diese Rechtsfrage im Hinblick auf die potentiell in Rede stehenden Maschinendaten klar im Vordergrund steht und bei Konzeption und Planung der neuen Wertschöpfung durch Digitalisierung besonders sorgfältig geprüft werden muss.

Autor:       Stefan Sander, LL.M., B.Sc.  Rechtsanwalt und Fachanwalt für IT-Recht, Software-Systemingenieur

Wir setzen diese Blogreihe fort mit dem Beitrag:

  Maschinendaten als personenbezogene Daten: Anwendbarkeit des Datenschutzes am 17.03.2021