Blog-Layout

Fernwartung in der Produktion und mögliche Datenpannen

Eberhard Häcker • 1. März 2024

Der kleine feine Datentipp

Lesezeit: ca. 6 Minuten

Was bei Produktionsmaschinen oft übersehen wird: In aller Regel stehen mit ihnen personenbezogene Daten in Verbindung. Wartung und Fernwartung von Maschinen und Anlagen betreffen also den Datenschutz. Darum sollten Datenschutzbeauftragte eingebunden werden und die Abläufe begleiten. Tipps für eine datenschutzgerechte Fernwartung in der Produktion.

Datenschutz im Produktionsbereich

Auch wenn Sie vielleicht nicht auf Anhieb wissen, was die Abkürzungen OT oder ICS, IoT oder IIoT bedeuten, sollten Datenschutzbeauftragte die dahinterstehenden Begriffe kennen. OT ist die Abkürzung für Operational Technology oder operative Technologie, sprich: Betriebstechnik. Damit sind Hardware und Software für industrielle Einrichtungen gemeint. Während die IT vorrangig zur Lösung geschäftlicher Anforderungen in der Bürowelt eingesetzt wird, dienen OT-Lösungen in technischem Kontext der Lösung von technischen Anforderungen wie Produktionstechnik. Nebenbei müssen diese deutlich robuster sein als die IT-Systeme der Büroanwendungen.

Daneben gibt es noch IoT (Internet of Things, Internet der Dinge), was zunächst nichts mit der hier beschriebenen Abkürzung OT zu tun hat, und IIoT (Industrial Internet of Things, industrielles Internet der Dinge).

ICS sind Industrial Control Systems, Systeme zur Fertigungs- und Prozessautomatisierung, kommen in beinahe allen Infrastrukturen zum Einsatz und sind häufig Ziel von Angriffen.

Dass das auch den Datenschutz interessieren muss, hat zwei Gründe. Erstens weisen Operational Technology und Industrial Control Systems in den meisten Fällen einen Personenbezug auf. Und zweitens macht ein gelungener Angriff auf diese Bereiche dort nicht Halt, sondern von dort aus erfolgen weitere Angriffe auch auf Office-Technik. In beiden Fällen sind personenbezogene oder auf Personen beziehbare Daten beteiligt. Bei Angriffen löst das häufig eine Datenschutzverletzung aus, die binnen 72 Stunden auf Meldepflicht geprüft werden und im zutreffenden Fall mit einer Meldung bei der Aufsichtsbehörde abgeschlossen werden muss.

Praxisbeispiel: Personendaten an Produktionsmaschinen

Ein Beispiel aus der Praxis. Kollege Abele arbeitet an der Maschine X. Er meldet sich bei Schichtbeginn mit seiner Kennung an der Maschine an. Die Maschine protokolliert je nach Anforderung oder entsprechender Einstellung Daten zu seiner Tätigkeit. Dazu gehören Daten wie Arbeitszeitbeginn und -ende, mögliche Störungen, Zahl der produzierten Teile, Fehlbedienungen, kontrolliertes und spontanes Abschalten usw. Die Maschine erstellt also ein Profil über Herrn Abele.

Angenommen, die Maschine wird bei einem Cyberangriff gehackt. Die Daten wurden kopiert und werden Teil der Forderung der Angreifer. Das ist ein unbefugter Zugang zu personenbezogenen Daten. Wenn die von der gehackten Maschine verarbeiteten Daten ein Risiko für die Rechte und Freiheiten von Herrn Abele bedeuten, löst der Vorfall eine Meldepflicht bei der Datenschutz-Aufsichtsbehörde aus.

Darum muss der Datenschutz in diese Abläufe eingebunden sein. Wenn der nichts von OT oder ICS und nichts von IoT oder IIoT weiß, können Verantwortliche nicht ihrer Meldepflicht nachkommen und Datenschutzbeauftragte nicht ihrer Überwachungsaufgabe. Die Rechte betroffener Personen werden verletzt, ohne dass Gegenmaßnahmen ergriffen werden.
Datenschutzbeauftragte sollten sich also der Fernwartung in der Produktion annehmen.

Fernwartung in der Produktion und die DSGVO

Datenschutzbeauftragte kennen die Anforderungen der DSGVO (Datenschutz-Grundverordnung). Sie können mögliche Datenpannen im Zusammenhang mit Fernwartung in der Produktion beurteilen und Verantwortliche unterstützen: Es gilt, die Risiken zu definieren, deren Eintrittswahrscheinlichkeit und Schadenshöhe abzuschätzen und zu helfen, vorgeschlagene Maßnahmen im Hinblick auf Datenschutz zu bewerten. So fordert es Artikel 24 der DSGVO.

