in Kooperation mit

Datenschutz & Industrie 4.0Ein Leitfaden für den Umgang mit personenbezogenen Daten im Unternehmen

EDITORIAL 3

Verehrte Mitglieder und Leser,

Datenschutz ist als Thema in der Unternehmenswelt bereits seit längerer Zeit in aller Munde und der Schutz personenbezogener Daten für Unternehmen des Maschinen- und Anlagenbaus wird immer wichtiger. Hinzu kommt, dass die Sensibilität von Kunden und Anwendern bezüglich ihrer Daten steigt, ein hoher Standard an Datenschutz ist daher für Unternehmen essentiell.

Insbesondere unter den Bedingungen von Industrie 4.0 wird Datenschutz in Zukunft eine noch gewichtigere Rolle einnehmen: Vernetzte Systeme, von Daten abhängige Automatisierungsvorgänge, Cloud Services und Big Data sind Stich-worte, die Datenschützer in naher Zukunft in ihre Überlegungen einbeziehen müssen.

Datenschutz bedeutet in diesem Zusammenhang auch, sich aktiv mit anstehenden Veränderungen zu befassen und den Aufwand nicht zu scheuen, diese in die Datenschutzstrategie des Unternehmens zu integrieren. Dies auch und gerade vor dem Hintergrund, dass Datenschutzbehörden immer aktiver ihre Rolle wahr-nehmen und Unternehmen hinsichtlich der Einhaltung datenschutzrechtlicher Anforderungen überprüfen.

Der VDMA hat erkannt, dass es gerade kleineren und mittleren Unternehmen angesichts der komplizierten und z. T. abstrakten Anforderungen des Daten-schutzes hin und wieder recht schwerfällt, einen Weg in diesem Dickicht von gesetzlichen Vorgaben zu finden. Mit vorliegendem Leitfaden sollen daher die wesentlichsten Grundsätze des Datenschutzes skizziert werden und den Unter-nehmen ein hilfreiches Tool zur Bewältigung des Datenschutzes von personen-bezogenen Daten im eigenen Unternehmen in die Hand gegeben werden.

Gerade Industrie 4.0 bedeutet, von Anfang an eine datenschutzrechtliche Sensi-bilität in jedes Projekt einfließen zu lassen. Wir hoffen, dass es uns gelungen ist, Ihnen mit vorliegendem Leitfaden einen prägnanten und praxisnahen Ratgeber anbieten zu können, der Ihnen in vielen bekannten, aber auch neuen Situationen Anregungen und Hilfestellungen geben kann.

Christian SteinbergerVDMA Recht

Christian Steinberger

Editorial

4 INHALT

03 Editorial

04 Inhaltsverzeichnis

05 Einleitung

06 1. Grundlagen des Datenschutzes in der Industrie 4.0

06 1.1 Datenschutz

07 1.2 Industrie 4.0

07 1.3 Schnittstellen

08 2. Welches Datenschutzrecht ist auf das / Ihr Unternehmen anwendbar?

09 3. Welche Pflichten hat das / Ihr Unternehmen?

09 3.1 Allgemeines Datenschutzrecht

10 3.1.1 Personen

10 3.1.1.1 Mitarbeiter

11 3.1.1.2 Kunden

11 3.1.1.3 Geschäftspartner / Lieferanten

11 3.1.2 Daten

12 3.1.3 Maßnahmen

13 3.2 Besonderheiten im Rahmen des Industrie 4.0 Unternehmens

14 4. Welche Konsequenzen drohen bei Verstößen gegen das Datenschutzrecht?

15 5. Wie kann das Unternehmen diese Risiken minimieren?

15 5.1 Leitfragen

15 5.2 Klärung des Personenbezugs bzw. der Personenbeziehbarkeit

16 5.3 Gestaltungsoptionen für eine zulässige Verarbeitung personenbezogener Daten

18 6. Wo erhalte ich weitere Informationen und Unterstützung?

19 Tabellarische Übersicht: Musterdokumente und Informationsmaterialien

20 7. Checkliste / Fragebogen – Selbstaudit

21 Projektpartner / Impressum

Inhaltsverzeichnis

DATENSCHUTZ & INDUSTRIE 4.0 5

Aktuelle Entwicklungen, Chancen und Heraus-forderungen, die unter dem Begriff „Industrie 4.0“ zusammengefasst werden, gehen vielfach mit der Verarbeitung personenbezogener Daten einher: So lässt sich die Qualität und Effizienz der Smart Factory mittels einer feingranulierten Auswertung der Mitarbeiterproduktivität optimie-ren, RFID-Chips und in Maschinen eingebaute Sensoren bieten ungeahnte Möglichkeiten der Steuerung und Qualitätssicherung über den gesamten Lebenszyklus eines Produkts.1 Sie können dabei jedoch auch tiefgreifende Ein-blicke in das Verhalten der Mitarbeiter und Endnutzer der Produkte ermöglichen.

