EU Datengesetz: Game Changer oder Game Breaker für die Industrie?

Im Blogpost „Der EU Data Act: Was Sie für die Datenökonomie brauchen“ haben wir die generellen Ziele des neuen Datengesetzes und seine Auswirkungen auf Unternehmen und Innovationen betrachtet. In diesem Blogpost analysieren wir die konkrete Bedeutung und die Auswirkungen des Gesetzes, das am 9. November 2023 vom Europäischen Parlament verabschiedet wurde, für Industrieunternehmen und deren Innovationsvorhaben.

Das EU-Datengesetz verfolgt u.a. das Ziel, die Datenwirtschaft der EU anzukurbeln, indem Daten, die von vernetzten Produkten oder damit verbunden Diensten erzeugt werden, freigegeben und ihre Zugänglichkeit sowie Nutzung optimiert werden: Nutzende werden Anrecht auf die Daten erhalten, die Geräte, Maschinen oder Anlagen während der Nutzung generieren und Nutzende dürfen diese Daten auch an Dritte weitergeben. Was aber bedeutet diese Verschiebung des Machtgefüges in Richtung des Nutzenden für das industrielle Umfeld, in dem Nutzende in der Regel Unternehmen sind und keine Endverbrauchenden? 

Status-quo: Rechte und Pflichten in Bezug auf Daten

Der Data Act bringt einschneidende Veränderungen für Industrieunternehmen mit sich. Um diese aufzeigen zu können, möchten wir zunächst die aktuelle Situation verdeutlichen. Welche Rollen gibt es und wer hat welche Rechte und Pflichten in Bezug auf Daten? 

Vereinfacht dargestellt, beschäftigen wir uns mit drei Rollen rund um ein vernetztes Produkt:

• Das herstellende Unternehmen, welches das Produkt verkauft. 
• Die Nutzenden, die das Produkt verwenden. 
• Der Dienstleister, der Services rund um das Produkt anbietet. 

Der Data Act stellt die heutige Welt dieser drei Rollen wie folgt dar (siehe Grafik 1): 

• Das herstellende Unternehmen eines vernetzten Produktes hat per Design alleinigen Zugriff auf die während der Nutzung generierten Daten. Es ist somit der Dateninhaber und kann Mehrwerte aus den Daten gewinnen, z. B. für Produktverbesserungen, digitale Zusatzservices etc.
• Der/die Nutzer:in des vernetzten Produktes generiert durch die Nutzung Daten, auf die er/sie selbst aber keinen Zugriff hat. 
• Der Dienstleister hat als Dritter keinen Zugriff auf die von Nutzenden erzeugten Daten. Auch dann nicht, wenn er den Nutzenden eine Dienstleistung rund um das Produkt anbieten möchte. 

Die folgende Grafik zeigt das Grundschema heute – ohne EU Data Act

Allerdings enthalten die bei der Nutzung eines Gerätes erzeugten Daten nicht ausschließlich Informationen über die Nutzung, sondern in den meisten Fällen auch Informationen über das Gerät selbst bzw. die Funktionsweise des Gerätes und offenbaren damit möglicherweise geistiges Eigentum des herstellenden Unternehmens. 

Der Data Act im B2C-Bereich: Anwendungsbeispiel „Smarte Waschmaschine“

Situation heute:

Der/die Endverbraucher:in hat die Waschmaschine mit dem WLAN verbunden und generiert mit den Waschgängen nutzungsspezifische Daten (Programm, Laufzeit, Drehzahl, Temperatur etc.). Das herstellende Unternehmen kann als Dateninhaber diese Daten auswerten und den Nutzenden zum Beispiel einen optimierten Reparatur-Service oder eine auf die Nutzung abgestimmte Optimierung des Waschprogramms anbieten. Ein Dienstleister hat als Dritter keinen Zugriff auf solche Daten, und kann seinen Reparatur- und Wartungsservice nicht so spezifisch anbieten. 

Die erzeugten Daten könnten auch Rückschlüsse auf die Steuerung der Waschmaschine ermöglichen. Und dieses ist möglicherweise geistiges Eigentum, dass das herstellende Unternehmen schützen möchte. Daher hat es als Dateninhaber in diesem Fall kein Interesse, die Daten an Nutzende oder gar Dritte weiterzugeben. 
Einen Mehrwert aus diesen Daten kann daher nur der Dateninhaber, also der Hersteller der Waschmaschine, generieren. Nutzende und Dritte sind ausgeschlossen, was eine mehrfache Nutzung der Daten verhindert. 

