Blog-Layout

Personenbezogene Daten am Fließband? Produktionsanlagen und Datenschutz

Eberhard Häcker • 23. Februar 2024

Der kleine feine Datentipp

Lesezeit: ca. 6 Minuten

Ein Bereich, wo die Verarbeitung personenbezogener Daten oft übersehen wird: Industrieanlagen. Dabei fallen auch dort so gut wie immer Personendaten an – mit bedenkenswerten Folgen. Was droht aus Sicht des Datenschutzes und wie können Sie gegensteuern? Hintergründe und 10 praktische Handlungstipps.

Produktionsanlagen und Datenschutz

Datenschutzbeauftragte begreifen sich selten als zuständig für Produktionsanlagen und deren Wartung. Was soll es dort schon an personenbezogenen Daten geben? Betriebstechnik ist Betriebstechnik und da gibt es doch keine Personendaten!

Wer arbeitet heute an Anlage XY?

Dieser Schluss ist leider etwas vorschnell. Denn es gibt mittlerweile so gut wie keine informationstechnischen Systeme mehr, in denen nicht in irgendeiner Weise personenbeziehbare Daten vorhanden sind. Das gilt auch für die Produktion. Jemand bedient die Anlage. Und dieser Jemand muss sich an der Anlage anmelden. Und abmelden.

Profile und Leistungsmessung

Darüber hinaus wird protokolliert, was während der Arbeitszeit passiert. Und schon haben wir ein Protokoll, das sich auf eine Person und deren Arbeit bezieht. Werden mit dieser Person bestimmte Vorkommnisse in Verbindung gebracht (während der Schicht von Anton Abele sind fünf Fehler passiert!) haben wir ein Profil. Denn wenn bei Bertram Bebele nur zwei Fehler passiert sind, dann muss Bertram Bebele der Bessere sein, oder? Und plötzlich haben wir nicht nur ein Profil, sondern eine mögliche Kontrolle von Verhalten und Leistung.

Wer hat Zugriff?

In den wenigsten Fällen wird auf diese Protokolle zugegriffen werden. Das hat aber nichts damit zu tun, dass die dazugehörigen Daten nun mal verarbeitet werden und auf Personen beziehbar sind. Da Profilen laut Datenschutz-Grundverordnung (DSGVO) besondere Beachtung zukommt, sind wir mittendrin in den Tiefen des Datenschutzes.

„Datenschutzbeauftragte überwachen, ob der Verantwortliche Datenschutzvorgaben angemessen umsetzt.“

Datenschutzrisiken an Produktionsanlagen

Informationspflicht erfüllt?

Laut Artikel 13 der DSGVO müssen Beschäftigte bei der Erhebung ihrer personenbezogenen Daten über diese Verarbeitung informiert werden. Unternehmen sollten prüfen, ob das für ihre Produktionsanlagen umgesetzt wurde. Konkret: Ist die Datenverarbeitung in der Produktion angemessen in der Datenschutzinformation berücksichtigt? Wenn nicht, liegt möglicherweise ein Datenschutzverstoß vor.

Datenschutz-Meldepflicht geprüft?

Bei einem Datenschutz-Verstoß kann die Meldepflicht an die Datenschutz-Aufsichtsbehörde greifen. Das gilt zumindest, wenn die Daten möglicherweise ein Risiko für die Rechte und Freiheiten Betroffener bedeuten können. Das kann unter Umständen schon dann der Fall sein, wenn Fehler an der Maschine den dort arbeitenden Personen zugeordnet werden und damit ein Leistungsvergleich möglich wird. Gibt es im Unternehmen einen Betriebsrat, ist er einzubinden.

Betroffenenanfragen beantworten

Laut Art. 15 müssen Verantwortliche Betroffenenanfragen vollständig beantworten. Habe Sie sichergestellt, dass im Fall der Anfrage eines Mitarbeiters in der Produktion auch an die Daten in den Produktionsmaschinen gedacht wird? Bleiben Personendaten unberücksichtigt, können Betroffene möglicherweise Schadenersatz geltend machen.

Wann werden Daten gelöscht?

Sorgen Sie dafür, dass Daten der Anlagen gelöscht werden – wenn sie nicht mehr gebraucht werden oder wenn ihre gesetzliche Aufbewahrungsfrist abgelaufen ist. Gebraucht werden sie möglicherweise sehr lange. Ein Beispiel: Ein Auftraggeber komplexer Industriegüter verlangt aus Beweisgründen, dass Details zur Produktion für eine bestimmte Zeit gespeichert werden, um Anforderungen des Qualitätsmanagements zu erfüllen oder in Garantiefällen als Beweis zu dienen. In anderen Fällen muss geprüft werden, wie lange die Daten objektiv erforderlich sind.

In der Praxis sind in einzelnen Fällen sicher weitere Risiken vorhanden. Diese gilt es anhand der konkreten Umstände zu ermitteln und zu dokumentieren.