Das Datenschutzrecht greift Risiken wie die potenzielle Überwachung von Mitarbeitern im Rahmen des Produktionsprozesses oder die mögliche Ausspähung von Endnutzern eines Produkts auf. Ein sorgloser Umgang mit dem Datenschutzrecht kann dabei zu einem erheb-lichen finanziellen Risiko führen: Nicht nur bestehen bereits nach geltender Rechtslage erhebliche Sanktionsdrohungen im Bundes-datenschutzgesetz (BDSG) von bis zu 300.000 EUR für jeden Verstoß. Die im Früh jahr 2018 in Kraft tretende Europäische Daten-schutzgrundverordnung ermöglicht mit Blick auf große Unternehmen sogar Geldbußen in Höhe von bis zu 20 Millionen Euro oder 4 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs. Hinzu kommen Schadensersatzforderungen Betroffe-ner, Unterlassungsklagen, Strafanzeigen und – für viele Unternehmen das größte Risiko: Reputationsschäden.

Wie schnell personenbezogene Daten in einem Industrieunternehmen offengelegt werden können, zeigt das Beispiel mehrerer Großunter-nehmen, die 2014 Opfer von sog. Social-Engi-neering-Angriffen wurden: Im Falle eines Stahl-werks drangen die Angreifer nicht nur in das Büronetz, sondern sogar bis zu den Produk-tionsnetzen vor.2

Compliance in Sachen Datenschutz ist dabei keine einfache Angelegenheit, insbesondere wenn personenbezogene Daten – wie im Rahmen von Industrie-4.0-Techniken üblich – massenhaft und auch global vernetzt verarbeitet werden. Die jüngsten Bemühungen auf euro-päischer Ebene um ein Datenschutzabkommen mit den USA und die kritische und restriktive Haltung des europäischen Gerichtshofs bezüg-lich Datentransfers in die USA verdeutlichen dies.

Der nachfolgende Leitfaden soll Ihnen als Mit-glied des VDMA einen Einstieg in das Thema Datenschutz in der Industrie 4.0 ermöglichen und zugleich Ansätze und weitere Informations-möglichkeiten zur Risikominimierung aufzeigen und ein Bewusstsein für Datenschutzfragen schaffen.

Die rechtlichen Rahmenbedingungen der oft-mals als „Maschinendaten“ bezeichneten Daten ohne Personenbezug sind nicht Gegenstand dieses Leitfadens und werden ggf. im weiteren Verlauf der anstehenden Diskussionen in entsprechenden Publikationen des VDMA aufgegriffen.

Einleitung

1 Ergebnisbericht der Plattform Industrie 4.0, Umsetzungstrategie Industrie 4.0, S. 45, abrufbar unter https://www.bmwi.de/BMWi/Redaktion/PDF/I/industrie-40-verbaendeplattform-bericht,property=pdf,bereich=bmwi2012,sprache=de,rwb= true.pdf (zuletzt abgerufen am 12. April 2016)

2 Bundesamt für Sicherheit in der Informationstechnik, Lagebericht 2014, S. 31 f. u. S. 34 f., abrufbar unter https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/ Publikationen/Lageberichte/Lagebericht2014.pdf?__blob=publicationFile&v=1 (zuletzt abgerufen am 12. April 2016).

6 DATENSCHUTZ & INDUSTRIE 4.0

1.1 DatenschutzDas deutsche und europäische Datenschutz-recht basiert auf dem Grundkonzept eines sog. „Verbots mit Erlaubnisvorbehalt“. So erstaunlich dies im Industrie-4.0-Zeitalter auch klingen mag: es bedeutet, dass es – mit wenigen Ausnahmen – zunächst grundsätzlich verboten ist, perso-nenbezogene Daten zu verarbeiten. Die Verar-beitung personenbezogener Daten ist in der Regel nur zulässig, wenn es einen Rechtferti-gungsgrund dafür gibt. Solche Rechtfertigungs-gründe können sich aus dem Bundesdaten-schutzgesetz oder aber aus einer Einwilligung des Betroffenen ergeben. Die Begriffe der „Ver-arbeitung“ und des „Personenbezugs“ werden dabei sehr weit gefasst, so dass eine Vielzahl von Anwendungen in der Industrie 4.0 darunter fällt: Ein Verarbeiten liegt z. B. bereits vor, wenn personenbezogene Daten übermittelt oder gespeichert werden. Für den Personenbezug genügt es sogar schon, wenn das Datum die Bestimmung einer natürlichen Person auch nur ermöglicht (hierzu Näheres unten unter Ziffer 3.1.2)

Das Datenschutzrecht ist formell als Verwal-tungsrecht zu qualifizieren, das heißt, es han-delt sich um öffentlich-rechtliche Regelungen, deren Einhaltungen durch Behörden (die sog. Datenschutzaufsichtsbehörden) kontrolliert

werden. Datenschutzaufsichtsbehörden beste-hen in jedem Bundesland und verfügen über sog. behördliche Eingriffskompetenzen. Für das Unternehmen bedeutet dies, dass die Behörden nicht nur Informationen mit Bezug zu möglichen Datenschutzverstößen (z. B. auf Antrag eines Betroffenen) ermitteln dürfen, sondern dass sie auch für das Unternehmen verbindliche Anord-nungen bezüglich der Verarbeitung personenbe-zogener Daten treffen und – im Falle eines fest-gestellten Verstoßes – sogar Bußgelder verhängen können.

