Zwischen Cyber und Security:
Innovationen nachhaltig sichern.

Mit dem exponentiellen Wachstum vernetzter Maschinen, Devices und Gadgets wächst die Bedrohungslage rasant. Umso mehr muss IoT-Sicherheit breit vorangetrieben werden: Politik und Gesetzgeber sind aufgefordert, klare Regeln aufzustellen. Genauso wie Unternehmen gezwungen sind, Sicherheit jenseits der schnellen Time-to-Market universell zu denken – technologisch, organisatorisch und kulturell. Nicht zuletzt steht der Konsument im Zentrum – mit verbrieften Rechten im Daten- und Verbraucherschutz.
Zeit, IoT-Sicherheit weiterzudenken. Und zur Diskussion zu stellen.

Millionen-Sanktionen? Warum eine solide Grundstruktur wichtiger ist als die Angst vor dem Bußgeld.

IoT ist ähnlich wie das neue Spielzeug im Sandkasten beliebt: Jeder will es haben, aber die wenigsten haben sich tatsächlich auf die Nutzung vorbereitet. Das birgt organisatorische wie rechtliche Risiken. Björn Holland (Management Consultant) und Jan Alexander Linxweiler (Consultant) im Interview zu IoT-Datenschutz und einer Tatsache, die viele Unternehmen verkennen – was teuer werden kann: Sie sind Inverkehrbringer. 

Mehr erfahren

Beim Internet der Dinge zählt die schnelle Time-to-Market. Trotzdem warnen Sie vor Voreiligkeit. Warum?

Holland: Wer Innovationen auf den Markt bringt, muss elementare rechtliche Aspekte beachten. Das bedeutet, Struktur in die rechtlich erheblichen Bereiche der Organisation bringen: von der allgemeinen Vertragsgestaltung bis hin zu den Patenten.
Linxweiler: Struktur ist hier der Dreh- und Angelpunkt. Patente sind zentral für die Entwicklungen und rechtlich entsprechend abzusichern, zumal wir uns in einem internationalen Markt mit unterschiedlichen Rechtsordnungen befinden.

Unternehmen sollten doch wissen, dass sie ihre Erfindungen schützen müssen. Und sind die Erfindungen aus dem Projekt heraus nicht automatisch Eigentum des Unternehmens?

Holland: IoT-Projekte sind für viele Unternehmen technologisches Neuland. Die Folge: Sie arbeiten mit externen Freelancern und Beratungshäusern zusammen. Das kann zur elementaren Frage führen: Wem gehört was? Unternehmen sind deshalb gut darin beraten, in ihren externen Verträgen für Klarheit zu sorgen.

Wie zum Beispiel?

Linxweiler: Verträge mit externen Partnern, aber auch interne Arbeitsverträge, sollten grundsätzlich Aussagen zu Nutzungsrechten an Erfindungen beinhalten und festlegen, dass sie Eigentum des Unternehmens sind. Wenn diese Basis vorhanden ist, müssen insbesondere im Falle von externen Projektmitarbeitern Erfindungen identifiziert und der Erfindergeist in die IoT-Produktentwicklung integriert werden.

Wie erkennt das Unternehmen Erfindungen?

Holland: Schlüsselpositionen in IoT-Projekten sind mit IT-, Hardware-, Software-, Prozess- oder Projektmanagement-Rollen besetzt. Die Stellenbezeichnungen beinhalten oft den Begriff Engineering. Dabei liegt den Mitarbeitern nicht zwingend die Ausbildung der Ingenieurswissenschaften zugrunde. Trotzdem ist die unternehmenseigene Expertise vielfach Geburtsort von Arbeitnehmererfindungen. Damit gewerbliche Schutzrechte wie computerimplementierte Erfindungen im Unternehmen verbleiben, müssen diese z.B. durch Patentierung geschützt werden.
Linxweiler: Doch die Schutzbemühungen dürfen nicht an der Unternehmenstür enden. Soziale Medien, moderne Kommunikation und fluktuierende Netzwerke stellen den sicheren Austausch im Erfindungsprozess vor erhebliche Herausforderungen. Die Projektgruppe arbeitet möglichst frei von einengenden Strukturen und teilt ihr Wissen in öffentlich zugänglichen sozialen Netzwerken oder nutzt bestehendes Wissen aus dem 'Open Source' Bereich – etwa, um ein Problem zu lösen. Die Folge: Lösungen sind zugänglich, bevor sie für das Unternehmen gesichert sind. Das erschwert später die Verteidigung gegenüber dem Wettbewerb erheblich.

Was macht ein Patent zum Patent?

