Je mehr Daten desto besser. Auf diesen Punkt laufen Big-Data-Analysen häufig hinaus. Allerdings sind heute keine Einzelkämpfer mehr gefragt. Je komplexer die Probleme sind, desto sinnvoller ist es, sich mit Partnern zusammenzutun. Die Folge ist, dass hierbei mitunter auch produktionsrelevante Daten in eine gemeinsame Datensammlung einfließen. Wie lässt sich dabei vertrauensvoll in einem Projekt zusammenar­beiten? 

Beim SIDAP-Projekt (Skalierbares Integrationskonzept zur Datenaggregation, -analyse, -aufbereitung von großen Datenmengen in der Prozessindustrie) arbeiten Betreiber (Bayer, Covestro, Evonik), Armaturenhersteller (Samson), Feldgeräte-Hersteller (Krohne, Sick), IT-Unternehmen (Gefasoft, IBM) und die Technische Universität München eng zusammen. Dabei sollen aus großen Datenmengen, die beispielsweise von Messgeräten stammen, neue Zusammenhänge ermittelt werden. Diese sollen wiederum Aufschluss über den Zustand etwa eines Ventils geben und letztendlich für eine höhere Anlagenverfügbarkeit sorgen. Eine der zentralen Fragen dabei: Wie führt man verschiedene Datenquellen aus Entwicklung, Betrieb und Wartung, aber auch von verschiedenen Herstellern, so zusammen, dass daraus Rückschlüsse für beispielsweise neue Wartungskonzepte gezogen werden können? 

Dabei ist klar, dass eine Datensammlung umso aussagekräftiger ist, je mehr zur Fehlerdiagnose relevante Daten der genutzten Geräte von verschiedenen Herstellern und unterschiedlichen Anwendern zur Verfügung stehen. Jedoch kann sich das notwendige Vertrauen zwischen den Partnern nur einstellen, wenn eine Rechtssicherheit darüber besteht, wem in der Partnerschaft welche Pflichten und welche Rechte zustehen. Aus diesem Grund wurden im Projektverlauf verschiedene Vertragsarten auf ihre Praxistauglichkeit und Umsetzbarkeit untersucht. 

Während des Projektes ergaben sich zum einen grundsätzliche Fragen, etwa wer welche Rechte an welchen Daten hat, wie es mit dem Haftungsrisiko aussieht und wer die Weitergabe der Daten verhindert? Zum anderen kam es aber auch zu konkreten Fragestellungen: Etwa, wie dafür Sorge getragen werden kann, dass das dahinterliegende Rechenmodell zwar die notwendigen Informationen über ein bestimmtes Ventil erhält, aber kein Prozess-Know-how herausgibt. 

Die Projekt-Partner haben letztendlich einen Nutzungsvertrag im Rahmen einer strategischen Partnerschaft initiiert. Hierin wird festgelegt: Wie müssen die Daten aufbereitet sein beziehungsweise wer darf diese benutzen. So werden beispielsweise vor der weiteren Verwendung die Rohdaten gemäß den Vorgaben des Datenbesitzers – etwa des Anlagenbetreibers – automatisch anonymisiert, für die Analyse nicht benötigte Meta-Information entfernt und Datenreihen normalisiert. Des Weiteren hat man neben einer manipulationssicheren und verschlüsselten Übertragung der Daten eine sichere Speicherung der Daten am Ort der Verwendung gewährleistet. 

Interessant war jedoch auch, dass während dieser Diskussionen und der Entwicklung einer gemeinsamen Lösung auffiel, dass immer wieder die gleichen Denkfehler auftauchten, insbesondere wenn sich die Anwender zu dem jeweiligen Aspekt noch keine Gedanken gemacht hatten. Dabei wurden die folgenden fünf häufigsten Irrtümer aufgedeckt und erklärt: 

1. Daten sind ein Asset und es gibt einen Besitzer
2. Neue Gesetze für den Datenschutz  sind nötig
3. Alle Eventualitäten müssen zu Beginn berücksichtigt sein
4. Juristischen Aspekte sind zu komplex
5. Sicherheit ist nur durch Abschottung möglich

Irrtum 1: "Daten sind ein Asset und es gibt einen Besitzer"

