11 Minuten Lesezeit Mit Insights von Ulrike Schirmer Senior Consulting Manager ulrike.schirmer@zuehlke.com Urs Künzle Senior Business Solution Manager urs.kuenzle@zuehlke.com Im Blogpost „Der EU Data Act: Was Sie für die Datenökonomie brauchen“ haben wir die generellen Ziele des neuen Datengesetzes und seine Auswirkungen auf Unternehmen und Innovationen betrachtet. In diesem Blogpost analysieren wir die konkrete Bedeutung und die Auswirkungen des Gesetzes, das am 9. November 2023 vom Europäischen Parlament verabschiedet wurde, für Industrieunternehmen und deren Innovationsvorhaben. Das EU-Datengesetz verfolgt u.a. das Ziel, die Datenwirtschaft der EU anzukurbeln, indem Daten, die von vernetzten Produkten oder damit verbunden Diensten erzeugt werden, freigegeben und ihre Zugänglichkeit sowie Nutzung optimiert werden: Nutzende werden Anrecht auf die Daten erhalten, die Geräte, Maschinen oder Anlagen während der Nutzung generieren und Nutzende dürfen diese Daten auch an Dritte weitergeben. Was aber bedeutet diese Verschiebung des Machtgefüges in Richtung des Nutzenden für das industrielle Umfeld, in dem Nutzende in der Regel Unternehmen sind und keine Endverbrauchenden? Status-quo: Rechte und Pflichten in Bezug auf Daten Der Data Act bringt einschneidende Veränderungen für Industrieunternehmen mit sich. Um diese aufzeigen zu können, möchten wir zunächst die aktuelle Situation verdeutlichen. Welche Rollen gibt es und wer hat welche Rechte und Pflichten in Bezug auf Daten? Vereinfacht dargestellt, beschäftigen wir uns mit drei Rollen rund um ein vernetztes Produkt: Das herstellende Unternehmen, welches das Produkt verkauft. Die Nutzenden, die das Produkt verwenden. Der Dienstleister, der Services rund um das Produkt anbietet. Der Data Act stellt die heutige Welt dieser drei Rollen wie folgt dar (siehe Grafik 1): Das herstellende Unternehmen eines vernetzten Produktes hat per Design alleinigen Zugriff auf die während der Nutzung generierten Daten. Es ist somit der Dateninhaber und kann Mehrwerte aus den Daten gewinnen, z. B. für Produktverbesserungen, digitale Zusatzservices etc. Der/die Nutzer:in des vernetzten Produktes generiert durch die Nutzung Daten, auf die er/sie selbst aber keinen Zugriff hat. Der Dienstleister hat als Dritter keinen Zugriff auf die von Nutzenden erzeugten Daten. Auch dann nicht, wenn er den Nutzenden eine Dienstleistung rund um das Produkt anbieten möchte. Die folgende Grafik zeigt das Grundschema heute – ohne EU Data Act Allerdings enthalten die bei der Nutzung eines Gerätes erzeugten Daten nicht ausschließlich Informationen über die Nutzung, sondern in den meisten Fällen auch Informationen über das Gerät selbst bzw. die Funktionsweise des Gerätes und offenbaren damit möglicherweise geistiges Eigentum des herstellenden Unternehmens. Der Data Act im B2C-Bereich: Anwendungsbeispiel „Smarte Waschmaschine“ Situation heute: Der/die Endverbraucher:in hat die Waschmaschine mit dem WLAN verbunden und generiert mit den Waschgängen nutzungsspezifische Daten (Programm, Laufzeit, Drehzahl, Temperatur etc.). Das herstellende Unternehmen kann als Dateninhaber diese Daten auswerten und den Nutzenden zum Beispiel einen optimierten Reparatur-Service oder eine auf die Nutzung abgestimmte Optimierung des Waschprogramms anbieten. Ein Dienstleister hat als Dritter keinen Zugriff auf solche Daten, und kann