Warum die DSGVO das Werk zur Datenschutzzone macht

Datenschutz nervt. Er verursacht Kosten und mehr Arbeit. Prozesse werden komplizierter. Das gab jedes zweite der jüngst vom Zentrum für Europäische Wirtschaftsforschung zur Datenschutzgrundverordnung (DSGVO) befragte Unternehmen an.

Wenn die Vorschrift am 25. Mai in Kraft tritt, müssen Unternehmen sie jedoch befolgen und personenbezogene Daten so verarbeiten wie es die Verordnung will (siehe Kasten). Sonst drohen Bußgelder bis zu 20 Millionen Euro oder vier Prozent des globalen Jahresumsatzes – je nachdem, was höher ist.

Personenbezogene Daten sind Angaben, die einen Menschen entweder direkt betreffen – etwa sein Name oder seine Adresse – oder Informationen, die sich einer Person eindeutig zuordnen lassen, sobald sie mit anderen Daten kombiniert werden.

In der datengetriebenen Produktionsumgebung der Industrie 4.0 lässt sich nicht verhindern, dass auch in der Fertigung solche Daten anfallen. „Zwar sind Daten, die Sensoren über den Betrieb einer Maschine aufzeichnen, selbst nicht personenbezogen“, weiß Rebekka Weiß Datenschutzfachfrau des Bundesverbands Informationswirtschaft, Telekommunikation und neue Medien, Bitkom.

„Wenn ich diese Informationen aber mit einem Schichtplan abgleiche, entstehen personenbezogene Daten“, ergänzt Dr. Christian Hess, Rechtsanwalt beim Verband Deutscher Maschinen- und Anlagenbau (VDMA). „Denn dann weiß ich genau, zu welcher Uhrzeit welcher Mitarbeiter an der Maschine gearbeitet hat.“

Oft können Unternehmen auf diese Verknüpfung gar nicht verzichten. „Aus Gründen der Qualitätssicherung müssen wir mitunter nachweisen, dass Mitarbeiter, die zu einem bestimmten Zeitpunkt an einem Produktionsprozess beteiligt waren, auch die dafür erforderliche Qualifikation hatten“, erklärt Eike Westermann, Leiter des Bereichs Corporate Data Privacy beim Automobilzulieferer Hella. Die gut 40.000 Mitarbeiter des Lippstädter Unternehmens stellen Komponenten und Systeme für die Fahrzeugelektronik und –beleuchtung her.

Für ihre Daten gilt die DSGVO künftig ebenso wie für Daten, die täglich millionenfach durch vermeintlich unbedeutende Vorgänge entstehen. „Bei Zugangskontrollen an Türen zur Werkshalle oder zum Lager ebenso wie bei Log-Ins an PCs oder Arbeitsplätzen an Maschinen werden Daten verarbeitet, die so gut wie immer personenbezogen sind“, sagt Nicolas Fähnrich, Technologiemanager am Fraunhofer Institut für Arbeitswirtschaft und Organisation (IAO) in Stuttgart. Arbeiten die Systeme mit biometrischen Daten, sei besondere Vorsicht geboten. „Denn diese sind besonders schützenswert“, so Fähnrich.

Nicht nur Daten, die sich Mitarbeitern eindeutig zuordnen lassen, dürfen Unternehmen fortan nur noch nach der DSGVO verarbeiten. Personenbezogene Daten entstehen auch rund um die Produkte, die Betriebe herstellen.

Sensible Daten bei Herstellern von individualisierten Produkten

„Schon die Unterschrift eines Geschäftsführers oder Prokuristen unter einem Auftrag ist ein personenbezogenes Datum“, sagt Bitkom-Juristin Weiß. Erst recht hat solche Daten, wer individualisierte Produkte anfertigt. „Stellt etwa ein Anbieter von Prothesen ein künstliches Bein für einen Kunden her, hat er über diesen extrem sensible Informationen“, erklärt  IAO-Experte Fähnrich. „Falls diese Informationen durch ein Datenleck an Versicherungen des Kunden gelangen, könnten diese Rückschlüsse auf dessen Gesundheit ziehen.“

Um Betroffene in solchen Fällen zu schützen, muss sie der Prothesenhersteller künftig binnen 72 Stunden von dem Datenverlust unterrichten. Tut er dies nicht, droht ein Bußgeld.

