Mit Datenräumen zu neuen Geschäftsmodellen

Immer mehr Geräte – von Haushaltsgeräten über industrielle Anlagen bis hin zu energieeffizienten Gebäudetechnologien – speichern ihre Daten in der Cloud. Die Gründe dafür sind vielfältig:

• Funktionalität sicherstellen: Viele Funktionen moderner Geräte basieren auf Cloud-Diensten, etwa durch Fernzugriff, Software-Updates oder Steuerung über Apps.
• Nutzungsverhalten verstehen: Hersteller analysieren, wie Funktionen tatsächlich genutzt werden, um Produkte zu verbessern oder neue Services zu entwickeln.
• Predictive Maintenance ermöglichen: Durch kontinuierliche Analyse von Betriebsdaten lassen sich Wartungsbedarfe frühzeitig erkennen und Ausfallzeiten minimieren.

Diese primäre Datennutzung – also der direkte Nutzen der Daten für Produktfunktion, Service und Effizienz – ist heute Standard. Doch sie schöpft das Potenzial vernetzter Daten bei Weitem nicht aus.

Sekundäre Datennutzung

Die eigentliche Innovationskraft entsteht dort, wo Daten aus verschiedenen Quellen intelligent kombiniert werden. Die Hochschule Luzern (HSLU) hat deshalb zusammen mit dem CSEM und Industriepartnern im Projekt Sina – Smart Interoperable Infrastructure, untersucht, wie interoperable Lösungen einfach umgesetzt werden können. Gefördert wurde das Projekt durch das BFE und Energie Schweiz.

Ein Beispiel für interoperable Anwendungsfälle ist das Energiemanagement: Die Optimierung des Stromverbrauchs einer Wärmepumpe wird wesentlich effektiver, wenn nicht nur ihre Betriebsdaten, sondern auch Wetterprognosen, das Verhalten der Nutzenden, Daten anderer Geräte und StrompreisInformationen berücksichtigt werden. Solche Kombinationen ermöglichen innovative Geschäftsmodelle [1].

Ein weiteres Beispiel ist das Training von KI-Modellen mit realen Daten aus der Nutzungspraxis – etwa zur Energieprognose, zur Optimierung von Wartungsintervallen oder zur Personalisierung von Services. Diese Form der sekundären Datennutzung ist jedoch mit spezifischen Herausforderungen verbunden: Sie erfordert die kontrollierte, vertrauenswürdige und sichere Weitergabe von Daten über die eigentliche Produktnutzung hinaus.

Heutige Lösungen reichen oft nicht aus

In der Praxis werden die Daten oft über Rest-APIs ausgetauscht, die technisch etabliert sind und Interoperabilität erlauben. Doch mit Blick auf die oben genannten Szenarien stossen sie an Grenzen, denn Datenanbieter haben oft keine Transparenz oder Kontrolle darüber, wer ihre Daten wie und wofür nutzt. Ohne nachvollziehbare Regeln und Sicherheiten steigt die Hemmschwelle zur Datenfreigabe. Zudem müssen zwischen jedem Datenanbieter und jedem Datenkonsumenten individuelle rechtliche und technische Vereinbarungen getroffen werden. Für eine nachhaltige und skalierbare Datenökonomie braucht es daher eine neue Infrastruktur, die Vertrauen, Datensouveränität und Sicherheit technisch und organisatorisch verankert.

Vertrauenswürdiger Datenaustausch

Die HSLU hat im Projekt Sina das Konzept der Datenräume untersucht. Solche Datenräume, wie sie etwa im Rahmen der europäischen Gaia-X- und IDS-Initiativen entwickelt werden, bieten die nötige Infrastruktur, welche die oben genannten Herausforderungen adressiert. Sie basieren auf den drei Grundprinzipien:

• Vertrauen: Nur Teilnehmende, die sich verlässlich an gemeinsame Regeln und Standards halten, können Daten austauschen.
• Datensouveränität: Die Dateneigentümerschaft behält jederzeit die Kontrolle darüber, wer wann und unter welchen Bedingungen ihre Daten nutzt.
• Sichere Übertragung: Der Datenaustausch erfolgt verschlüsselt und nachvollziehbar.

