Am 25. Mai 2018 trat die DSGVO, die neue Datenschutzgrundverordnung, als Ergänzung zum BDSG in Kraft. Mittlerweile ist die anfängliche Aufregung, welche die Datenschutzreform ausgelöst hat, mehr als abgeflacht. Der folgende Artikel befasst sich mit der DSGVO-Relevanz hinsichtlich der Produktion. Er fasst die wichtigsten Neuregelungen kurz zusammen und geht auf die DSGVO-konforme Produktion ein.
Wo fallen personenbezogene Daten in der Produktion an?
Die Produktion verheddert sich vor allem im Netz der DSGVO, weil auch Maschinendaten zu den personenbezogenen Daten gehören können. Im Zeitalter von Industrie 4.0 und IIoT haben wir es mit einer zunehmenden Anzahl vernetzter Maschinen zu tun, die eigenständig und automatisch Daten sammeln. Oftmals handelt es sich dabei um Informationen über die Maschine selbst oder über ihre technische Umgebung. Solche Daten besitzen keinerlei Relevanz hinsichtlich der DSGVO. Kritisch wird es, wenn Maschinen Daten sammeln, die sich mit Arbeitnehmern in Verbindung bringen lassen.
1. Beispiel: Die Maschine zeichnet auf, von wann bis wann ein Mitarbeiter gearbeitet, wann eine Pause eingelegt und wann die Arbeit beendet wurde. Auf den ersten Blick sind das natürlich keine personenbezogenen Daten – zumindest, solange der betroffene Mitarbeiter sich beispielsweise nicht mit einem ihm zugeordneten Code an der Maschine registrieren muss. Ein einfacher Blick auf den Arbeitsplan verrät aber schnell, wer zur Schicht an dieser Maschine eingeteilt war. Fazit: Die betroffene Person ist identifizierbar. Somit handelt es sich bei den Maschinendaten um ergänzende personenbezogene Daten und die DSGVO greift.
2.Beispiel: Noch ausschlaggebender wird das Ganze, wenn individualisierte Produkte hergestellt werden. Stellt ein Unternehmen beispielsweise maßgefertigte Prothesen her, verfügt es über enorm sensible Gesundheitsdaten der jeweiligen Kunden, die unbedingt zu schützen sind und der betroffenen Person im Idealfall von vorneherein nicht zugeordnet werden können sollten.
Hinweis: Unsere Berichte sind oft sehr ausführlich. Daher bieten wir an mit der PDF „DSGVO in der Produktion“ eine Zusendung des Artikels im PDF-Format zur späteren Sichtung an. Nutzen Sie das Angebot um sich die Praxis-Impulse in Ruhe durchzulesen, Sie können hierfür auch einfach auf das PDF-Symbol klicken.
Was ist nach der DSGVO mit personenbezogenen Daten gemeint?
Allgemein sind personenbezogene Daten sämtliche Daten, die etwas über eine natürliche Person aussagen und mit dieser in Zusammenhang gebracht werden können. Dazu gehören nicht nur Angaben wie Telefonnummern, Kundennummern, Anschriften, Kreditkartennummern, Äußerlichkeiten und Kfz-Kennzeichen, die offensichtlich personenbezogen sind. Im Rahmen der DSGVO wird die Bezeichnung „personenbezogene Daten“ deutlich weiter gefasst. Auch besondere personenbezogene Daten, die beispielsweise die Ethnizität, die politischen Einstellungen, die Religionszugehörigkeit oder den Gesundheitszustand einer Person verraten, fallen darunter. Darüber hinaus sind sich viele Menschen bislang nicht bewusst, dass die DSGVO nicht nur objektive, sondern auch subjektive personenbezogene Daten einschließt. Gleich schützenswert sind demnach zum Beispiel Arbeitsbeurteilungen, Zeugnisse und Kreditwürdigkeitseinschätzungen.
Übrigens: Für juristische Personen, also zum Beispiel Körperschaften und Stiftungen, gilt der Datenschutz in dieser Form nicht. Personenbezogene Daten, die sich auf eine Körperschaft beziehen, können demnach weiterhin wie gehabt gehandhabt werden.
DSGVO-Konformität: Was können produzierende Unternehmen tun?
