Data-Act und KI im industriellen Umfeld: Wenn aus mangelhaften Maschinendaten eine fehlerhafte KI wird – Haftungsfragen.

Im Juni 2024 endet die Legislaturperiode des 9. Europäischen Parlaments. Gesetzesinitiativen, die bis dahin nicht abgeschlossen sind, drohen vom nächsten Parlament neu ausgerollt zu werden. Aus diesem Grund überschlagen sich derzeit Nachrichten über politische Einigungen zu verschiedenen EU-Digitalgesetzen. Alle sind generisch und komplex. Technische oder rechtliche Umsetzungshindernisse fanden trotz reichlich Lobby-Arbeit im Gesetzgebungsprozess wenig Gehör.

Konkrete Beispiele lassen die Herausforderungen greifbarer werden.

Beispiel

Automobilzulieferer A nutzt in seiner Produktionshalle eine vom Maschinenbauer M geleaste Maschine. M bietet zwar predictive Maintenance an, A möchte dennoch künftig die KI-gestützte Lösung des D mit modernem Dashboard und einer Verbindung zu einem Meldesystem zur Brandwarnung nutzen.

Am 12.09.2025, dem Tag des Wirksamwerdens des EU Data-Act, verlangt A von M die laufende Übermittlung sämtlicher relevanter Maschinendaten samt Metadaten direkt an D. Gleiches begehren zahlreiche weitere Kunden des M.

D trainiert mit diesen Daten sein KI-System. Mit seiner App zur Brandwarnung sollen vorkritische Zustände der Maschinen registriert werden, die bei Nichtbeachtung zu einem Brand führen können. Hierfür verwendet D die übermittelten Temperaturdaten der Maschine. Am 8. Januar 2026 kommt es in der Produktionshalle des A zu einem schweren Maschinenbrand. Die App zur Warnung hatte den vorkritischen Zustand nicht registriert. Zwei Mitarbeiter des A erleiden schwere Verletzungen. Als Ursache wurden später von M übermittelte, fehlerhafte Metadaten festgestellt.

D fordert Schadensersatz von M. Neben eigenem Schaden hatten A und die Mitarbeiter des A Schadenersatzansprüche gegen D geltend gemacht.

Es ergeben sich folgende Fragen:
a. Warum hat M sich diesem Risiko ausgesetzt, indem er D Daten und Metadaten zur Verfügung stellte?
b. Kann A mit seiner Schadensersatzforderung Erfolg haben?

Pflicht zum Data Sharing

Auch wenn vielfach darüber diskutiert wurde, hat sich ein rechtliches Eigentum an Daten bis heute nicht durchgesetzt. Kraft Entscheidung über das Produktdesign standen bisher de facto allein den Herstellern von IoT-Produkten Daten zur Verfügung, die durch die Nutzung der Produkte oder der korrespondierenden Dienste entstanden. Datengetriebene Anschlussservices waren ihr Hoheitsgebiet. Die Durchbrechung dieser Datensilos war erklärtes Ziel des EU-Gesetzgebers, als er die „Dateninhaber“ zwang, auf Anforderung der „Nutzer“ diese Daten zugänglich zu machen. Der EU Data-Act ordnet mit Wirkung zum 12.09.2025 folgende, hier relevante Rechte und Pflichten an:

  • Dateninhaber:
    • Zugangsgewährung an vom Nutzer bestimmte Dritte („Datenempfänger“) in Bezug auf sämtliche Daten, die der Dateninhaber im Rahmen der Nutzung der Maschinen und der verbundenen Dienste durch den Nutzer generiert und selbst erhält.
    • Gewährung eines standardmäßigen, einfachen, sicheren, unentgeltlichen Zugangs in einem umfassenden, strukturierten, gängigen und maschinenlesbaren Format und zwar, soweit relevant und technisch durchführbar, direkt, sonst via Cloud.
  • Datenempfänger: Nutzung zu dem mit dem Nutzer vereinbarten Zweck, auch für wettbewerblichen Folgemarkt. Einhaltung von mit dem Dateninhaber getroffenen Vereinbarungen zum Schutz von Geschäftsgeheimnissen, sofern relevant.