Viel zu tun für den Datenschutz

Überwachung durch Datenschutzbeauftragte

Datenschutzbeauftragte überwachen, ob der Verantwortliche Datenschutzvorgaben angemessen umsetzt. Hier einige Maßnahmen, die helfen können. Die Ergebnisse sollten Sie in den Datenschutz-Jahresbericht aufnehmen.

Verzeichnis der Verarbeitungstätigkeiten

Prüfen Sie, ob die Datenverarbeitung an den Produktionsmaschinen im Verarbeitungsverzeichnis erfasst ist. Wenn nein, sollten Sie dies schnell nachholen. Wenn ja: Wann wurde dies das letzte Mal geprüft und aktualisiert?

Sind Wartungsverträge richtig abgefasst?

Produktionsanlagen werden regelmäßig gewartet. Da Anlagen komplex sind, geschieht dies häufig durch den Hersteller oder spezialisierte Dienstleister. Kann dabei ein Zugriff auf die Personendaten nicht ausgeschlossen werden, ist mindestens eine Vertraulichkeitsvereinbarung abzuschließen. Wird ein Wartungsdienst mit der Erstellung von Auswertungen beauftragt, schließen Sie einen Vertrag über Auftragsverarbeitung. Es hilft nichts, hier müssen sich Datenschutzbeauftragte, Produktionsleitung und technisch Verantwortliche eng miteinander abstimmen.

Werden die Daten richtig gelöscht?

Prüfen Sie, wie lange Daten objektiv gebraucht werden, wie sie zu löschen sind und wie sie bis zu ihrer Löschung sicher aufbewahrt werden. Denn: Wenn Daten lange aufzubewahren sind, dann gilt auch der Grundsatz der Verfügbarkeit laut DSGVO. Dann müssen die Daten unter Anwendung der geeigneten technischen und organisatorischen Maßnahmen so aufbewahrt werden, dass sie vorhanden und nutzbar sind.

Personenbezogene Daten aus Industrieanlagen schützen

Auch das muss geprüft werden: sind die Schutzmaßnahmen geeignet oder kann jeder die Anlagendaten auslesen? Oft wissen die an den Anlagen arbeitenden Personen, wo sie bestimmte Details nachsehen können. Sie können also grundsätzlich auch Daten von Kollegen einsehen. Haben Sie geeignete Schutzmaßnahmen gegen Datenpannen getroffen? Werden diese Maßnahmen regelmäßig geprüft?

Also, liebe Datenschutzbeauftragte: Sicherheitsschuhe anziehen, Ohrstöpsel (Gehörschutz) einstecken und ab in die Produktion!

10 Tipps, um personenbezogene Daten aus Produktionsanlagen sicher zu verarbeiten

Datenschutzverstöße an den Produktionsanlagen vermeiden? Hier einige Tipps und Maßnahmen.

Tipp Nr. 1

Prüfen Sie, mit welchen Produktionsanlagen oder Steuerungseinrichtungen personenbezogene oder auf Personen beziehbare Daten verarbeitet werden. Legen Sie ein „Inventar“ an.

Tipp Nr. 2

Prüfen Sie, unter welchen näheren Umständen die Verarbeitung erfolgt.

Tipp Nr. 3

Prüfen Sie, wer die Verantwortlichen für diese Verarbeitungsprozesse sind und ob sie sich ihrer Verantwortung hinsichtlich des Datenschutzes bewusst sind

Tipp Nr. 4

Prüfen Sie, ob die Verarbeitungstätigkeit Bestandteil des Verzeichnisses der Verarbeitungstätigkeiten ist. Wenn nicht, nehmen Sie sie dort auf.

Tipp Nr. 5

Prüfen Sie, ob und wie Wartung durch Dritte erfolgt und wie die vertraglichen Regelungen lauten.

Tipp Nr. 6

Stellen Sie sicher, dass die personenbezogenen oder auf Personen beziehbaren Daten gelöscht werden, sobald sie für den Prozess nicht mehr erforderlich sind und keine gesetzlichen Aufbewahrungsfristen mehr greifen.

Tipp Nr. 7

Prüfen Sie, wie weit gegebenenfalls der Betriebsrat eingebunden ist und ob möglicherweise in einer Betriebsvereinbarung rechtlich verbindliche Regelungen getroffen wurden.

Tipp Nr. 8

Prüfen, ob die Vorkehrungen zum Schutz der Daten ausreichen oder wie gegebenenfalls nachgebessert werden kann.

Tipp Nr. 9

Ermitteln Sie, ob die Daten bei Betroffenenanfragen berücksichtigt werden.

Tipp Nr. 10

Stellen Sie sicher, dass Datenschutzbeauftragte von Anfang an in Prozesse der Datenverarbeitung in Produktionsanlagen eingebunden werden.

Und die Kernfrage: Ist sichergestellt, dass personenbezogene Daten in Industrieanlagen datenschutzkonform verarbeitet werden?

