Schlagwort: Data Act

Data Act – Teilen von Geschäftsgeheimnissen

Posted on by Trenchant

Data Act – Machen Sie aus Daten Geschäftsgeheimnisse

Nach einem mehrjährigen Gesetzgebungsprozess ist am 11.01.2024 der Data Act (DA) in Kraft getreten. Er gilt in seinen wesentlichen Teilen ab dem 12.09.2025. Von besonderer Bedeutung für Hersteller von Produktionsmaschinen, Medizingeräten oder anderen vernetzten Produkten ist der Schutz von Geschäftsgeheimnissen. Auf diesen werden sich nur gut vorbereitete Unternehmen erfolgreich berufen können.

Um welche Daten geht es?


Es geht um Daten, die bei der Nutzung vernetzter Produkte entstehen und von datengenerierenden Sensoren oder Systemen erfasst werden. Außerdem geht es um Daten von sogenannten „verbundenen Diensten“. Interessant sind solche Daten, weil mit ihnen komplementäre Leistungen erbracht oder KI-Modelle trainiert werden können. Soweit der DA nun anordnet, dass der Nutzer der Maschine oder des Geräts die Bereitstellung dieser Daten an sich oder an einen Dritten verlangen kann, ist das wettbewerbsrechtlich relevant. Aus diesem Grund hat der Gesetzgeber dem Hersteller gewisse Möglichkeiten an die Hand gegeben, sich zu schützen. Unter engen Voraussetzungen kann der Hersteller die Bereitstellung der Daten unter Berufung auf das Geschäftsgeheimnisgesetz (GeschGehG) verweigern.

Was sind überhaupt Geschäftsgeheimnisse?


Bis zum 25.04.2019 waren im „geschäftlichen Verkehr anvertraute Vorlagen oder Vorschriften technischer Art“ (Geschäftsinformationen) per Gesetz geschützt. Die unbefugte Verwendung oder Mitteilung an Dritte war strafbar. Vertraulichkeitsvereinbarungen mit Kunden oder Lieferanten umfassten, wenn sie überhaupt geschlossen wurden, alle übergebenen oder offengelegten Informationen (catch-all-Vereinbarung). Besondere Schutzmaßnahmen, wie z.B. die verschlüsselte Übertragung oder Speicherung, waren selten Gegenstand der Regelungen.

Relativ unbeachtet hat sich diese Rechtslage aber mit dem Inkrafttreten des GeschGehG am 26.04.2019 fundamental geändert.

Seitdem sind Geschäftsinformationen nur dann geschützt, wenn sie – verkürzt

a) von wirtschaftlichem Wert sind, weil sie Dritten nicht bekannt sind,
b) wenn der Unternehmer ein berechtigtes Interesse an der Geheimhaltung hat und
c) wenn sie Gegenstand von „den Umständen nach angemessenen Geheimhaltungsmaßnahmen“ sind.

Hierbei handelt es sich um konstitutiven Voraussetzungen. Werden sie nicht erfüllt, sind Ihre Geschäftsinformationen keine Geschäftsgeheimnisse i.S.d. GeschGehG und damit auch nicht i.S.d. DA.

Was sind „den Umständen nach angemessene“ Geheimhaltungsmaßnahmen?

Zu den geforderten Geheimhaltungsmaßnahmen gehören sowohl technische und organisatorische Maßnahmen (TOM) als auch der Abschluss qualifizierter Vertraulichkeitsvereinbarungen. So genannte „Catch-all-Vereinbarungen“ genügen nicht mehr.

Die Vereinbarungen müssen nun die Geschäftsinformationen in verschiedene Klassen einteilen und dann für jede Klasse angemessene technische und organisatorische Maßnahmen (TOM) vorschreiben. Wer ISO/IEC 27001-zertifiziert ist, kennt das aus „Control“ A.5.12 i.V.m. der „Informationssicherheit in Lieferantenbeziehungen“.

Etabliert haben sich in Deutschland in Anlehnung an BSI-Standard 200-2 Klassen wie a) offen, b) intern, c) vertraulich und d) streng vertraulich.  Werden hier Fehler gemacht, kann das zur Unwirksamkeit der Vereinbarung führen, denn strengste Vorgaben für nur „interne“ Informationen könnten „überraschend“ i.S.d. deutschen AGB-Rechts sein.

