Rechtliche Rahmenbedingungen der digitalen Transformation

Datenschutz umfasst technische und organisatorische Maßnahmen gegen die missbräuchliche Verarbeitung und Verbreitung von Daten. Die zu treffenden Maßnahmen hängen von der Art der erfassten Daten ab:

• personenbezogene Daten;
• pseudonymisierte Daten (ein Personenbezug kann wiederhergestellt werden);
• anonymisierte Daten (ein Personenbezug kann nicht wiederhergestellt werden);
• nicht-personenbezogene Daten (Produkt- und Maschinendaten);
• öffentlich gesammelte Daten.

Für personenbezogene Daten gilt in der Europäischen Union die Datenschutz-Grundverordnung.

Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung)

Durch das Marktortprinzip werden auch nicht in der EU ansässige Unternehmen erfasst, die in der Union Waren oder Dienstleistungen anbieten. Diese Verordnung gilt auch für „Industrie 4.0“-Anwendungen, bei denen bewusst personenbezogene Daten verarbeitet werden (z. B. bei Auswertungen des Kundenverhaltens bei Big Data Anwendungen).

Anmerkung: Bei der Verarbeitung pseudonymisierter oder anonymisierter Daten muss sichergestellt werden, dass der Personenbezug durch den Verarbeiter nicht wiederhergestellt werden kann, sonst gilt die Datenschutz-Grundverordnung.

Die Datenschutz-Grundverordnung bildet den Datenschutzrahmen für personenbezogene Daten in der Europäischen Union gemeinsam mit der Richtlinie für den Datenschutz in den Bereichen Polizei und Justiz.

Richtlinie (EU) 2016/680 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates

Nicht-personenbezogene Daten (Produkt- und Maschinendaten) unterliegen hinsichtlich ihrer Verbreitung auch einer EU-Verordnung:

Verordnung (EU) 2018/1807 des Europäischen Parlaments und des Rates vom 14. November 2018 über einen Rahmen für den freien Verkehr nicht-personenbezogener Daten in der Europäischen Union

Diese Verordnung zielt darauf ab, den freien Verkehr von Daten, die keine personenbezogenen Daten sind, in der Union zu gewährleisten. Mittlerweile werden solche Daten auch als Wirtschaftsgut angesehen, dennoch sind Eigentumsrechte und Rechte des geistigen Eigentums nicht allgemein auf diese Daten anwendbar. Vielmehr sind die Nutzungsrechte an den Daten, also deren Verarbeitung, der Vertragsgestaltung zwischen den Marktakteuren überlassen.

Öffentlich gesammelte Daten, also Daten, die Körperschaften des öffentlichen Rechts im Rahmen ihrer hoheitlichen Aufgabenerfüllung erheben, sammeln, auswerten, verarbeiten oder zur Kenntnis erhalten, sowie Daten im Besitz öffentlicher Stellen und Unternehmen können auch für Unternehmen oder natürliche Personen von Interesse sein. Für ihre Weiterverwendung sind zwei Richtlinien der EU relevant:

Richtlinie 2013/37/EU des Europäischen Parlaments und des Rates vom 26. Juni 2013 zur Änderung der Richtlinie 2003/98/EG über die Weiterverwendung von Informationen des öffentlichen Sektors

Richtlinie (EU) 2019/1024 des Europäischen Parlaments und des Rates vom 20. Juni 2019 über offene Daten und die Weiterverwendung von Informationen des öffentlichen Sektors

Die erste Richtlinie ist bereits gültiges Recht. Die zweite Richtlinie muss bis spätestens 17. Juli 2021 in das nationale Recht der EU-Mitgliedstaaten umgesetzt werden.

Beide Richtlinien stellen sicher, dass die Weiterverwendung öffentlich gesammelter Daten möglich ist und gefördert wird. Dadurch werden Anreize für die Entwicklung neuer Produkte und Dienstleistungen geschaffen.

IT-Sicherheit ist ein Kernthema der digitalisierten Wirtschaft. Datenspeicher und vernetzte Anlagen müssen eine gewisse Sicherheit hinsichtlich Integrität, Vertraulichkeit und Verfügbarkeit der Systeme bieten. Die Richtlinie zur Gewährleistung einer hohen Netzwerk- und Informationssicherheit (NIS-Richtlinie) hat dafür einen einheitlichen Rechtsrahmen in der Europäischen Union geschaffen.