seinen Reparatur- und Wartungsservice nicht so spezifisch anbieten. Die erzeugten Daten könnten auch Rückschlüsse auf die Steuerung der Waschmaschine ermöglichen. Und dieses ist möglicherweise geistiges Eigentum, dass das herstellende Unternehmen schützen möchte. Daher hat es als Dateninhaber in diesem Fall kein Interesse, die Daten an Nutzende oder gar Dritte weiterzugeben. Einen Mehrwert aus diesen Daten kann daher nur der Dateninhaber, also der Hersteller der Waschmaschine, generieren. Nutzende und Dritte sind ausgeschlossen, was eine mehrfache Nutzung der Daten verhindert. Wendet man das Datengesetz auf dieses einfache Schema an, verändert es sich wie folgt (Grafik 2: Grundschema in Zukunft – mit Europäischem Data Act): Nutzenden steht nun per Gesetz ein kostenfreier Zugriff auf die von ihnen erzeugten Daten (Rohdaten) zu. Durch die vom Nutzenden gestattete Datenweitergabe an Dritte kann auch der Dienstleister zum Datenempfänger werden. Situation nach in Kraft treten des Data Acts: Der/die Nutzer:in entscheidet sich, den Reparatur-Service oder einen anderen Service rund um seine Waschmaschine nicht vom herstellenden Unternehmen, sondern von einem Dienstleister, z.B. einem lokalen Reparatur-Dienst, in Anspruch zu nehmen. Dazu macht er von seinem Recht Gebrauch, die durch die Nutzung generierten Daten vom Dateninhaber (herstellendes Unternehmen) zu erhalten und an den Datenempfänger (Dienstleister) weiterzugeben. Mit diesen Daten kann der Dienstleister nun einen vergleichbaren, oder gar besseren oder günstigeren Reparatur-Service anbieten als das herstellende Unternehmen. Das herstellende Unternehmen ist somit dem Risiko ausgesetzt, dass die Nutzungsdaten den eigenen Einflussbereich verlassen und damit möglicherweise Informationen, die es nicht preisgeben möchte, wie z.B. die Funktionsweise der Steuerung, von Dritten abgeleitet werden können. Einen Mehrwert aus den Daten können in diesem Fall Dateninhaber, Nutzer:in und Datenempfänger generieren, was im Vergleich zur Situation ohne EU Datengesetz eine vielseitigere Nutzung der Daten ermöglicht. Mit dem Data Act geht also eine massive Verschiebung der Macht vom herstellenden Unternehmen zum Nutzenden einher. Für den B2C-Sektor mag das recht eingängig sein. Denn hier haben Nutzende heute tatsächlich keinen Zugriff auf die von ihnen erzeugten Daten und in der Regel auch nicht die Macht, dies zu ändern. Mit in Kraft treten des Data Acts wird es Nutzenden möglich sein, generierte Daten für den eigenen Vorteil zu nutzen. Das herstellende Unternehmen bleibt nach wie vor der Dateninhaber und kann entsprechend auch Nutzen aus den Daten ziehen. Aber dieser Nutzen kann auch von Dritten aus den Daten gezogen werden, wenn der Nutzer dieses zulässt. Der Wettbewerb und der Ausbau von innovativen, datengetriebenen Services im After-Sales soll so befeuert werden. Die Kehrseite der Medaille ist das Risiko des Verlusts von geistigem Eigentum der herstellenden Unternehmen. Denn haben die Daten einmal die eigenen Unternehmensgrenzen verlassen, muss es davon ausgehen, dass sie auch zu den eigenen Ungunsten genutzt werden könnten. Der Data Act im B2B-Bereich: Vernetzung braucht Nutzen-Risiko-Abwägung Eine weitere große Frage, die sich stellt: Ist die B2C-Sichtweise 1:1 auf den B2B Sektor übertragbar? Denn erfahrungsgemäß gibt es hier einige Unterschiede. So sind die Nutzenden keine