Anzeige
Anzeige
Beitrag drucken

Vernetzte Maschinen und das Recht

Eine Frage der Haftung

Die Digitalisierung verspricht neue Anwendungen, Geschäftsmodelle und Märkte. Doch die zunehmende Vernetzung birgt auch unterschiedliche Risiken. Beispielsweise stellt sich die Frage der Haftung, wenn bei vernetzten Maschinen etwas schiefläuft.

©Vega/Fotolia.com

©Vega/Fotolia.com

Wer haftet für vernetzte Maschinen? Eine naheliegende Antwort ist zunächst der Hersteller einer Komponente. Aber: Ein Hersteller muss mit seinem Produkt nicht unter allen Umständen die maximale Sicherheit bieten. Maßgeblich ist zuallererst die für den Hersteller erkennbare Verwendung des Produkts. Die nach dem Stand von Wissenschaft und Technik vorhersehbaren Einfallstore müssen abgesichert sein. Je größer die drohende Gefahr, desto bessere Schutzmaßnahmen muss ein Hersteller einbauen. Dabei ist auch ein vorhersehbarer Fehlgebrauch zu berücksichtigen, das heißt das Gerät muss auch gegen naheliegende Bedienfehler gesichert sein. Dies gilt jedenfalls insoweit, wie Sach- oder Körperschäden drohen, beispielsweise durch einen außer Kontrolle geratenen Roboterarm, der Arbeiter verletzen könnte. Hersteller müssen ihre Anlagen auch hinreichend gegen Hacking-Angriffe absichern, wenn sie via Internet erreichbar sind: Dazu gehört es auch, Wartungsschnittstellen mit tauglichen Passwörtern abzusichern – die teils heute noch anzutreffende Kombination aus dem Zugangsnamen ‚admin‘ und dem Passwort ‚0000‘ entspricht dabei nicht dem Stand der Technik. Gerade im Zusammenspiel zwischen vernetzten Geräten potenzieren sich IT-Sicherheitsrisiken. Eine sorgfältige Abschottung der Komponenten und präzise Schnittstellendefinition, und die Verwendung sicherer Kommunikationsprotokolle ist unabdingbar.

Keine absolute Sicherheit

Jeder Hersteller kann Anweisungen zur Verwendung und zum Betrieb eines Produkts geben. Eine absolute IT-Sicherheit ist dabei nicht erforderlich. Viele Hersteller nutzen die Produktdokumentation, um besonders riskante Anwendungsszenarien durch Warnhinweise und Ausschluss von Dienstleistungen auszuschließen. So gibt es beispielsweise bei US-Herstellern häufig Auflagen, die die Verwendung eines Produkts – wie beispielsweise Software – in Umgebungen wie Krankenhäusern oder militärischen Einrichtungen verbieten oder einschränken. Besondere Vorsicht ist geboten, wenn personenbezogene Daten betroffen sind. Ein solch datenschutzrechtlicher Personenbezug kann sehr schnell vorliegen: Schon wenn nur mittelbar ein Datum auf einen Menschen bezogen werden kann, gilt der gesamte Datensatz als personenbezogen. So können beispielsweise rein technische Protokolldaten zum personenbezogenen Datum erwachsen, wenn man beispielsweise anhand der Dienstpläne nachvollziehen kann, wann ein bestimmter Mitarbeiter die Maschine bedient hat. Greift der Anwendungsbereich des Datenschutzrechts, gelten vielfältige Einschränkungen. Beispielsweise dürfen dann Servicemitarbeiter des Herstellers nicht ohne weiteres per Fernzugriff auf das Gerät zugreifen – in diesem Fall muss regelmäßig eine sogenannte Auftragsverarbeitungsvereinbarung abgeschlossen werden. Bei der Auswahl des Dienstleisters hat zudem der Betriebsrat ein Wörtchen mitzureden, denn Geräte, die dazu zweckentfremdet werden können, Leistung oder Verhalten von Mitarbeitern auszuwerten, unterliegen der betrieblichen Mitbestimmung.

Nicht zwingend Schadenersatz

Ein Produktfehler führt nicht zwingend zu Schadenersatz. Nur wenn die Maschine nicht die Sicherheit bietet, die ein Kunde berechtigterweise erwarten kann, haftet der Hersteller. Dass vielleicht noch höhere Sicherheitsstandards möglich gewesen wären, oder andere Produkte am Markt einen besseren Standard bieten, ist für sich kein ausreichender Grund, ein Produkt als gefährlich anzusehen. Wer bestimmte Erwartungen an die IT-Sicherheit hat oder sich nicht sicher ist, ob die Produkte in den beabsichtigten Einsatzszenarien die notwendige Sicherheit bieten, sollte sich einen höheren Standard vertraglich festschreiben lassen. Denn wenn vertraglich vereinbarte Maßstäbe verfehlt werden, muss der Lieferant dafür auch geradestehen. Dabei ist es wichtig, neben einer tauglichen Haftungsklausel, die auch mittelbare Schäden in angemessener Höhe einschließt, auf eine auskömmliche Verjährungsregelung zu achten, denn gerade bei langlebigen Maschinen kann es sonst zu der Situation kommen, dass etwaige Gewährleistungsrechte bereits abgelaufen sind. Abseits solcher Einschränkungen haften Hersteller oder Lieferant jedenfalls dann, wenn sie den Kunden bewusst über die fehlende Sicherheit ihrer Produkte täuschen oder nicht aufklären – in Einzelfällen sogar mit Geld- und Haftstrafen. Doch auch der Betreiber einer Anlage muss seiner Verantwortung gerecht werden: Er muss zunächst selbst seinen Bedarf ermitteln und definieren. Zudem sollte er den Lieferanten über die Verwendungszwecke informieren. Wenn der Betreiber Sicherheitslücken erkennt, muss er unverzüglich tätig werden und diese, beispielsweise durch das Aufspielen von Patches, schließen.