Wendet man das Datengesetz auf dieses einfache Schema an, verändert es sich wie folgt (Grafik 2: Grundschema in Zukunft – mit Europäischem Data Act): 

Nutzenden steht nun per Gesetz ein kostenfreier Zugriff auf die von ihnen erzeugten Daten (Rohdaten) zu. Durch die vom Nutzenden gestattete Datenweitergabe an Dritte kann auch der Dienstleister zum Datenempfänger werden.  

Situation nach in Kraft treten des Data Acts: 

Der/die Nutzer:in entscheidet sich, den Reparatur-Service oder einen anderen Service rund um seine Waschmaschine nicht vom herstellenden Unternehmen, sondern von einem Dienstleister, z.B. einem lokalen Reparatur-Dienst, in Anspruch zu nehmen. Dazu macht er von seinem Recht Gebrauch, die durch die Nutzung generierten Daten vom Dateninhaber (herstellendes Unternehmen) zu erhalten und an den Datenempfänger (Dienstleister) weiterzugeben. Mit diesen Daten kann der Dienstleister nun einen vergleichbaren, oder gar besseren oder günstigeren Reparatur-Service anbieten als das herstellende Unternehmen. 

Das herstellende Unternehmen ist somit dem Risiko ausgesetzt, dass die Nutzungsdaten den eigenen Einflussbereich verlassen und damit möglicherweise Informationen, die es nicht preisgeben möchte, wie z.B. die Funktionsweise der Steuerung, von Dritten abgeleitet werden können. Einen Mehrwert aus den Daten können in diesem Fall Dateninhaber, Nutzer:in und Datenempfänger generieren, was im Vergleich zur Situation ohne EU Datengesetz eine vielseitigere Nutzung der Daten ermöglicht. 

Mit dem Data Act geht also eine massive Verschiebung der Macht vom herstellenden Unternehmen zum Nutzenden einher. Für den B2C-Sektor mag das recht eingängig sein. Denn hier haben Nutzende heute tatsächlich keinen Zugriff auf die von ihnen erzeugten Daten und in der Regel auch nicht die Macht, dies zu ändern. 

Mit in Kraft treten des Data Acts wird es Nutzenden möglich sein, generierte Daten für den eigenen Vorteil zu nutzen. Das herstellende Unternehmen bleibt nach wie vor der Dateninhaber und kann entsprechend auch Nutzen aus den Daten ziehen. Aber dieser Nutzen kann auch von Dritten aus den Daten gezogen werden, wenn der Nutzer dieses zulässt. Der Wettbewerb und der Ausbau von innovativen, datengetriebenen Services im After-Sales soll so befeuert werden. Die Kehrseite der Medaille ist das Risiko des Verlusts von geistigem Eigentum der herstellenden Unternehmen. Denn haben die Daten einmal die eigenen Unternehmensgrenzen verlassen, muss es davon ausgehen, dass sie auch zu den eigenen Ungunsten genutzt werden könnten. 

Der Data Act im B2B-Bereich: Vernetzung braucht Nutzen-Risiko-Abwägung

Eine weitere große Frage, die sich stellt: Ist die B2C-Sichtweise 1:1 auf den B2B Sektor übertragbar? Denn erfahrungsgemäß gibt es hier einige Unterschiede. 

So sind die Nutzenden keine natürlichen Personen, sondern Unternehmen. Zwischen industriellen Unternehmen bestehen in der Regel individuelle Vertragswerke, in denen geregelt ist, welche Daten zu welchen Zwecken ausgetauscht werden, wie diese zu schützen sind, und wer darauf Zugriff haben darf. Damit kann zumindest in Frage gestellt werden, ob sich die heutigen Machtverhältnisse bzgl. Nutzungsdaten so einseitig darstellen, wie im obigen B2C-Beispiel aufgeführt. Wie stellt sich das anhand eines konkreten B2B-Anwendungsbeispiels „Condition-based Monitoring“ dar?