natürlichen Personen, sondern Unternehmen. Zwischen industriellen Unternehmen bestehen in der Regel individuelle Vertragswerke, in denen geregelt ist, welche Daten zu welchen Zwecken ausgetauscht werden, wie diese zu schützen sind, und wer darauf Zugriff haben darf. Damit kann zumindest in Frage gestellt werden, ob sich die heutigen Machtverhältnisse bzgl. Nutzungsdaten so einseitig darstellen, wie im obigen B2C-Beispiel aufgeführt. Wie stellt sich das anhand eines konkreten B2B-Anwendungsbeispiels „Condition-based Monitoring“ dar? Situation heute: Ein Maschinenhersteller bietet eine Condition-based-Monitoring-Lösung für die von ihm produzierten Maschinen an. Neben diesem App-basierten Service bietet der Maschinenhersteller seinen B2B-Kunden auch an, auf ihre Maschinendaten zugreifen zu können. Ein Produktionsunternehmen erwirbt eine Maschine und entscheidet sich, diese zu vernetzen, um die App für Condition-based Monitoring nutzen zu können. Zusätzlich macht das Unternehmen vom Angebot Gebrauch, auf seine Maschinendaten zuzugreifen, um sie z. B. für interne Prozessverbesserungen heranzuziehen. Gestützt wird das Teilen der Daten durch ein individuelles Vertragswerk zwischen den beiden Unternehmen. Situation nach Inkrafttreten des Datengesetzes: Da die Daten bereits heute von beiden Unternehmen – Hersteller und Nutzer – verwendet werden, ändert sich durch den Data Act faktisch nichts. Einzig das Vertragswerk muss überprüft und ggf. Data-Act-konform gemacht werden. Eine umfangreichere Verwendung der Daten scheint zunächst nicht realistisch. Da Condition-based Monitoring sehr spezifisches Wissen über die Maschine und den Prozess benötigt, ist es eher unwahrscheinlich, dass das nutzende Unternehmen einen vergleichbaren Service für diese Maschine bei einem Dritten beziehen würde. Ebenso für die unternehmensinterne Prozessoptimierung scheint es eher unwahrscheinlich, dieses einem Dritten zu überlassen. Wird sich der Data Act auf die Akzeptanz von vernetzten B2B-Produkten auswirken? Die Nutzungsdaten eines vernetzten Produktes können sensible Informationen über das nutzende Unternehmen beinhalten. Ein nutzendes Unternehmen wird ein Produkt nur dann vernetzen bzw. der Datenübertragung zum herstellenden Unternehmen zustimmen, wenn der daraus generierte Nutzen größer ist als das damit einhergehende Risiko. Die Risiken können vielfältig sein, wie z. B. Cyber-Security-Risiken, Offenlegung von Betriebsgeheimnissen oder der Verlust von geistigem Eigentum. Anders als im B2C-Bereich, in dem die wenigsten Nutzenden Vorbehalte haben, ihre Daten mit einem herstellenden Unternehmen zu teilen, kann man davon ausgehen, dass im B2B-Bereich eine sehr viel tiefere Abwägung stattfindet, ob ein Produkt vernetzt wird oder nicht. Ein Beispiel hierfür ist die bisher recht geringe Durchdringung der Shopfloors diskreter Fertigungsunternehmen mit vernetzten Maschinen (Stichwort: Industrie 4.0 Readiness). Damit ist möglicherweise die generelle Verfügbarkeit von Nutzungsdaten ein viel schwerwiegenderes Problem als die Regelung, wer auf welche Daten zugreifen darf. Lassen Sie uns als Beispiel auf dem vorhergehenden Szenario aufbauen: Ein anderes Produktionsunternehmen, das eine Maschine des o. g. Herstellers im Einsatz hat, entscheidet sich gegen die Nutzung des App-basierten Condition Monitorings. Die sehr sicherheitsorientierten IT-Security-Regularien