Digitalisierung & Recht

Datenschutz 4.0

Wie sieht unser Datenschutzrecht in der Industrie 4.0 aus? Bereits im Jahr 2018 erfolgte mit der DSGVO eine umfassende Reform des Datenschutzrechts. Es stellt sich allerdings die Frage, ob diese Regelungen geeignete datenschutzrechtliche Leitplanken für eine wettbewerbsfähige Industrie 4.0 sind.
Ausgehend davon, dass der Kern der Industrie 4.0 die Digitalisierung der Produktion ist, ist dies mit dem Entstehen einer Datenwirtschaft verbunden. Die Produktion über die Grenzen des eigenen Unternehmens hinaus, erfordert den Austausch von Daten zwischen den produzierenden Unternehmen.
Dabei ist allerdings wichtig, dass der sachliche Anwendungsbereich des Datenschutzrechts nur bei der Verarbeitung von personen bezogenen Daten eröffnet ist. Daher ist auch im Bereich der Industrie 4.0 zunächst die Frage zu klären, ob dabei überhaupt personenbezogene Daten verarbeitet werden.
Es geht also um alle Informationen die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Der Name, eine Kennnummer, eine Online-Kennung etc. sind hierfür ausreichend. Es genügt, dass unmittelbar aus der Information eine Person individualisiert werden kann.
Aber wie ist es mit der Identifizierbarkeit, d.h. mit der Herstellung einer Verbindung zwischen der Information und einer natürlichen Person. Hier ist im Einzelfall zu prüfen, ob die verantwortliche Stelle oder ein Dritter über die Mittel verfügt den Bezug herzustellen. Bei der Frage, ob diese Mittel wahrscheinlich und nicht bloß hypothetisch eingesetzt werden, ist insbesondere auf die Kosten und den Aufwand der Technologie abzustellen.
Es wird daher deutlich, dass immer dann, wenn im Rahmen von Industrie 4.0 Prozesse einen Berührungspunkt zu Mitarbeitern oder Kunden bilden, sorgfältig zu prüfen ist, ob ein Personenbezug gegeben ist.
Sollte die Prüfung ergeben, dass es sich um personenbezogene Daten handelt, ist deren Nutzung nur eingeschränkt möglich. Hier kann es sinnvoll sein durch eine Anonymisierung und Pseudonymisierung den Personenbezug zu beseitigen.
Ist dies nicht möglich und bleibt der Personenbezug bestehen, resultieren hieraus eine Vielzahl von Pflichten (Privacy by Design, Informationspflichten etc.) die durch den Verantwortlichen zu beachten sind. Aufgrund der vernetzten Produktionsstrukturen und der Beteiligung mehrere Akteure innerhalb von Industrie 4.0, können auch mehrere Verantwortliche bestehen. Dies bedeutet, dass diese im Außenverhältnis gemeinsam verantwortlich sind, im Innenverhältnis aber vertraglich entsprechende Zuständigkeiten regeln können.
Standpunkt:
Auch wenn das Datenschutzrecht grundsätzlich berechtige Schutzziele verfolgt, darf es nicht eine wettbewerbsfähige Industrie 4.0 behindern. Aufgrund der Geschwindigkeit der Entwicklungen ist es notwendig, dass in einen kontinuierlichen Prozess Anpassungen im Datenschutzrecht geprüft und zeitnah umgesetzt werden. Unabhängig hiervon sollte innerhalb der Prozesse darauf geachtet werden, dass möglichst keine Daten mit Personenbezug verarbeitet oder diese durch eine Anonymisierung dem Anwendungsbereich des Datenschutzrechts entzogen werden.   

Kontakt