Vom Data Act bis zum Cyber Resilience Act (CRA): Welche Regulierungen die IoT-Branche besonders betreffen und welche neuen Pflichten sich für diese ergeben, erklärt Giovanni Coppa, Leiter der eco Kompetenzgruppe Internet of Things (IoT), im Interview. Er wird auch das passende Webinar „EU-Datenrecht im Überblick für IoT-Unternehmen“ am 2. April moderieren – die Teilnahme steht jedem offen.
Herr Coppa, die EU hat in den letzten Jahren eine Vielzahl neuer Rechtsakte geschaffen, die direkte Auswirkungen auf Unternehmen haben, die IoT-Daten erheben, verarbeiten und vertreiben. Sind IoT-Unternehmen stärker von diesen Regulierungen betroffen als klassische Cloud- oder Anbieter von Künstlicher Intelligenz (KI)?
Giovanni Coppa: Der Einsatz von IoT ist heute die Norm. So sind fast alle Unternehmen, besonders im Industriesektor, stark von den Regulierungen betroffen, da sie nicht nur große Mengen an Daten verarbeiten, sondern meist auch physische Geräte und kritische Infrastrukturen betreiben. Dies bringt zusätzliche Herausforderungen in Bezug auf Datenschutz (DSGVO), Cybersicherheit (NIS2, CRA) und Datenzugang (Data Act, DGA) mit sich. Zudem erzeugen IoT-Geräte oft personenbezogene Daten und interagieren direkt mit Verbrauchern – das hat striktere Compliance-Anforderungen zur Folge.
In Europa haben wir bereits ein starkes Bewusstsein dafür entwickelt, wie sich die Verwendung von Daten auf unsere Wirtschaft und Leben auswirken kann. Wichtig bleibt weiterhin, möglichen Missbrauch einzudämmen.
Woran liegt das? Was müssen Unternehmen beim Einsatz von IoT-Daten stets im Hinterkopf haben?
IoT-Anwendungen sind aus mehreren Gründen besonders schützenswert. Zum einen erfassen IoT-Geräte oft sehr persönliche und sensible Daten, wie Gesundheitsdaten, Standortdaten oder Daten über das Verhalten in privaten Räumen. Dies erhöht die Anforderungen an Datenschutz und Datensicherheit erheblich. Außerdem sind IoT-Geräte oft anfällig für Cyberangriffe, was zu potenziell schwerwiegenden Folgen führen kann, etwa dem Ausfall kritischer Infrastrukturen. Daher sind Unternehmen und Organisationen mit strengeren Anforderungen an die Cybersicherheit konfrontiert. Bei Fehlfunktionen von IoT-Geräten und Sensoren können erhebliche Schäden entstehen. Die Frage, wer für diese Schäden haftet, ist oft komplex und mit weiteren regulatorischen Anforderungen verbunden.
Nicht zuletzt sind IoT-Ökosysteme oft sehr heterogen, was die Interoperabilität erschwert. Die europäischen Regulierungen zielen daher auch darauf ab, offene und sichere Standards für die Interoperabilität zu schaffen und so das gesamte europäische Territorium zu vereinen. Auch der eco – Verband der Internetwirtschaft e.V. arbeitet an Projekten dieser Art, beispielsweise FACIS.
Vom Data Act über den Data Governance Act (DGA) bis zum Cyber Resilience Act (CRA): Lässt sich sagen, welche der neueren Regulierungen IoT-Unternehmen am stärksten betrifft?
Es ist kaum möglich, eine einzelne Verordnung als die Wichtigste zu identifizieren. Schließlich decken alle genannten Gesetze Aspekte ab, die für Unternehmen, die IoT implementieren oder nutzen, relevant sind. Die wichtigsten für die Branche sind sicherlich:
- Der Data Act, welcher die Datenweitergabe zwischen Unternehmen und Nutzern regelt.
- Der CRA (Cyber Resilience Act), da er Mindestanforderungen an die Cybersicherheit vernetzter Geräte festlegt.
- Aber auch der DGA (Data Governance Act) für Unternehmen, die Daten zwischen verschiedenen Akteuren teilen oder als Datenvermittler agieren.
Zusammenfassend lässt sich aber sagen, dass der Data Act und der Cyber Resilience Act sicherlich derzeit den größten unmittelbaren Einfluss auf die IoT-Branche haben: Während sich der CRA am stärksten auf die Anbieter von IoT-Hardware auswirken dürfte, und der Data Act besonders wichtig für datengetriebene IoT-Geschäftsmodelle ist.
Doch muss man auch sagen: Heutzutage ist es für Unternehmen fast schon normal, über Software zu verfügen, die nach diesen Richtlinien entwickelt wurde. Dennoch sind Branchentreffs, wie das Webinar des eco Verbands zum EU-Datenrecht und die Hannover Messe immer eine super Gelegenheit, sich mit anderen (Industrial) Internet of Things-Unternehmen zu den aktuellen Anforderungen und Änderungen auszutauschen.
Sie sind hauptberuflich Digital Innovation Lead bei Research Industrial Systems Engineering (RISE), einer Beratung für Forschungs-, Entwicklungs- und Großprojekte. Mit Blick auf das kontinuierliche Weiterentwickeln von datengetriebenen Geschäftsmodellen: Empfehlen Sie, dass sich grundsätzlich alle IoT-Anbieter, Hersteller und Betreiber auch mit dem EU AI Act auseinandersetzen sollten?
Ja, das ist unerlässlich, da viele IoT-Anwendungen auf KI basieren, um die gesammelten Informationen auch vollumfänglich zu verarbeiten. Beispielsweise notwendig für die vorausschauende Wartung, intelligente Assistenten oder automatisierte Steuerungssysteme.
Zudem sind viele IoT-Unternehmen ohnehin vom EU AI Act betroffen, da er insbesondere KI-Systeme mit hohem Risiko reguliert – solche, die in kritischen Infrastrukturen, im Gesundheitswesen oder bei der biometrischen Identifizierung eingesetzt werden und IoT-Daten verarbeiten.
Anbieter von IoT-Hardware und -Software müssen ihre KI-basierten Lösungen anpassen, um die erforderlichen Compliance-Anforderungen zu erfüllen. Die besten Softwarelösungen sind sicherlich diejenigen, die ein integriertes Ökosystem bieten und in der Lage sind, dem Kunden auf homogene Weise die richtigen Informationen zu liefern, auf deren Grundlage er wichtige Entscheidungen treffen kann – das geht am besten mithilfe von KI.
Einen detaillierten Überblick über die wichtigsten Rechtsakte zum EU-Datenrecht für IoT-Unternehmen gibt das Webinar der Kompetenzgruppe IoT am 2. April 2025. Melden Sie sich hier noch an!
Auch die folgenden Webinare der eco Kompetenzgruppe IoT werden sich weiterhin mit relevanten Fragen zum EU-Datenrecht auseinandersetzen. Hier bleiben Sie informiert!