Richtlinie (EU) 2016/1148 des Europäischen Parlaments und des Rates vom 6. Juli 2016 über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union

Die NIS-Richtlinie enthält ein umfassendes Maßnahmenpaket, um das Sicherheitsniveau von Netz- und Informationssystemen (Cybersicherheit) zu stärken und so Dienstleistungen abzusichern, die für die Wirtschaft und die Gesellschaft der EU unerlässlich sind. Die EU-Länder müssen

• eine oder mehrere zuständige nationale Behörden und Computer Security Incident Response Teams (CSIRTs) benennen und eine zentrale Anlaufstelle bestimmen, falls es mehrere zuständige Behörden gibt;
• Betreiber wesentlicher Dienste in kritischen Sektoren erfassen, bei denen ein Cyber-Angriff wichtige Dienstleistungen beeinträchtigen könnte;
• eine nationale Strategie zur Cybersicherheit von Netz- und Informationssystemen einführen.

Die kritischen Sektoren sind:

• Energie (Elektrizität, Erdöl, Erdgas);
• Verkehr (Luftverkehr, Schienenverkehr, Schifffahrt, Straßenverkehr);
• Bankwesen;
• Finanzmarktinfrastrukturen;
• Gesundheitswesen (einschließlich Krankenhäuser und Privatkliniken);
• Trinkwasserlieferung und –versorgung;
• digitale Infrastruktur (Online-Marktplätze, Online-Suchmaschinen, Cloud-Computing-Dienste).

Die nationalen Strategien zur Cybersicherheit berücksichtigen unter anderem:

• die Bewertung von Maßnahmen von Betreibern wesentlicher Dienste bzgl. Cybersicherheit;
• die Einhaltung geeigneter Maßnahmen zur Cybersicherheit;
• die Meldepflichten von aktuellen Sicherheitsvorfällen.

Eine Zusammenfassung der Regelungen dieser Richtlinie findet sich hier.

Um das ordnungsgemäße Funktionieren des EU-Binnenmarktes zur gewährleisten und um ein hohes Niveau bei der Fähigkeit zur Abwehr von Cyberangriffen und beim Vertrauen in die Cybersicherheit zu erreichen, hat die EU durch die sogenannte ENISA-Verordnung zusätzlich eine EU-Agentur für Cybersicherheit geschaffen.

Verordnung (EU) 2019/881 des Europäischen Parlaments und des Rates vom 17. April 2019 über die ENISA (Agentur der Europäischen Union für Cybersicherheit) und über die Zertifizierung der Cybersicherheit von Informations- und Kommunikationstechnik und zur Aufhebung der Verordnung (EU) Nr. 526/2013 (Rechtsakt zur Cybersicherheit)

Die fortschreitende Digitalisierung und die Vernetzung von Unternehmen erhöhen das Verlustrisiko von Betriebsgeheimnissen stetig. Beispiele dafür sind:

• 3D Druck (Übertragung von CAD-Dateien möglich, Objekte können kopiert werden);
• offene Innovation (Inhalte der Kommunikation zwischen Partnern können in falsche Hände geraten);
• Kooperation zwischen Unternehmen (Inhalte der Kommunikation zwischen Partnern können in falsche Hände geraten).

Die EU-Richtlinie 2016/943 fordert daher „angemessene Geheimhaltungsmaßnahmen“, um vertrauliche Geschäftsinformationen und Betriebsgeheimnisse vor unberechtigtem Zugriff zu schützen.

Richtlinie (EU) 2016/943 des Europäischen Parlaments und des Rates vom 8. Juni 2016 über den Schutz vertraulichen Know-hows und vertraulicher Geschäftsinformationen (Geschäftsgeheimnisse) vor rechtswidrigem Erwerb sowie rechtswidriger Nutzung und Offenlegung

Geeignete Geheimhaltungsmaßnahmen erstrecken sich sowohl auf die juristische Ebene, z. B. Geheimhaltungsvereinbarungen zwischen Unternehmen und zwischen Unternehmen und Mitarbeitenden, als auch auf den Bereich der Schaffung angemessener Zugriffsbeschränkungen.

Mit dem Ziel der weiteren Harmonisierung des Urheberrechts und der verwandten Schutzrechte in der EU wurde unter besonderer Berücksichtigung der digitalen und grenzüberschreitenden Nutzung geschützter Inhalte die folgende EU-Richtlinie in Kraft gesetzt. Ihre Umsetzung in nationales Recht soll bis zum 7. Juni 2021 erfolgen.