Damit ein Unternehmen die Anforderungen des Datenschutzrechts erfüllen kann, muss es sowohl unternehmensinterne Aspekte in Betracht ziehen (z. B. Beschäftigtendatenschutz, Datenschutzorganisation, Bestellung eines sog. Datenschutzbeauftragten) als auch unterneh-mensexterne Aspekte beachten (z. B. mit Geschäftspartnern / Lieferanten / Dienstleistern Verträge über die Art und Weise des Umgangs mit personenbezogenen Daten, sog. Auftrags-datenverarbeitungsverträge, abschließen oder bestimmte Anforderungen an die Verarbeitung personenbezogener Daten im Internet erfüllen, z. B. Datenschutzerklärung auf einer Internet-seite).

Die Maßstäbe des Datenschutzrechts ergeben sich derzeit vor allem aus dem Bundesdaten-schutzgesetz. Daneben bestehen bereichs-spezifische Regelungen, wovon im Industrie-4.0-Kontext insbesondere das Telemedien- gesetz und das Telekommunikationsgesetz relevant sind. Darüber hinaus wird es 2018 zur Umsetzung einer Reform auf europäischer Ebene kommen, sodann werden sich die all-gemeinen Regelungen zentral für alle Mitglieds-staaten der EU aus einer Datenschutzgrund-verordnung ergeben.

1. Grundlagen des Datenschutzes in der Industrie 4.0

Nach der Konzeption des Datenschutzrechts ist es grundsätzlich verboten, personenbezogene Daten zu verarbeiten. Es muss ein wirksamer Rechtfertigungs-grund gefunden werden.

DATENSCHUTZ & INDUSTRIE 4.0 7

1.2 Industrie 4.0Die industrielle Fertigung in der Industrie 4.0 ist geprägt von einer weitreichenden informations-technischen Vernetzung, dem Einsatz umfang-reicher Sensorik, Aktorik und neuartiger Analyse-methoden. Das Leitbild ist eine vernetzte, dezentral organisierte Produktionsweise, die sich selbst optimiert.3 Die Smart Factory ist geprägt durch den kombinierten Einsatz inno-vativer Techniken wie dem Internet of Things, cyber-physischer Systeme, Cloud Computing und Big Data.4

Diese innovativen Techniken bringen eine Reihe datenschutzrechtlicher Herausforderungen mit sich, da die Industrie-4.0-Fertigungsweisen in der Regel aus der Kombination zahlreicher Einzeldaten einen Mehrwert generieren, wobei häufig Rückschlüsse auf Einzelpersonen (z. B. Mitarbeiter, Endverbraucher oder aber von Sensoren betroffene sonstige Dritte) möglich und gewollt sind und hierbei beispielsweise auch Profile über die betroffenen Personen gebildet werden können. Die in den nachfolgen-den Kapiteln dargestellten Erwägungen sind deshalb im Rahmen des Einsatzes jeder Industrie-4.0-Anwendung möglichst frühzeitig zu bedenken und für den jeweiligen Einzelfall zu konkretisieren.

1.3 SchnittstellenDas Datenschutzrecht ist zudem eine soge-nannte „Querschnittsmaterie“. Es hat eine Viel-zahl von Bezügen zu anderen Rechtsgebieten wie beispielsweise dem Arbeits- und Strafrecht und zu dem technischen Bereich der sog. IT-Sicherheit. Insbesondere der letztere Bereich ist von großer Bedeutung im Rahmen der Industrie-4.0-Fertigung. Das Datenschutzrecht verlangt hierbei, dass diejenigen technischen und orga-nisatorischen Maßnahmen getroffen werden, die erforderlich sind, um die Ausführung des Datenschutzrechts zu gewährleisten, und stellt hierzu verschiedene Anforderungen auf. Die erforderliche IT-Sicherheit muss bei jeder Verar-beitung personenbezogener Daten (und nicht etwa nur im Kontext der Auftragsdatenverarbei-tung) gewährleistet werden. Im Einzelnen kann zur Frage der Anforderungen an IT-Sicherheit u. a. auf die in der Anlage 9 zum Bundesdaten-schutzgesetz genannten technischen und orga-nisatorischen Datensicherheitsmaßnahmen zurückgegriffen werden. Verwiesen sei zudem auf die Leitfäden zur Informationssicherheit (Teil 1 & 2) des VDMA, welche von Mitgliedern des Verbands kostenlos über den VDMA Verlag bezogen werden können.5

In der Industrie 4.0 dient die IT-Sicherheit auch dem Schutz personenbezogener Daten.

3 Fraunhofer ISI, Industrie 4.0 – Zehn Thesen aus der Sicht der Innovations-forschung, Dezember 2015, abrufbar unter: http://www.isi.fraunhofer.de/isi-wAssets/docs/profil/de/Industrie_4_0-Thesen.pdf (zuletzt abgerufen am 11. April 2016).

4 Zu den einzelnen Begriffen vgl. Expertenkommission Forschung und Innovation, Gutachten 2016, S. 145 ff., abrufbar unter: http://www.e-fi.de/ (zuletzt abgerufen am 16. April 2016). 16).

5 Teil 1 ist unter http://www.vdmashop.de/Informatik-und-Technik/ Leitfaden-zur-Informationssicherheit---Teil-1--Sensibilisierung.html Teil 2 unter http://www.vdmashop.de/Informatik-und-Technik/Leitfaden-zur-Informationssicherheit-Teil-2---download.html erhältlich.