„Um solche Risiken zu vermeiden, sollten Unternehmen wo immer möglich schon bei der Entstehung der Daten verhindern, dass durch deren Kombination mit anderen Informationen ein Personenbezug entstehen kann“, rät der stellvertretende Leiter der VDMA-Rechtsabteilung, Daniel van Geerenstein. Daten ließen sich dazu beispielsweise anonymisieren oder pseudonymisieren.

Außerdem, sollten sich Produktionsverantwortliche überlegen, ob sie wirklich alle Daten brauchen, die sie speichern. „Für den Schutz sämtlicher Daten, die ich verarbeite, muss ich künftig einen gewaltigen Aufwand treiben“, erklärt IAO-Experte Fähnrich. Da lohne es sich manchmal, auf bestimmte Daten zu verzichten.

Um entscheiden zu können, auf welche, müssen Produktionsverantwortliche wissen, wo in ihrer Fertigung überhaupt personenbeziehbare Daten anfallen, welche Informationen sie enthalten, wie sie gespeichert und zu welchen Zwecken sie verarbeitet werden. Die DSGVO verpflichtet Unternehmen, sich diesen Überblick zu verschaffen und ein Verzeichnis all ihrer Datenverarbeitungsvorgänge zu erstellen.

Verarbeitungsverzeichnis als Überblick

Für Automobilzulieferer Hella ist das Verarbeitungsverzeichnis die Grundlage, auf der das Unternehmen sein weiteres Datenschutzkonzept aufgestellt hat. „Wir haben geschaut, welche personenbezogenen Daten bei uns in bestimmten Produktionsprozessen entstehen. Darauf aufbauend haben wir technische und organisatorische Maßnahmen ergriffen, die sicherstellen, dass wir die DSGVO erfüllen, keine Daten erheben, für die wir keinen Zweck haben, oder mit denen wir die Leistung einzelner Mitarbeiter überwachen könnten“, berichtet Hella-Datenschutzchef Westermann.

„Mit dem Verarbeitungsverzeichnis verschaffen sich Verantwortliche auch den Überblick darüber, welche Daten sie nur mit Einwilligung der Betroffenen verarbeiten können“, ergänzt Weiß vom Bitkom.

Das ist allerdings nicht immer erstrebenswert. Denn je nach Zahl der betroffenen Mitarbeiter verursacht es einen hohen Verwaltungsaufwand, deren Zustimmung einzuholen. Wo immer es juristisch möglich ist, versucht Automobilzulieferer Hella daher Datenverarbeitungsmöglichkeiten zu finden, über die er seine Mitarbeiter nur informieren, für die er aber nicht deren Einwilligung braucht.

„Wir versuchen sofern möglich andere rechtlich zulässige Vorgehensweisen zu finden, beispielsweise um einen Vertrag zu erfüllen, oder wenn es ein übergeordnetes Interesse des Unternehmens an der Verarbeitung gibt – etwa die Schaffung effizienterer Abläufe“, sagt Hella-Jurist Westermann.

Eine kluge Entscheidung! „Denn die DSGVO stellt hohe Anforderungen an eine rechtswirksame Einwilligung“, erklärt VDMA-Syndikus van Geerenstein. So müsse klar sein, zu welchem Zweck die entsprechenden Daten erhoben und verarbeitet werden. Außerdem müssen Einwilligende ihre Zustimmung freiwillig erteilen und widerrufen können. Juristen streiten darüber, ob dies in einem Arbeitsverhältnis möglich ist. Außerdem kann ein Widerruf weitreichende Folgen für die Produktion haben. „Wenn nur ein paar Mitarbeiter ihre Zustimmung zurücknehmen, könnte dies eine Zeit lang den Betrieb stilllegen“, befürchtet Westermann. Daher versuchen die Lippstädter, Einwilligungen nur dort einzuholen,  wo dies zwingend erforderlich ist. So kostet sie der Datenschutz neben Nerven nicht auch noch Aufträge.