Datenschutz – Risiken in der „smart factory“20 | 12 | 17
Über Daten bzw. „Big Data“, also große Datenmengen, die im Zuge der zunehmenden Vernetzung nahezu aller wirtschaftlichen Sektoren anfallen, wird viel gesprochen und viel geschrieben. Es besteht kein Zweifel: Die Verwendung moderner digitaler Technologien in allen Unternehmensbereichen und das Sammeln großer Datenmengen hat erhebliches Potenzial für große als auch kleine Unternehmen. Dabei darf bei der allgemeinen Euphorie über die neuen Möglichkeiten in der Industrie 4.0 das Bewusstsein für die Gefahren und Grenzen dieser Entwicklung nicht zu kurz kommen. Ein Stichwort ist der Datenschutz.
EU-Datenschutz-Grundvorordnung ist auch für produzierende Unternehmen von Bedeutung
Datenschutz darf bei der allgemeinen Euphorie über die neuen Möglichkeiten in der Industrie 4.0 nicht zu kurz kommen.
Für produzierende Unternehmen, die sich auf dem Weg in die Industrie 4.0 befinden, lohnt sich ein Blick in die EU-DSGVO. Zwar ändert sich an den bisherigen datenschutzrechtlichen Grundprinzipien im Zuge der Anwendung der EU-DSGVO nicht viel, doch gibt es Neuerungen, die im Rahmen der Datenverarbeitung in der Industrie 4.0 relevant sind.
Was bleibt? Die Prinzipien des „Verbots mit Erlaubnisvorbehalt“, der „Datenvermeidung und Datensparsamkeit“, der „Zweckbindung“ und der „Transparenz“ sind auch Grundlage der EU-Datenschutz-Grundverordnung. Auch zur Datenübermittlung ins Ausland finden sich aufgrund der besonderen Bedeutung für die Rechte des Einzelnen an seinen personenbezogenen Daten detaillierte Regelungen. Vorgaben für die „Sicherheit der Verarbeitung“ finden sich hauptsächlich in Art. 5 Abs. 1 f) DSGVO sowie in Art. 32 DSGVO. Zudem sind weitere Bestimmungen wie z. B. Art. 24, 25, 36 DSGVO für Datensicherheit relevant.
Die Neuerungen für die Industrie 4.0 beziehen sich vor allem auf den technischen Datenschutz. Hierzu finden wir z. B. in Art. 32 DSGVO die relevanten Schutzziele. Es werden Kriterien beschrieben, die für die Wahl von technischen und organisatorischen Maßnahmen relevant sind, damit die Schutzziele erreicht werden. Neben den (auch aus dem IT-Umfeld) bekannten Zielen wie Vertraulichkeit, Integrität und Verfügbarkeit muss zukünftig auch die Belastbarkeit der Systeme und Dienste, die in Zusammenhang mit der Verarbeitung von personenbezogenen Daten stehen, gewährleistet werden. Die für ein angemessenes Schutzniveau eingesetzten technischen und organisatorischen Maßnahmen müssen unter Berücksichtigung des Stands der Technik und der Implementierungskosten ausgewählt werden.
Relevanz von technischem und organisatorischem Datenschutz
Zusätzlich verdeutlichen die Begriffe “data protection by design” und “data protection by default” (Art. 25 DSGVO) die Relevanz des technischen und organisatorischen Datenschutzes.
Bei „data protection by design“ (Datenschutz durch Technik) werden Datenschutz und Datensicherheit bereits in der Entwicklung von IT-Systemen berücksichtigt. Dies soll teure und zeitaufwendige Zusatzprogrammierungen vermeiden, die nötig wären, um Datenschutzvorgaben nachzukommen. Berücksichtigt werden müssen Möglichkeiten zur Deaktivierung von Funktionalitäten, Anonymisierung oder Pseudonymisierung aber auch Authentisierung und Authentifizierung oder Verschlüsselungen direkt bei der Herstellung.
Die datenschutzfreundliche Voreinstellung von IT-Systemen steht bei „data protection by default“ (datenschutzfreundliche Einstellungen) im Zentrum. Es sollen hierbei nur die personenbezogenen Daten verarbeitet werden, die für den verfolgten Zweck erforderlich sind. Darüber hinaus müssen den Nutzern Funktionalitäten zur Verfügung gestellt werden, mit denen sie ihre Privatsphäre schützen können (z. B. durch Verschlüsselung).
Wichtig für Unternehmen: Diese Vorschriften sollten nicht nur von der verantwortlichen Stelle, sondern auch von Entwicklern von IT-Systemen und Produkten beachtet werden.
Risiko Mitarbeiter- und Kundendaten
Welche Datenschutzrisiken ergeben sich nun für intelligente Produktionen, sogenannte „smart factories“?
In erster Linie entstehen Risiken bei der Verarbeitung personenbezogener Mitarbeiter- und Kundendaten. Jede Vernetzung von Mensch und Produktions- sowie Logistiksystem kann dazu führen, dass personenbezogene Daten erhoben, verarbeitet und unter Umständen auch mit anderen Daten übermittelt werden können. So zum Beispiel auch bei individualisierten Produkten, wenn Daten der Produktions- oder Logistiksteuerung mit einem bestimmten Kunden verknüpft werden können.
Beim Einsatz neuer Technologien in der Produktion muss auf den Datenschutz geachtet werden
Neu entstehende Gefahren für den Datenschutz in der intelligenten Fabrik sind unter anderem auch Mitarbeiterassistenzsysteme, wie zum Beispiel Tablets, Datenbrillen oder Handdatenterminals. Instrumente der Informations- und Kommunikationstechnologie können Mitarbeiter durch die Bereitstellung von Informationen bei der Fehlervermeidung unterstützen. Personenbezogene Daten dürfen allerdings lediglich zur optimierten Planung aber nicht für arbeitsrechtliche Maßnahmen genutzt werden. Hierauf muss beim Einsatz neuer Technologien in der Produktion ebenfalls geachtet werden.
Die zunehmende Erhebung und Verarbeitung von großen Datenmengen, der hohe Grad der Autonomie und Dezentralität von selbstorganisierten Systemen in der Industrie 4.0 sind Faktoren, die aus Datenschutzsicht problematisch werden können. Wenn Mitarbeiter- oder Kundendaten zurückverfolgt werden können, müssen Schutzmaßnahmen ergriffen werden. Wirksamer Datenschutz muss, so die einstimmige Expertenmeinung, bereits auf Ebene der Technik implementiert werden. Die EU-DSGVO bietet hier erste Ansatzpunkte.
Wirksamer Datenschutz muss bereits auf Ebene der Technik implementiert werden
Erste Schritte zum datenschutzkonformen Aufbruch in die Industrie 4.0 sind auf jeden Fall Transparenz für Mitarbeiter und Kunden, die eingesetzte Technologie betreffend sowie qualifizierte Datenschutzbeauftragte, die auch das Feld der Datenerhebung und -verarbeitung in der Industrie 4.0 im Blick behalten.
DGQ informiert auf der METAV 2018 über Datenschutz in der Industrie 4.0
Mehr Informationen zum Thema Informationssicherheit im Zeitalter von Industrie 4.0 und der EU-Datenschutz-Grundverordnung erhalten Sie vom 20.-23. Februar in den Workshops auf der METAV 2018, die gemeinsam von der Deutschen Gesellschaft für Qualität (DGQ) und der Deutschen Gesellschaft zur Zertifizierung von Managementsystemen (DQS) veranstaltet werden.
Mehr Informationen und Anmeldung >>