Sie verwenden einen veralteten Browser. Um im Internet auch weiterhin sicher unterwegs zu sein, empfehlen wir ein Update.

Nutzen Sie z.B. eine aktuelle Version von Edge, Chrome oder Firefox

Cover Cover Jetzt testen
Betriebsrat ChatGPT Checklisten EuGH HinSchG Homeoffice KI KRITIS Microsoft 365 Rechenschaftspflicht Urteil Vorlagen
Menü
Aktuelle Ausgabe

Datenschutz PRAXIS 11/24

Zeitschrift - Aktuelle Ausgabe

jetzt informieren
Betriebsrat ChatGPT Checklisten EuGH HinSchG Homeoffice KI KRITIS Microsoft 365 Rechenschaftspflicht Urteil Vorlagen
25. März 2024

Datenschutzrisiko Maschinenidentität

Maschinendaten können personenbeziehbare Daten sein
Bild: iStock.com / greenbutterfly
2,00 (1)
drucken
Inhalte in diesem Beitrag
Industrie 4.0 / OT (Operational Technology)
Geht es um vernetzte Maschinen und Anlagen, scheinen personenbezogene Daten keine Rolle zu spielen. Doch weit gefehlt: Auch Industrie 4.0 ist ein Thema für den Datenschutz. Nicht nur in der IT (Informationstechnologie) gibt es Datenrisiken, auch in der OT (Betriebstechnologie). Hier besteht noch deutlicher Bedarf an Sensibilisierung für mehr Datenschutz.

Was ist Industrie 4.0?

Industrie 4.0 beschreibt eine Industrieproduktion, in der alles digital miteinander vernetzt ist. Bauteile kommunizieren beispielsweise eigenständig mit der Produktionsanlage oder Anlagen veranlassen ihre eigene Reparatur.

Das klingt nicht nach personenbezogenen Daten und damit auch nicht danach, als müsse ein Industriebetrieb die Verfahren der Industrie 4.0 in das Verzeichnis von Verarbeitungstätigkeiten übernehmen. Tatsächlich aber müssen hier betriebliche Datenschutzbeauftragte sehr genau hinsehen.

Maschinendaten versus Personendaten

Zustandsdaten wie die Temperatur in einer Anlage, die Sensoren erfassen und melden, haben keinen Personenbezug. Doch die einzelnen Anlagen, Maschinen und Geräte haben sehr wohl eindeutige Kennzeichen. Das müssen sie auch haben:

  • Zum einen, damit sie sich vernetzen lassen.
  • Zum anderen, damit man bei einer Auswertung weiß, in welcher Maschine die gemessene Temperatur entstanden ist.

Aus Sicht der Betriebstechnologie (OT) kann man auch sagen, dass die Anlagen und Maschinen eine eigene digitale Identität haben, so wie die Nutzenden, aber auch die Endgeräte oder Cloud-Dienste in der IT eine jeweils eigene digitale Identität aufweisen.

Macht man nun Auswertungen zu einer bestimmten Maschinenidentität und lässt sich diese maschinelle Identität einer Person, wie zum Beispiel der Maschinenführerin, zuordnen, dann sind die Maschinendaten zwar keine personenbezogenen Daten – aber sie sind personenbeziehbar.

Die Fragen nach dem Personenbezug bei Maschinendaten

Der Bayerische Landesbeauftragte für den Datenschutz hat in übersichtlicher und klarer Form dargelegt, dass nicht nur personenbezogene Daten ein Fall für den Datenschutz sind. So schreibt er in einer seiner Kurz-Informationen:  Personenbezogene Daten liegen nicht erst dann vor, wenn sie sich auf eine identifizierte Person beziehen. Ausreichend ist, wenn natürliche Personen direkt oder indirekt „identifizierbar“ sind.

Bei der Frage, ob eine Person identifizierbar ist, kommt es sowohl nach der Datenschutz-Grundverordnung (DSGVO) als auch nach dem Europäischen Gerichtshof (EuGH) nicht nur auf Mittel des Verantwortlichen, sondern auch auf Mittel Dritter an. Mittel, die eine Identifizierung ermöglichen, werden aber nur so weit berücksichtigt, wie deren Nutzung hinreichend wahrscheinlich oder vernünftigerweise zu erwarten ist.