Daten sind kein Gut, dass es zu schützen gilt, da sie beliebig kopierbar sind. Demzufolge gibt es auch keinen Besitzer. Was es aber sehr wohl gibt, ist ein Schutz im Sinne des Urheberrechts, also vergleichbar mit Musik oder Büchern. Sprich, man kann eine Vereinbarung über die Nutzung von Datensätzen treffen. Allerdings werden Prozessdaten von Anlagenbetreibern nicht persönlich und damit nicht durch menschliches Schaffen, sondern ausschließlich in technischer Weise automatisch erzeugt. Sie sind daher urheberrechtlich nicht schutzfähig. Die Methode der Datenanalyse könnte allerdings sehr wohl schützenswert sein. Es gibt zudem ein Leistungsschutzrecht für Datenbanken. Für die Nutzung der Datenbank – also von Herstellern, die nicht in einem solchen Projekt involviert sind – würden entsprechende Nutzungs- und Lizenzvereinbarungen anfallen. Auch der Schutz von Daten und Betriebsgeheimnissen muss unabhängig von den oben genannten Aspekten berücksichtigt werden. 

Irrtum 2: "Neue Gesetze für den Datenschutz  sind nötig"

Nein, die Gesetze sind derzeit aus­reichend. Was aber für den gegenseitigen Austausch von Daten nötig ist, sind ‚Spielregeln‘ für die Nutzungsrechte. Beim SIDAP-Projekt wurde beispielsweise vereinbart, dass jeder, der an dem Projekt beteiligt war, die entstehenden Daten nutzen durfte. Es lag also in der Verantwortung des jeweiligen Unternehmens, solche Daten so bereitzustellen oder aufzubereiten, dass diese problemlos von anderen eingesehen werden konnten. Solche Spielregeln können auch Zwecke, die den im Vertrag festgelegten Zweck widersprechen, explizit ausschließen. 

Irrtum 3: "Alle Eventualitäten müssen zu Beginn berücksichtigt sein"

Nicht unbedingt. Es empfiehlt sich, in einem Vertrag zunächst die ‚Spielregeln‘ festzuhalten, etwa die Daten nicht außerhalb dieser Partnerschaft weiterzugeben. Die genaue Festlegung, welche Datensätze wie zu verwenden sind, ist für die praktische Umsetzung eher hinderlich. Häufig ist am Anfang eines Projektes nicht klar, welche Daten entstehen und wie diese ver­arbeitet werden. Über Amendments, also Zusätze zum eigentlichen Vertrag, können sich die Partner später immer wieder auf unkomplizierte Weise ab­sichern. 

Irrtum 4: "Juristischen Aspekte sind zu komplex"

Die Vertragsaufsetzung kann man getrost Juristen überlassen, über eine gewisse Kompetenz in puncto Datensicherheit sollte jedoch jeder verfügen. So wie Virenscanner auf dem privaten PC selbstverständlich geworden sind, sollte auch eine gewisse digitale Aufklärung vorhanden sein, wie man mit Daten umgeht. 

Irrtum 5: "Sicherheit ist nur durch Abschottung möglich"

Das mag auf den ersten Blick logisch erscheinen, dadurch verbaut man sich jedoch interessante Möglichkeiten. Eine Vernetzung ermöglicht neue Geschäftsbeziehungen und -modelle. Ohne den Austausch von Daten, Wissen und Know-how ist letztendlich kein Fortschritt möglich. Dabei gilt es immer zwischen Individualrecht und Gemeinschaftsinteresse abzuwägen. Um nur ein Beispiel zu nennen: So ist klar, dass die Zugangskontrolle und damit das Sammeln von Informationen, wann welche Person im Gebäude A ist, aus Gründen der Sicherheit an Chemie-Standorten unter Umständen lebensrettend ist. Es ist hilfreich, wenn die Feuerwehr weiß, wie viele Personen im Gebäude sind. Doch lässt sich aus diesen Daten auch ein Bewegungsprofil ermitteln, aus dem ersichtlich sein kann, ob jemand seine Pause überzogen hat. Das Beispiel zeigt deutlich, dass es nicht um die Daten an sich geht, sondern um die Nutzungsrechte. Und hierfür gilt es, Nutzungsregeln zu definieren, wie es erfolgreich beim SIDAP-Projekt gelang.

Autorin:
Prof. Birgit Vogel-Heuser leitet den Lehrstuhl für Automatisierung und Informationssysteme an der TU München.