Die Industrie-4.0-Fertigungsweise erfordert die Mitberücksichtigung des Datenschutzes idealerweise bereits in der Planungsphase.

8 DATENSCHUTZ & INDUSTRIE 4.0

Im Vorfeld der Verarbeitung personenbezogener Daten muss das Unternehmen klären, ob und welches Datenschutzrecht anwendbar ist. Hier­aus resultiert eine besondere Herausforderung bei der (im Rahmen von Industrie 4.0 nicht unüblichen) internationalen Verarbeitung perso­nenbezogener Daten.

Das deutsche Datenschutzrecht knüpft an den Begriff der sog. verantwortlichen Stelle an. Verantwortliche Stelle ist jede Person oder Stelle, die personenbezogene Daten für sich selbst erhebt, verarbeitet oder nutzt oder dies durch andere im Auftrag vornehmen lässt. Eine Besonderheit besteht darin, dass das Daten­schutzrecht kein sog. Konzernprivileg kennt, d.h. selbst die Übermittlung personenbezogener Daten von einer Tochtergesellschaft an die Muttergesellschaft bedarf einer eigenständigen datenschutzrechtlichen Rechtsgrundlage.

Im Kontext der internationalen Datenverarbei­tung ist zu prüfen, ob die Anwendbarkeit des deutschen Datenschutzrechts hinter die Anwen­dung des Datenschutzrechts eines anderen europäischen Staates zurücktritt. Dies kann der Fall sein, wenn die verantwortliche Stelle in einem anderen Mitgliedstaat der Europäischen Union oder in einem anderen Vertragsstaat

2. Welches Datenschutzrecht ist auf das / Ihr Unternehmen anwendbar?

Auch die Übermittlung personenbezogener Daten innerhalb eines Konzerns ist rechtfertigungsbedürftig und muss hinterfragt werden. Im internationalen Kontext gelten noch weitergehende Anforderungen.

des Abkommens über den Europäischen Wirt­schaftsraum (EWR) belegen ist und in Deutsch­land Daten erhebt, dies jedoch nicht durch eine deutsche Niederlassung erfolgt. Sofern jedoch eine außereuropäische Gesellschaft in Deutsch­land Daten erhebt, ist das Bundesdatenschutz­gesetz unmittelbar anwendbar. In diesem Fall muss geprüft werden, ob in dem außereuropä­ischen Staat ein angemessenes Datenschutz­niveau aus europäischer Sicht besteht. Nur wenn dies bejaht werden kann, ist eine Über­mittlung (bei Vorliegen einer einschlägigen Rechtfertigungsgrundlage) überhaupt rechtlich zulässig. Andernfalls muss geklärt werden, ob das Schutzniveau durch technische und vertrag­liche Mechanismen ggf. sichergestellt werden kann. Dies muss im Einzelfall und durch auf diese Fragen spezialisierte Experten erfolgen.

Die Diskussion auf europäischer Ebene um das vom europäischen Gerichtshof für unwirksam erklärte Safe Harbor Abkommen zwischen EU und USA und dessen Nachfolger, das Privacy Shield, zeigen, dass sich hier jede schemati­sche Lösung verbietet. In Fällen, in denen keine rein nationale / europäische / EWR­Verarbeitung personenbezogener Daten in Betracht kommt, ist deshalb eine vertiefte datenschutzrechtliche Prüfung unvermeidbar.

DATENSCHUTZ & INDUSTRIE 4.0 9

Ist die Anwendbarkeit des Datenschutzrechts sowie ggf. auch die grundsätzliche Möglichkeit einer Datenverarbeitung im internationalen Kontext geklärt, muss das Unternehmen die nachfolgend skizzierten datenschutzrechtlichen Pflichten erfüllen.

3.1 Allgemeines DatenschutzrechtZunächst bestimmt § 4 BDSG, dass die Verar-beitung personenbezogener Daten nur dann zulässig ist, wenn das BDSG oder eine andere Rechtsvorschrift dies erlaubt oder anordnet oder der Betroffene eingewilligt hat. Das BDSG erlaubt beispielsweise die Datenerhebung und -speicherung für eigene Geschäftszwecke gem. § 28 BDSG. Diese Vorschrift enthält jedoch eine ganze Reihe weiterer Voraussetzungen, die für die Rechtmäßigkeit der Datenverarbeitung erfüllt sein müssen. So kann es – je nach Fall-gestaltung – beispielsweise sein, dass die frag-liche Datenverarbeitung nur dann zulässig ist, wenn sie für die Begründung, Durchführung oder Beendigung eines rechtsgeschäftlichen oder rechtsgeschäftsähnlichen Schuldverhält-nisses mit dem Betroffenen erforderlich ist. Die Zwecke, für die die Daten verarbeitet oder genutzt werden sollen, müssen zudem konkret festgelegt werden. Eine Verwendung der Daten für andere Zwecke ist ebenfalls nur unter bestimmten restriktiven Voraussetzungen mög-lich (z. B. wenn dies zur Wahrung berechtigter Interessen der verantwortlichen Stelle erforder-lich ist und kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse des Betrof-fenen an dem Ausschluss der Verarbeitung oder Nutzung überwiegt).

3. Welche Pflichten hat das / Ihr Unternehmen?

Allgemeine datenschutzrechtliche Pflichten beziehen sich neben der bereits oben darge-stellten Gewährleistung der IT-Sicherheit (vgl. dazu oben Ziffer 1.3) insbesondere auf die Bestellung eines sog. betrieblichen Daten-schutzbeauftragten.

