Suchen

Datenschutz-Grundverordnung im Mittelstand Was Industrieunternehmen für die DSGVO noch tun müssen

| Autor / Redakteur: Dipl.-Phys. Oliver Schonschek / Peter Schmitz

Kein Unternehmen sollte glauben, von der Datenschutz-Grundverordnung höchstens am Rande betroffen zu sein. Auch die Industriebranchen verarbeiten personenbezogene Daten in großem Umfang. Dabei geht es nicht nur um die Daten der Kunden, Lieferanten und Mitarbeiter, es geht auch um die Maschinendaten, die durchaus einen Personenbezug haben können, wie ein Blick in die DSGVO zeigt.

Firmen zum Thema

Industrieunternehmen sollten bei der Vorbereitung auf die DSGVO die scheinbar rein maschinellen Prozesse auf einem möglichen Personenbezug der Daten prüfen.
Industrieunternehmen sollten bei der Vorbereitung auf die DSGVO die scheinbar rein maschinellen Prozesse auf einem möglichen Personenbezug der Daten prüfen.
(© BillionPhotos.com - stock.adobe.com)

Die meisten Umfragen zur Datenschutz-Grundverordnung und dem Stand der Umsetzung in Unternehmen greifen keine spezielle Branche heraus, wenn überhaupt werden Unternehmensgrößen unterschieden. Der branchenübergreifende Ansatz ist richtig, denn die DSGVO ist für alle Wirtschaftsbranchen gültig.

Ohne Zweifel verarbeiten auch alle Wirtschaftsbranchen personenbezogene Daten. Wenn eine der Bitkom-Studien zur DSGVO besagt, dass jedes dritte Unternehmen personenbezogene Daten zur Verbesserung von Produkten und Dienstleistungen einsetzt und 42 Prozent der befragten Unternehmen angeben, dass die Nutzung personenbezogener Daten die Grundlage des eigenen Geschäftsmodells ist, dann gibt es im Detail natürlich Unterschiede bei verschiedenen Branchen. Verneinen würde die Bedeutung der personenbezogenen Daten jedoch kaum ein Branchenvertreter.

Dennoch gibt es Branchenunterschiede im Datenschutz

Es mag wie eine Binsenweisheit erscheinen, doch viele Unternehmen scheinen dies trotzdem zu vergessen: Die Verfahren, bei denen personenbezogene Daten erhoben, gespeichert und genutzt werden, unterscheiden sich von Branche zu Branche. Grundsätzliche Verfahren wie die Personaldatenverarbeitung oder Kundenbindungsmaßnahmen sind zwar sehr ähnlich in vielen Branchen, doch dafür gibt es auch sehr spezielle Verfahren.

Dies muss hier nochmals betont werden, da sich die Diskussion zur Umsetzung der Datenschutz-Grundverordnung vielfach um die grundsätzlichen Verfahren dreht, die bei fast allen Unternehmen vorkommen. Deshalb darf man aber nicht den Fehler begehen, die eigenen, branchenspezifischen oder sogar unternehmensspezifischen Verfahren außer Acht zu lassen.

Ein schönes Beispiel liefert eine aktuelle Studie von Sopra Steria Consulting: Medienunternehmen in Deutschland geraten demnach durch die ab 25. Mai 2018 geltende EU-Datenschutzgrundverordnung (DSGVO) unter massiven Druck, denn sie müssen bis zu diesem Zeitpunkt in der Lage sein, alle über Kunden gespeicherten Daten bei einem Wechsel zu einem anderen Anbieter überspielen zu können. Betroffen sind auch erfasste Sehgewohnheiten, beispielsweise wann ein Zuschauer welche Sendung wie lange geschaut hat.

Was nicht vergessen werden darf: Auch die Unternehmen aus den Industriebranchen haben solch besondere Verfahren der Datenverarbeitung, die auf die DSGVO hin zu überprüfen und anzupassen sind.

Industrie muss an Maschinendaten, IIoT und Industrie 4.0 denken

Betrachtet man die industriellen Prozesse und die zugehörige Datenverarbeitung, fallen auf den ersten Blick insbesondere Maschinendaten an. Ein Personenbezug scheint hier nicht vorzuliegen. Doch die DSGVO definiert personenbezogene Daten als „alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann“.

Wenn sich in den Maschinendaten also Kennnummern, Standortdaten oder andere eindeutige Kennzeichen wie der Maschinenname befinden und sich diese eindeutigen Kennungen auf Personen wie den Maschinenführer beziehen lassen, muss man an den Datenschutz denken. Maschinendaten können also durchaus Personenbezug haben und unterliegen dann der DSGVO. Maschinendaten mit Personenbezug sind deshalb schützenswert, weil sich daraus Informationen über die Personen gewinnen lassen, die zum Beispiel eine Verhaltens- und Leistungsanalyse erlauben könnten. Die Zahl solcher Prozesse, bei denen Maschinendaten oder Gerätedaten einen Personenbezug haben können, sind größer als man denkt und werden durch das Industrial Internet of Things (IIoT) und Industrie 4.0 weiter zunehmen.

Ist das Datenschutzkonzept vollständig?

Industrieunternehmen sollten deshalb bei ihrer Vorbereitung auf die Datenschutz-Grundverordnung unbedingt die scheinbar rein maschinellen Prozesse durchgehen und nach einem möglichen Personenbezug der Daten suchen. Gibt es einen solchen, müssen die Anforderungen der DSGVO beachtet werden. Dazu gehören insbesondere:

  • Prüfung der Rechtsgrundlagen zur Verarbeitung der Daten mit Personenbezug
  • Dokumentation des Zwecks der Verarbeitung, Aufnahme in das Verzeichnis von Verarbeitungstätigkeiten
  • Umsetzung der Betroffenenrechte (wie die Information der Betroffenen, Löschpflichten)
  • Entwicklung einer Datenschutzrichtlinie, ggf. Betriebsvereinbarungen
  • Prüfung möglicher Meldepflichten bei einer Datenpanne
  • Prüfung einer möglichen Datenübermittlung an Dritte
  • Gewährleistung der Datensicherheit

Hier gibt es also noch einiges zu tun, wenn bisher die Maschinendaten ungeprüft außer Acht gelassen wurden.

(ID:45119270)

Über den Autor

Dipl.-Phys. Oliver Schonschek

Dipl.-Phys. Oliver Schonschek

IT-Fachjournalist, News Analyst und Commentator bei Insider Research