Datenschutz, Nutzungsrecht, Datensicherheit sind nur ein paar der Schlagworte die seit einigen Monaten vermehrt zu Verunsicherungen führen. Wir haben unseren Rechtsexperten Rechtsanwalt Dr. Hans Markus Wulf, Fachanwalt für IT-Recht und Datenschutzauditor (TÜV) nach EU-DSGVO um Klarheit gebeten. Für Sie hat er die 10 wichtigsten rechtlichen Fallstricke der Industrie 4.0 zusammengestellt.

 1. Einhaltung von Datenschutz

Industrie 4.0 basiert auf einem Austausch von Daten über Kommunika-tionsnetze, gesteuert von autonom agierenden, cyber-physischen Sys-temen. Jede Möglichkeit der Zuordnung zu einer  konkreten, natürlichen Person macht die betreffenden Daten datenschutzrelevant. Zur Vermeidung von Haftungsrisiken und Bußgeldern der Aufsichtsbehör-den sind daher alle Technologieprojekte datenschutzrechtlich abzusi-chern. Hier gilt der Grundsatz des Verbots mit Erlaubnisvorbehalts, jede Datenverarbeitung bedarf daher entweder der Einwilligung des Be-troffenen oder einer gesetzlichen Erlaubnis. Da die Einwilligung jeder-zeit zurückgezogen werden kann, sollten Unternehmen daher bei Ein-führung neuer Technologien auf die gesetzliche Erlaubnis setzen. Die Vorgabe macht hier die neue EU-Datenschutz-Grundverordnung, die ab Mai 2018 Geltung entfaltet. Neu ist insbesondere die sog. Accoun-tability (Rechenschaftspflicht) nach Art. 5, wonach zukünftig nicht die Behörden einen Gesetzesverstoß nachweisen müssen, sondern das Unternehmen die Einhaltung darzulegen hat. Bei Zuwiderhandlungen drohen Bußgelder bis zu € 20 Mio oder 4% des weltweiten Jahresum-satzes.


TIP: Der Datenschutz wird immer wichtiger, die Behörden rüsten auf und verhängen zunehmend Bußgelder. Lassen Sie daher vor Einführung neuer Technologien die Einhaltung datenschutzrechtlicher Vorgaben prüfen und bestellen Sie einen Datenschutzbeauftragten.

2. Ausreichende Nutzungsrechte

Das Recht an Daten ist umstritten, insbesondere die Frage, ob hieran Eigentum erworben werden kann. Unumstritten ist jedoch der Umstand, dass es ein eigentumsähnliches Recht des Datenbankherstellers gibt. Jedes Unternehmen, das Daten erhebt, sollte daher nachweisen kön-nen, dass die auf den eigenen Systemen gespeicherten Daten selbst erhoben wurden und daher hieran ausschließliche Nutzungsrechte be-stehen. Werden Daten unterschiedlicher Datenbanken zusammenge-führt, dann wird es rechtlich kompliziert, jedenfalls soweit Daten frem-der Datenbanken betroffen sind. In diesem Fall müssen Verträge ge-schlossen werden, die einzeln regeln, wer an welchen Daten welche Rechte hat. Denn ansonsten ist das Recht am eigenen Datenbestand ungeklärt, was insbesondere bei Verkauf des Unternehmens umfang-reiche Probleme auslösen würde.


TIP: Dokumentieren Sie genau, aus welchen Datenbeständen die Daten in Ihren Datenbanken stammen. Bei Import fremder Daten (z.B. aus einem externen Verkehrsinformationssystem) muss jeweils eine transparente Nutzungsvereinbarung geschlossen werden.

