Datenschutz im „smarten“ Business
Industrie 4.0 darf nicht zum Monitoring 4.0 werden

Regina Mühlich

Smart Home ist in aller Munde. Komfortables und bequemes Steuern der Haustechnik, auch von unterwegs, per Smartphone oder Tablet. Mit Smart Factory wartet das Äquivalent im industriellen Bereich auf. Die „kluge Fabrik“ ist Ergebnis und Anspruch der vierten industriellen Revolution, die unter dem Begriff Industrie 4.0 seinen Ausdruck findet. Doch so groß die Chancen dadurch sind, dürfen auch die Gefahren nicht außer Acht gelassen werden. Gerade der Datenschutz muss an die neuen Herausforderungen angepasst werden. 

2011 erstmals als Hightech-Strategie der Bundesregierung an die Öffentlichkeit getragen, läuft die Zukunftsvision seit Herbst 2013 als Plattform „Industrie 4.0“ im Gemeinschaftsprojekt der deutschen Wirtschaftsverbände BITKOM, VDMA und ZVEI weiter. Die Automatisierung der Industrie soll durch die Einführung verschiedener Verfahren zur Selbstdiagnose und –optimierung intelligenter werden. Die Produktion wird dadurch schneller und günstiger, Prozesse lassen sich leichter überwachen und steuern. Nach der Mechanisierung der Dampf- und Wasserkraft, der Massenfertigung durch Fließband und elektrische Energie und der Digitalisierung durch den Einsatz von Elektronik und IT, stellt Industrie 4.0 den nächsten Meilenstein in der sich wandelnden Industriebranche dar. 

 

Neue Chancen wahrnehmen

Durch die Verschmelzung von Informations- und Automatisierungstechnologien ergeben sich für Unternehmen und Industrie viele Chancen. Mithilfe der Informationstechnologien können neue Servicefunktionen angeboten, Produktionsprozesse einfacher optimiert sowie durch drahtlose Fernwartung Störungen schneller behoben werden. Optimales Ergebnis: Die globale Wettbewerbsfähigkeit steigt. Ebendiese Vernetzung des kompletten Wertschöpfungsprozesses eines Unternehmens ist der zentrale Aspekt einer Smart Factory. Grundvoraussetzung und notwendige Begleiterscheinung: Daten ohne Ende, Schlagwort Big Data. Für jeden Zugriff, für jede Information zwischen Maschine und Maschine, Maschine und Mensch werden Daten generiert, zur Verfügung gestellt, durch Kabel und Funk-Technologie übertragen und gespeichert. 

 

Unsicherheiten, Gefahren und Herausforderungen

Die einhergehende, dem Kerngedanken der Industrie 4.0 inhärente und notwendige Vernetzung birgt neben Komfort und Effizienz auch viele Gefahren. Begleiterscheinungen der Vernetzung der Anlagen werden oft unterschätzt. Als Kehrseite der Smart Factory vermehren sich digitale Einfallstore für Datenklau, Industriespionage und Cyberkriminalität. Der Datenschutz muss an die neuen Herausforderungen angepasst und Sicherheitslücken rigoros geschlossen werden. Die Industrie 4.0 trifft jedoch auf ein rechtliches Umfeld, das den vielschichtigen Anforderungen und der Komplexität der Innovation nur teilweise gewachsen scheint. Das führt zu Unsicherheiten im täglichen Umgang, hier vor allem in Datenschutzfragen. 

Besonderer Fokus soll auf dem Schutz der Unternehmensdaten liegen. Steigt doch im Bereich Smart Factory nicht nur der Umfang der anfallenden Daten, sondern ebenso deren Aussagekraft. Hinzu kommt, dass Produktions- und Anlagenprozesse nicht weiter durch einzelne Betriebe realisiert werden. Es bilden sich ganze Unternehmensnetzwerke zu neuen Wertschöpfungsketten aus.

Die Verarbeitung großer Datenmengen sowie die aus der Verarbeitung heraus entstehenden, neuen Rechtsbeziehungen treiben die Unternehmen nicht selten an vertragliche Grenzen, wie sie unter anderem bei der Risikoabschätzung zum Einsatz kommen. Die Notwendigkeit neuer Vertragsmodelle ist die logische Konsequenz. Nur so kann die Kontrollierbarkeit und die Hoheit über die Daten dauerhaft gewährleistet werden. Im Umkehrschluss sollen natürlich die Flexibilität und Wettbewerbsfähigkeit der Unternehmen nicht eingeschränkt werden.

Rechtlich und vertraglich relevant ist ebenso der Bereich der Haftung. Der notwendige Austausch sensibler Daten birgt die Gefahr, dass sich unbefugte Dritte Zugriff verschaffen oder jene vereinbarungswidrig verarbeitet werden. Das ist der Fall, sobald die erhobenen Daten für den Produktionsprozess verwendet, später jedoch zweckändernd weitergenutzt werden.

Datenschutzrechtliche Anforderungen ergeben sich vor allem auch für kundenorientierte Produkte wie man sie in den Bereichen Smart Home und Smart Car findet. Je komplexer die verbauten Systeme, desto höher die Wahrscheinlichkeit der zweckentfremdenden Nutzung einzelner Bereiche. In diesen Bereichen gilt es verstärkt, die Selbstbestimmung und Verantwortung der Betroffenen, ergo der Verbraucher, zu berücksichtigen.