erlauben keine Verbindung der Maschinen nach extern. Der Hersteller hat somit heute keinen Zugriff auf die Nutzungsdaten (ist kein Dateninhaber) und wird diese auch nach Inkrafttreten des EU Data Acts nicht haben. Ein Auslesen der Daten über eine USB-Schnittstelle wäre aber theoretisch möglich und durch den EU Data Act abgedeckt. Der Data Act: Chance oder Risiko für die Industrie? Wie so häufig lautet die Antwort: Es kommt drauf an. Eine allgemeingültige Einschätzung würde dem komplexen und sehr vielfältigen Feld in der Industrie nicht gerecht werden. Dennoch wollen wir einige Hypothesen wagen: Servicebereich: Große Dynamik & neue Möglichkeiten Große Dynamik und neue Möglichkeiten sind im Servicebereich zu erwarten Große Dynamik und neue Möglichkeiten sind im Servicebereich zu erwarten. Die Möglichkeiten für datengetriebene, herstellerunabhängige bzw. -übergreifende Service-Angebote scheinen aus heutiger Sicht fast unbegrenzt. Data Governance als geschäftliches Gebot Data Governance wird zu einem geschäftlichen Gebot Für Unternehmen, die heute bereits eine gute Data Governance haben, wird es einfacher sein, so auf die Anforderungen des Data Acts zu reagieren, dass der negative Impact möglichst gering ausfällt und der größte Nutzen daraus gezogen werden kann. Dateninhaber müssen Einnahmequellen diversifizieren Dateninhaber müssen datengestützte Einnahmequellen diversifizieren Je mehr die bestehenden datenbasierten Geschäftsmodelle des Dateninhabers nicht nur auf der reinen Verfügbarkeit von Rohdaten beruhen, sondern spezifisches Prozess- oder Produkt-Know-how etc. umfassen, desto geringer ist die Gefahr, dass diese durch die Weitergabe von Rohdaten an Dritte gefährdet sind. Proaktives Management von IP-Risiken IP-Risiken müssen proaktiv gemanagt werden Im industriellen Umfeld besteht das Risiko des Verlusts von geistigem Eigentum durch das Datenteilen mit Dritten sowohl beim herstellenden als auch beim nutzenden Unternehmen. Hier wird es vermutlich eine sehr breite Varianz an möglichen Ausprägungen geben. Es ist davon auszugehen, dass es sehr einzelfallbasierte/spezifische Ausprägungen sein werden, die vom komplexem, EU-Data-Act-konformen Vertragswerk gestützt werden müssen. Welche Aspekte des Data Acts müssen herstellende Unternehmen im Blick behalten? Abschließend möchten wir Ihnen noch einige Empfehlung zusammenfassen, welche Punkte produzierende Unternehmen unbedingt im Blick behalten sollten. Die genannten Definitionen beziehen sich dabei jeweils auf die durch das Europäische Parlament am 09.11.2023 angenommene Textfassung des Datengesetzes: 1. Bestimmen Sie betroffene Produkte gemäß Datengesetz 1. Ermitteln Sie, welche Ihrer Produkte von dem Datengesetz betroffen sind Die Definition des „vernetzten Produkts“ ist sehr weit gefasst. Sie umfasst einerseits IoT-fähige Produkte, aber auch Produkte mit der Möglichkeit des physischen vor-Ort Datenzugriffs. Damit wird der Wirkungsbereich des Data Acts sehr groß. Prüfen Sie daher rechtzeitig, auf welche Ihrer Produkte das Datengesetz Anwendung findet. Als Referenz kann hier der Originalwortlaut aus dem Datengesetz (Art. 2 para. 5 Data Act) dienen: „vernetztes Produkt“: Gegenstand, der Daten über seine Nutzung oder Umgebung erlangt, generiert oder erhebt und der Produktdaten über einen elektronischen Kommunikationsdienst, eine physische Verbindung oder