Linxweiler: Formal drei Kriterien. Erstens, die Erfindung muss neu und nicht schon irgendwo veröffentlicht worden sein. Zweitens, auf einer erfinderischen Tätigkeit beruhen, also für einen Experten nicht unmittelbar offensichtlich sein. Drittens, sie muss gewerblich/industriell anwendbar sein.
Holland: Nun kommt Software aber eine gesonderte Rolle zu. Innerhalb Europas kann sie nur durch Copyright geschützt werden. Anders verhält es sich bei einer Erfindung, die mit Hilfe von Software auf Computern implementiert wird – wie ein Datenverarbeitungsprogramm. Das kann in Europa patentiert werden. Doch kommen die eingangs erwähnten unterschiedlichen Rechtsordnungen ins Spiel, wenn man beispielsweise amerikanische Patentierpraktiken einbeziehen muss: Hier gilt frei nach Chief Justice Warren E. Burger aus einem Urteil des Supreme Courts: „anything under the sun that is made by man is patentable“1.
Linxweiler: Und wenn sich ein amerikanisches Unternehmen das US-Patent an dem Produkt sichert, wird beim Europäer der Vorwurf der Produktpiraterie laut.

Wie steht es um den Datenschutz bei IoT-Produkten?

Holland: Dazu eine Studie des Global Privacy Network. Weltweit wurden hier 314 smarte Devices geprüft. 14 davon waren auch auf dem Prüfstand des Bayrischen Landesamtes für Datenschutzaufsicht. Das Ergebnis ist erschütternd: Smarte Alltags-Geräte führen zu eindeutigen Rückschlüssen auf die Nutzer statt ihre Anonymität zu wahren. Zudem werden Verbraucher nicht ausreichend über den Umgang mit ihren Daten aufgeklärt: Welche Daten werden gespeichert? Wie kann ich bei Bedarf meine Daten löschen? Darüber gibt es kaum Transparenz.

Mit welchen Konsequenzen müssen Unternehmen bei Datenschutz-Verstößen rechnen?

Linxweiler: Mit Bußgeldern in Höhe von aktuell bis zu 300.000 EURO.
Holland: Das mag bei großen Unternehmen abgesehen vom möglichen Reputationsverlust „out-of-pocket“ bezahlt werden, bei kleinen Start-ups kann das jedoch einen signifikanten Pushback zu Investoren ankündigen. In den USA hat kürzlich die Firma We Vibe einen Vergleich in Höhe von 3,75 Millionen USD geschlossen: 3 Millionen USD gingen als Schadenersatz an die Nutzer der App, die heimlich Daten gesammelt und das Datenleck begünstigt hat. Mit 750.000 USD wurden die Käufer des Produktes entschädigt.
Linxweiler: Mit der neuen Datenschutzgrundverordnung wird die Messlatte auch in Deutschland weit höher gelegt. Dann drohen bei Datenschutzverletzungen Bußgelder von bis zu 4% des weltweiten Gesamtjahresumsatzes des Gesamtunternehmens. Und so verhält es sich mit der Produkthaftung: Hier sind Haftungshöchstbeträge für Personenschäden durch ein Produkt bis zu einem Höchstbetrag von 85 Millionen EURO vorgesehen.

Damit sprechen Sie die Produktsicherheit an.

Linxweiler: Stimmt, ein weiter Themenkomplex. IoT-Devices sind Elektronikgeräte. Damit gilt der entsprechende Regelungsgegenstand mit konkreten Vorgaben zur Marktgängigkeit, Sicherheit, aber auch Entsorgung eines IoT-Produktes. Wir sprechen über Pflichten wie CE-Zeichen, Grüner Punkt ober über Richtlinien zu Gefahrstoffen. Hier setzt das deutsche Elektro- und Elektronikgerätegesetz die europäische WEEE-Richtlinie um. Sie definiert elementare Aufgaben eines Inverkehrbringers.

Was ist ein Inverkehrbringer?

Linxweiler: Hersteller und Importeure müssen sich registrieren, bevor sie Elektrogeräte in Deutschland auf den Markt, also in den Verkehr bringen. Hinzu kommt der Nachweis einer Rücknahmelösung für Elektroaltgeräte z.B. durch die Teilnahme am Dualen System Deutschland – sowie die Kennzeichnung der Produkte und Hinweise für Verbraucher nach klaren Kriterien. Die Gebühren sind relativ gering und berechnen sich auch aus der Größe und Materialität – wie Pappe statt Plastik. Zwar besteht seit 2009 keine Pflicht mehr, den Grünen Punkt auf Verpackungen anzubringen. Die Registrierung ist dennoch erforderlich.
Holland: Die Konsequenzen bei Nichtbeachtung sind Sanktionen in Form von Bußgeldern – aktuell bis zu 100.000 EUR. Hinzu kommt die Abschöpfung erzielter Gewinne. Privatrechtlich drohen Abmahnungen oder Schadenersatzforderungen durch Verbraucher – Class Actions in den USA, Rückrufaktionen, Reputationsverlust. Denken wir nur an das Fallbeispiel des Samsung Galaxy Note 7.

Ihr Ansprechpartner:
Björn Holland
Management Consultant
iot(@)no-spam.cassini.de