28.02.2018

DS-GVO: Was produzierende Unternehmen wissen müssen

Die europäische Datenschutzgrundverordnung (Abkürzung jetzt DS-GVO) tritt mit ihren Bußgeldsanktionen (bis zu 20 Millionen!) am 25.05.2018 unmittelbar in Kraft. Bei den zumeist hektischen Umsetzungsanstrengungen konzentrieren sich die meisten Unternehmen vor allem auf die IT-; Personal- und Vertriebsabteilungen. Wenig beachtet wird aber, dass immer auch der „Maschinenraum“ berücksichtigt werden muss.

DS-GVO: Auch im Maschinenraum werden personenbezogen Daten verarbeitet
© moodboard /​ moodboard /​ Thinkstock

Personenbezogene Daten im Sinne der DS-GVO

Auf den ersten Blick scheinen im Produktionsprozess nur bloße Maschinendaten anzufallen – ein direkter Personenbezug ist für viele Verantwortliche nicht erkennbar. Somit würde die DS-GVO hier nicht greifen. Leider ist dies in der Regel ein Trugschluss.

Die DS-GVO definiert in Artikel 4 personenbezogene Daten als „alle Informationen,  die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden  „betroffene Person“) beziehen“. Als identifizierbar im Sinne der Verordnung ist eine natürliche Person anzusehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind.

Personenbezug kommt häufig vor

Dies hat folgende Konsequenzen. Befinden sich in  den Maschinendaten Kennnummern, Standortdaten  oder andere eindeutige Kennzeichen (bspw.  der Maschinenname) und lassen sich derartig  eindeutige Kennungen auf konkrete Personen  (Maschinenführer, Werker) beziehen, muss die  DS-GVO auf die Verwendung dieser Daten abgeprüft  werden.

Maschinendaten mit Personenbezug  unterfallen den neuen Datenschutzanforde rungen, wenn sich daraus Rückschlüsse über die  betroffenen Personen ableiten lassen (z. B. Verhaltens-  oder Leistungsanalysen).

Achtung

Durch die immer mehr zunehmende Verbreitung von Industrie-4.0-Anwendungen (bspw. Internet of Things) wird die Verbindung von Maschinendaten und Personenbezügen immens zunehmen.

 

Prüfen Sie Ihr Datenschutzkonzept

Unternehmen sollten deshalb ihre maschinellen  Prozesse auf einen möglichen Personenbezug der  Maschinendaten überprüfen. Bei positivem Ergebnis  müssen dann u. a.

  • die Rechtsgrundlagen zur Verarbeitung der Daten mit Personenbezug ermittelt und angewandt werden,
  • eine Dokumentation des Zwecks der Verarbeitung angefertigt werden,
  • ggf. eine Aufnahme in das Verzeichnis von Verarbeitungstätigkeiten erfolgen,
  • die Betroffenenrechte (bspw. Informations- und Löschpflichten) gewahrt werden,
  • Meldepflichten bei Datenpannen beachtet werden
  • für die Einhaltung der DS-GVO bei der Datenübermittlung an Dritte gesorgt und
  • die Gewährleistung der Datensicherheit bewirkt werden.

Den Wortlaut der Datenschutzgrundverordnung (DS-GVO) finden Sie im Internet unter https://dsgvo-gesetz.de/

Autor*in: Ernst Schneider