Zu unserem Beispiel: Da die vorausschauende Wartung der Maschinen von Anfang an zum Geschäftsmodell von M gehörte, hat er seine Maschinen so designed und gefertigt, dass er sämtliche hierfür benötigte Daten standardmäßig von den Maschinen bzw. aus dem Maintenance-Service übermittelt bekommt. Dazu gehörten auch die Messwerte, die D für das Training seiner KI nutzte. Nach den zwingenden Vorschriften des EU Data-Act war M also verpflichtet, die Daten mit den korrespondierenden Metadaten D zur Verfügung zu stellen.

Haftung des Dateninhabers M für die Qualität der Daten und Metadaten

Produkthaftung

Nach der aktuellen Rechtslage besteht keine Produkthaftung für fehlerhafte Daten. Am 14.12.2023 gab es jedoch eine politische Einigung des Europaparlaments und des Rates zu einer neuen Produkthaftungsrichtlinie. Nach derzeitigem Kenntnisstand wird klargestellt, dass auch fehlerhafte Software und Produktionsdateien eine Produkthaftung auslösen können. Eine Haftung für fehlerhafte Daten wurde jedoch nicht aufgenommen. Sobald auch die formelle Zustimmung erfolgt ist, tritt die Richtlinie nach ihrer Veröffentlichung im Amtsblatt der EU in Kraft. Danach haben die Mitgliedstaaten 2 Jahre Zeit, die Richtlinie in nationales Recht umzusetzen.

Zivilrechtliche Ansprüche aus § 327i BGB

Die mangelhafte Beschaffenheit von Daten kann nach § 327i BGB zur Haftung derjenigen Person führen, die die Daten bereitstellt.

Im Zusammenhang mit dem EU Data-Act ist jedoch zu berücksichtigen, dass dieser eine gesetzliche Beschaffenheitsfestlegung enthält. Danach erstrecken sich die Rechtspflichten des M nicht darauf sicherzustellen, dass die Daten und Metadaten fehlerfrei sind, sondern nur darauf, dass er sie in derselben Qualität, die ihm selbst zur Verfügung steht, bereitstellt. Nur dann, wenn die Qualität der bereitgestellten Daten hinter der dem M selbst vorliegenden Qualität zurückbleibt, kann eine mangelhafte Beschaffenheit i.S.d. § 327i BGB vorliegen. Ausdrücklich ergeben sich die Ansprüche aus 327i BGB zwar nur für Verbraucher. Mit einer entsprechenden Anwendung durch die Gerichte im B2B-Geschäft muss jedoch gerechnet werden.

Mögliche Haftungsbeschränkungen und Beweislast

Teilweise wird angenommen, ein Haftungsausschluss oder eine Haftungsbeschränkung bezüglich der Datenqualität sei grundsätzlich nicht wirksam möglich. Das ist bedingt richtig.

Vor dem Hintergrund der Beschaffenheitsfestlegung des EU Data-Act dürfte zumindest folgende klarstellende Klausel selbst in Allgemeinen Geschäftsbedingungen empfehlenswert sein: „Ein haftungsbegründende Pflichtverletzung bezüglich der Qualität bereitgestellter Daten liegt nur dann vor, wenn der Dateninhaber Daten in einer geringeren Qualität bereitgestellt hat, als sie für in selbst verfügbar waren.“

Nach den allgemeinen Regeln zu Beweislast obliegt dem Geschädigten der Nachweis einer solchen Pflichtverletzung durch den Dateninhaber. Das dürfte oftmals schwer zu bewerkstelligen sein.

Zur Möglichkeit des Ausschlusses oder der Beschränkung einer Haftung in diesem so eingegrenzten Pflichtenkreis gelten die allgemeinen Regeln.

Zu unserem Fall: Wenn also der Brand durch falsche Metadaten entstanden ist, M jedoch selbst nur diese Datenqualität zur Verfügung stand, haftet er nicht.