Blog-Layout

Personenbezogene Daten am Fließband? Produktionsanlagen und Datenschutz

Eberhard Häcker • Feb. 23, 2024

Der kleine feine Datentipp

Lesezeit: ca. 6 Minuten

Ein Bereich, wo die Verarbeitung personenbezogener Daten oft übersehen wird: Industrieanlagen. Dabei fallen auch dort so gut wie immer Personendaten an – mit bedenkenswerten Folgen. Was droht aus Sicht des Datenschutzes und wie können Sie gegensteuern? Hintergründe und 10 praktische Handlungstipps.

Produktionsanlagen und Datenschutz

Datenschutzbeauftragte begreifen sich selten als zuständig für Produktionsanlagen und deren Wartung. Was soll es dort schon an personenbezogenen Daten geben? Betriebstechnik ist Betriebstechnik und da gibt es doch keine Personendaten!

Wer arbeitet heute an Anlage XY?

Dieser Schluss ist leider etwas vorschnell. Denn es gibt mittlerweile so gut wie keine informationstechnischen Systeme mehr, in denen nicht in irgendeiner Weise personenbeziehbare Daten vorhanden sind. Das gilt auch für die Produktion. Jemand bedient die Anlage. Und dieser Jemand muss sich an der Anlage anmelden. Und abmelden.

Profile und Leistungsmessung

Darüber hinaus wird protokolliert, was während der Arbeitszeit passiert. Und schon haben wir ein Protokoll, das sich auf eine Person und deren Arbeit bezieht. Werden mit dieser Person bestimmte Vorkommnisse in Verbindung gebracht (während der Schicht von Anton Abele sind fünf Fehler passiert!) haben wir ein Profil. Denn wenn bei Bertram Bebele nur zwei Fehler passiert sind, dann muss Bertram Bebele der Bessere sein, oder? Und plötzlich haben wir nicht nur ein Profil, sondern eine mögliche Kontrolle von Verhalten und Leistung.

Wer hat Zugriff?

In den wenigsten Fällen wird auf diese Protokolle zugegriffen werden. Das hat aber nichts damit zu tun, dass die dazugehörigen Daten nun mal verarbeitet werden und auf Personen beziehbar sind. Da Profilen laut Datenschutz-Grundverordnung (DSGVO) besondere Beachtung zukommt, sind wir mittendrin in den Tiefen des Datenschutzes.

„Datenschutzbeauftragte überwachen, ob der Verantwortliche Datenschutzvorgaben angemessen umsetzt.“

Datenschutzrisiken an Produktionsanlagen

Informationspflicht erfüllt?

Laut Artikel 13 der DSGVO müssen Beschäftigte bei der Erhebung ihrer personenbezogenen Daten über diese Verarbeitung informiert werden. Unternehmen sollten prüfen, ob das für ihre Produktionsanlagen umgesetzt wurde. Konkret: Ist die Datenverarbeitung in der Produktion angemessen in der Datenschutzinformation berücksichtigt? Wenn nicht, liegt möglicherweise ein Datenschutzverstoß vor.

Datenschutz-Meldepflicht geprüft?

Bei einem Datenschutz-Verstoß kann die Meldepflicht an die Datenschutz-Aufsichtsbehörde greifen. Das gilt zumindest, wenn die Daten möglicherweise ein Risiko für die Rechte und Freiheiten Betroffener bedeuten können. Das kann unter Umständen schon dann der Fall sein, wenn Fehler an der Maschine den dort arbeitenden Personen zugeordnet werden und damit ein Leistungsvergleich möglich wird. Gibt es im Unternehmen einen Betriebsrat, ist er einzubinden.

Betroffenenanfragen beantworten

Laut Art. 15 müssen Verantwortliche Betroffenenanfragen vollständig beantworten. Habe Sie sichergestellt, dass im Fall der Anfrage eines Mitarbeiters in der Produktion auch an die Daten in den Produktionsmaschinen gedacht wird? Bleiben Personendaten unberücksichtigt, können Betroffene möglicherweise Schadenersatz geltend machen.

Wann werden Daten gelöscht?

Sorgen Sie dafür, dass Daten der Anlagen gelöscht werden – wenn sie nicht mehr gebraucht werden oder wenn ihre gesetzliche Aufbewahrungsfrist abgelaufen ist. Gebraucht werden sie möglicherweise sehr lange. Ein Beispiel: Ein Auftraggeber komplexer Industriegüter verlangt aus Beweisgründen, dass Details zur Produktion für eine bestimmte Zeit gespeichert werden, um Anforderungen des Qualitätsmanagements zu erfüllen oder in Garantiefällen als Beweis zu dienen. In anderen Fällen muss geprüft werden, wie lange die Daten objektiv erforderlich sind.

In der Praxis sind in einzelnen Fällen sicher weitere Risiken vorhanden. Diese gilt es anhand der konkreten Umstände zu ermitteln und zu dokumentieren.

Viel zu tun für den Datenschutz

Überwachung durch Datenschutzbeauftragte

Datenschutzbeauftragte überwachen, ob der Verantwortliche Datenschutzvorgaben angemessen umsetzt. Hier einige Maßnahmen, die helfen können. Die Ergebnisse sollten Sie in den Datenschutz-Jahresbericht aufnehmen.