Die Pflicht zur Bestellung eines betrieblichen Datenschutzbeauftragten besteht, wenn

• in der Regel mehr als neun Personen ständig mit der automatisierten Verarbeitung, Nutzung oder Erhebung personenbezogener Daten befasst sind oder

• in der Regel mindestens zwanzig Personen mit der Verarbeitung, Nutzung oder Erhebung personenbezogener Daten auf andere Weise, also z. B. bei manueller Verarbeitung, beschäftigt sind.

Im Konzern sind (soweit erforderlich) Daten-schutzbeauftragte für alle Konzerngesellschaften separat zu bestellen, ggf. kann es sich anbieten, zusätzlich einen Konzerndatenschutzbeauftragten zu bestellen. Der Datenschutzbeauftragte muss der Geschäftsleitung unmittelbar unterstellt und angemessen ausgestattet werden. Es darf nur eine Person bestellt werden, welche die zur Aufgabenerfüllung erforderliche Fachkunde und Zuverlässigkeit besitzt. Der Datenschutzbeauf-tragte ist in Ausübung seiner Fachkunde auf dem Gebiet des Datenschutzes weisungsfrei, darf wegen der Erfüllung seiner Aufgaben nicht benachteiligt werden und genießt Kündigungs-schutz nach näherer Maßgabe von § 4 f Abs. 3 BDSG. Aufgrund des substantiellen Aufwandes, der mit der Ausfüllung des Amtes eines betrieb-lichen Datenschutzbeauftragten verbunden ist, kann es angebracht sein, statt eines Mitarbei-ters einen externen betrieblichen Datenschutz-beauftragten (z. B. einen darauf spezialisierten Rechtsanwalt) zu bestellen.

Die Verarbeitung personenbezogener Daten kann aufgrund einer gesetzlichen Spezialvorschrift oder durch Einwilligung des Betroffenen erlaubt sein.

Jedes Unternehmen muss prüfen, ob ein betrieblicher Datenschutzbeauftragter bestellt werden muss. Wegen der damit verbundenen Privilegien kann es sich empfehlen, den betrieblichen Datenschutz­beauftragten extern zu bestellen.

10 DATENSCHUTZ & INDUSTRIE 4.0

Weitere allgemeine datenschutzrechtliche Pflichten beziehen sich auf die Meldung beabsichtigter Verfahren automatisierter Verar-beitungen, z. B. im Rahmen der Personalwirt-schaft, jedoch insgesamt nur falls kein betrieb-licher Datenschutzbeauftragter bestellt wurde.

Es ist zudem notwendig, Vorabkontrollen nach näherer Maßgabe von § 4d Abs. 5 BDSG durch-zuführen, wenn automatisierte Verarbeitungen besondere Risiken für die Rechte und Freihei-ten der Betroffenen aufweisen (z. B. bei der Verarbeitung von Gesundheitsdaten oder bei der Verarbeitung zum Zwecke der Leistungs-bewertung). Daneben treten bestimmte Benach-richtigungspflichten gegenüber dem Betroffenen, z. B. bei erstmaliger Speicherung der Daten für eigene Geschäftszwecke ohne Kenntnis des Betroffenen, § 33 BDSG, sowie bei unrecht-mäßiger Kenntniserlangung von Daten, § 42a BDSG.

3.1.1 Personen3.1.1.1 Mitarbeiter§ 5 BDSG sieht vor, dass alle Mitarbeiter des Unternehmens, die bei der Verarbeitung perso-nenbezogener Daten beschäftigt sind, vor der Aufnahme der Tätigkeit auf das Datengeheimnis zu verpflichten sind. Unter dem Datengeheimnis wird das Verbot der unbefugten Erhebung, Verarbeitung oder Nutzung personenbezogener Daten verstanden. In der Regel sollte diese Pflicht bereits bei Einstellung – parallel zum Abschluss des Arbeitsvertrags – für alle Mitar-beiter erfolgen, da bei jedem Einsatz eines Computers eine „Beschäftigung bei der Daten-verarbeitung“ in Betracht kommt, sobald auch die Möglichkeit eines Zugriffs auf personen-bezogene Daten besteht (z. B. auch bei dem bloßen Einsatz eines E-Mail-Programms). Im Industrie-4.0-Kontext besonders naheliegend ist die optional mögliche zusätzliche Verpflichtung von Mitarbeitern auf das Fernmeldegeheimnis gem. § 88 TKG. Diesem unterliegen der Inhalt der Telekommunikation und ihre näheren Umstände, insbesondere die Tatsache, ob jemand an einem Telekommunikationsvorgang beteiligt ist oder war. Das Fernmeldegeheimnis erstreckt sich auch auf die näheren Umstände erfolgloser Verbindungsversuche und kann damit in einer Vielzahl von Industrie-4.0-Anwen-dungen einschlägig sein.