 

Notwendige Reform des Datenschutzes 

Gewollt oder ungewollt – Fakt ist: Der Datenschutz wird vielfach ausgehebelt. Die technischen und organisatorischen Maßnahmen des Datenschutzes werden in der Praxis oft nicht mehr realisierbar und nicht mehr prozessual darstellbar sein. Zugriffs-, Zugangs-, Zutritts-, Eingabe-, Verfügbarkeits-, Datentrennungs-, Auftrags- und Weitergabekontrolle verlieren an Anwendbarkeit und damit an Wirkung. Datenschutz wird untergraben, steigt zum zahnlosen Tiger ab. Führt Industrie 4.0 zum ungewollten Monitoring 4.0?

Der Weg hin zu Industrie 4.0 ist von vielen Herausforderungen gesäumt. Zentral und über alle Themen hinweg existent ist der sichere Informations- und Datenaustausch. Die gezielte Vernetzung aller relevanten Geschäfts-, Produktions- und Automatisierungsprozesse birgt ohne Zweifel großes Potential. Anbieter und Hersteller verschaffen sich durch die intelligente Vernetzung von Systemlandschaften Zugriff zu allen Daten. Das Prinzip der Datensparsamkeit (§ 3a BDSG), wonach nur relevante und wirklich notwendige Daten verwendet werden, findet allzu oft keine Anwendung mehr. An diesem Punkt ist, mehr als in allen anderen Bereichen der industriellen Gesellschaft, der Datenschutz gefragt.

Der Einsatz von Selbstregulierungsmaßnahmen, wie bereits aus anderen Bereichen bekannt, wäre ein erster denkbarer Ansatz. Zur Einhaltung von IT-, Datenschutz- und Sicherheits-Bestimmungen können Audits und Zertifizierungen beitragen und für die nötige Transparenz sorgen. Dies betrifft nicht zuletzt auch den Bereich der Auftragsdatenverarbeitung.

Die vorherrschende Rechtsunsicherheit wird besonders im internationalen Bereich weiter zunehmen. Hier ist neben anderen politischen Akteuren auch der Gesetzgeber gefordert. Problembeseitigend kann hierbei ausschließlich eine Lösung wirken, die sich aus rechtlichen, technischen, organisatorischen und politischen Elementen zusammensetzt.

Das Datenschutzrecht, wie es heute vorliegt, ist technisch und faktisch überholt. Keine Überraschung, war doch das jetzige Bundesdatenschutzgesetz (BDSG) eigentlich als bloßes Provisorium gedacht, um die Vorgaben der Europäischen Union in Brüssel zu erfüllen. Ein ganz neues Datenschutzrecht, welches sich nicht nur am Stand der Technik orientiert, sollte ausgearbeitet werden. Datenschutz durch Technik und nicht wie bisher gegen Technik sollte einen zentralen Ausgangspunkt des neuen Werks darstellen. Das Provisorium, ein von Datenschutzexperten erstelltes, ca. 300-seitiges Gutachten (eine Novellierung des BDSG von 1995), ist seit dem Jahr 2001 bis heute gültig. Die EU-Datenschutzgrundverordnung bietet ebenfalls keine Lösung. Meilenweit von den Entwicklungen und Möglichkeiten der Industrie 4.0 entfernt, kann sie den Ansprüchen der modernen, digitalen Welt nicht standhalten. Eine baldmögliche Überarbeitung oder Neufassung des gesetzlichen Eckpfeilers des Datenschutzes muss stattfinden, um der Industrie 4.0 auf Augenhöhe zu begegnen und die Unternehmen im Sinne des Datenschutzes bestmöglich unterstützen zu können.

 

Datenschutz als Wegbegleiter

Damit es nicht zu Missverständnissen kommt: Datenschutzbeauftragte und andere Verantwortliche für den Datenschutz wollen den Prozess Industrie 4.0 keineswegs aufhalten oder gar verhindern. Jedoch sollte der Thematik und den Entwicklungen nicht mit blankem Pioniergeist, sondern mit Bedacht entgegengetreten werden. Schließlich lehrt uns die Vergangenheit vielfach, dass unüberlegte, vorschnelle Vorgehensweisen oft schwer korrigierbare Entwicklungen mit sich bringen. Die Einhaltung unumgänglicher Spielregeln ist Grundvoraussetzung für eine adäquate und nachhaltig wirksame Entwicklung. Der derzeitige Stand der Technik ist als Gradmesser für geeignete Gesetze und Richtlinien zu wenig geeignet. Mit Flexibilität muss dem schnelllebigen, digitalen Zeitalter Rechnung getragen werden. Ein Plus an Flexibilität, Schnelligkeit, Agilität und Kompromissbereitschaft steht einem geforderten Minus an Unbeweglichkeit und Starrheit gegenüber. Nur so kann auch der Datenschutz smart genug sein, um den Herausforderungen der Zukunft rund um die Industrie 4.0 nicht zahnlos zu begegnen.