Verzeichnis der Verarbeitungstätigkeiten

Prüfen Sie, ob die Datenverarbeitung an den Produktionsmaschinen im Verarbeitungsverzeichnis erfasst ist. Wenn nein, sollten Sie dies schnell nachholen. Wenn ja: Wann wurde dies das letzte Mal geprüft und aktualisiert?

Sind Wartungsverträge richtig abgefasst?

Produktionsanlagen werden regelmäßig gewartet. Da Anlagen komplex sind, geschieht dies häufig durch den Hersteller oder spezialisierte Dienstleister. Kann dabei ein Zugriff auf die Personendaten nicht ausgeschlossen werden, ist mindestens eine Vertraulichkeitsvereinbarung abzuschließen. Wird ein Wartungsdienst mit der Erstellung von Auswertungen beauftragt, schließen Sie einen Vertrag über Auftragsverarbeitung. Es hilft nichts, hier müssen sich Datenschutzbeauftragte, Produktionsleitung und technisch Verantwortliche eng miteinander abstimmen.

Werden die Daten richtig gelöscht?

Prüfen Sie, wie lange Daten objektiv gebraucht werden, wie sie zu löschen sind und wie sie bis zu ihrer Löschung sicher aufbewahrt werden. Denn: Wenn Daten lange aufzubewahren sind, dann gilt auch der Grundsatz der Verfügbarkeit laut DSGVO. Dann müssen die Daten unter Anwendung der geeigneten technischen und organisatorischen Maßnahmen so aufbewahrt werden, dass sie vorhanden und nutzbar sind.

Personenbezogene Daten aus Industrieanlagen schützen

Auch das muss geprüft werden: sind die Schutzmaßnahmen geeignet oder kann jeder die Anlagendaten auslesen? Oft wissen die an den Anlagen arbeitenden Personen, wo sie bestimmte Details nachsehen können. Sie können also grundsätzlich auch Daten von Kollegen einsehen. Haben Sie geeignete Schutzmaßnahmen gegen Datenpannen getroffen? Werden diese Maßnahmen regelmäßig geprüft?

Also, liebe Datenschutzbeauftragte: Sicherheitsschuhe anziehen, Ohrstöpsel (Gehörschutz) einstecken und ab in die Produktion!

10 Tipps, um personenbezogene Daten aus Produktionsanlagen sicher zu verarbeiten

Datenschutzverstöße an den Produktionsanlagen vermeiden? Hier einige Tipps und Maßnahmen.

Tipp Nr. 1

Prüfen Sie, mit welchen Produktionsanlagen oder Steuerungseinrichtungen personenbezogene oder auf Personen beziehbare Daten verarbeitet werden. Legen Sie ein „Inventar“ an.

Tipp Nr. 2

Prüfen Sie, unter welchen näheren Umständen die Verarbeitung erfolgt.

Tipp Nr. 3

Prüfen Sie, wer die Verantwortlichen für diese Verarbeitungsprozesse sind und ob sie sich ihrer Verantwortung hinsichtlich des Datenschutzes bewusst sind

Tipp Nr. 4

Prüfen Sie, ob die Verarbeitungstätigkeit Bestandteil des Verzeichnisses der Verarbeitungstätigkeiten ist. Wenn nicht, nehmen Sie sie dort auf.

Tipp Nr. 5

Prüfen Sie, ob und wie Wartung durch Dritte erfolgt und wie die vertraglichen Regelungen lauten.

Tipp Nr. 6

Stellen Sie sicher, dass die personenbezogenen oder auf Personen beziehbaren Daten gelöscht werden, sobald sie für den Prozess nicht mehr erforderlich sind und keine gesetzlichen Aufbewahrungsfristen mehr greifen.

Tipp Nr. 7

Prüfen Sie, wie weit gegebenenfalls der Betriebsrat eingebunden ist und ob möglicherweise in einer Betriebsvereinbarung rechtlich verbindliche Regelungen getroffen wurden.

Tipp Nr. 8

Prüfen, ob die Vorkehrungen zum Schutz der Daten ausreichen oder wie gegebenenfalls nachgebessert werden kann.

Tipp Nr. 9

Ermitteln Sie, ob die Daten bei Betroffenenanfragen berücksichtigt werden.

Tipp Nr. 10

Stellen Sie sicher, dass Datenschutzbeauftragte von Anfang an in Prozesse der Datenverarbeitung in Produktionsanlagen eingebunden werden.

Und die Kernfrage: Ist sichergestellt, dass personenbezogene Daten in Industrieanlagen datenschutzkonform verarbeitet werden?

Wir wünschen viel Erfolg dabei, Datenpannen an Produktionsanlagen souverän zu vermeiden.

Sie wünschen sich Unterstützung?

Die Experten von Team Datenschutz sind für Sie da.

Bei Datenschutz-Fragen Team Datenschutz fragen.

Kontakt aufnehmen Kontakt aufnehmen

Hat Ihnen der Datentipp gefallen? Empfehlen Sie ihn weiter!