In diesem Kontext muss auch stets geprüft wer-den, ob Einwilligungserklärungen der Mitarbeiter in die Verarbeitung personenbezogener Daten bzw. auch Betriebsvereinbarungen hierzu erfor-derlich und vorhanden sind. Die Verarbeitung personenbezogener Daten – insbesondere im Industrie-4.0-Kontext – stellt einen erlaubnis-pflichtigen Tatbestand dar, wobei das BDSG hierfür mit §§ 28 und 32 BDSG in vielen Fällen nur unzureichende Rechtsgrundlagen bereithält. Einwilligungen müssen jedoch hohe Anforderun-gen erfüllen, um wirksam zu sein (siehe näher hierzu unten Ziffer 3.2).

Darüber hinaus sollten Mitarbeiter regelmäßig über ihre Pflichten beim Umgang mit personen-bezogenen Daten geschult werden.

Zur Vermeidung der komplexen und aufwändigen Meldepflichten für jedes vorhandene Verfahren automatisierter Verarbeitungen ist die Bestellung eines betrieblichen Datenschutzbeauftragten dringend anzuraten.

DATENSCHUTZ & INDUSTRIE 4.0 11

3.1.1.2 KundenDie Verarbeitung von Kundendaten wird im Industrie-4.0-Kontext z. B. im Rahmen des Produkt-Lebenszyklus-Managements relevant, wenn das Endprodukt mit dem Hersteller kom-muniziert und dabei Daten übermittelt, die auch Rückschlüsse auf natürliche Personen (z. B. Eigentümer des Produkts) zulassen. Auch darüber hinaus werden datenschutzrechtliche Fragen beim Umgang mit Kundendaten z. B. im Kontext der Versendung von Werbemails oder des Einsatzes einer Unternehmensinternetseite sowie bei einer beabsichtigten Veräußerung von Kundendatenbanken aufgeworfen. Stets ist zu prüfen, ob die Verarbeitung der personenbezo-genen Daten gerechtfertigt werden kann (durch gesetzliche Rechtsgrundlage oder durch Einwil-ligung). Im Falle einer Zusendung von Werbe-mails sind neben den datenschutzrechtlichen Voraussetzungen zusätzlich die strengen Anfor-derungen des Gesetzes gegen den unlauteren Wettbewerb (UWG) zu beachten.

3.1.1.3 Geschäftspartner / LieferantenSoweit Geschäftspartner und Lieferanten betrof-fen sind, muss aus datenschutzrechtlicher Sicht gewährleistet werden, dass diese nicht quasi „en passant“ ohne Rechtsgrundlage personen-bezogene Daten des Unternehmens verarbeiten bzw. Zugriff darauf erhalten. Hierzu kann es – z.B. im Rahmen der IT-Wartung und bei der Planung und Beauftragung von IT-Projekten – erforderlich sein, Auftragsdatenverarbeitungs-verträge gem. § 11 BDSG mit dem Dienstleister abzuschließen. Diese Verträge haben, wenn sie zulässig eingesetzt und richtig entworfen werden, den Effekt, dass das Unternehmen ver-antwortliche Stelle bleibt und insoweit keine ggf. unzulässige Übermittlung personenbezogener Daten an einen Dritten, sondern ein zulässiger Fall einer Auftragsdatenverarbeitung vorliegt.

Eine ähnliche Konstellation ergibt sich im Indus-trie-4.0-Kontext, soweit bestimmte Teilprodukte für einen anderen Hersteller in der Weise perso-nalisiert werden, dass personenbezogene Daten darin eingebettet werden. In diesem Fall kann ebenfalls eine Auftragsdatenverarbeitung (jedoch als Auftragnehmer) für den Zwischen-händler als Auftraggeber in Betracht kommen.

3.1.2 DatenWelche Daten im Rahmen einer Industrie-4.0- Anwendung personenbezogene Daten sind, richtet sich nach § 3 Abs. 1 BDSG. Nur wenn die verwendeten Daten einen Personenbezug aufweisen, ist das Datenschutzrecht einschlä-gig. Das Gesetz definiert personenbezogene Daten wie folgt:

Jede Verwendung personenbezogener Daten im Kontext des Produkt-Lebenszyklus-Managements und jedes Werbevorhaben ist datenschutzrechtlich zu prüfen, in der Regel ist eine Einwilligung des Betroffenen in die Verarbeitung der personen-bezogenen Daten erforderlich.

Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener).

12 DATENSCHUTZ & INDUSTRIE 4.0

Der Begriff wird weit ausgelegt und ist keines-wegs beschränkt auf die „klassischen“ perso-nenbezogenen Daten wie Name, Anschrift und Geburtsdatum. Stattdessen fallen auch weitere identifizierende Angaben darunter, z. B. Bewe-gungsdaten, Personenkennzeichen, IP-Adressen (umstritten) und biometrische Daten, jeweils unabhängig vom Format und dem Träger-medium. Weil für den Personenbezug die Bestimmbarkeit einer natürlichen Person aus-reicht, ist im Kontext der Industrie-4.0-Fertigung besondere Vorsicht und Sorgfalt bei der notwen-digen Prüfung im Einzelfall geboten: Eine Viel-zahl von zunächst unbedenklich erscheinenden Daten kann von den Aufsichtsbehörden als per-sonenbezogen gewertet werden, wenn sich die Information grundsätzlich (auch unter Berück-sichtigung von Zusatzwissen, das nach Ansicht der Aufsichtsbehörde nicht unbedingt im Unter-nehmen konkret verfügbar sein muss) einer Person zuordnen lässt.