Die DSGVO stellt produzierende Unternehmen also vor große Herausforderungen, vor allem die Early Adopter, welche das Ziel der personenbezogenen Fertigung mittels Einzelfertigung nach Kundenwunsch angehen. Folgendermaßen können Schritte in Richtung DSGVO-Konformität angegangen werden:
1. Informationen über die Maschinen einholen
Zunächst muss man natürlich herausfinden, ob und welche Maschinen im Unternehmen personenbezogene Daten erheben. Dieser Schritt kann einige Zeit kosten. Oftmals sind weder Mitarbeiter noch Führungskräfte im Besitz dieser Informationen. An dieser Stelle kann es manchmal helfen, sich direkt beim Hersteller zu erkundigen oder aber einen sachkundigen Experten aufzusuchen.
2. DSGVO-Konformität prüfen
Ist klar, welche Maschinen personenbezogene Daten sammeln oder verarbeiten, muss geprüft werden, inwiefern die Datenverarbeitung DSGVO-konform abläuft. Wissen die betroffenen Personen darüber Bescheid? Und haben sie freiwillig zugestimmt? Wurde eine Datenschutzfolgeabschätzung durchgeführt?
Übrigens: In diesem Zuge muss auch geklärt werden, ob andere Unternehmen aufgrund von Outsourcing in Kontakt mit diesen Daten kommen. Trifft dies zu, müssen die diesbezüglichen Verträge für Tätigkeiten auf einer „verlängerten Werkbank“ geprüft oder neu aufgesetzt werden.
3. Einen Datenschutzbeauftragten einstellen
Sie sehen: Die Produktion DSGVO-konform zu gestalten, kann unter Umständen mit einigem Aufwand einhergehen. Daher ergibt es in jedem Falle Sinn, einen Mitarbeiter mit entsprechender Kompetenz zum Datenschutzbeauftragten zu machen oder aber eine solche Person einzustellen.
Die wichtigsten neuen Regelungen der DSGVO
Vieles Datenschutzrechtliche wurde bereits im BDSG geregelt – und dennoch oftmals nur sporadisch umgesetzt. Die Bußen, die bei einem Verstoß zu befürchten waren, fielen gering aus und Verstöße wurden ohnehin kaum verfolgt. Mit der DSGVO sind nun Geldbußen bis zu einer Höhe von 4 % des Umsatzes des betroffenen Unternehmens oder bis 20 Millionen Euro möglich. Angekündigt war, dass DSGVO-Konformität somit einen deutlich höheren Stellenwert erhalten soll. Ein Blick auf die DSGVO-Bilanz zeigt jedoch ein bisher zögerliches Kontrollverhalten seitens der Aufsichtsbehörden auf. Teils lag das an personellen Engpässen, jedoch auch aufgrund einer gewollten Schonfrist, die laut Ankündigung mehrerer Aufsichtsbehörden nun ein Ende haben soll. Die Top-DSGVO-Lücken brachte ein DSGVO-Expertengespräch aufgrund von Audits im letzten Jahr zum Vorschein:
Das Einholen von Einwilligungen
Personen müssen vor der Verarbeitung ihrer Daten darüber informiert werden, zu welchem Zweck diese gesammelt und wie lange sie gespeichert werden, wobei auch die Rechtsgrundlage, auf der die Datenverarbeitung basiert, genannt werden muss. Anschließend müssen sie bewusst und vor allem freiwillig die Verarbeitung ihrer Daten einwilligen.
Das Verarbeitungsverzeichnis
Unternehmen sind dazu verpflichtet, die Maßnahmen, welche zum Datenschutz ergriffen werden und alle Datenverarbeitungsprozesse im sogenannten Verarbeitungsverzeichnis lückenlos zu dokumentieren.
Übrigens: Diese Dokumentation dient auch dem Schutz des Unternehmens. Nur wer das Verarbeitungsverzeichnis penibel führt, kann im Falle eines Verstoßvorwurfs Gegenbeweise vorlegen.
Die Datenschutzfolgeabschätzung
Verarbeitet ein Unternehmen Daten, muss es sich regelmäßig um eine sogenannte Datenschutzfolgeabschätzung kümmern. Es muss also fundiert ermitteln, inwiefern sich der Verlust oder aber die Veröffentlichung der verarbeiteten Daten auf die betroffenen Personen auswirken würde.
Die Informationspflicht
Zudem müssen Datenlecks laut DSGVO binnen 72 Stunden gemeldet werden. Im Normalfall lediglich an die Aufsichtsbehörden. Ist das Datenleck aber mit einem hohen Risiko für die betroffenen Personen verbunden, muss der Vorfall auch diesen mitgeteilt werden.
Kommentar hinterlassen zu "Die DSGVO und die Relevanz für die Produktion"