3. Umsetzung von Datensicherheit

Die Herstellung von Datensicherheit ist nicht nur im eigenen Interesse des Unternehmens, sondern auch gesetzlich vorgeschrieben. Sowohl
§ 9 des heutigen Bundesdatenschutzgesetzes, als auch Art. 32 der zukünftigen EU-Datenschutz-Grundverordnung schreiben konkrete technische und organisatorische Maßnahmen vor. Für Betreiber kritischer Infrastrukturen kommen die Vorgaben des IT-Sicherheitsgesetzes hinzu. Kommt es infolge von Nichtumsetzung solcher Maßnahmen zu einem Schaden, z.B. bei Datenverlust, so haftet der Vorstand nach § 91 AktG sowie der Geschäftsführer nach § 43 GmbHG ggf. mit seinem Privatvermögen. Der derzeit wohl effektivste Schutz ist die Umsetzung der ISO-27001-Norm. Aber auch Unternehmen, die diesen Aufwand und die erheblichen Kosten scheuen, sollten sich um eine hochsichere IT-Infrastruktur bemühen.


TIP: Sorgen Sie für IT-Sicherheit (inkl. Faktor Mensch). Effektive Sicherheitssysteme sind teuer, aber die beste Möglichkeit, um das eigene Know-How und den eigenen Datenbestand zu schützen. Das Bundesamt für Sicherheit in der Informationstechnik bietet eine Fülle von Informationen und Beratung, um sich hier einen guten Überblick zu verschaffen.

4. Rechtskonforme Cloud

Die Nutzung cyber-physischer Systeme ist am effektivsten, wenn die Daten in der Cloud gespeichert werden, wo sie für alle Einzelsysteme gut erreichbar sind. Um nicht in regelmäßigen Abständen die eigenen, veralteten Server austauschen zu müssen, empfiehlt sich die Inanspruchnahme hochverfügbarer, skalierbarer Systeme von Cloud-Providern. Hier ist jedoch die Rechtslage problematisch, denn das geltende Recht erlaubt nur die Verwendung von Servern, die an Orten stehen, wo ein „angemessenes Datenschutzniveau“ herrscht. Dies ist außerhalb der EU bzw. EWR nur in wenigen Ländern der Fall, so dass bestenfalls Provider beauftragt werden sollten, die ihre Server ausschließlich in der EU betreiben. Hierbei ist zu beachten, dass internationale Provider mit Hauptsitz in den USA oder China zwar derartige EU-Server anbieten, hier jedoch ein Datentransfer (z.B. bei Zugriff durch Geheimdienste oder bei Wartungszugriff) ins EU-Ausland keineswegs ausgeschlossen ist. Hier sollte die Rechtslage daher sehr sauber geklärt werden, bevor man sich für einen der großen Cloud-Provider entscheidet.


TIP: Lagern Sie ihre Daten auf EU-Servern seriöser Cloud-Provider ohne Gefahr des Datentransfers ins EU-Ausland. So sorgen Sie dauerhaft für maximale Compliance und minimieren Haftungsrisiken.

5. Vermeidung von (Produkt-) Haftung

Das Thema Haftung wird in der jur. Literatur sehr kontrovers diskutiert, gerade wenn autonom handelnden IT-Systemen ein Handlungsspiel-raum eingeräumt wird. Allerdings gibt es keine tiefgreifenden Tenden-zen, dass sich die diesbezüglichen Gesetzesgrundlagen zur zivilrechtli-chen Haftung ändern werden. Wenn ein cyber-physisches System einen Schaden verursacht, so wird im Zweifel der Betreiber für diesen haften. Es hängt sodann davon ab, ob der Betreiber einen Hard- oder Softwarefehler ermitteln kann, der dem Hersteller zuzuordnen ist, was eine Regressmöglichkeit eröffnen könnte. Empfehlenswert sind daher insbesondere Risikozuweisungen in Verträgen, die mögliche Schadens-fälle frühzeitig definieren und die Haftungsfolgen regeln. Sind diese an-gemessen, dürften sie auch der AGB-Kontrolle standhalten.


TIP: Vereinbaren Sie umfassende Risikozuweisungen in den Verträ-gen, verbunden mit einer effektiven, jedoch angemessenen Haf-tungsbeschränkung. Die Rechtslage ist gerade an diesem Punkt höchst umstritten, weshalb durch umfassende Vertragsabsprachen (gerade im B2B-Bereich) Rechtssicherheit geschafft werden kann.

