Seit dem 18. Mai 2018 gilt die überarbeitete Datenschutzgrundverordnung (DSVGO) als EU-weite Regelung. Sie setzt neue Vorgaben zur Verarbeitung von personenbezogenen Daten durch private Unternehmen und öffentliche Institutionen. Insgesamt sind die Informations- und Dokumentationspflichten stark angestiegen. Dies hat für starke Verunsicherung gesorgt. Besonders heftig sind Unternehmen der Industrie 4.0 betroffen. Auch, wenn dort vielerorts noch kein Verständnis für das Problem besteht.
Folgen der DSGVO für die Industrie 4.0: Beispiel Brauerei
Das „Drink-it“ EMCS System von Norriq gestattet beispielsweise die Weitergabe von Daten an die Behörden und kann Bewegungsinformationen online erfassen und verarbeiten. Zudem können sicher Online-Mitteilungen mit spezifischen Liefer- und Bewegungsinformationen zwischen EU-Handelspartnern ausgetauscht werden. Im Alltag ist dies sehr praktisch, weil es das genaue Verfolgen der Warenströme gestattet und so beispielsweise dabei hilft, Prozesse zu optimieren.
Bezüglich der DSGVO stellt dies grundsätzlich eine Herausforderung dar, denn durch das ERP werden zwangsläufig verschiedene Daten erhoben, die unter das Gesetz fallen. Als Beispiel: Durch das Tracking der Warenströme werden zwangsläufig die Bewegungen der Fahrer überwacht. Es lässt sich beispielsweise ersehen, wann diese Pause machen und wo. Oder auch, wie schnell sie von A nach B kommen. Diese Informationen lassen sich mit Verkehrsinformationen abgleichen. Gewöhnlich speichern Unternehmen solche Informationen, um einen Vergleichswert zu erhalten.
Laut Kapitel 2, Art. 7 DSGVO muss der Fahrer nun freiwillig für jeden Handelspartner zustimmen, dass der die Warenströme tracken darf, weil er dadurch zugleich auch seine Bewegungsmuster mitverfolgt.
Ein sehr gutes Beispiel also, wie die DSGVO in der Industrie 4.0 für mehr Bürokratie und Rechtsunsicherheit sorgt, bei gleichzeitig als eher gering wahrgenommenen Mehrwert für die Personen, deren Daten geschützt werden sollen.
Deutsche Unternehmen sind nicht vorbereitet
Das ERP-System war nur ein Beispiel dafür, wie die DSGVO eigentlich überaus praktische Systeme für die Digitalisierung der Industrie erschwert. Denn häufig werden bei der Vernetzung von Systemen unfreiwillig personenbezogene Daten erhoben. Immer, wenn Externen der Zugriff auf die eigene IT gestattet wird, entstehen dabei folgende Fragen:
- Wie erfolgt der Zugriff?
- Welche Daten sind einsehbar bzw. werden ungewollt personenbezogene Daten offenbart?
- Welche Daten werden verarbeitet und welche Schlüsse lassen sich sekundär daraus ziehen?
- Wie sind andere Daten abgesichert?
- Wie lange werden Daten gespeichert?
- Wie erfolgt die Sicherung der Daten beim externen Partner und welche Informationen reicht dieser möglicherweise an Dritte weiter?
Viele Unternehmen sind mit der Beantwortung dieser Fragen überfordert. Beispielsweise berichtet der „NDR“, dass bei der niedersächsischen Landesdatenschutzbeauftragen im zweiten Quartal 2018 drei Mal mehr Anfragen als noch in den ersten drei Monaten des Jahres zur Umsetzung der DSGVO eingegangen sind. Und schon damals wusste man über die nahenden Änderungen.
Dies deckt sich mit einer Studie des Fraunhofer-Instituts: Nur 6 Prozent der deutschen Unternehmen schätzten noch vor der DSGVO ihre „Industrie 4.0“-Fähigkeit als „stark ausgeprägt“ ein. 55 Prozent der Befragten attestierten sich selbst, diese Fähigkeit erst noch erarbeiten zu müssen. Als Grund nannten sie neben der fehlenden Veränderungsfähigkeit in der Organisation „einen mangelnden Schutz von personenbezogenen Daten und Unternehmensdaten.“ Die DSGVO dürfte dieses Problem noch erschwert haben.
Konsequenz: Insellösungen müssen kommen
Solange Unternehmen diese obigen Fragen nicht sauber beantworten können, gilt durch die DSGVO, dass Insellösungen kommen müssen. Auf Daten, die an Externe weitergereicht werden, muss über ein abgekapseltes LAN zugegriffen werden. Bewegungsdaten, wie im Beispiel des ERPs, dürfen nicht live weitergereicht werden, sondern nur als allgemeine Werte, beispielsweise als „Fahrzeit: 18 Stunden“.
Die DSGVO zwingt dazu, viele liebgewonnene Systeme auf den Prüfstand zu stellen. Letztlich wird sich für viele Unternehmen sogar die Frage ergeben, wie wirtschaftlich vernünftig es noch ist, eine Inhouse-IT zu betreiben, wie beispielsweise IT-Experte Hans-Jürgen Fockel in der „Funkschau“ schildert. Er geht davon aus, dass viele Betriebe zahlreiche Systeme zu Dienstleistern auslagern werden, um das eigene Risiko zu minimieren. Gerade bei kleineren und mittleren Unternehmen würden sich Insellösungen nicht rechnen, erklärt der Geschäftsführer des IT-Systemhauses Lanos. Die Industrie 4.0 steht durch die DSGVO so vor einem Umbruch, der vielerorts noch nicht realisiert wird.