Blog-Layout

Fernwartung in der Produktion und mögliche Datenpannen

Eberhard Häcker • März 01, 2024

Der kleine feine Datentipp

Lesezeit: ca. 6 Minuten

Was bei Produktionsmaschinen oft übersehen wird: In aller Regel stehen mit ihnen personenbezogene Daten in Verbindung. Wartung und Fernwartung von Maschinen und Anlagen betreffen also den Datenschutz. Darum sollten Datenschutzbeauftragte eingebunden werden und die Abläufe begleiten. Tipps für eine datenschutzgerechte Fernwartung in der Produktion.

Datenschutz im Produktionsbereich

Auch wenn Sie vielleicht nicht auf Anhieb wissen, was die Abkürzungen OT oder ICS, IoT oder IIoT bedeuten, sollten Datenschutzbeauftragte die dahinterstehenden Begriffe kennen. OT ist die Abkürzung für Operational Technology oder operative Technologie, sprich: Betriebstechnik. Damit sind Hardware und Software für industrielle Einrichtungen gemeint. Während die IT vorrangig zur Lösung geschäftlicher Anforderungen in der Bürowelt eingesetzt wird, dienen OT-Lösungen in technischem Kontext der Lösung von technischen Anforderungen wie Produktionstechnik. Nebenbei müssen diese deutlich robuster sein als die IT-Systeme der Büroanwendungen.

Daneben gibt es noch IoT (Internet of Things, Internet der Dinge), was zunächst nichts mit der hier beschriebenen Abkürzung OT zu tun hat, und IIoT (Industrial Internet of Things, industrielles Internet der Dinge).

ICS sind Industrial Control Systems, Systeme zur Fertigungs- und Prozessautomatisierung, kommen in beinahe allen Infrastrukturen zum Einsatz und sind häufig Ziel von Angriffen.

Dass das auch den Datenschutz interessieren muss, hat zwei Gründe. Erstens weisen Operational Technology und Industrial Control Systems in den meisten Fällen einen Personenbezug auf. Und zweitens macht ein gelungener Angriff auf diese Bereiche dort nicht Halt, sondern von dort aus erfolgen weitere Angriffe auch auf Office-Technik. In beiden Fällen sind personenbezogene oder auf Personen beziehbare Daten beteiligt. Bei Angriffen löst das häufig eine Datenschutzverletzung aus, die binnen 72 Stunden auf Meldepflicht geprüft werden und im zutreffenden Fall mit einer Meldung bei der Aufsichtsbehörde abgeschlossen werden muss.

Praxisbeispiel: Personendaten an Produktionsmaschinen

Ein Beispiel aus der Praxis. Kollege Abele arbeitet an der Maschine X. Er meldet sich bei Schichtbeginn mit seiner Kennung an der Maschine an. Die Maschine protokolliert je nach Anforderung oder entsprechender Einstellung Daten zu seiner Tätigkeit. Dazu gehören Daten wie Arbeitszeitbeginn und -ende, mögliche Störungen, Zahl der produzierten Teile, Fehlbedienungen, kontrolliertes und spontanes Abschalten usw. Die Maschine erstellt also ein Profil über Herrn Abele.

Angenommen, die Maschine wird bei einem Cyberangriff gehackt. Die Daten wurden kopiert und werden Teil der Forderung der Angreifer. Das ist ein unbefugter Zugang zu personenbezogenen Daten. Wenn die von der gehackten Maschine verarbeiteten Daten ein Risiko für die Rechte und Freiheiten von Herrn Abele bedeuten, löst der Vorfall eine Meldepflicht bei der Datenschutz-Aufsichtsbehörde aus.

Darum muss der Datenschutz in diese Abläufe eingebunden sein. Wenn der nichts von OT oder ICS und nichts von IoT oder IIoT weiß, können Verantwortliche nicht ihrer Meldepflicht nachkommen und Datenschutzbeauftragte nicht ihrer Überwachungsaufgabe. Die Rechte betroffener Personen werden verletzt, ohne dass Gegenmaßnahmen ergriffen werden.
Datenschutzbeauftragte sollten sich also der Fernwartung in der Produktion annehmen.

Fernwartung in der Produktion und die DSGVO

Datenschutzbeauftragte kennen die Anforderungen der DSGVO (Datenschutz-Grundverordnung). Sie können mögliche Datenpannen im Zusammenhang mit Fernwartung in der Produktion beurteilen und Verantwortliche unterstützen: Es gilt, die Risiken zu definieren, deren Eintrittswahrscheinlichkeit und Schadenshöhe abzuschätzen und zu helfen, vorgeschlagene Maßnahmen im Hinblick auf Datenschutz zu bewerten. So fordert es Artikel 24 der DSGVO.

