Bird & Bird LLP hat im Auftrag der IMPULS-Stiftung des Verband Deutscher Maschinen- und Anlagenbau (VDMA) eine Studie zur digitalen Marktabschottung erstellt. Diese belegt, dass der freie Datenaustausch massiv beeinträchtigt wird. Die Auswirkungen treffen insbesondere den Mittelstand.
Digitaler Protektionismus hat in den letzten Jahren immer stärker an Bedeutung gewonnen. Die digitale Marktabschottung ist zu einer großen Bedrohung für den freien Datenverkehr geworden. Der Erfolg des deutschen Maschinen- und Anlagenbaus hängt jedoch immer häufiger von weltweit verfügbaren und zuverlässigen digitalen Geschäftsmodellen ab. Diese sind auf den ungehinderten, sicheren Datenfluss angewiesen. Besonders der Mittelstand leidet unter dem zunehmenden digitalen Protektionismus. Die hier erstellt Studie zeigt erstmals die bedenklichen bis gefährlichen Auswirkungen von Protektionismus auf Industrie 4.0 und Digitalisierung im Maschinen- und Anlagenbau.
Im Rahmen der Studie wurde untersucht, wie sich der freie Datenfluss mit Fokus auf EU, USA, Russland sowie China darstellt. Ein Ergebnis der Studie lautet: Die Auswirkungen von protektionistischen Maßnahmen spüren die Unternehmen sowohl in den weltweiten Absatzmärkten ihrer Maschinen als auch auf dem Heimatmarkt EU. Hohe Aufwände für lokale Datenspeicherung, lokale Prüfvorschriften und die Sorge um die Offenlegung von Geschäftsgeheimnissen erschweren besonders kleinen und mittelständischen Unternehmen den Marktzugang. Die Unternehmen sind folglich gefordert, mit einem asymmetrischen Regulierungsumfeld umzugehen. Die Politik im Bund und in der EU muss Barrieren für einen freien Datenfluss abbauen und künftig vermeiden – vor der eigenen Haustüre und im globalen Maßstab.
Auch mit Industrie 4.0 einhergehende digitale Geschäftsmodelle stehen unter „Beobachtung“ des europäischen Datenschutzrechts. Der weite Anwendungsbereich der Datenschutz-Grundverordnung führt bei der Verarbeitung von Maschinendaten zu erheblichen, teils überzogenen Anforderungen an Dokumentations- und Informationspflichten; zugleich fehlt es ausreichenden Erleichterungen zur Verarbeitung pseudonymer Daten. Dies gilt insbesondere für Daten aus der Interaktion von Mensch und Maschine (HMI-Daten).
China entwickelt mit der Cyber-Gesetzgebung (Cyber Security Law) ein dichtes Regelwerk mit erheblichen Auswirkungen auf den freien Austausch von Maschinendaten. Es betrifft alle Unternehmen, die digital vernetzte Produkte auf dem chinesischen Markt in Verkehr bringen. Angesichts der hohen Bedeutung des chinesischen Marktes für die Industrie besteht großer Bedarf für einen politischen Dialog. Ziel muss hier sein, neue digitale Geschäftsmodelle im Maschinen- und Anlagenbau durch einen freien und sicheren Datenfluss auch aus China in die EU zu ermöglichen.
In Russland können die Anforderungen an Lokalisierung personenbezogener Daten von russischen Staatsbürgern eine beachtliche Beschränkung darstellen. Dasselbe gilt für Anforderungen an die Nutzung lokaler Internetknoten. Es ist, wie in China auch, mit einem hohen lokalen Umsetzungsaufwand für digitale Dienste (zum Beispiel Cloud-Services) zu rechnen. Unternehmen benötigen eine klare Strategie, wie sie mit diesen (lokalen) Beschränkungen umgehen und ihre Geschäftsmodelle darauf anpassen können.
In den USA bestehen grundsätzlich keine erheblichen regulatorischen Beschränkungen, die sich unmittelbar auf Digitalisierungsvorhaben der Industrie auswirken. Allerdings können sich Regelungen der Ausfuhrkontrolle und Handelssanktionen mittelbar auf den grenzüberschreitenden Datenaustausch auswirken – zum Beispiel dann, wenn Verschlüsselungstechnologien aus den USA stammen und auch in den Zielmärkten Russland und China eingesetzt werden sollen. Zusätzliche Entwicklungskosten für technologische Alternativen können oft nur von großen Unternehmen getragen werden.
Hinzu kommen zunehmende Regulierungen im Bereich der Cyber-Sicherheit, die primär auf den Schutz sogenannter „Kritischer Infrastrukturen“ abzielen. Diese können beiläufig – soweit die Lieferbeziehung mit einem Betreiber einer Kritischen Infrastruktur besteht – oder auch unmittelbar den Maschinen- und Anlagenbau erfassen. In China können Maschinen- und Anlagenbauer bereits nach der bestehenden Rechtslage als Netzwerkbetreiber gelten und von damit verbundenen hohen regulatorischen Auflagen betroffen sein. Ein freier Fluss von Maschinendaten nach Europa erscheint hier kaum umsetzbar.
Unternehmen müssen sich bereits in der Entwicklung digital vernetzter Produkte mit den Anforderungen und Vorgaben für den cyber-sicheren Betrieb beschäftigen. Mit einem sorgfältigen Security by Design werden technische Anforderungen und Marktansprüche frühzeitig in Produkte, Systeme und Dienste integriert. Die damit verbundene Cyber-Resilienz hilft, dass Maschinen und Anlagen im Dauerbetrieb robust genug sind, Angriffen zu widerstehen. Das Maschinenbau-Institut (MBI) des VDMA hat ein hierfür passendes Konzept zur Weiterbildung entworfen.
Die vollständige Studie mit detaillierten Ergebnissen ist abrufbar unter www.impuls-stiftung.de.
Bei Rückfragen zu der Studie sowie einschlägigen Rechtsfragen wenden Sie sich bitte an die folgenden Bird & Bird Anwälte und Autoren der Studie: Partner Dr. Alexander Duisberg und Associate Lara Ueberfeldt.
Weiterführende Links: www.industrialsecurity.vdma.org