Weitere Besonderheiten bestehen bei der Ver-arbeitung besonderer Arten personenbezogener Daten, dies sind Angaben über die rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben. Sollten diese personenbezogenen Daten verarbeitet werden, muss sich eine Ein-willigung ausdrücklich auf diese Daten beziehen. Soweit die Verarbeitung ohne Einwilligung auf gesetzlicher Grundlage erfolgen soll, müssen Risiken für den Betroffenen in der Regel im Rahmen einer Vorabkontrolle gem. § 4 d Abs. 5 BDSG geprüft werden.

3.1.3 MaßnahmenDie ordnungsgemäße Verarbeitung personen-bezogener Daten kann durch eine Reihe von z. T. einfach zu realisierenden Maßnahmen gefördert werden: Vor allem ist hierbei die Bestellung eines betrieblichen Datenschutz-beauftragten (intern / extern) zu nennen. Nach dem gesetzlichen Leitbild des § 4g BDSG hat der Datenschutzbeauftragte auf die Einhaltung des BDSG und anderer Vorschriften über den Datenschutz hinzuwirken, z. B. durch die Über-wachung der ordnungsgemäßen Anwendung von Datenverarbeitungsprogrammen.

Ein weiterer Baustein in der Umsetzung daten-schutzrechtlicher Anforderungen ist die Erstel-lung von Verfahrensverzeichnissen. Diese ent-halten – für den internen und behördlichen Gebrauch – eine möglichst umfassende Auflis-tung aller datenschutzrechtlich relevanten Ver-fahren und sollen u. a. bestehende Dokumen-tationspflichten im Rahmen der §§ 4d und 4e BDSG erfüllen (das umfassende interne Verfah-rensverzeichnis wird z. T. auch als Verarbei-tungsübersicht bezeichnet). Ein Teil des umfas-senden Verfahrensverzeichnisses ist wiederum als öffentliches Verfahrensverzeichnis auf Antrag durch den Datenschutzbeauftragten jedermann zugänglich zu machen. Weitere Maßnahmen zur Förderung der Datenschutz-compliance sind Unternehmensrichtlinien, ggf. auch Betriebsvereinbarungen sowie die Inanspruchnahme von Schulungen und das Angebot von Schulungen für Mitarbeiter.

Eine Vielzahl von zunächst unbedenklich erschei-nenden Daten kann von den Aufsichtsbehörden als personenbezogen gewertet werden, eine genaue Prüfung im Einzelfall ist stets erforderlich.

Jedes Unternehmen sollte prüfen, ob ein Datenschutz-beauftragter bestellt werden sollte. In vielen Fällen ist dies sinnvoll, selbst wenn keine gesetzliche Pflicht dazu bestehen sollte.

DATENSCHUTZ & INDUSTRIE 4.0 13

3.2 Besonderheiten im Rahmen des Industrie-4.0-Unternehmens

Die Anwendung von Industrie-4.0Techniken (z. B. Internet der Dinge, Big Data) führt in der Produktion dazu, dass Daten verstärkt digital, ggf. auch von den Produkten und oder Ferti-gungsanlagen selbst sowie über externe Platt-formen erzeugt, übertragen und verarbeitet werden. Dies hat zum einen die Konsequenz, dass eine Vielzahl zusätzlicher Daten geschaf-fen werden, die aufgrund ihrer Personenbezieh-barkeit (insbesondere auf Mitarbeiter und End-verbraucher) potenziell die Anwendbarkeit des Datenschutzrechts auslösen können (vgl. hierzu oben Ziffer 3.1.2).

Darüber hinaus werden vielfach externe Akteure (z. B. IT-Dienstleister, Rechenzentren, Cloud Service Provider) in den digitalen Produktions-prozess eingebunden. Soweit der externe Akteur mit personenbezogenen Daten in Kontakt kommt, ist zwingend zu prüfen, inwie-weit dies auf Basis einer gesetzlichen Rechts-grundlage oder einer Einwilligung zulässig ist und ob ein Auftragsdatenverarbeitungsvertrag in Betracht kommt (vgl. hierzu oben Ziffer 3.1.1.3).

Eine zusätzliche datenschutzrechtliche Heraus-forderung besteht dann, wenn die Daten außer-halb der Europäischen Union bzw. des Europä-ischen Wirtschaftsraums verarbeitet werden sollen. In diesem Fall muss die Anwendbarkeit des Datenschutzrechts sowie das Schutzniveau im außereuropäischen Rechtsraum geklärt wer-den, weiterhin gelten strengere Anforderungen für derartige Verarbeitungen. Ggf. kann es erfor-derlich sein, zusätzliche Vereinbarungen mit dem externen Akteur zu treffen – so beispiels-weise die Standardvertragsklauseln der Euro-

päischen Kommission für die Übermittlung per-sonenbezogener Daten in Drittstaaten.6 Hierbei ist jedoch die Zulässigkeit im jeweiligen Einzel-fall zu prüfen, da die Europäische Rechtspre-chung strenge Maßstäbe an das Schutzniveau im Drittstaat anlegt und ein hohes Risiko der Unzulässigkeit des Datentransfers besteht. Wenn immer dies möglich ist, sollte daher darü-ber nachgedacht werden, ob die Datenverarbei-tung auf den europäischen Rechtsraum zu begrenzen ist.

