Wer haftet beim "Internet der Dinge“

Industrie 4.0 - auch eine Frage des Rechts

Alexander Duisberg ist Partner bei Bird & Bird in München.
Wenn Maschinen die Fäden in die Hand nehmen und Entscheidungen für Menschen treffen, stellt sich automatisch die Frage nach dem juristischen Hintergrund. Hier ist noch vieles offen. Folgende Aspekte sollten Sie im Blick behalten.

Schlagworte wie "Industrie 4.0", "M2M Communication" (Machine to Machine) und das "Internet der Dinge" beziehungsweise "Internet of Things" (IoT) beschreiben den epochalen Wandel, der sich derzeit in Industrie und Fertigungsprozessen vollzieht. Informationstechnologien treiben die Entwicklung verbesserter und neuer Wertschöpfungsprozesse voran.

Weit mehr als bisher entwickelt sich die intelligente Verknüpfung von heterogenen Datenquellen und Prozesssteuerung zum entscheidenden Erfolgsfaktor der Branchen, in denen deutsche Unternehmen Weltruf genießen - Automobilindustrie, Automatisierungs- und Fertigungstechnik, Logistik, Maschinenbau, Medizintechnik etc. Sensordaten und Cyber- Physical Systems (CPS) gewinnen bislang ungeahnte Bedeutung und forcieren das exponentielle Wachstum von Big Data. Innovative und disruptive Technologien werden in den nächsten Jahren - etwa in den Bereichen Energie, Mobilität, Smart Homes und der Arbeitswelt - wirtschaftliche Realität und Märkte grundlegend verändern.

Mit der Zunahme hochkomplexer, autonom agierender Systeme stellen sich rechtlich neue oder jedenfalls neu zu fassende Fragen. Grundsätzlich wird zu beantworten sein, wer eigentlich handelt und wer für das Handeln untereinander vernetzter Systeme verantwortlich ist - wer also haftet. Die Rechtsprechung wird dazu erst im Lauf der Jahre eine verlässliche Orientierung geben können - auch gesetzgeberische Klarstellungen könnten erforderlich sein. Soweit Personenbezug besteht, kommt noch der Datenschutz hinzu. Zudem nehmen die Her-ausforderungen an die Sicherheit und Verkehrsfähigkeit nicht personenbezogener Daten weiter zu.

1. Wer handelt im Internet der Dinge?

In unserer Rechtsordnung, ob im Zivilrecht, öffentlichen Recht oder Strafrecht, sind Handelnde und Zuordnungsträger von Rechten und Pflichten immer Menschen oder juristische Personen. Daran ändern auch M2M und IoT grundsätzlich nichts. Ebenso selbstverständlich bedient sich der Mensch seit jeher technischer Hilfsmittel zum rechtsgeschäftlichen Handeln. Gesetzgebung und Rechtsprechung haben diesen Technologiewandel nachvollzogen, zum Beispiel wenn Verträge abgeschlossen werden. Was für Angebot und Annahme per Telefon begann, ist auch für Telefax und E-Mail - von "fernmündlich" bis zur "elektronischen Form" (und der wenig geliebten elektronischen Signatur) sowie der "Textform" - ins Regelwerk eingeflossen.

2. Vertragsabschluss durch Softwareagenten?

Was ist aber, wenn der Entscheidungsprozess über die Abgabe einer Willenserklärung im konkreten Einzelfall ausschließlich automatisiert erfolgt? Handelt in dieser Situation noch ein Mensch oder eine juristische Person beziehungsweise wem und wie werden solche Prozesse zugerechnet? Über einseitig automatisierte Standardprozesse für Online-Geschäfte denken wir heute kaum noch nach.

Durch Menüsteuerung und vorprogrammierte Auswahloptionen wird der Nutzer auf ein personalisiertes Leistungsangebot hingeführt. Mit Klick auf die AGB und Bestätigung im Bestellprozess gibt er sein Angebot zum Abschluss eines Fernabsatz-Vertrages ab, das der Online-Anbieter automatisiert annimmt - der Vertrag ist damit rechtsverbindlich abgeschlossen.

Was ist aber, wenn die Initiative zum Abschluss einer Online-Transaktion vollautomatisiert abläuft, also eine Maschine selbst den Bestellvorgang als Nutzer auslöst? Hier stellt sich die Frage, wie sich die Verantwortung für den konkreten Rechtsakt (die automatisierte Willenserklärung und der beidseitig rein elektronische, voll automatisierte Vertragsabschluss) zuordnen lässt. Er beruht ja ausschließlich auf einem zeitlich weit vorausgelagerten, abstrakten Programmiervorgang, einem Rechtssubjekt.

Der Hochfrequenz-Handel zeigt, dass diese Problematik schon heute - im geschlossenen Teilnehmerkreis der Finanzinstitute - Realität ist: Hier steuert der "Mensch hinter der Maschine" nicht mehr seine einzelne Kauf- oder Verkaufsentscheidung, indem er konkret seinen Willen nahe am Zeitpunkt der Transaktion erklärt. Es sind vielmehr hochkomplex konfigurierte Entscheidungsstrukturen, die anhand weit vorher angelegter Muster und Zielvorgaben die einzelnen Kauf- und Verkaufstransaktionen in einem multilateralen M2M-System in beliebiger Anzahl auslösen.

