Internet der Dinge: Ungeklärte Rechtsfragen

21.06.2017

Das ‚Internet der Dinge‘ oder ‚Internet of Things‘, kurz ‚IoT‘, steht für die Ablösung des Personal Computers durch „smarte Geräte". Zunehmend werden Gegenstände des Alltags mit eingebetteten Prozessoren, Sensoren und Netzwerktechnik ausgerüstet. Der Phantasie sind hier kaum Grenzen gesetzt - vom App-gesteuerten Rollladen über intelligente Herzschrittmacher bis zur Robotik. Je nach Anwendungsbereich unterscheidet man terminologisch häufig zwischen ‚Industrial IoT‘, wozu etwa Steuerungen für Produktionsmaschinen gehören können, und ‚Consumer IoT‘; dies können beispielsweise ‚Wearables‘ sein, die etwa die tägliche Schrittanzahl einer Person messen.

Entscheidend für das Internet der Dinge ist der Austausch von Daten zwischen smarten Geräten und auf Servern gehosteten Systemen über das Internet. Das Internet der Dinge basiert daher üblicherweise auf Cloud-Dienstleistungen. Mittels Software werden „in der Cloud“ die von den smarten Geräten übertragenen Daten verarbeitet, also etwa zur Überwachung der Geräte (‚Fleet Management‘), zur Gerätesteuerung oder, zusammen mit weiteren, aggregierten Daten zu Analysezwecken genutzt (‚Big Data‘). Immer häufiger wird bei derartigen Funktionen selbstlernende Software (‚künstliche Intelligenz‘) eingesetzt. Eine mögliche Anwendung des Internet der Dinge ist daher die autonome, interaktive Steuerung einer Vielzahl von Geräten, etwa im Rahmen einer komplett ferngesteuerten smarten Fabrik.

Tatsächliche und wirtschaftliche Bedeutung


Das Internet der Dinge wird den menschlichen Alltag dramatisch verändern. Ein Beispiel ist das autonome Fahren. Die Überwachung von Gesundheitsdaten wie Herzschlag und Blutzucker kann helfen, die Lebensqualität chronisch kranker Menschen zu verbessern, und die Vernetzung macht Städte zu ‚Smart Cities‘, etwa mit automatisierten Verkehrsleitsystemen.

Nach einer aktuellen Studie des McKinsey Global Institute kann durch das Internet der Dinge ein weltweiter wirtschaftlicher Mehrwert von bis zu 11 Billionen Dollar im Jahr 2025 geschaffen werden. Dies entspräche dann rund 11 Prozent der globalen Wirtschaftsleistung. Den potenziell größten Einfluss hat das ‚Internet of Things‘ danach in Fabriken (bis zu 3,7 Billionen Dollar wirtschaftlicher Mehrwert), Städten (1,7 Billionen Dollar) und im Gesundheitswesen (1,6 Billionen Dollar).

90 Prozent des gesamten Mehrwerts wird nach der Studie den Anwendern – also Unternehmen, die IoT-Anwendungen nutzen, oder Verbrauchern – zu Gute kommen, etwa durch günstigere Preise oder Zeitersparnis. Gleichzeitig werde das Internet der Dinge die Grenzen zwischen Technologiefirmen und traditionellen Unternehmen aufweichen und neue, datenbasierte Geschäftsmodelle ermöglichen.

Ungeklärte Rechtsfragen


Naturgemäß hält der rechtliche Rahmen mit der rasanten technischen Entwicklung häufig nicht Schritt, so auch beim Internet der Dinge. Zentrale Rechtsfragen sind nachfolgend skizziert:

Datenschutzrecht


Personenbezogene Daten, die dem Datenschutzrecht unterliegen, sind insbesondere im Bereich Consumer IoT von Bedeutung. So entsteht etwa bei einem Gerät zur Messung von Körperfunktionen ein kaum übersehbarer Umfang an sensiblen Informationen. Schwierigkeiten ergeben sich hier insbesondere im Hinblick auf eine Rechtfertigung der Datenverarbeitung. So kann kaum sichergestellt werden, dass der Nutzer des Gegenstands auch den Vertrag über den relevanten Dienst abgeschlossen oder eine erforderliche Einwilligung erteilt hat. Ferner stellen sich Fragen bei internationalen Datentransfers und bei der Verwendung im Rahmen von ‚Big Data‘-Lösungen. Zweifelhaft ist insofern insbesondere, ob hier angesichts des großen Umfangs vorhandener Daten eine Anonymisierung überhaupt noch erreicht werden kann.

