Datenschutz-Grundverordnung im Mittelstand

Was Industrieunternehmen für die DSGVO noch tun müssen

| Autor / Redakteur: Oliver Schonschek / Peter Schmitz

Industrieunternehmen sollten bei der Vorbereitung auf die DSGVO die scheinbar rein maschinellen Prozesse auf einem möglichen Personenbezug der Daten prüfen.
Industrieunternehmen sollten bei der Vorbereitung auf die DSGVO die scheinbar rein maschinellen Prozesse auf einem möglichen Personenbezug der Daten prüfen. (© BillionPhotos.com - stock.adobe.com)

Kein Unternehmen sollte glauben, von der Datenschutz-Grundverordnung höchstens am Rande betroffen zu sein. Auch die Industriebranchen verarbeiten personenbezogene Daten in großem Umfang. Dabei geht es nicht nur um die Daten der Kunden, Lieferanten und Mitarbeiter, es geht auch um die Maschinendaten, die durchaus einen Personenbezug haben können, wie ein Blick in die DSGVO zeigt.

Die meisten Umfragen zur Datenschutz-Grundverordnung und dem Stand der Umsetzung in Unternehmen greifen keine spezielle Branche heraus, wenn überhaupt werden Unternehmensgrößen unterschieden. Der branchenübergreifende Ansatz ist richtig, denn die DSGVO ist für alle Wirtschaftsbranchen gültig.

Ohne Zweifel verarbeiten auch alle Wirtschaftsbranchen personenbezogene Daten. Wenn eine der Bitkom-Studien zur DSGVO besagt, dass jedes dritte Unternehmen personenbezogene Daten zur Verbesserung von Produkten und Dienstleistungen einsetzt und 42 Prozent der befragten Unternehmen angeben, dass die Nutzung personenbezogener Daten die Grundlage des eigenen Geschäftsmodells ist, dann gibt es im Detail natürlich Unterschiede bei verschiedenen Branchen. Verneinen würde die Bedeutung der personenbezogenen Daten jedoch kaum ein Branchenvertreter.

9 DSGVO-Mythen enttarnt!

Klarheit bei der Datenschutz-Grundverordnung

9 DSGVO-Mythen enttarnt!

09.01.18 - Die Vorbereitungen auf die DSGVO / GDPR kommen bei vielen Unternehmen nicht schnell genug voran. Umso wichtiger ist deshalb die Aufklärung, was wirklich hinter der Datenschutz-Grundverordnung steckt. Aktuell kursieren viele Mythen und falsche Informationen zur DSGVO im Netz. Wir klären auf. lesen

Dennoch gibt es Branchenunterschiede im Datenschutz

Es mag wie eine Binsenweisheit erscheinen, doch viele Unternehmen scheinen dies trotzdem zu vergessen: Die Verfahren, bei denen personenbezogene Daten erhoben, gespeichert und genutzt werden, unterscheiden sich von Branche zu Branche. Grundsätzliche Verfahren wie die Personaldatenverarbeitung oder Kundenbindungsmaßnahmen sind zwar sehr ähnlich in vielen Branchen, doch dafür gibt es auch sehr spezielle Verfahren.

Dies muss hier nochmals betont werden, da sich die Diskussion zur Umsetzung der Datenschutz-Grundverordnung vielfach um die grundsätzlichen Verfahren dreht, die bei fast allen Unternehmen vorkommen. Deshalb darf man aber nicht den Fehler begehen, die eigenen, branchenspezifischen oder sogar unternehmensspezifischen Verfahren außer Acht zu lassen.

Ein schönes Beispiel liefert eine aktuelle Studie von Sopra Steria Consulting: Medienunternehmen in Deutschland geraten demnach durch die ab 25. Mai 2018 geltende EU-Datenschutzgrundverordnung (DSGVO) unter massiven Druck, denn sie müssen bis zu diesem Zeitpunkt in der Lage sein, alle über Kunden gespeicherten Daten bei einem Wechsel zu einem anderen Anbieter überspielen zu können. Betroffen sind auch erfasste Sehgewohnheiten, beispielsweise wann ein Zuschauer welche Sendung wie lange geschaut hat.

Was nicht vergessen werden darf: Auch die Unternehmen aus den Industriebranchen haben solch besondere Verfahren der Datenverarbeitung, die auf die DSGVO hin zu überprüfen und anzupassen sind.

Industrie muss an Maschinendaten, IIoT und Industrie 4.0 denken

Betrachtet man die industriellen Prozesse und die zugehörige Datenverarbeitung, fallen auf den ersten Blick insbesondere Maschinendaten an. Ein Personenbezug scheint hier nicht vorzuliegen. Doch die DSGVO definiert personenbezogene Daten als „alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann“.

Wenn sich in den Maschinendaten also Kennnummern, Standortdaten oder andere eindeutige Kennzeichen wie der Maschinenname befinden und sich diese eindeutigen Kennungen auf Personen wie den Maschinenführer beziehen lassen, muss man an den Datenschutz denken. Maschinendaten können also durchaus Personenbezug haben und unterliegen dann der DSGVO. Maschinendaten mit Personenbezug sind deshalb schützenswert, weil sich daraus Informationen über die Personen gewinnen lassen, die zum Beispiel eine Verhaltens- und Leistungsanalyse erlauben könnten. Die Zahl solcher Prozesse, bei denen Maschinendaten oder Gerätedaten einen Personenbezug haben können, sind größer als man denkt und werden durch das Industrial Internet of Things (IIoT) und Industrie 4.0 weiter zunehmen.

Was KMU jetzt für die DSGVO unbedingt noch tun müssen

Datenschutz-Grundverordnung im Mittelstand

Was KMU jetzt für die DSGVO unbedingt noch tun müssen

19.01.18 - Viele Unternehmen haben Schwierigkeiten mit der Umsetzung der DSGVO, das gilt für kleine und mittlere Unternehmen (KMU) ganz besonders. Weil aber bei KMU meist besondere Herausforderungen in Form von knappem Budget und wenig Personal zusammen kommen, sind jetzt Prioritäten gefragt, was in den nächsten Monaten zuerst angegangen werden muss. lesen

Ist das Datenschutzkonzept vollständig?

Industrieunternehmen sollten deshalb bei ihrer Vorbereitung auf die Datenschutz-Grundverordnung unbedingt die scheinbar rein maschinellen Prozesse durchgehen und nach einem möglichen Personenbezug der Daten suchen. Gibt es einen solchen, müssen die Anforderungen der DSGVO beachtet werden. Dazu gehören insbesondere:

  • Prüfung der Rechtsgrundlagen zur Verarbeitung der Daten mit Personenbezug
  • Dokumentation des Zwecks der Verarbeitung, Aufnahme in das Verzeichnis von Verarbeitungstätigkeiten
  • Umsetzung der Betroffenenrechte (wie die Information der Betroffenen, Löschpflichten)
  • Entwicklung einer Datenschutzrichtlinie, ggf. Betriebsvereinbarungen
  • Prüfung möglicher Meldepflichten bei einer Datenpanne
  • Prüfung einer möglichen Datenübermittlung an Dritte
  • Gewährleistung der Datensicherheit

Hier gibt es also noch einiges zu tun, wenn bisher die Maschinendaten ungeprüft außer Acht gelassen wurden.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45119270 / Compliance und Datenschutz )