Abläufe sauber dokumentieren

Datenschutzbeauftragte erkennen, was es für Datenschutz und Informationssicherheit bedeuten kann, wenn Fernwartungszugänge vor Ort nicht bekannt oder unvollständig dokumentiert sind. In die Kategorie „unvollständige Dokumentation“ gehört auch, wenn nicht bekannt ist, welche personenbezogenen oder auf Personen beziehbare Daten mit den Maschinen verarbeitet werden und daher bei der Fernwartung grundsätzlich einsehbar sind. Damit kann der Vorgang im Verzeichnis der Verarbeitungstätigkeiten nur unzureichend dokumentiert werden. Im Fall einer Anfrage der Aufsichtsbehörde für den Datenschutz gibt das kein gutes Bild ab.

„Fehlen die Dokumentationen, welche personenbezogenen oder auf Personen beziehbaren Daten mit den Maschinen und Anlagen sowie den dafür notwendigen Netzen verarbeitet werden, ist der Datenschutz zwangsläufig unvollständig.“

IT-Grundschutz und die Fernwartung im industriellen Umfeld

Beim Bundesamt für Sicherheit in der Informationstechnik (BSI) gibt es im IT-Grundschutz einen eigenen Baustein für die Fernwartung im industriellen Umfeld, seine Abkürzung lautet IND.3.2. Dort sind allein zehn Gefährdungen für die Informationssicherheit aufgelistet. Allerdings: Es fehlen die Gefährdungen für den Datenschutz, denn für den ist BSI nicht zuständig. Team Datenschutz unterstützt Sie gerne, diese Gefährdungen zielführend anzugehen.

Mögliche Datenschutzverstöße bei Wartungszugriffen

Kommt es durch Fehler bei Wartungszugriffen zu Schutzverletzungen beim Datenschutz, müssen Sie die üblichen Meldewege einhalten. Und worüber sich Verantwortliche für die Produktions-IT, also für Operational Technology und Industrial Control Systems sowie Internet of Things und Industrial Internet of Things nicht immer im Klaren sind: Fehlen die Dokumentationen, welche personenbezogenen oder auf Personen beziehbaren Daten mit den Maschinen und Anlagen sowie den dafür notwendigen Netzen verarbeitet werden, ist der Datenschutz zwangsläufig unvollständig. Damit wird er zur offenen Flanke und möglicher Gegenstand von Anfragen und Überprüfungen durch die Aufsichtsbehörde.

Natürlich müssen Betriebe und Unternehmen die Daten der Beschäftigten gesetzeskonform verarbeiten. Das zu überwachen, ist unter anderem die gesetzliche Aufgabe des Betriebsrats. Erfahrungsgemäß sind aber die wenigsten Betriebsräte in die Abläufe bei Wartung und Fernwartung von Anlagen und Maschinen in der Fertigung eingebunden.

Unternehmen sollten die Datenschutzanforderungen bei Wartung und Fernwartung von Anlagen und Maschinen kennen und Datenschutzbeauftragte einbinden. Dann lassen sich die damit verbundenen Arbeiten datenschutzkonform umsetzen.

Tipps für eine datenschutzgerechte Fernwartung

Datenpannen in der Fertigung vermeiden. Sieben Tipps.

Tipp Nr. 1

Stellen Sie sicher, dass alle Fernwartungszugriffe auf Maschinen und Netze der Produktion bekannt sind.

Tipp Nr. 2

Stoßen Sie an, dass bei allen Fernwartungszugriffen in der Fertigung Verantwortliche benannt sind.

Tipp Nr. 3

Stellen Sie sicher, dass alle Wartungsprozesse in der Produktion grundlegend und nachvollziehbar festgelegt sind.

Tipp Nr. 4

Halten Sie fest, welche Personendaten Maschinen über jene verarbeiten, die sie bedienen.

Tipp Nr. 5

Prüfen Sie, ob für die Wartung und Fernwartung industrieller Anlagen und Maschinen die jeweilige Verarbeitungstätigkeit im Verzeichnis der Verarbeitungstätigkeiten erfasst ist.

Tipp Nr. 6

Stellen Sie sicher, dass für alle Wartungs- und Fernwartungsaufträge belastbare Vereinbarungen vorhanden sind und entsprechende Verträge entweder über Auftragsverarbeitung (das dürfte die Regel sein) oder Vertraulichkeitsvereinbarung (NDA) vorliegen.

Tipp Nr. 7

Stimmen Sie sich mit dem Betriebsrat ab, um gemeinsam oder in Absprache mit ihm weitere Schritte zu prüfen.

Und die Kernfrage: Sind Datenschutzbeauftragte in die Wartung und Fernwartung von Fertigungsmaschinen eingebunden und können sicherstellen, dass datenschutzrechtliche Anforderungen eingehalten werden?

Sie wünschen sich Unterstützung?

Die Experten von Team Datenschutz sind für Sie da.