Recht an Daten


Maschinendaten, die im Rahmen von ‚Industrial IoT‘ entstehen, fehlt üblicherweise der Personenbezug, und ein allgemeines eigentumsähnliches Recht an Daten besteht nicht. Angesichts des Werts dieser Daten für künftige Analysen stellt sich daher verstärkt die Frage nach ihrer Zuordnung. Hierzu findet gegenwärtig eine intensive Diskussion in Europa und Deutschland statt, die zwischen den Extremen einer umfassenden Monopolisierung und einem Recht auf freien Zugang zu den Daten schwankt. Angesichts der Vielzahl der Beteiligten fällt eine interessengerechte Zuordnung nicht leicht, etwa wenn man zwischen den durch ‚smarte Geräte‘ generierten Daten einerseits und den aufgrund dieser Daten erzielten Berechnungsergebnissen unterscheidet. Gegenwärtig kann hier nur eine für den Einzelfall jeweils zu bestimmende vertragliche Zuordnung Abhilfe schaffen.

Automatisierte und autonome Vertragsschlüsse


Zunehmend werden Verträge nicht mehr über menschliche Erklärungen, sondern automatisiert bzw. autonom ausgelöst. Beispielhaft kann dies der Fall sein, wenn ein System auf Grundlage einer Software-Analyse Verschleißteile bestellt. Insbesondere beim Einsatz künstlicher Intelligenz ist es für die den Dienst einsetzende Person kaum vorhersehbar, unter welchen Voraussetzungen eine Bestellung zustande kommt. Diskutiert wird in diesem Zusammenhang insbesondere, ob und inwieweit hier Grundsätze der Botenschaft oder der Stellvertretung nutzbar gemacht werden können.

Haftungsfragen


Die Nutzung von IoT-Diensten kann einen erheblichen Risikofaktor darstellen, etwa wenn durch den Einsatz eines Roboters Menschen zu Schaden kommen. IoT-Systeme bestehen aus einer Vielzahl von Software- und Hardware-Komponenten. Angesichts der Komplexität von solchen Systemen lässt sich häufig nicht feststellen, ob der Schaden etwa durch einen Softwarefehler des Anbieters, Fehler des eingesetzten Geräts, mangelhafte Daten, oder Schwächen bei der Übertragung über das Internet ausgelöst worden ist. Ferner ist beim Einsatz künstlicher Intelligenz unsicher, ob das „Verhalten“ der Maschine seinem Nutzer noch als Folge einer menschlichen Handlung zugerechnet werden kann. Eine überzeugende Lösung hierzu hat sich bislang weder in der Rechtsprechung noch in der Wissenschaft herauskristallisiert. Diskutiert werden Konzepte von einer verschuldensunabhängigen Haftung bis zu einer entsprechenden Anwendung der Grundsätze über die Gehilfenhaftung.

IT-Sicherheitsrecht


Mit der Verbreitung internetgestützter Dienste steigt auch das Risiko durch die Aktivitäten von Hackern und den Einsatz von Schadsoftware. Zwar gelten nach deutschem und europäischem Recht nun Sicherheitsanforderungen beim Einsatz von ‚Diensten der Informationsgesellschaft‘ und für bestimmte kritische Infrastrukturen. Eine offene Flanke stellt insofern allerdings das smarte Gerät selbst dar.

Regulierung


Auch für das Internet der Dinge können bereichsspezifische Regelungen, etwa das Medizinprodukterecht, ebenso relevant werden wie das allgemeine Produktsicherheitsrecht. Schwierigkeiten bereitet insofern die Einordnung eines IoT-Dienstes: Zwar handelt es sich beim smarten Gerät um ein Produkt, dies gilt jedoch nicht ohne weiteres für die Leistungen des IoT-Services selbst, denn dieser ist in aller Regel als Service, nicht als Produkt ausgestaltet. Hinzu treten Fragen nach der Einordnung geschlossener Dienste mit Datenübertragungsfunktionen als Telekommunikationsdienst und nach der Anwendbarkeit des Exportkontrollrechts.

Kartellrecht


Beim Einsatz des Kartellrechts im Online-Kontext stellen sich eine Reihe von Sonderfragen. So hat sich zum einen die EU-Kommission zuletzt mit dem Erwerb von Marktmacht mittels Datenpools befasst. Zum anderen werden gegenwärtig verschiedene Reformansätze diskutiert; diese betreffen etwa die Herabsetzung von Aufgreifschwellen.

Schwerpunkt: Vertragsgestaltung


Das Internet der Dinge mit seinen rechtlichen Implikationen steht erst am Anfang. Mit einer baldigen Lösung der offenen Fragen durch Gesetzgeber und Rechtsprechung ist daher in absehbarer Zeit nicht zu rechnen. Angesichts der Unsicherheiten kommt der vertraglichen Risikominimierung sowohl für Diensteanbieter als auch für deren Nutzer eine herausgehobene Stellung zu. Der Vertragsgestaltung kommt daher ein besonderer Stellenwert zu.

Haben Sie Fragen? Kontaktieren Sie gerne: Dr. Torsten Kraul
Practice GroupIT, Outsourcing & Datenschutz