Richtlinie (EU) 2019/790 des Europäischen Parlaments und des Rates vom 17. April 2019 über das Urheberrecht und die verwandten Schutzrechte im digitalen Binnenmarkt und zur Änderung der Richtlinien 96/9/EG und 2001/29/EG

Diese Richtlinie betrifft insbesondere Fragen des Urheberrechts im Bereich des Zugriffs auf urheberrechtlich geschützte Informationen durch Online-Suchmaschinen und Social Media.

Grundsätzlich sind neben dem Urheberrecht natürlich auch die geltenden Regeln der verwandten Schutzrechte – Design-, Marken-, Patent- und Gebrauchsmuster-Recht – zu berücksichtigen.

Die digitale Transformation ist in der nachfolgend beschriebenen EU-Gesetzgebung nicht ausdrücklich erwähnt. Bei der Inanspruchnahme z. B. von öffentlichen Fördermitteln für Ihre digitale Transformation ist sie jedoch zu berücksichtigen.

Der Vertrag über die Arbeitsweise der Europäischen Union legt in Artikel 107 fest, dass staatliche Beihilfen, die durch die Begünstigung bestimmter Unternehmen oder Produktionszweige den Wettbewerb verfälschen oder zu verfälschen bedrohen, mit dem Binnenmarkt unvereinbar sind, soweit sie den Handel zwischen Mitgliedstaaten beeinträchtigen. Die Beihilferegelungen in den Mitgliedstaaten werden daher gemäß Artikel 108 des Vertrags von der EU-Kommission fortlaufend überprüft und bedürfen ihrer Genehmigung, wenn sie sich wettbewerbsverzerrend auswirken können.

Beihilfen, deren Betrag als geringfügig anzusehen ist, sind – unter bestimmten Voraussetzungen – nicht genehmigungspflichtig. Einzelheiten legt die sogenannte De-minimis Verordnung fest:

Verordnung (EU) Nr. 1407/2013 der Kommission vom 18. Dezember 2013 über die Anwendung der Artikel 107 und 108 des Vertrags über die Arbeitsweise der Europäischen Union auf De-minimis-Beihilfen

Darüber hinaus ermöglicht Artikel 109 des Vertrags über die Arbeitsweise der Europäischen Union dem Rat der EU, Gruppen von Beihilfen festzulegen, die von dieser Genehmigungspflicht ausgenommen sind. Unter bestimmten Voraussetzungen gehören dazu z. B. die Beihilfen für kleine und mittlere Unternehmen (KMU). Einzelheiten sind in der folgenden Verordnung festgelegt:

Verordnung (EU) Nr. 651/2014 der Kommission vom 17. Juni 2014 zur Feststellung der Vereinbarkeit bestimmter Gruppen von Beihilfen mit dem Binnenmarkt in Anwendung der Artikel 107 und 108 des Vertrags über die Arbeitsweise der Europäischen Union

Solange Handlungen auf Personen zurückgeführt werden können und Produktfehler identifizierbaren Bereichen menschlichen Fehlverhaltens in Produktions- und Lieferketten zugeordnet werden können, ist das existierende Haftungsrecht anwendbar. Die Umsetzung folgender EU-Richtlinie hat in diesem Rechtsbereich zu einer Harmonisierung des Rechts in den Mitgliedsländern geführt:

Richtlinie 1999/34/EG des Europäischen Parlaments und des Rates vom 10. Mai 1999 zur Änderung der Richtlinie 85/374/EWG des Rates zur Angleichung der Rechts- und Verwaltungsvorschriften der Mitgliedstaaten über die Haftung für fehlerhafte Produkte

Problematisch wird die Lage jedoch bei totaler autonomer Steuerung. Menschen haben in diesem Fall keinerlei Entscheidungshoheit und Eingriffsmöglichkeit mehr. Dies ist zum Beispiel bei selbstlernenden Industrierobotern und selbstständigen Nachbestellungen durch autonome Systeme gegeben. In diesen Fällen ist aber meist die Schuldzuweisung an die Systembetreiber oder Systemhersteller möglich. Viele Abläufe in der Industrie werden durch die digitale Transformation darauf ausgerichtet, mögliche Schadensursachen zu reduzieren. Zudem haben Automatisierungen unter anderem auch das Ziel, menschliches Fehlverhalten als potenzielle Fehlerursache und Gefahrenquelle auszuschalten. Eine Tendenz, das bestehende Haftungsrecht anzupassen, ist daher aktuell nicht zu beobachten.