Wenn es also „hinreichend wahrscheinlich oder vernünftigerweise zu erwarten ist“, dass Maschinendaten auch einer Person zugeordnet werden, sind Maßnahmen erforderlich, die für den Datenschutz sorgen.

Maschinendaten können zu personenbeziehbaren Daten werden

Personenbeziehbare Daten aus dem Bereich der OT werden aber nicht automatisch dauerhaft bei den Maschinen und Anlagen verbleiben. Vielmehr findet zunehmend ein Datenaustausch zwischen OT und IT statt. Man spricht auch von einem Zusammenwachsen, einer Konvergenz von IT und OT.

Dabei ist wichtig zu bedenken, dass sich dadurch Maschinendaten mit weitaus mehr Personendaten in Verbindung bringen lassen. Zudem stehen in der IT womöglich weitere, fortgeschrittene Datenanalyse-Verfahren zur Verfügung, die zum Beispiel anhand der Maschinendaten eine Leistungs- und Verhaltensanalyse zu den zugehörigen Maschinenführerinnen und Maschinenführer möglich machen könnten.

Maschinendaten und Maschinenidentitäten können also ohne Weiteres zu einem Thema für den Datenschutz und für Datenschutzbeauftragte werden. Wer dann noch an die zunehmende Zahl von Cyberangriffen auf Industrieanlagen denkt, dem wird schnell klar, dass dadurch auch Personendaten in Gefahr sind und in die Hände der Internetkriminellen geraten können, auch wenn deren Angriffe zuerst den Maschinenhallen und den Geräten darin gelten.

Industrie 4.0 ist also auch oftmals ein Fall für den Datenschutz. Das aber ist in vielen Betrieben und Unternehmensleitungen noch nicht bewusst genug, sodass Datenschutzbeauftragte hierfür sensibilisieren sollten.

Oliver Schonschek

Oliver Schonschek
zu den Kommentaren
Wie nützlich war dieser Beitrag für Sie?
Jetzt teilen:
drucken
Verfasst von
Oliver Schonschek
Oliver Schonschek
Oliver Schonschek ist freiberuflicher News Analyst, Journalist und Kommentator, der sich auf Sicherheit, Datenschutz und Compliance spezialisiert hat. Er schreibt für führende Medien, ist Herausgeber und Autor mehrerer Lehrbücher.
Verwandte Beiträge
21. November 2024
DP+
Kanban ist eine Arbeitsmanagementmethode, die dabei hilft, Abläufe in Organisationseinheiten effektiv zu steuern, anzupassen und zu optimieren. Der Datenschutz darf bei der Ntzung von Kanban-Boards jedoch nicht außer Acht gelassen werden.
Bild: iStock.com/AndreyPopov

Datenschutz bei Kanban-Boards

Ratgeber
Checklisten
21. November 2024
DP+
VerIm Gegensatz zu anderen Datenschutzmanagement-Methoden liegt der Fokus beim Standard-Datenschutzmodell ausschließlich auf Verarbeitungstätigkeiten
Bild: iStock.com/ipuwadol

Das Standard-Datenschutzmodell in der Praxis (Teil 1)

Praxisbericht
20. November 2024
DP+
Es besteht die reale Gefahr, dass Angreifer KI-Algorithmen und Trainingsdaten manipulieren, so die EU-Agentur für Cybersicherheit
Bild: iStock.com/FotografieLink

KI als doppeltes Datenrisiko

Ratgeber
Cybersicherheit KI
20. November 2024
DP+
Ziel der KI-Verordnung ist es, Risiken der Künstlichen Intelligenz mit einem sektorübergreifenden, risikobasierten und menschzentrierten Ansatz zu reduzieren
Bild: iStock.com/style-photography

KI-VO: Das müssen Datenschutzbeauftragte wissen

Ratgeber
EuGH KI
19. November 2024
DP+
Vermieter müssen die DSGVO einhalten: Schwierigkeiten bereitet Verantwortlichen häufig, in welcher Phase eines Mietverhältnisses sie welche personenbezogenen Daten ihrer Mieter verarbeiten dürfen.
Bild: iStock.com/blackCAT

Wohnungsmiete und Datenschutz – Teil 1

Ratgeber
weitere Beiträge laden
0 Kommentare
Vielen Dank! Ihr Kommentar muss noch redaktionell geprüft werden, bevor wir ihn veröffentlichen können.