Abläufe sauber dokumentieren

Datenschutzbeauftragte erkennen, was es für Datenschutz und Informationssicherheit bedeuten kann, wenn Fernwartungszugänge vor Ort nicht bekannt oder unvollständig dokumentiert sind. In die Kategorie „unvollständige Dokumentation“ gehört auch, wenn nicht bekannt ist, welche personenbezogenen oder auf Personen beziehbare Daten mit den Maschinen verarbeitet werden und daher bei der Fernwartung grundsätzlich einsehbar sind. Damit kann der Vorgang im Verzeichnis der Verarbeitungstätigkeiten nur unzureichend dokumentiert werden. Im Fall einer Anfrage der Aufsichtsbehörde für den Datenschutz gibt das kein gutes Bild ab.

„Fehlen die Dokumentationen, welche personenbezogenen oder auf Personen beziehbaren Daten mit den Maschinen und Anlagen sowie den dafür notwendigen Netzen verarbeitet werden, ist der Datenschutz zwangsläufig unvollständig.“

IT-Grundschutz und die Fernwartung im industriellen Umfeld

Beim Bundesamt für Sicherheit in der Informationstechnik (BSI) gibt es im IT-Grundschutz einen eigenen Baustein für die Fernwartung im industriellen Umfeld, seine Abkürzung lautet IND.3.2. Dort sind allein zehn Gefährdungen für die Informationssicherheit aufgelistet. Allerdings: Es fehlen die Gefährdungen für den Datenschutz, denn für den ist BSI nicht zuständig. Team Datenschutz unterstützt Sie gerne, diese Gefährdungen zielführend anzugehen.

Mögliche Datenschutzverstöße bei Wartungszugriffen

Kommt es durch Fehler bei Wartungszugriffen zu Schutzverletzungen beim Datenschutz, müssen Sie die üblichen Meldewege einhalten. Und worüber sich Verantwortliche für die Produktions-IT, also für Operational Technology und Industrial Control Systems sowie Internet of Things und Industrial Internet of Things nicht immer im Klaren sind: Fehlen die Dokumentationen, welche personenbezogenen oder auf Personen beziehbaren Daten mit den Maschinen und Anlagen sowie den dafür notwendigen Netzen verarbeitet werden, ist der Datenschutz zwangsläufig unvollständig. Damit wird er zur offenen Flanke und möglicher Gegenstand von Anfragen und Überprüfungen durch die Aufsichtsbehörde.

Natürlich müssen Betriebe und Unternehmen die Daten der Beschäftigten gesetzeskonform verarbeiten. Das zu überwachen, ist unter anderem die gesetzliche Aufgabe des Betriebsrats. Erfahrungsgemäß sind aber die wenigsten Betriebsräte in die Abläufe bei Wartung und Fernwartung von Anlagen und Maschinen in der Fertigung eingebunden.

Unternehmen sollten die Datenschutzanforderungen bei Wartung und Fernwartung von Anlagen und Maschinen kennen und Datenschutzbeauftragte einbinden. Dann lassen sich die damit verbundenen Arbeiten datenschutzkonform umsetzen.

Tipps für eine datenschutzgerechte Fernwartung

Datenpannen in der Fertigung vermeiden. Sieben Tipps.

Tipp Nr. 1

Stellen Sie sicher, dass alle Fernwartungszugriffe auf Maschinen und Netze der Produktion bekannt sind.

Tipp Nr. 2

Stoßen Sie an, dass bei allen Fernwartungszugriffen in der Fertigung Verantwortliche benannt sind.

Tipp Nr. 3

Stellen Sie sicher, dass alle Wartungsprozesse in der Produktion grundlegend und nachvollziehbar festgelegt sind.

Tipp Nr. 4

Halten Sie fest, welche Personendaten Maschinen über jene verarbeiten, die sie bedienen.

Tipp Nr. 5

Prüfen Sie, ob für die Wartung und Fernwartung industrieller Anlagen und Maschinen die jeweilige Verarbeitungstätigkeit im Verzeichnis der Verarbeitungstätigkeiten erfasst ist.

Tipp Nr. 6

Stellen Sie sicher, dass für alle Wartungs- und Fernwartungsaufträge belastbare Vereinbarungen vorhanden sind und entsprechende Verträge entweder über Auftragsverarbeitung (das dürfte die Regel sein) oder Vertraulichkeitsvereinbarung (NDA) vorliegen.

Tipp Nr. 7

Stimmen Sie sich mit dem Betriebsrat ab, um gemeinsam oder in Absprache mit ihm weitere Schritte zu prüfen.

Und die Kernfrage: Sind Datenschutzbeauftragte in die Wartung und Fernwartung von Fertigungsmaschinen eingebunden und können sicherstellen, dass datenschutzrechtliche Anforderungen eingehalten werden?

Sie wünschen sich Unterstützung?

Die Experten von Team Datenschutz sind für Sie da.

Bei Datenschutz-Fragen Team Datenschutz fragen.

Kontakt aufnehmen Kontakt aufnehmen

Hat Ihnen der Datentipp gefallen? Empfehlen Sie ihn weiter!

Der VVT-Check

Passgenaue Analyse. Klare Empfehlungen.