3. Unternehmensübergreifende M2M-Systeme brauchen Regeln

Werden komplexe M2M-Systeme unternehmensübergreifend aufgesetzt, kommt es nicht nur auf die technische Standardisierung, sondern auch auf die vereinbarten Nutzungsregeln an. Wie dürfen die Teilnehmer mit den Nutzungsergebnissen umgehen, und wie verhält es sich mit regulatorischer Compliance und Rechten Dritter, die der M2M-Nutzung entgegenstehen könnten (etwa Datenschutz, branchenspezifische Regulierung, Verletzung von Softwarepatenten oder sonstiger Rechte Dritter)?

4. Offene Fragen zu Logistik, Mobilität und Smart Home

Weitgehend ungeklärte Fragen lassen sich an M2M- und IoT-Beispielen zeigen:

• Im Bereich Automatisierung und Logistik erlangen Sensordaten und CPS zentrale Bedeutung. Doch wem gehören die Daten? Gibt es klare Nutzungsregeln, wenn heterogene Datenquellen zusammengeführt beziehungsweise einer beschränkten oder offenen Nutzergemeinschaft zur Verfügung gestellt werden? Wer gibt einheitliche Nutzungs- und Teilnahmebedingungen vor? Entstehen zwischen Teilnehmern oder gegenüber Dritten de facto Haftungsgemeinschaften, wenn die Daten fehlerhaft sind, oder lässt sich wirksam vereinbaren, dass jeder auf eigenes Risiko handelt?

• Die vernetzte Mobilität (Car2Car, automatisiertes Fahren) stellt hohe Herausforderungen an die technische Kompatibilität und Standardisierung. Ergeben sich womöglich "Anschluss- und Benutzungszwänge" aus marktbeherrschenden Stellungen einzelner Industrieteilnehmer, die die Standards vorgeben? Wie steht es um die Produkthaftung - wer ist Hersteller, und welche Regressketten bauen sich auf? Wer haftet für Konnektivitätsausfälle? Wer ist Handlungssubjekt und Normadressat im vernetzten Automobil - der Fahrer, der Halter, der Hersteller, der Betreiber des Dienstes?

• Im Smart Home (Beispiel: der smarte Kühlschrank) kommt es mit Blick auf Produktfunktionalität und Datenschutz zu fundamentalen Veränderungen: Hersteller, Eigentümer/Nutzer und Anbieter von M2M- Diensten werden zu Handlungs- und Haftungssubjekten komplexer M2M-Systeme. Können dabei Datenanonymisierung und -pseudonymisierung einer Profilbildung entgegenwirken?

5. Wer haftet in vernetzten Wertschöpfungsketten?

Wenn M2M der Schlüssel für vernetzte Wertschöpfungsprozesse ist, rückt automatisch auch die Frage der Haftung für mögliche Fehler und Ausfälle in den Vordergrund. Man wird zwischen der Haftung für fehlerhafte Datenquellen und Datenerzeugung einerseits und Fehlern in der Datenübermittlung andererseits unterscheiden müssen. Haftungsrisiken bei M2M-Prozessen in geschlossenen Nutzersystemen, wie etwa im Automatisierungs-, Fertigungs- oder Logistikbereich, müssen vor allem über vertraglich vereinbarte Teilnahmebedingungen des Betreibers solcher Systeme geregelt werden.

Dabei tritt das Problem des AGB-Rechts im unternehmerischen Verkehr (B2B) zutage. Dieses setzt einen (zu) weiten Haftungsrahmen (Haftung für den "typischerweise vorhersehbaren Schaden" bei Verletzung sogenannter Kardinalpflichten). Was ist bei aber weitgehend autonom agierenden, vernetzten Systemen noch "typischerweise vorhersehbar"? Eine vertragliche Risikobegrenzung, die feste Haftungsgrenzen zulässt und die Haftung für Folgeschäden und reine Vermögensschäden ausschließt (also den entgangenen Gewinn, Folgeschäden etc.), ist nach derzeitiger Rechtslage in den AGB nicht wirksam.

Bei Konnektivitätsausfällen kommt dazu, dass die Haftung des TK-Anbieters für Vermögensschäden auf 12.500 Euro pro Endnutzer und insgesamt zehn Millionen Euro je Schadensereignis für alle betroffenen Endnutzer gedeckelt ist (Paragraf 44a Telekommunikationsgesetz, TKG). Jeder Teilnehmer eines M2M-Systems, der nicht selber TK-Anbieter ist (was im Einzelfall zu prüfen ist), muss also das Risiko der niedrigen Haftung einschätzen - zumal TK-Anbieter für standardisierte Leistungen vermutlich kaum per Einzelvertrag bessere Haftungsabsicherungen zusagen werden. In offenen M2M-Systemen werden sich möglicherweise gemeinschaftliche Haftungsszenarien über die Gesamtschuldnerhaftung aufbauen, wenn verschiedene M2M-Teilnehmer gegenüber Dritten eine Gesamtleistung erbringen. Auch hier ist die Entwicklung vertraglicher Regeln, etwa auch zum Regress im Innenverhältnis, noch völlig offen.

6. Unternehmen müssen Datenschutz im Blick behalten

Der Datenschutz ist über den weiten Begriff personenbezogener Daten, zu denen auch dynamische IP-Adressen gehören können, und die Möglichkeiten komplexer Datenauslese (Big Data) etwa in den Bereichen Mobilität, Energie und Smart Homes grundsätzlich immer im Blick zu halten. Es gilt sorgfältig zu prüfen und gegebenenfalls mit den Behörden abzustimmen, ob und wie er sich mit "informierter Einwilligung", Inter-essenabwägung und Auftragsdatenverarbeitung wahren lässt. (ba)