einen geräteinternen Zugang übermitteln kann und dessen Hauptfunktion nicht die Speicherung, Verarbeitung oder Übertragung von Daten im Namen einer anderen Partei – außer dem Nutzer – ist“ 2. Vernetzte Produkte: Zukünftig „Data Access by Design“ 2. Vernetzte Produkte müssen zukünftig „Data Access by Design“ ermöglichen Vernetzte Produkte müssen zukünftig „Data Access by Design“ ermöglichen, um den Anforderungen des Data Acts zu genügen. Berücksichtigen Sie dieses rechtzeitig in Ihrem Produktentwicklungs-Prozess und informieren Sie Ihre Produkt- und Serviceverantwortlichen über diese neue Pflicht. Zur besseren Orientierung auch hier der Originalwortlaut (Art. 3 para. 1 Data Act): “Vernetzte Produkte werden so konzipiert und hergestellt und verbundene Dienste werden so konzipiert und erbracht, dass die Produktdaten und verbundenen Dienstdaten – einschließlich der für die Auslegung und Nutzung dieser Daten erforderlichen relevanten Metadaten – standardmäßig für den Nutzer einfach, sicher, unentgeltlich in einem umfassenden, strukturierten, gängigen und maschinenlesbaren Format und, soweit relevant und technisch durchführbar, direkt zugänglich sind.” 3. Überprüfen Sie Prozesse & Betriebsmodell 3. Überprüfen Sie Ihre Prozesse und Betriebsmodell Nicht nur das Produktdesign wird betroffen sein, sondern auch Ihre Prozesse. Wer bearbeitet zukünftig die Anfragen von Nutzenden oder Dritten? Wie bewerten Sie Ihre Daten und was soll ein Dritter für das Aufsetzen des Datenzugriffs zahlen? Bereiten Sie Ihre Organisation auf die neuen Rahmenbedingungen vor. Nutzungsdaten Ihrer Produkte werden zukünftig anderen verfügbar sein. Wenn Sie Bedenken bezüglich des Abhandenkommens von geistigem Eigentum haben, machen Sie sich rechtzeitig mit den technischen und juristischen Möglichkeiten vertraut, die Weitergabe der kritischen Daten zu verhindern. Am 28. Juni 2023 wurde zwischen dem Europäischen Parlament und dem Rat der EU eine politische Einigung über das Datengesetz erzielt. Das Gesetz unterliegt nun der förmlichen Genehmigung und tritt 20 Monate nach seiner Annahme in Kraft. Insbesondere dort, wo der Data Act eine Auswirkung auf die Produkte, deren Entwicklung und ggf. sogar auf Geschäftsmodelle hat, ist es höchste Zeit, sich möglichst frühzeitig damit zu befassen. Starten Sie jetzt! Sprechen Sie uns gerne an. Wir unterstützen Sie auf Ihrer Data Journey. Ansprechpartner für Deutschland Ulrike Schirmer Senior Consulting Manager Ulrike Schirmer verfügt über umfangreiche Erfahrung in der Digitalisierung von Produktionsprozessen in der Industrie und im Konsumgüterbereich, mit Fokus auf der Optimierung von End-to-End-Business- und IT-Prozessen. Sie hat zahlreiche Kunden dabei unterstützt, das volle Potenzial ihrer Produktionsdaten durch nahtlose Integration in das Unternehmens-Ökosystem auszuschöpfen. Ulrike Schirmer ist studierte Wirtschaftsingenieurin mit Spezialisierung auf Produktion und Logistik und seit 2023 bei Zühlke als Lead Business Consultant tätig. Kontakt ulrike.schirmer@zuehlke.com Schreiben Sie uns eine Nachricht You must have JavaScript enabled to use this form. Vorname Nachname E-Mail Telefonnummer Message Absenden Bitte dieses Feld leer lassen Schreiben Sie uns eine Nachricht Vielen Dank für Ihre Nachricht.
Nachhaltigkeit – Technologie, Innovation und Ökosysteme als Treiber der nachhaltigen Transformation Mehr erfahren