Endlich Sicherheit beim Verzeichnis der Verarbeitungstätigkeiten.

Jetzt unverbindlich kennenlernen.

zum VVT-Check

< Älterer Beitrag Neuerer Beitrag >

Network Access Control – 8 Tipps für eine DSGVO-konforme Netzzugangskontrolle

von Eberhard Häcker • 05 Apr., 2024

Wer unerlaubt in ein Netzwerk eindringt, kann erheblichen Schaden anrichten. Wie betreiben Organisationen ihre Netze in Sachen Informationssicherheit und Datenschutz rechtskonform? Mittels Network Access Control. 8 Tipps, wie Sie die Netzzugangskontrolle sicher und DSGVO-gerecht regeln.

Datenpannen bei Namen von BewerberInnen im Outlook-Kalender

von Eberhard Häcker • 27 März, 2024

Ja, auch im Kalender kann es zu Datenlecks kommen. Viele Unternehmen nutzen Kalender wie Outlook, um Termine zu organisieren. Die Schattenseite: Heikle Infos wie Namen von Bewerbenden sind schnell für Unbefugte sichtbar - wenn die Einträge nicht geschützt sind. Schnell entstehen Vertraulichkeitsprobleme und Datenschutzverletzungen. Vorkehrungen helfen gegen Zwischenfälle. Wir geben Tipps.

Datenlöschung nach DSGVO oder: Personenbezogene Daten im Niemandsland

von Eberhard Häcker • 15 März, 2024

Auch die Zeit von Daten läuft irgendwann ab. Sie werden nicht mehr gebraucht, Aufbewahrungsfristen sind abgelaufen, sie liegen eh nur im Weg — und die Löschung personenbezogener Daten verlangt natürlich auch die DSGVO. Bis wirklich gelöscht wird, sind die Daten sicher zu schützen. 7 Schritte, wie es klappt.

Personenbezogene Daten am Fließband? Produktionsanlagen und Datenschutz

von Eberhard Häcker • 23 Feb., 2024

Ein Bereich, wo die Verarbeitung personenbezogener Daten oft übersehen wird: Industrieanlagen. Dabei fallen auch dort so gut wie immer Personendaten an – mit bedenkenswerten Folgen. Was droht aus Sicht des Datenschutzes und wie können Sie gegensteuern? Hintergründe und 10 praktische Handlungstipps.

E-Mails und die DSGVO. 5 Tipps gegen Datenpannen

von Eberhard Häcker • 30 Jan., 2024

Wer eine E-Mail schreibt, kann aus Sicht der DSGVO Fehler machen. Ja, mit einer einzigen Mail kann sogar gleich eine ganze Reihe an Datenschutz-Verstößen passieren. Welche das sind, zeigt der aktuelle Datentipp – zusammen mit Hintergrundinfos und Tipps, um Datenpannen in geschäftlichen E-Mails zu verhindern.

Daten im Niemandsland und Zweckänderung während der Löschfrist

von Eberhard Häcker • 19 Jan., 2024

Personenbezogene Daten müssten gelöscht werden, als sich plötzlich ein neuer Verarbeitungszweck ergibt. Was ist zu tun? Der Datentipp verrät Hintergründe, Risiken und Rechtliches und gibt Tipps zur Zweckänderung.

Der Datenschutz-Adventskalender 2023

von Team Datenschutz • 29 Nov., 2023

Auch in diesem Jahr hat Team Datenschutz wieder einen ganz besonderen Adventskalender. Jeden Tag wartet ein neues Video mit Abenteuern von Datenschützer Eberhard und dem kleinen DATSIPrUse vom Planeten DATSIS. Was die zwei so alles erleben werden? Auf jeden Fall gibt es einiges zu lernen über Datenschutz und Cybersicherheit - mit lustigen kleinen Geschichten aus dem Datenschutz-Alltag. Seid dabei!

Speicherprogrammierbare Steuerung (SPS), Sicherheit und Datenschutz

von Eberhard Häcker • 23 Nov., 2023

Speicherprogrammierbare Steuerungen oder kurz SPS-Steuerungen sind das Herzstück von Fertigungsanlagen und Produktionsprozessen. Doch wo Technologie im Einsatz ist, gibt es Risiken. Wir zeigen die größten Herausforderungen im Umgang mit SPS-Steuerungen aus Sicht der Sicherheit und des Datenschutzes – und geben Tipps, wie Sie sie absichern.

Das war das Datenschutz-Update

von Team Datenschutz • 10 Nov., 2023

Das alljährliche Tagesseminar Datenschutz-Update bot wie immer einen umfassenden Überblick zu den aktuellsten Themen aus Datenschutz und Informationssicherheit und gab Ausblicke auf Themen und Herausforderungen, denen Unternehmen und Datenschützer·innen in der Zukunft entgegensehen. In bewährter Form fand das Event in Karlsruhe und virtuell statt. Mit rund 50 Teilnehmenden stieß das Datenschutz-Update auch diesmal wieder auf reges Interesse!