Situation heute: Ein Maschinenhersteller bietet eine Condition-based-Monitoring-Lösung für die von ihm produzierten Maschinen an. Neben diesem App-basierten Service bietet der Maschinenhersteller seinen B2B-Kunden auch an, auf ihre Maschinendaten zugreifen zu können. Ein Produktionsunternehmen erwirbt eine Maschine und entscheidet sich, diese zu vernetzen, um die App für Condition-based Monitoring nutzen zu können. Zusätzlich macht das Unternehmen vom Angebot Gebrauch, auf seine Maschinendaten zuzugreifen, um sie z. B. für interne Prozessverbesserungen heranzuziehen. Gestützt wird das Teilen der Daten durch ein individuelles Vertragswerk zwischen den beiden Unternehmen. 

Situation nach Inkrafttreten des Datengesetzes: Da die Daten bereits heute von beiden Unternehmen – Hersteller und Nutzer – verwendet werden, ändert sich durch den Data Act faktisch nichts. Einzig das Vertragswerk muss überprüft und ggf. Data-Act-konform gemacht werden. Eine umfangreichere Verwendung der Daten scheint zunächst nicht realistisch. Da Condition-based Monitoring sehr spezifisches Wissen über die Maschine und den Prozess benötigt, ist es eher unwahrscheinlich, dass das nutzende Unternehmen einen vergleichbaren Service für diese Maschine bei einem Dritten beziehen würde. Ebenso für die unternehmensinterne Prozessoptimierung scheint es eher unwahrscheinlich, dieses einem Dritten zu überlassen.

Wird sich der Data Act auf die Akzeptanz von vernetzten B2B-Produkten auswirken?

Die Nutzungsdaten eines vernetzten Produktes können sensible Informationen über das nutzende Unternehmen beinhalten. Ein nutzendes Unternehmen wird ein Produkt nur dann vernetzen bzw. der Datenübertragung zum herstellenden Unternehmen zustimmen, wenn der daraus generierte Nutzen größer ist als das damit einhergehende Risiko. Die Risiken können vielfältig sein, wie z. B. Cyber-Security-Risiken, Offenlegung von Betriebsgeheimnissen oder der Verlust von geistigem Eigentum. 

Anders als im B2C-Bereich, in dem die wenigsten Nutzenden Vorbehalte haben, ihre Daten mit einem herstellenden Unternehmen zu teilen, kann man davon ausgehen, dass im B2B-Bereich eine sehr viel tiefere Abwägung stattfindet, ob ein Produkt vernetzt wird oder nicht. Ein Beispiel hierfür ist die bisher recht geringe Durchdringung der Shopfloors diskreter Fertigungsunternehmen mit vernetzten Maschinen (Stichwort: Industrie 4.0 Readiness). Damit ist möglicherweise die generelle Verfügbarkeit von Nutzungsdaten ein viel schwerwiegenderes Problem als die Regelung, wer auf welche Daten zugreifen darf. 

Lassen Sie uns als Beispiel auf dem vorhergehenden Szenario aufbauen: Ein anderes Produktionsunternehmen, das eine Maschine des o. g. Herstellers im Einsatz hat, entscheidet sich gegen die Nutzung des App-basierten Condition Monitorings. Die sehr sicherheitsorientierten IT-Security-Regularien erlauben keine Verbindung der Maschinen nach extern. Der Hersteller hat somit heute keinen Zugriff auf die Nutzungsdaten (ist kein Dateninhaber) und wird diese auch nach Inkrafttreten des EU Data Acts nicht haben. Ein Auslesen der Daten über eine USB-Schnittstelle wäre aber theoretisch möglich und durch den EU Data Act abgedeckt. 

Am 28. Juni 2023 wurde zwischen dem Europäischen Parlament und dem Rat der EU eine politische Einigung über das Datengesetz erzielt. Das Gesetz unterliegt nun der förmlichen Genehmigung und tritt 20 Monate nach seiner Annahme in Kraft. 

Insbesondere dort, wo der Data Act eine Auswirkung auf die Produkte, deren Entwicklung und ggf. sogar auf Geschäftsmodelle hat, ist es höchste Zeit, sich möglichst frühzeitig damit zu befassen. Starten Sie jetzt! Sprechen Sie uns gerne an. Wir unterstützen Sie auf Ihrer Data Journey.