Über große Datenmengen, die bei zunehmender Vernetzung nahezu aller wirtschaftlichen Sektoren anfallen, wird viel gesprochen und viel geschrieben. Es besteht kein Zweifel: Die Verwendung moderner digitaler Technologien in allen Unternehmensbereichen und das Sammeln von Big Data haben erhebliches Potenzial für große und kleine Unternehmen gleichermaßen.
Bei der allgemeinen Euphorie über die neuen Möglichkeiten in der Industrie 4.0 darf jedoch das Bewusstsein für die Gefahren und Grenzen dieser Entwicklung nicht zu kurz kommen. Ein Stichwort ist der Datenschutz. Nicht zuletzt führt die EU-Datenschutz-Grundverordnung (EU-DSGVO), die am 25. Mai 2018 zur Anwendung kommt, dazu, dass sich immer mehr Unternehmen über ihr Datenschutzmanagement Gedanken machen müssen. Ein Datenschutzmanagementsystem (DSMS) gilt zunehmend als Wettbewerbsvorteil.
Auch für produzierende Unternehmen relevant: Die EU-DSGVO
Für produzierende Unternehmen lohnt es sich, einen Blick in die EU-DSGVO zu werfen. Zwar ändert sich an den bisherigen datenschutzrechtlichen Grundprinzipien auch im Zuge der Anwendung der EU-DSGVO nicht viel, aber es gibt Neuerungen, die für die Datenverarbeitung in der Industrie 4.0 zur Anwendung kommen. Sie beziehen sich vor allem auf den technischen Datenschutz.
Hierzu finden sich unter anderem in Art. 32 DSGVO die relevanten Schutzziele. Es werden Kriterien beschrieben, die für die Wahl von technischen und organisatorischen Maßnahmen relevant sind, damit die Schutzziele erreicht werden. Dazu gehört unter anderem die Belastbarkeit der Systeme und Dienste, die in Zusammenhang mit der Verarbeitung von personenbezogenen Daten stehen.
Zusätzlich verdeutlichen die Begriffe „data protection by design“ und „data protection by default“ (Art. 25 DSGVO) die Relevanz des technischen und organisatorischen Datenschutzes.
„Data protection by design“ (Datenschutz durch Technik) berücksichtigt Datenschutz und Datensicherheit bereits in der Entwicklung von IT-Systemen. Die datenschutzfreundliche Voreinstellung von IT-Systemen steht hingegen bei „data protection by default“ (datenschutzfreundliche Einstellungen) im Zentrum.
Datenschutzrisiken in der „smart factory“
In erster Linie ergeben sich in einer so genannten „smart factory“ Risiken bei der Verarbeitung personenbezogener Mitarbeiter- und Kundendaten. Jede Vernetzung von Mensch mit Produktions- und Logistiksystem kann dazu führen, dass personenbezogene Daten erhoben, verarbeitet und unter Umständen auch mit anderen Daten übermittelt werden können. So zum Beispiel auch bei individualisierten Produkten, wenn Daten der Produktions- oder Logistiksteuerung mit einem bestimmten Kunden verknüpft werden können.
Gefahren für den Datenschutz in der intelligenten Fabrik entstehen unter anderem auch durch Mitarbeiterassistenzsysteme, wie zum Beispiel Tablets, Datenbrillen oder Handdatenterminals. Instrumente der Informations- und Kommunikationstechnologie können Mitarbeiter durch die Bereitstellung von Informationen bei der Fehlervermeidung unterstützen. Personenbezogene Daten dürfen allerdings lediglich zur optimierten Planung, nicht aber für arbeitsrechtliche Maßnahmen genutzt werden. Darauf muss beim Einsatz neuer Technologien in der Produktion ebenfalls geachtet werden.
Die zunehmende Erhebung und Verarbeitung großer Datenmengen sowie der hohe Grad der Autonomie und Dezentralität von selbstorganisierten Systemen in der Industrie 4.0 sind Faktoren, die aus Datenschutzsicht problematisch werden können. Wenn Mitarbeiter- oder Kundendaten zurückverfolgt werden können, müssen Schutzmaßnahmen ergriffen werden. Wirksamer Datenschutz muss, so die einstimmige Expertenmeinung, bereits auf Ebene der Technik implementiert werden. Die EU-DSGVO bietet hier Ansatzpunkte.
Erste Schritte zum datenschutzkonformen Aufbruch in die Industrie 4.0 sind auf jeden Fall Transparenz für Mitarbeiter und Kunden, die eingesetzte Technologie betreffend sowie qualifizierte Datenschutzbeauftragte, die auch das Feld der Datenerhebung und -verarbeitung in der Industrie 4.0 im Blick behalten.
Mehr Informationen zum Thema Informationssicherheit im Zeitalter von Industrie 4.0 und der EU-Datenschutz-Grundverordnung erhalten Sie in den Workshops auf der METAV 2018, die gemeinsam von der Deutschen Gesellschaft für Qualität (DGQ e.V.) und der Deutschen Gesellschaft zur Zertifizierung von Managementsystemen (DQS GmbH) veranstaltet werden. Informationen und Anmeldung unter www.dgq.de/u/METAV2018.
