Datenschutzrisiko Maschinenidentität

Maschinendaten können personenbeziehbare Daten sein

Bild: iStock.com / greenbutterfly

Was ist Industrie 4.0?

Industrie 4.0 beschreibt eine Industrieproduktion, in der alles digital miteinander vernetzt ist. Bauteile kommunizieren beispielsweise eigenständig mit der Produktionsanlage oder Anlagen veranlassen ihre eigene Reparatur.

Das klingt nicht nach personenbezogenen Daten und damit auch nicht danach, als müsse ein Industriebetrieb die Verfahren der Industrie 4.0 in das Verzeichnis von Verarbeitungstätigkeiten übernehmen. Tatsächlich aber müssen hier betriebliche Datenschutzbeauftragte sehr genau hinsehen.

Maschinendaten versus Personendaten

Zustandsdaten wie die Temperatur in einer Anlage, die Sensoren erfassen und melden, haben keinen Personenbezug. Doch die einzelnen Anlagen, Maschinen und Geräte haben sehr wohl eindeutige Kennzeichen. Das müssen sie auch haben:

Zum einen, damit sie sich vernetzen lassen.
Zum anderen, damit man bei einer Auswertung weiß, in welcher Maschine die gemessene Temperatur entstanden ist.

Aus Sicht der Betriebstechnologie (OT) kann man auch sagen, dass die Anlagen und Maschinen eine eigene digitale Identität haben, so wie die Nutzenden, aber auch die Endgeräte oder Cloud-Dienste in der IT eine jeweils eigene digitale Identität aufweisen.

Macht man nun Auswertungen zu einer bestimmten Maschinenidentität und lässt sich diese maschinelle Identität einer Person, wie zum Beispiel der Maschinenführerin, zuordnen, dann sind die Maschinendaten zwar keine personenbezogenen Daten – aber sie sind personenbeziehbar.

Die Fragen nach dem Personenbezug bei Maschinendaten

Der Bayerische Landesbeauftragte für den Datenschutz hat in übersichtlicher und klarer Form dargelegt, dass nicht nur personenbezogene Daten ein Fall für den Datenschutz sind. So schreibt er in einer seiner Kurz-Informationen: Personenbezogene Daten liegen nicht erst dann vor, wenn sie sich auf eine identifizierte Person beziehen. Ausreichend ist, wenn natürliche Personen direkt oder indirekt „identifizierbar“ sind.

Bei der Frage, ob eine Person identifizierbar ist, kommt es sowohl nach der Datenschutz-Grundverordnung (DSGVO) als auch nach dem Europäischen Gerichtshof (EuGH) nicht nur auf Mittel des Verantwortlichen, sondern auch auf Mittel Dritter an. Mittel, die eine Identifizierung ermöglichen, werden aber nur so weit berücksichtigt, wie deren Nutzung hinreichend wahrscheinlich oder vernünftigerweise zu erwarten ist.

Wenn es also „hinreichend wahrscheinlich oder vernünftigerweise zu erwarten ist“, dass Maschinendaten auch einer Person zugeordnet werden, sind Maßnahmen erforderlich, die für den Datenschutz sorgen.

Maschinendaten können zu personenbeziehbaren Daten werden

Personenbeziehbare Daten aus dem Bereich der OT werden aber nicht automatisch dauerhaft bei den Maschinen und Anlagen verbleiben. Vielmehr findet zunehmend ein Datenaustausch zwischen OT und IT statt. Man spricht auch von einem Zusammenwachsen, einer Konvergenz von IT und OT.

Dabei ist wichtig zu bedenken, dass sich dadurch Maschinendaten mit weitaus mehr Personendaten in Verbindung bringen lassen. Zudem stehen in der IT womöglich weitere, fortgeschrittene Datenanalyse-Verfahren zur Verfügung, die zum Beispiel anhand der Maschinendaten eine Leistungs- und Verhaltensanalyse zu den zugehörigen Maschinenführerinnen und Maschinenführer möglich machen könnten.

Maschinendaten und Maschinenidentitäten können also ohne Weiteres zu einem Thema für den Datenschutz und für Datenschutzbeauftragte werden. Wer dann noch an die zunehmende Zahl von Cyberangriffen auf Industrieanlagen denkt, dem wird schnell klar, dass dadurch auch Personendaten in Gefahr sind und in die Hände der Internetkriminellen geraten können, auch wenn deren Angriffe zuerst den Maschinenhallen und den Geräten darin gelten.

Industrie 4.0 ist also auch oftmals ein Fall für den Datenschutz. Das aber ist in vielen Betrieben und Unternehmensleitungen noch nicht bewusst genug, sodass Datenschutzbeauftragte hierfür sensibilisieren sollten.