Das Data Space Support Center hat Bausteine erstellt, die bei der Umsetzung von Datenräumen unterstützen (Bild 1). Die Bausteine lassen sich in zwei Kategorien einordnen: geschäftsrelevante und organisatorische Bausteine, sowie technische Bausteine.

Governance

Ein zentrales Element ist die Governance als einer der Bausteine der organisatorischen Ebene: Teilnehmen dürfen nur Organisationen, die bestimmte organisatorische und rechtliche Anforderungen erfüllen. Regelwerke, Zertifizierungsverfahren und eine neutrale Betriebsorganisation stellen sicher, dass Vertrauen nicht allein auf technischen Massnahmen basiert, sondern durch eine überprüfbare Organisationsstruktur ergänzt wird.

Technische Umsetzung

Zu den technischen Bausteinen gehören alle Bereiche, welche die Anforderungen an Datenräume technisch umsetzen. Beispielsweise sichern Datenräume auf technischer Ebene das Vertrauen, indem nur zertifizierte Komponenten zum Einsatz kommen dürfen. Zentrale Komponenten in Datenräumen sind die sogenannten Konnektoren, standardisierte Softwarekomponenten, die den Datenaustausch ermöglichen. Konnektoren verfügen typischerweise über eine Control- und eine Data-Plane. Die Hauptaufgaben von Konnektoren sind Verbindungsaufbau, vertragliche Aushandlung und Datenaustausch. Der Konnektor eines Datenanbieters kommuniziert dabei direkt mit dem Konnektor eines Datenkonsumenten. Beide Konnektoren schliessen vor dem Datenaustausch einen digitalen Vertrag ab, der die Datennutzungsbedingungen regelt (z. B. Zweckbindung, Dauer, Vergütung). Erst dann tauschen die Konnektoren die Daten dem Vertrag entsprechend aus. Bild 2 zeigt schematisch den Datenaustausch und weitere in Datenräumen verwendete Komponenten.

Ein zentrales Element ist der Identity Hub. Er gewährleistet, dass jede beteiligte Komponente tatsächlich die ist, für die sie sich ausgibt – eine Grundvoraussetzung für jede vertrauenswürdige Kommunikation.

Interessierte Akteure können Datenkataloge über verfügbare Daten und Nutzungsbedingungen durchsuchen. Mit der Logging-Komponente werden alle Transaktionen mit Metadaten, nicht aber den eigentlichen Daten, protokolliert. Dies gewährleistet Rückverfolgbarkeit und ermöglicht Abrechnungsmodelle.

Technische Abläufe im Datenraum

Der erste Schritt ist der Verbindungsaufbau zwischen zwei Konnektoren. Er erfolgt innerhalb der Control Plane, der Steuerungsebene, in der alle Prozesse zur Authentifizierung, Autorisierung und Vertragsverhandlung koordiniert werden. Zunächst muss jeder Konnektor seine Identität über X.509-Zertifikate, die durch eine vertrauenswürdige Instanz (Trust Anchor) signiert wurden, nachweisen. Der Austausch von Identifikationsdaten erfolgt häufig durch ein DID/VC-basiertes System, das eine dezentrale und sichere Identifizierung ermöglicht (Decentralized Identifier/Verifiable Credentials).

Nach der Identitätsprüfung folgt der eigentliche Verbindungsaufbau, der in der Regel über mutual TLS (mTLS) gesichert ist. Dies stellt sicher, dass beide Seiten ihre Identität verifizieren und nur dann eine sichere Verbindung herstellen, wenn dies auf beiden Seiten beiderseits geprüft wurde. Im nächsten Schritt tauschen die Konnektoren Metadaten aus, die als Connector Description Exchange bezeichnet werden. Hierbei werden Informationen zu den unterstützten Funktionen, den verfügbaren Daten und den jeweiligen Schnittstellen ausgetauscht.

Ein weiterer Schritt ist der Abruf des Datenkatalogs. Der Konsument kann hier die von einem Anbieter verfügbaren Daten einsehen, die in einem strukturierten Format vorliegen. Der Katalog enthält Informationen zu den Ressourcen, den Formaten, den Zugriffspolitiken und den Nutzungsbedingungen.