Hersteller vernetzter Produkte sollten bis spätestens 11.09.2025 sicherstellen, dass sensible Daten, die nach dem DA dem Nutzer oder sogar Dritten zugänglich gemacht werden müssten „Geschäftsgeheimnisse“ in diesem Sinne sind. Wenn das schon nicht gegeben ist, braucht man die Schutzmöglichkeiten nach dem DA gar nicht erst prüfen.

Konkret

  • Sammeln oder verarbeiten Sie die generierten Daten in einer fremden SaaS-Lösung?
  • Möchten Sie die Daten einem Datenpool oder einem KI-Trainer zur Verfügung stellen?
  • Werden Sie fremde Service-Unternehmen mit der Wartung des vernetzten Produkts beauftragen?

Dann sollten Sie mit diesen Anbietern geeignete Vereinbarungen zum Schutz Ihrer Daten abschließen.

Data Act und KI im industriellen Umfeld – Haftungsfragen

Posted on by Trenchant

Data-Act und KI im industriellen Umfeld: Wenn aus mangelhaften Maschinendaten eine fehlerhafte KI wird – Haftungsfragen.

Im Juni 2024 endet die Legislaturperiode des 9. Europäischen Parlaments. Gesetzesinitiativen, die bis dahin nicht abgeschlossen sind, drohen vom nächsten Parlament neu ausgerollt zu werden. Aus diesem Grund überschlagen sich derzeit Nachrichten über politische Einigungen zu verschiedenen EU-Digitalgesetzen. Alle sind generisch und komplex. Technische oder rechtliche Umsetzungshindernisse fanden trotz reichlich Lobby-Arbeit im Gesetzgebungsprozess wenig Gehör.

Konkrete Beispiele lassen die Herausforderungen greifbarer werden.

Beispiel

Automobilzulieferer A nutzt in seiner Produktionshalle eine vom Maschinenbauer M geleaste Maschine. M bietet zwar predictive Maintenance an, A möchte dennoch künftig die KI-gestützte Lösung des D mit modernem Dashboard und einer Verbindung zu einem Meldesystem zur Brandwarnung nutzen.

Am 12.09.2025, dem Tag des Wirksamwerdens des EU Data-Act, verlangt A von M die laufende Übermittlung sämtlicher relevanter Maschinendaten samt Metadaten direkt an D. Gleiches begehren zahlreiche weitere Kunden des M.

D trainiert mit diesen Daten sein KI-System. Mit seiner App zur Brandwarnung sollen vorkritische Zustände der Maschinen registriert werden, die bei Nichtbeachtung zu einem Brand führen können. Hierfür verwendet D die übermittelten Temperaturdaten der Maschine. Am 8. Januar 2026 kommt es in der Produktionshalle des A zu einem schweren Maschinenbrand. Die App zur Warnung hatte den vorkritischen Zustand nicht registriert. Zwei Mitarbeiter des A erleiden schwere Verletzungen. Als Ursache wurden später von M übermittelte, fehlerhafte Metadaten festgestellt.

D fordert Schadensersatz von M. Neben eigenem Schaden hatten A und die Mitarbeiter des A Schadenersatzansprüche gegen D geltend gemacht.

Es ergeben sich folgende Fragen:
a. Warum hat M sich diesem Risiko ausgesetzt, indem er D Daten und Metadaten zur Verfügung stellte?
b. Kann A mit seiner Schadensersatzforderung Erfolg haben?

Pflicht zum Data Sharing

Auch wenn vielfach darüber diskutiert wurde, hat sich ein rechtliches Eigentum an Daten bis heute nicht durchgesetzt. Kraft Entscheidung über das Produktdesign standen bisher de facto allein den Herstellern von IoT-Produkten Daten zur Verfügung, die durch die Nutzung der Produkte oder der korrespondierenden Dienste entstanden. Datengetriebene Anschlussservices waren ihr Hoheitsgebiet. Die Durchbrechung dieser Datensilos war erklärtes Ziel des EU-Gesetzgebers, als er die „Dateninhaber“ zwang, auf Anforderung der „Nutzer“ diese Daten zugänglich zu machen. Der EU Data-Act ordnet mit Wirkung zum 12.09.2025 folgende, hier relevante Rechte und Pflichten an:

  • Dateninhaber:
    • Zugangsgewährung an vom Nutzer bestimmte Dritte („Datenempfänger“) in Bezug auf sämtliche Daten, die der Dateninhaber im Rahmen der Nutzung der Maschinen und der verbundenen Dienste durch den Nutzer generiert und selbst erhält.
    • Gewährung eines standardmäßigen, einfachen, sicheren, unentgeltlichen Zugangs in einem umfassenden, strukturierten, gängigen und maschinenlesbaren Format und zwar, soweit relevant und technisch durchführbar, direkt, sonst via Cloud.
  • Datenempfänger: Nutzung zu dem mit dem Nutzer vereinbarten Zweck, auch für wettbewerblichen Folgemarkt. Einhaltung von mit dem Dateninhaber getroffenen Vereinbarungen zum Schutz von Geschäftsgeheimnissen, sofern relevant.