6. Effektiver Know-how-Schutz

Gerade durch Einführung autonom agierender IT-Systeme kommt es zu einer Gefährdung von wertvollem Know-How des Unternehmens, das häufig in Daten verkörpert ist. Geschützt wird ein solches Know-How beispielsweise durch den Datenbankschutz des Urheberrechts oder den Schutz als Geschäftsgeheimnis im Wettbewerbsrecht. Die neue EU-Richtlinie zum Schutz von Geschäftsgeheimnissen aus 2016 verpflichtet zu einer besonderen Absicherung der betreffenden Daten, was sich insbesondere im Rahmen von Regressprozessen auswirken dürfte. Auch Arbeitsverträge sollten diesbezüglich angepasst werden und den Bereich des Geheimnisschutzes tiefergehend regeln, zumal ältere Verträge hier oftmals rechtswidrige Klauseln enthalten.


TIP: Stellen Sie konkret fest, an welchen Stellen Ihrer IT-Systeme wichtige, geheimhaltungsbedürftige Daten gespeichert sind und er-stellten Sie ein Konzept zum Geheimnisschutz. Eine Kombination von organisatorischen, rechtlichen und technischen Maßnahmen sollte dann zum Schutz dieser Daten geplant und umgesetzt werden.

7. Wirksamer Vertragsschluss

Bei Anwendung von Industrie 4.0 stellt sich die Frage, in welchem Um-fang vollautomatische Vertragsschlüsse - also Verträge durch "Compu-tererklärungen" - wirksam sind und welche Auswirkungen etwaige "Wil-lensmängel" haben. Eine richtungsweisende Entscheidung bietet hier ein Urteil des Bundesgerichtshofes vom 16.10.2012, wonach bei auto-matischen Willenserklärungen nicht das Computersystem die Erklärung abgibt, sondern die Person, die es als Werkzeug nutzt, also quasi die "Person hinter dem System" (Systembetreiber). Dieser wird Vertrags-partner und haftet etwa für fehlerhaftes Datenmaterial oder Eingabefeh-ler. Es wird daher auch hier zukünftig vom (Rahmen-) Vertrag zwischen den Systembetreibern abhängen, welche Wirkung die jeweilige Compu-tererklärung haben soll und in welchen Fällen etwaige "Willensmängel" zu einem Korrekturanspruch (z.B. Anfechtung) führen können.


TIP: Bei Vertragsschlüssen zwischen cyber-physischen Systemen werden die jeweiligen Betreiber vertraglich verpflichtet. Es muss da-her durch vorherige, sehr klar formulierte Verträge zwischen den Be-treibern sichergestellt werden, dass Inhalt und Zeitpunkt des Ver-tragsschlusses feststehen.

8. Beachtung von Lizenzrechten

Cyber-physische Systeme beruhen auf Hardware und Software. Die Berechtigung zur Nutzung von Software setzt wiederum wirksam eingeräumte Nutzungsrechte (Lizenzen) voraus. Jede Softwarenutzung ohne ausreichend erworbene Lizenzen stellt eine Urheberrechtsverletzung dar und kann zu erheblichen Schadensersatzansprüchen (auch für die Vergangenheit) führen. Bei Einführung neuer Technologien im Unternehmen muss daher darauf geachtet werden, dass alle eingesetzten Softwareanwendungen – insbesondere auf mobilen Endgeräten – ausreichend lizenziert sind. Infolge der häufig eingesetzten Vielzahl an eingesetzten Softwareanwendungen sollte bestenfalls eine eigene Software zur Lizenzverwaltung eingesetzt werden.


TIP: Softwareanbieter nehmen immer häufiger sog. Lizenzaudits vor und verlangen dann hohe Summen als Schadensersatz aufgrund von unterlizensierter Softwarenutzung in der Vergangenheit. Schützen Sie sich hiervor mit einer effektiven Lizenzverwaltung, die Ihre IT-Abteilung implementieren sollte.