Bei Datenschutz-Fragen Team Datenschutz fragen.

Kontakt aufnehmen Kontakt aufnehmen

Hat Ihnen der Datentipp gefallen? Empfehlen Sie ihn weiter!

Der VVT-Check

Passgenaue Analyse. Klare Empfehlungen.

Endlich Sicherheit beim Verzeichnis der Verarbeitungstätigkeiten.

Jetzt unverbindlich kennenlernen.

zum VVT-Check

< Älterer Beitrag Neuerer Beitrag >

Gelungenes Event: Das war das Datenschutz-Update 2024

von Team Datenschutz • 22. November 2024

Auch in diesem Jahr hat das Tagesseminar „Datenschutz-Update“ wieder zahlreiche Interessierte aus Datenschutz und Informationssicherheit zusammengebracht. Mit rund 40 Teilnehmenden fand das virtuelle Event regen Zuspruch und bot spannende Einblicke in die Herausforderungen und Chancen, die 2025 und darüber hinaus auf Unternehmen und Datenschutzbeauftragte zukommen.

Team Datenschutz auf der IDACON 2024

von Team Datenschutz • 1. Oktober 2024

Auch in diesem Jahr ist Team Datenschutz wieder bei der 24. IDACON 2024 mit dabei. Vom 5. bis 7. November dreht sich auf dem hybriden Kongress für Datenschutz in München alles um aktuelle Entwicklungen und praxisnahe Lösungen im Datenschutz.

Sensoren, Aktoren und der Datenschutz

von Eberhard Häcker • 23. August 2024

Sensoren und Aktoren stecken in Autos, im Smart Home, in Industrie, Medizintechnik und mehr. Sie sammeln und verarbeiten Daten, die oft mit Menschen in Verbindung stehen. Klarer Fall für den Datenschutz. 10 Tipps, um Datenpannen zu vermeiden.

Netzwerktopologie verständlich erklärt & Tipps für ein sicheres Netzwerk

von Eberhard Häcker • 7. August 2024

Netzwerktopologie bezeichnet, wie Geräte in Computer-Netzwerken miteinander verbunden sind. Die häufigsten Topologien sind Stern, Ring, Bus und Masche. Dabei werden personenbezogene Daten verarbeitet. Umso wichtiger, dass Datenschutzbeauftragte sich des Themas annehmen.

Unsichere WLAN-Netzwerke erkennen und wichtige Daten schützen

von Eberhard Häcker • 9. Juli 2024

Wie Sie unsichere WLAN-Netzwerke erkennen und mit welchen Maßnahmen Sie Ihre Daten schützen. Unsere Tipps zu sicheren Verbindungen und Mitarbeiterschulungen.

Agile Datenschutzbeauftragte. Fachseminar mit Eberhard Häcker

von Team Datenschutz • 26. Juni 2024

Wir laden ein zu einem spannenden neuen Datenschutz-Event: Das Fachseminar "Agile Datenschutzbeauftragte – Immer einen Schritt voraus" richtet sich an Datenschutzbeauftragte, die mit modernen, agilen Methoden den Anforderungen der veränderten Arbeitswelt begegnen und immer einen Schritt voraus sein möchten. Seminarleiter Eberhard Häcker freut sich auf den Austausch mit den Teilnehmenden.

DSGVO-gerechte Systemhärtung. 13 Tipps für eine sichere IT

von Eberhard Häcker • 7. Juni 2024

Das beste Schutz gegen Angriffe auf die Unternehmens-IT ist die Härtung der Systeme – also die gezielte Absicherung von Rechnern, Servern und anderen Komponenten. Wie das geht, verrät der Datentipp!

Sicherheit des Unternehmensgebäudes – und was das mit Datenschutz zu tun hat

von Eberhard Häcker • 29. Mai 2024

Für Unternehmen sind angemessene Sicherheitsvorkehrungen von entscheidender Bedeutung. Das betrifft unter anderem Firmengebäude und das Firmengelände. Vom Einbruchschutz über eine resiliente IT bis zum Umgang mit Notfallsituationen – eine umfassende Sicherheitsstrategie leistet einen wichtigen Beitrag, Ihr Unternehmen vor Gefahren verschiedenster Art zu schützen. Wir geben Tipps.

Großereignisse und ihre datenschutzrechtlichen Risiken für Unternehmen

von Eberhard Häcker • 29. April 2024

Bei Großereignissen wie Demonstrationen, Festen oder sportlichen Ereignissen sind viele Menschen unterwegs. In der nahen Umgebung des Unternehmens können solche Events Auswirkungen haben von logistischen Herausforderungen bis hin zu möglichen Datenschutzverletzungen. 11 Tipps, wie Unternehmen sich auf solche Ereignisse vorbereiten und rechtliche Probleme umgehen.