Zu unserem Beispiel: Da die vorausschauende Wartung der Maschinen von Anfang an zum Geschäftsmodell von M gehörte, hat er seine Maschinen so designed und gefertigt, dass er sämtliche hierfür benötigte Daten standardmäßig von den Maschinen bzw. aus dem Maintenance-Service übermittelt bekommt. Dazu gehörten auch die Messwerte, die D für das Training seiner KI nutzte. Nach den zwingenden Vorschriften des EU Data-Act war M also verpflichtet, die Daten mit den korrespondierenden Metadaten D zur Verfügung zu stellen.

Haftung des Dateninhabers M für die Qualität der Daten und Metadaten

Produkthaftung

Nach der aktuellen Rechtslage besteht keine Produkthaftung für fehlerhafte Daten. Am 14.12.2023 gab es jedoch eine politische Einigung des Europaparlaments und des Rates zu einer neuen Produkthaftungsrichtlinie. Nach derzeitigem Kenntnisstand wird klargestellt, dass auch fehlerhafte Software und Produktionsdateien eine Produkthaftung auslösen können. Eine Haftung für fehlerhafte Daten wurde jedoch nicht aufgenommen. Sobald auch die formelle Zustimmung erfolgt ist, tritt die Richtlinie nach ihrer Veröffentlichung im Amtsblatt der EU in Kraft. Danach haben die Mitgliedstaaten 2 Jahre Zeit, die Richtlinie in nationales Recht umzusetzen.

Zivilrechtliche Ansprüche aus § 327i BGB

Die mangelhafte Beschaffenheit von Daten kann nach § 327i BGB zur Haftung derjenigen Person führen, die die Daten bereitstellt.

Im Zusammenhang mit dem EU Data-Act ist jedoch zu berücksichtigen, dass dieser eine gesetzliche Beschaffenheitsfestlegung enthält. Danach erstrecken sich die Rechtspflichten des M nicht darauf sicherzustellen, dass die Daten und Metadaten fehlerfrei sind, sondern nur darauf, dass er sie in derselben Qualität, die ihm selbst zur Verfügung steht, bereitstellt. Nur dann, wenn die Qualität der bereitgestellten Daten hinter der dem M selbst vorliegenden Qualität zurückbleibt, kann eine mangelhafte Beschaffenheit i.S.d. § 327i BGB vorliegen. Ausdrücklich ergeben sich die Ansprüche aus 327i BGB zwar nur für Verbraucher. Mit einer entsprechenden Anwendung durch die Gerichte im B2B-Geschäft muss jedoch gerechnet werden.

Mögliche Haftungsbeschränkungen und Beweislast

Teilweise wird angenommen, ein Haftungsausschluss oder eine Haftungsbeschränkung bezüglich der Datenqualität sei grundsätzlich nicht wirksam möglich. Das ist bedingt richtig.

Vor dem Hintergrund der Beschaffenheitsfestlegung des EU Data-Act dürfte zumindest folgende klarstellende Klausel selbst in Allgemeinen Geschäftsbedingungen empfehlenswert sein: „Ein haftungsbegründende Pflichtverletzung bezüglich der Qualität bereitgestellter Daten liegt nur dann vor, wenn der Dateninhaber Daten in einer geringeren Qualität bereitgestellt hat, als sie für in selbst verfügbar waren.“

Nach den allgemeinen Regeln zu Beweislast obliegt dem Geschädigten der Nachweis einer solchen Pflichtverletzung durch den Dateninhaber. Das dürfte oftmals schwer zu bewerkstelligen sein.

Zur Möglichkeit des Ausschlusses oder der Beschränkung einer Haftung in diesem so eingegrenzten Pflichtenkreis gelten die allgemeinen Regeln.

Zu unserem Fall: Wenn also der Brand durch falsche Metadaten entstanden ist, M jedoch selbst nur diese Datenqualität zur Verfügung stand, haftet er nicht.