IT-Sicherheit nicht abwälzen

Die Unternehmensleitung muss dafür Sorge tragen, dass IT-Sicherheitsrisiken vermieden werden, denn sie haftet dafür. Anweisungen und Maßnahmen für die Sicherstellung der IT-Sicherheit sollten ordnungsgemäß dokumentiert sein. Anhaltspunkte dafür ergeben sich aus Industrienormen (z.B. IEC62443) oder dem vom Bundesamt für Sicherheit in der Informationstechnik (BSI) herausgegebenen IT-Grundschutzkatalog.


Das könnte Sie auch interessieren:

Die Konsolidierung großer Datenmengen, um damit KI-Anwendungen für Produktionsprozesse zu entwickeln, fällt vielen Unternehmen noch schwer. Im Projekt ExDRa sollen Lösungen entstehen, die diesen Prozess spürbar vereinfachen. Dieser Text ist der Auftakt zu einer Artikelreihe zu den produktionsbezogenen Initiativen des vom BMWi geförderten Technologieprogramms Smarte Datenwirtschaft.‣ weiterlesen

Rockwell Automation hat einen neuen CTO. Zum 1 Juli hat Cyril Perducat das Amt des Chief Technology Officers übernommen.‣ weiterlesen

Um schon vor der Lieferung einer Werkzeugmaschine Einblicke in ihre Leistungsfähigkeit zu ermöglichen, arbeitet die Schweizer Starrag-Gruppe mit der NC-Simulationslösung Vericut. Anhand der ermittelten Daten lassen sich die für später angedachten NC-Programme feinjustieren, noch bevor die Maschine ihr Werk verlässt.‣ weiterlesen

Viele Firmen befassen sich gerade mit der Neuausrichtung Ihrer Lieferketten. Dabei bietet das europäische Estland auf einer Fläche so groß wie Niedersachsen beispielhafte Digitalisierungs- und Fertigungsexpertise. Zusammen mit dem vergleichsweise einfachen Marktzugang, der räumlichen Nähe und dem Rahmen der EU-Gesetzgebung dürfte das kleine Land ein zunehmend wichtiger Partner der hiesigen Industrie bei ihrer digitalen Transformation werden.‣ weiterlesen

Änderungen in Personalzeitwirtschaft und Entgeltabrechnung gehören im HR-Management zu den oft ungeliebten, aber dennoch regelmäßig anstehenden Aufgaben. Jede Änderung in den Betriebsvereinbarungen, Gesetzesnovellen oder tarifliche Neuregelungen verlangen die Überarbeitung von Schemen und Regeln in den Personalabteilungen. Und auch Adhoc-Änderungen müssen unmittelbar umgesetzt werden.‣ weiterlesen

ERP-Branchenlösungen sollen Standardgeschäftsprozesse und Spezialfunktionen unter einen Hut bringen. Innovachem für mittelständische Chemieunternehmen verbindet den Systemkern aus Basis von SAP S4/Hana etwa mit Modulen zur Rezepturentwicklung und Compliance-Prüfung. Das erspart so manche Programmierarbeit und Schnittstellenpflege.‣ weiterlesen

Aras Software hat einen neuen Geschäftsführer. Peter Schoppe hat mit Wirkung zum 1. Juli die Leitung des Plattformanbieters übernommen.‣ weiterlesen

Er ist schnell, leicht und verbraucht wenig Treibstoff: Der Hochgeschwindigkeits-Helikopter Racer kann Fluggeschwindigkeiten von bis zu 400km/h erreichen. Die Schalenbauteile seiner Außenhaut werden mit einem neuartigen Fertigungsverfahren hochautomatisiert hergestellt. Ein Forscherteam des Fraunhofer IGCV hat die Methode gemeinsam mit Airbus Helicopters entwickelt.‣ weiterlesen

Dualis hat den neuen Hauptsitz des Unternehmens in Dresden bezogen. Der reguläre Arbeitsbetrieb begann am 19. Juli.‣ weiterlesen

Kawasaki Gas Turbine Europe plant, produziert, installiert und wartet Gasturbinen. In Bad Homburg befindet sich das europäische Zentrallager des Tochterunternehmens von Kawasaki Heavy Industries. Um dort fehleranfällige Prozesse abzulösen, hat das Unternehmen eine Lagerwirtschaftslösung eingeführt, die alle Transportbewegungen dokumentiert.‣ weiterlesen

Störungen in der Lieferkette können schnell zu Problemen führen. Jaggaer hat vier Tipps zusammengestellt, wie Unternehmen Schwachstellen in der eigenen Lieferkette identifizieren können.‣ weiterlesen

Anzeige
Anzeige
Anzeige
Anzeige
Anzeige
Anzeige