Industrie 4.0 geht vielfach mit der Verarbeitung personenbezogener Daten einher. Damit verbunden sind großen Risiken für IT-Verantwortliche. Der VDMA-Leitfaden „Datenschutz & Industrie 4.0“ gibt ihnen Tipps, wie sie sich dagegen wappnen – und die Chancen des Internet-of-Things (IoT) nutzen.

UNTER DEM Begriff Industrie 4.0 zusammengefasste aktuelle Entwicklungen, Chancen und Herausforderungen gehen vielfach mit der Verarbeitung personenbezogener Daten einher: So lässt sich die Qualität und Effizienz der Smart Factory mittels einer feingranulierten Auswertung der Mitarbeiterproduktivität optimieren, RFID-Chips und in Maschinen eingebaute Sensoren bieten bislang ungeahnte Möglichkeiten der Steuerung und Qualitätssicherung über den gesamten Lebenszyklus eines Produkts. Die dabei verwendeten Daten können jedoch auch tiefgreifende Einblicke in das Verhalten der Mitarbeiter und Endnutzer der Produkte ermöglichen:

Datenschutzrecht-Verstöße bergen hohe Risiken

Das Datenschutzrecht greift Risiken wie die potenzielle Überwachung von Mitarbeitern im Rahmen des Produktionsprozesses oder die mögliche Ausspähung von Endnutzern eines Produkts auf. Ein sorgloser Umgang mit dem Datenschutzrecht kann dabei zu einem erheblichen finanziellen Risiko führen: Nicht nur bestehen bereits nach geltender Rechtslage erhebliche Sanktionsdrohungen im Bundesdatenschutzgesetz (BDSG) von bis zu 300.000 EUR für jeden Verstoß. Die im Frühjahr 2018 in Kraft tretende Europäische Datenschutzgrundverordnung ermöglicht mit Blick auf große Unternehmen sogar Geldbußen in Höhe von bis zu 20 Millionen Euro oder 4 Prozent des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs. Hinzu kommen Schadensersatzforderungen Betroffener, Unterlassungsklagen, Strafanzeigen und – für viele Unternehmen das größte Risiko: Reputationsschäden.

„Personenbezogene Daten unterliegen einem komplexen Regelungsgefüge“

Daniel Van Geerenstein, Rechtsanwalt (Syndikus) beim Verband Deutscher Maschinen- und Anlagenbau e.V. (VDMA)

Ansätze zur Risikominimierung

Unternehmensverantwortliche können und sollten diese Risiken soweit wie möglich minimieren. Der erste Schritt hierzu besteht in der Schaffung eines Datenschutzbewusstseins. „Unternehmen muss klar sein, dass personenbezogene Daten nicht ein beliebiges Wirtschaftsgut in deren Alleinverfügung darstellen, sondern dass personenbezogene Daten vielfältig geschützt werden und einem komplexen Regelungsgefüge unterliegen“, stellt Daniel Van Geerenstein, Rechtsanwalt (Syndikus) beim Verband Deutscher Maschinen- und Anlagenbau e.V. (VDMA), heraus.

Wenn eine Vermeidung der Verarbeitung personenbezogener Daten, beispielsweise durch Anonymisierung, nicht zielführend sei, müssen laut Van Geerenstein dem Unternehmen Mittel und Wege zur Verfügung stehen, die Rechtmäßigkeit der Datenverarbeitung sicherzustellen. Hierzu könne– je nach Umfang und Komplexität der Datenverarbeitung – ein Datenschutzmanagement angebracht sein. „Das Unternehmen kann in Richtlinien und durch Vorhalten einer Datenschutzorganisation, kompetenter Mitarbeiter, eines Datenschutzbeauftragten und gegebenenfalls externer Berater sowie der Durchführung eigener Audits die Compliance mit diesem für die Industrie 4.0 wichtigen Rechtsgebiet sicherstellen“, resümiert Van Geerenstein.

Fragen der Datenschutz-Compliance

In einem weiteren Schritt kann sich das Unternehmen dabei die folgenden Leitfragen stellen:

  • Werden in einem konkreten Industrie-4.0- Projekt personenbezogene Daten erhoben?
  • Ist die Erhebung notwendig beziehungsweise lässt sich, beispielsweise durch Anonymisierung, der Bezug zu Personen aufheben?

Dieser Schritt lässt sich in Abhängigkeit von der Unternehmensgröße, der Branche und des konkreten Industrie-4.0-Projekts in unterschiedlicher Weise strukturiert angehen und realisieren: Sofern die notwendigen Kapazitäten in einer Rechtsabteilung vorhanden sind, sollte diese mit einbezogen werden. Besteht bereits ein externer Datenschutzbeauftragter, sollte dieser so früh wie möglich mit den Fragestellungen befasst und systematisch bei Industrie4.0-Sachverhalten, zum Beispiel als Teil der Qualitätssicherung, informiert werden. Die Einbindung von Datenschutzsachverstand kann laut dem VDMA-Rechtsexperten Van Geerenstein in dieser Frühphase helfen, einen zunächst eventuell nur schwer erkennbaren Personenbezug aufzudecken und die dadurch erforderlichen Folgeüberlegungen im Rahmen jeder Projektphase zu berücksichtigen.

Leitfaden zum Datenschutz in der Industrie 4.0

Datenschutz-Compliance zu schaffen stellt für IT-Verantwortliche somit keine einfache Angelegenheit dar, insbesondere wenn personenbezogene Daten – wie im Rahmen von Industrie-4.0-Techniken üblich – massenhaft und auch global vernetzt verarbeitet werden. „Die jüngsten Bemühungen auf europäischer Ebene um ein Datenschutzabkommen mit den USA und die kritische und restriktive Haltung des europäischen Gerichtshofs bezüglich Datentransfers in die USA verdeutlichen dies“, berichtet Van Geerenstein. Der Leitfaden „Datenschutz & Industrie 4.0“ des VDMA ermöglicht Unternehmensverantwortlichen einen Einstieg in das Thema und zeigt zugleich Ansätze und weitere Informationsmöglichkeiten zur Risikominimierung. Der Leitfaden „Datenschutz & Industrie 4.0“ ist auf Deutsch und Englisch erhältlich. hei


Anzeige

IT-Matchmaker.guide Industrie 4.0

Standardreferenz und Einkaufsführer für IT-Entscheider

  • Tabellarische Lösungsübersicht
  • Anbieterprofile
  • Projektberichte
  • Experten beiträge

 

http://www.trovarit.com/service/software-guides/industrie-4-0/