Vertragliche Aushandlung (Control Plane)

Wenn die Konnektoren miteinander verbunden sind, beginnt die digitale vertragliche Aushandlung innerhalb der Control Plane. In dieser Phase werden Vertragsangebote von den Datenanbietern erstellt, die unter anderem die Zugriffsbedingungen und Nutzungsrichtlinien für die angebotenen Daten festlegen. Diese Informationen werden in maschinenlesbaren Formaten wie ODRL (Open Digital Rights Language) ausgetauscht. Ein Vertragsangebot könnte beispielsweise die zulässigen Verwendungszwecke (z. B. Analyse oder Visualisierung) und die Beschränkungen (z. B. zeitliche und geografische Einschränkungen oder Nutzungshorizonte) enthalten.

Der Konsument kann nun das Vertragsangebot prüfen und entweder akzeptieren oder über Alternativen verhandeln. In der Regel wird dies über einen Contract Request/Agreement abgewickelt, in der der Konsument entweder das Angebot akzeptiert oder Änderungen vorschlägt. Wenn sich beide Parteien einig sind, wird der Vertrag digital signiert. Dies stellt sicher, dass sich sowohl der Anbieter als auch der Konsument an die vereinbarten Bedingungen halten müssen.

Eine wichtige Rolle spielt dabei der Policy Enforcement Point (PEP), der sicherstellt, dass alle festgelegten Richtlinien und Nutzungsbedingungen eingehalten werden. Dies kann beispielsweise die Begrenzung der Nutzung auf einen bestimmten Zeitraum oder die Verhinderung der Weitergabe der Daten an Dritte umfassen.

Datenaustausch (Data Plane)

Sobald der Vertrag abgeschlossen ist, wird die Verbindung zur Data Plane geöffnet, die die eigentliche Übertragungsebene für Nutzdaten darstellt. Der Datenaustausch kann über verschiedene Protokolle und Methoden erfolgen, je nach Art der Daten und der Anforderungen des Anwendungsfalls. Im Allgemeinen unterscheidet man zwischen Pull- und Push-Modellen. Im Pull-Modell fordert der Konsument die Daten vom Anbieter an, z. B. über eine gesicherte HTTP-Verbindung oder Rest-API. Im Push-Modell hingegen kann der Anbieter die Daten aktiv an den Konsumenten senden, etwa über Event-Streams oder Webhooks.

Für die Übertragung in Echtzeit werden oft auch Streaming-Protokolle wie WebSockets oder MQTT verwendet, um eine kontinuierliche Datenübertragung zu ermöglichen. Besonders in Szenarien wie der Energieoptimierung oder der Industrie 4.0 sind diese Mechanismen wichtig, um zeitkritische Daten wie Sensordaten in Echtzeit auszutauschen.

In der Regel sind alle Daten, die zwischen den Konnektoren übertragen werden, verschlüsselt. Dies kann entweder während der Übertragung durch TLS oder vorab durch den Datenanbieter erfolgen, beispielsweise durch Verschlüsselung der Datei. Dadurch erhalten nur berechtigte Konsumenten Zugriff auf die Rohdaten. Ausserdem werden der gesamte Datenverkehr und alle Transaktionen in einem Audit-Log protokolliert. Dies stellt sicher, dass jede Aktion nachvollziehbar und auditierbar ist – eine wesentliche Voraussetzung für die Einhaltung der Governance- und Compliance-Vorgaben.

Fazit

Die von der HSLU durchgeführte Studie zeigt, dass die intelligente Nutzung von Gerätedaten – über ihre ursprüngliche Funktion hinaus – enorme Potenziale bietet. Doch diese Potenziale lassen sich nur nutzen, wenn Daten kontrolliert, sicher und vertrauenswürdig geteilt werden können. Datenräume bieten dafür die technologische und organisatorische Basis. Sie ermöglichen:

• die Schaffung interoperabler Datenökosysteme über Unternehmensgrenzen hinweg,
• die Entwicklung neuer datenbasierter Geschäftsmodelle, etwa im Bereich Energie, Mobilität, Gesundheit oder Industrie,
• die Demokratisierung der Datenökonomie, weil auch kleinere Akteure Zugang zu qualitativ hochwertigen Daten erhalten können – unter fairen, transparenten Bedingungen.

In Zukunft wird es entscheidend sein, Daten nicht nur zu sammeln, sondern sie in einem vertrauensvollen Rahmen nutzbar zu machen. Datenräume sind der Schlüssel dazu.