Immer mehr Fertigungsunternehmen nutzen Industrie-4.0-Produktionsweisen. Die dabei generierten Maschinendaten können auch Daten mit Personenbezug enthalten. Sie dürfen beim Datenschutz nicht vergessen werden.
Mit der Hilfe von Informations- und Kommunikationstechnologie vernetzen produzierende Unternehmen im Rahmen von Industrie 4.0 zunehmend Maschinen und Prozesse. Dabei ermöglichen Komponenten wie Sensoren, Aktoren, RFID-Chips die Digitalisierung des gesamten Lebenszyklus von Produkten von der Entwicklung bis zum Recycling. Es entstehen riesige Datenmengen, die gesammelt und, häufig auch global verteilt, verarbeitet und ausgewertet werden – Industrie 4.0 ist daher auch immer eng verbunden mit (Industrial) Internet of Things, Cloud-Computing, Big Data, Künstlicher Intelligenz. Laut einer Bitkom-Umfrage von Anfang 2019 ist in der Fertigungsindustrie in Deutschland inzwischen durchschnittlich ein Viertel der Maschinen mit dem Internet verbunden, bei jedem zehnten Unternehmen bereits mehr als die Hälfte.
Maschinendaten und personenbezogene Daten
Wie jedes andere Unternehmen verarbeiten Fertigungsunternehmen personenbezogene Daten von Kunden, Partnern und Mitarbeitern, die in herkömmlichen Prozessen erhoben und in herkömmlichen IT-Systemen verarbeitet werden. In Industrie-4.0-Projekten werden zusätzlich auch Maschinendaten erfasst und verarbeitet. Das können Daten sein, die den Produktionsprozess steuern oder den Produktionsverlauf oder die Auslastung erfassen. Informationen zum Maschinenzustand beispielsweise werden für Wartung und Instandhaltung, insbesondere auch für Predictive Maintenance, verwendet. Allerdings können unter diesen Maschinendaten auch Daten sein, die Personenbezug haben oder sich auf Personen zurückführen lassen. Das ist beispielsweise der Fall, wenn individualisierte Produkte hergestellt oder Arbeitszeiten an der Maschine erfasst werden.
Im Leitfaden „Datenschutz & Industrie 4.0“ weist der Verband Deutscher Maschinen- und Anlagenbau (VDMA) daher ausdrücklich auf die datenschutzrechtlichen Herausforderungen der neuen Produktionsweisen hin, „da die Industrie-4.0-Fertigungsweisen in der Regel aus der Kombination zahlreicher Einzeldaten einen Mehrwert generieren, wobei häufig Rückschlüsse auf Einzelpersonen (z. B. Mitarbeiter, Endverbraucher oder aber von Sensoren betroffene sonstige Dritte) möglich und gewollt sind und hierbei beispielsweise auch Profile über die betroffenen Personen gebildet werden können.“ Diese Daten müssen, wie andere personenbezogene Daten, ebenfalls den Datenschutzgesetzen entsprechend behandelt werden.
Was Unternehmen tun können
Produzierende Unternehmen mit Industrie-4.0-Fertigung müssen beim Datenschutz daher weiter ausgreifen als beispielsweise Dienstleistungsbetriebe oder eine Behörde. Sie müssen Maschinendaten berücksichtigen, die unter Umständen personenbezogene Daten enthalten oder Rückschlüsse auf Personen ermöglichen, und diese in ihre Datenschutzstrategie integrieren. Das bedeutet, dass sie die maschinellen Prozesse auf einen möglichen Personenbezug der Daten durchgehen und diese Prozesse ggf. in das Verfahrensverzeichnis aufnehmen müssen. Zudem ist zu klären, ob die Erhebung und Verarbeitung der Daten rechtmäßig ist und den Regeln der DSGVO entsprechend erfolgt. Da eine DSGVO-konforme Gestaltung der Produktion von ihrer Komplexität her nicht unterschätzt werden sollte, sollte das Unternehmen selbst dann einen Datenschutzbeauftragten bestellen, wenn es nicht dazu verpflichtet ist.
Wettbewerbsvorteile durch Effizienzsteigerungen und die Erschließung neuer Geschäftsmodelle gehören zu den Vorteilen der Industrie-0.4-Produktion. Neben den Firmen, die bereits aktiv dabei sind, plant der oben genannten Bitkom-Umfrage zufolge ein Fünftel der befragten Unternehmen den Einsatz spezieller Industrie-4.0-Anwendungen, ein weiteres Fünftel kann sich ihren künftigen Einsatz vorstellen. Hier sollten Industrie-4.0-Projekte und Datenschutz von Anfang an Hand in Hand gehen, damit es nicht zu bösen Überraschungen kommt.