Wir wünschen viel Erfolg dabei, Datenpannen an Produktionsanlagen souverän zu vermeiden.

Sie wünschen sich Unterstützung?

Die Experten von Team Datenschutz sind für Sie da.

Bei Datenschutz-Fragen Team Datenschutz fragen.

Kontakt aufnehmen Kontakt aufnehmen

Hat Ihnen der Datentipp gefallen? Empfehlen Sie ihn weiter!

Der VVT-Check

Passgenaue Analyse. Klare Empfehlungen.

Endlich Sicherheit beim Verzeichnis der Verarbeitungstätigkeiten.

Jetzt unverbindlich kennenlernen.

zum VVT-Check

< Älterer Beitrag Neuerer Beitrag >

Gelungenes Event: Das war das Datenschutz-Update 2024

von Team Datenschutz • 22. November 2024

Auch in diesem Jahr hat das Tagesseminar „Datenschutz-Update“ wieder zahlreiche Interessierte aus Datenschutz und Informationssicherheit zusammengebracht. Mit rund 40 Teilnehmenden fand das virtuelle Event regen Zuspruch und bot spannende Einblicke in die Herausforderungen und Chancen, die 2025 und darüber hinaus auf Unternehmen und Datenschutzbeauftragte zukommen.

Team Datenschutz auf der IDACON 2024

von Team Datenschutz • 1. Oktober 2024

Auch in diesem Jahr ist Team Datenschutz wieder bei der 24. IDACON 2024 mit dabei. Vom 5. bis 7. November dreht sich auf dem hybriden Kongress für Datenschutz in München alles um aktuelle Entwicklungen und praxisnahe Lösungen im Datenschutz.

Sensoren, Aktoren und der Datenschutz

von Eberhard Häcker • 23. August 2024

Sensoren und Aktoren stecken in Autos, im Smart Home, in Industrie, Medizintechnik und mehr. Sie sammeln und verarbeiten Daten, die oft mit Menschen in Verbindung stehen. Klarer Fall für den Datenschutz. 10 Tipps, um Datenpannen zu vermeiden.

Netzwerktopologie verständlich erklärt & Tipps für ein sicheres Netzwerk

von Eberhard Häcker • 7. August 2024

Netzwerktopologie bezeichnet, wie Geräte in Computer-Netzwerken miteinander verbunden sind. Die häufigsten Topologien sind Stern, Ring, Bus und Masche. Dabei werden personenbezogene Daten verarbeitet. Umso wichtiger, dass Datenschutzbeauftragte sich des Themas annehmen.

Unsichere WLAN-Netzwerke erkennen und wichtige Daten schützen

von Eberhard Häcker • 9. Juli 2024

Wie Sie unsichere WLAN-Netzwerke erkennen und mit welchen Maßnahmen Sie Ihre Daten schützen. Unsere Tipps zu sicheren Verbindungen und Mitarbeiterschulungen.

Agile Datenschutzbeauftragte. Fachseminar mit Eberhard Häcker

von Team Datenschutz • 26. Juni 2024

Wir laden ein zu einem spannenden neuen Datenschutz-Event: Das Fachseminar "Agile Datenschutzbeauftragte – Immer einen Schritt voraus" richtet sich an Datenschutzbeauftragte, die mit modernen, agilen Methoden den Anforderungen der veränderten Arbeitswelt begegnen und immer einen Schritt voraus sein möchten. Seminarleiter Eberhard Häcker freut sich auf den Austausch mit den Teilnehmenden.

DSGVO-gerechte Systemhärtung. 13 Tipps für eine sichere IT

von Eberhard Häcker • 7. Juni 2024

Das beste Schutz gegen Angriffe auf die Unternehmens-IT ist die Härtung der Systeme – also die gezielte Absicherung von Rechnern, Servern und anderen Komponenten. Wie das geht, verrät der Datentipp!

Sicherheit des Unternehmensgebäudes – und was das mit Datenschutz zu tun hat

von Eberhard Häcker • 29. Mai 2024

Für Unternehmen sind angemessene Sicherheitsvorkehrungen von entscheidender Bedeutung. Das betrifft unter anderem Firmengebäude und das Firmengelände. Vom Einbruchschutz über eine resiliente IT bis zum Umgang mit Notfallsituationen – eine umfassende Sicherheitsstrategie leistet einen wichtigen Beitrag, Ihr Unternehmen vor Gefahren verschiedenster Art zu schützen. Wir geben Tipps.

Großereignisse und ihre datenschutzrechtlichen Risiken für Unternehmen

von Eberhard Häcker • 29. April 2024

Bei Großereignissen wie Demonstrationen, Festen oder sportlichen Ereignissen sind viele Menschen unterwegs. In der nahen Umgebung des Unternehmens können solche Events Auswirkungen haben von logistischen Herausforderungen bis hin zu möglichen Datenschutzverletzungen. 11 Tipps, wie Unternehmen sich auf solche Ereignisse vorbereiten und rechtliche Probleme umgehen.