Der VVT-Check

Passgenaue Analyse. Klare Empfehlungen.

Endlich Sicherheit beim Verzeichnis der Verarbeitungstätigkeiten.

Jetzt unverbindlich kennenlernen.

zum VVT-Check

< Älterer Beitrag Neuerer Beitrag >

Network Access Control – 8 Tipps für eine DSGVO-konforme Netzzugangskontrolle

von Eberhard Häcker • 05 Apr., 2024

Wer unerlaubt in ein Netzwerk eindringt, kann erheblichen Schaden anrichten. Wie betreiben Organisationen ihre Netze in Sachen Informationssicherheit und Datenschutz rechtskonform? Mittels Network Access Control. 8 Tipps, wie Sie die Netzzugangskontrolle sicher und DSGVO-gerecht regeln.

Datenpannen bei Namen von BewerberInnen im Outlook-Kalender

von Eberhard Häcker • 27 März, 2024

Ja, auch im Kalender kann es zu Datenlecks kommen. Viele Unternehmen nutzen Kalender wie Outlook, um Termine zu organisieren. Die Schattenseite: Heikle Infos wie Namen von Bewerbenden sind schnell für Unbefugte sichtbar - wenn die Einträge nicht geschützt sind. Schnell entstehen Vertraulichkeitsprobleme und Datenschutzverletzungen. Vorkehrungen helfen gegen Zwischenfälle. Wir geben Tipps.

Datenlöschung nach DSGVO oder: Personenbezogene Daten im Niemandsland

von Eberhard Häcker • 15 März, 2024

Auch die Zeit von Daten läuft irgendwann ab. Sie werden nicht mehr gebraucht, Aufbewahrungsfristen sind abgelaufen, sie liegen eh nur im Weg — und die Löschung personenbezogener Daten verlangt natürlich auch die DSGVO. Bis wirklich gelöscht wird, sind die Daten sicher zu schützen. 7 Schritte, wie es klappt.

Fernwartung in der Produktion und mögliche Datenpannen

von Eberhard Häcker • 01 März, 2024

Was bei Produktionsmaschinen oft übersehen wird: In aller Regel stehen mit ihnen personenbezogene Daten in Verbindung. Wartung und Fernwartung von Maschinen und Anlagen betreffen also den Datenschutz. Darum sollten Datenschutzbeauftragte eingebunden werden und die Abläufe begleiten. Unsere Tipps für eine datenschutzgerechte Fernwartung in der Produktion.

E-Mails und die DSGVO. 5 Tipps gegen Datenpannen

von Eberhard Häcker • 30 Jan., 2024

Wer eine E-Mail schreibt, kann aus Sicht der DSGVO Fehler machen. Ja, mit einer einzigen Mail kann sogar gleich eine ganze Reihe an Datenschutz-Verstößen passieren. Welche das sind, zeigt der aktuelle Datentipp – zusammen mit Hintergrundinfos und Tipps, um Datenpannen in geschäftlichen E-Mails zu verhindern.

Daten im Niemandsland und Zweckänderung während der Löschfrist

von Eberhard Häcker • 19 Jan., 2024

Personenbezogene Daten müssten gelöscht werden, als sich plötzlich ein neuer Verarbeitungszweck ergibt. Was ist zu tun? Der Datentipp verrät Hintergründe, Risiken und Rechtliches und gibt Tipps zur Zweckänderung.

Der Datenschutz-Adventskalender 2023

von Team Datenschutz • 29 Nov., 2023

Auch in diesem Jahr hat Team Datenschutz wieder einen ganz besonderen Adventskalender. Jeden Tag wartet ein neues Video mit Abenteuern von Datenschützer Eberhard und dem kleinen DATSIPrUse vom Planeten DATSIS. Was die zwei so alles erleben werden? Auf jeden Fall gibt es einiges zu lernen über Datenschutz und Cybersicherheit - mit lustigen kleinen Geschichten aus dem Datenschutz-Alltag. Seid dabei!

Speicherprogrammierbare Steuerung (SPS), Sicherheit und Datenschutz

von Eberhard Häcker • 23 Nov., 2023

Speicherprogrammierbare Steuerungen oder kurz SPS-Steuerungen sind das Herzstück von Fertigungsanlagen und Produktionsprozessen. Doch wo Technologie im Einsatz ist, gibt es Risiken. Wir zeigen die größten Herausforderungen im Umgang mit SPS-Steuerungen aus Sicht der Sicherheit und des Datenschutzes – und geben Tipps, wie Sie sie absichern.

Das war das Datenschutz-Update

von Team Datenschutz • 10 Nov., 2023

Das alljährliche Tagesseminar Datenschutz-Update bot wie immer einen umfassenden Überblick zu den aktuellsten Themen aus Datenschutz und Informationssicherheit und gab Ausblicke auf Themen und Herausforderungen, denen Unternehmen und Datenschützer·innen in der Zukunft entgegensehen. In bewährter Form fand das Event in Karlsruhe und virtuell statt. Mit rund 50 Teilnehmenden stieß das Datenschutz-Update auch diesmal wieder auf reges Interesse!