9. Umfassende Dokumentation

Wie bereits unter Ziffer 1 angeführt, wird gerade im Bereich Daten-schutz und Datensicherheit eine Dokumentation organisatorisch und technisch getroffener Maßnahmen wichtig. Unternehmen, die sich zwar um diesen Bereich gekümmert und Prozesse eingeleitet haben, werden dennoch mit aufsichtsbehördlichen Sanktionen belegt, da die erforderli-chen, schriftlichen oder elektronischen Dokumentationen fehlen. Es ist daher darauf zu achten, dass alle rechtlich relevanten Maßnahmen bei Einführung neuer Technologien umfassend protokolliert werden.


TIP: Lassen Sie von Ihrem Datenschutzbeauftragten einen Leitzord-ner aufsetzen, in dem alle rechtlich relevanten Dokumente wie Ver-arbeitungsverzeichnis, IT-Richtlinie, Datenschutzkonzept, ADV-Verträge, Einwilligungserklärungen, Betriebsvereinbarungen oder IT-Notfallplan in der aktuellen Fassung enthalten sind. Genau diesen Ordner wird die Datenschutzbehörde im Rahmen eines Audits her-ausverlangen.

10. Einbinden von Arbeitnehmern

Viele neue Verfahren der Digitalisierung verarbeiten auch Daten, die ei-nem bestimmten Mitarbeiter zugeordnet werden können. So ist bei-spielsweise die Einführung von „Predictive Maintenance“ im Unterneh-men so gut wie unmöglich ohne sog. Tracking von Standort- oder sonstigen Daten der eingebundenen Arbeitnehmer. Da die Gesetzesvorgaben auch in Zukunft hohe Anforderungen an die Verarbeitung von Mitarbeiterdaten stellen werden, dürfte das eine oder andere Verfahren ohne deren Einwilligung nicht rechtskonform umsetzbar sein. Es bietet sich hier regelmäßig bei Vorhandensein eines Betriebsrates der Abschluss einer Betriebsvereinbarung an, denn diese ist von den einzelnen Mitarbeitern – im Gegensatz zur bloßen Einwilligung – nicht widerruflich.


TIP: Binden Sie bei Einführung neuer Technologien rechtzeitig den Betriebsrat ein, soweit vorhanden. Hierzu sind Sie nicht nur nach § 87 BetrVG verpflichtet, sondern es ist auch datenschutzrechtlich in vielen Fällen notwendig, eine Betriebsvereinbarung herbeizuführen. Gibt es im Unternehmen keinen Betriebsrat, so muss der Arbeitgeber mit Einwilligungserklärungen seiner Mitarbeiter arbeiten, die entspre-chend umfassend und transparent zu formulieren sind.

Zum Autor

Rechtsanwalt Dr. Hans Markus Wulf ist Fachanwalt für IT-Recht, Datenschutzauditor (TÜV) nach EU-DSGVO und Partner bei Heuking Kühn Lüer Wojtek, einer Sozietät mit über 350 Rechtsanwälten an Standorten in Berlin, Brüssel, Chemnitz, Düsseldorf, Frankfurt/Main, Hamburg, Köln, München, Stuttgart und Zürich. Er ist dort Mitglied des Fachbereichs IP, Media & Technology mit über 60 Anwälten und berät Konzerne sowie Mittel-standsunternehmen in diesen Bereichen, u.a. bei Einführung neuer Technologieprojekte und Umsetzung der neuen EU-Datenschutz-Grundverordnung.

Kontakt: www.heuking.de

Eine digitale Version haben wir für Sie hier bereit gestellt: Die 10 wichtigsten rechtlichen Fallstricke der Industrie 4.0

Für Rückfragen steht das Mittelstand 4.0-Kompetenzzentrum Hamburg gern zur Verfügung: Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!