Sofern als datenschutzrechtliche Rechtsgrund-lage (zu deren Erfordernis siehe oben Ziffer 1.1) eine Einwilligung der Betroffenen herangezogen werden soll, ergibt sich für Industrie-4.0-Fälle die zusätzliche Herausforderung, dass nur eine informierte Einwilligung rechtlich wirksam ist. Der Betroffene muss hierzu die Tragweite seiner Entscheidung einsehen können und dazu auch die Zwecke und Anwendungsbereiche der Datenverwendung kennen. Diese Vorausset-zungen sind z. B. beim Einsatz von Big Data häufig nur schwer zu erfüllen.7 Eine im konkreten Einzelfall angedachte Einwilligungserklärung sollte deshalb in jedem Fall aus sachverständiger Sicht geprüft werden (z. B. Datenschutzabteilung des Unternehmens, Datenschutzbeauftragter, auf Datenschutz spezialisierte Rechtsanwälte).

Die Verarbeitung personenbezogener Daten sollte nach Möglichkeit im europäischen Rechtsraum stattfinden.

Einwilligungserklärungen sind nur unter bestimmten Voraussetzungen wirksam. Insbesondere müssen sie freiwillig und in Kenntnis aller möglichst konkret dargelegten Umstände und in der Regel auch schrift-lich erteilt werden.

6 Abrufbar unter http://ec.europa.eu/justice/data-protection/ international-transfers/transfer/index_en.htm (zuletzt abgerufen am 12. April 2016). Nach Inkrafttreten des Privacy Shields ist u. a. auch dieses zu beachten.

7 Vgl. im Einzelnen dazu Bräutigam/Klindt, NJW 2015, 1137.

14 DATENSCHUTZ & INDUSTRIE 4.0

Verstöße gegen das Datenschutzrecht stellen ein erhebliches Risiko dar. Nicht nur können die oben genannten Datenschutzaufsichtsbehörden Ordnungsverfügungen erlassen, sie haben zudem die Möglichkeit, Bußgelder bis zur Höhe von 300.000 EUR für jeden Fall des Verstoßes zu verhängen (zur erheblichen Ausweitung der Sanktionen ab 2018 siehe oben in der Einlei-tung).

Im Einzelfall kann ein Datenschutzverstoß (bei Bereicherungs- oder Schädigungsabsicht) sogar zu einer strafrechtlichen Ahndung führen. Das Datenschutzgesetz sieht hierzu Freiheitsstrafen bis zu zwei Jahren oder Geldstrafen für bestimmte schwere Verstöße vor.

4. Welche Konsequenzen drohen bei Verstößen gegen das Datenschutzrecht?

Datenschutzverstöße können zu Bußgeldern, Schadensersatz-, Schmerzensgeld- und Unter-lassungsansprüchen und im Einzelfall sogar zu einer strafrechtlichen Ahndung führen. In jedem Fall führen sie zu einem Reputationsverlust.

Daneben treten Ansprüche der Betroffenen. Diese haben nicht nur das Recht auf Auskunft über die sie betreffenden Daten, sie können auch deren Sperrung, Löschung oder Berich-tigung verlangen, wenn die Daten unrichtig sind oder nicht mehr gespeichert werden dürfen.

Daneben treten Schadensersatz und Schmer-zensgeldansprüche bei Datenschutzverlet-zungen. Im Februar 2016 haben sogar die Ver braucherverbände das Recht erhalten, gegen Datenschutzverstöße durch Verbands-klagen vorzugehen.

In bestimmten Fällen können Datenschutz-verstöße zudem auch als wett bewerbswidrige Praktiken eingeordnet und abgemahnt werden.

In jedem Fall droht dem Unternehmen ein erheblicher Reputationsverlust bei einer „Datenpanne“.

DATENSCHUTZ & INDUSTRIE 4.0 15

Unternehmen können und sollten diese Risiken soweit wie möglich minimieren. Der erste Schritt hierzu besteht in der Schaffung eines Daten-schutzbewusstseins. Dem Unternehmen muss klar sein, dass personenbezogene Daten nicht ein beliebiges Wirtschaftsgut in deren Alleinver-fügung darstellen, sondern dass personen-bezogene Daten vielfältig geschützt werden und einem komplexen Regelungsgefüge unter-liegen. Wenn eine Vermeidung der Verarbeitung personenbezogener Daten (z. B. durch Anony-misierung) nicht zielführend ist, müssen dem Unternehmen Mittel und Wege zur Verfügung stehen, die Rechtmäßigkeit der Datenverar-beitung sicherzustellen.

Hierzu kann – je nach Umfang und Komplexität der Datenverarbeitung – ein Datenschutzma-nagement angebracht sein. Das Unternehmen kann in Richtlinien und durch Vorhalten einer Datenschutzorganisation, kompetenter Mit-arbeiter, eines Datenschutzbeauftragten und ggf. externer Berater sowie der Durchführung eigener Audits die Compliance mit diesem für die Industrie 4.0 wichtigen Rechtsgebiet sicher-stellen.

5.1 LeitfragenIn einem weiteren Schritt kann sich das Unter-nehmen dabei die folgenden Leitfragen stellen:

• Werden in einem konkreten Industrie-4.0- Projekt personenbezogene Daten erhoben (s. hierzu o. g. Ausführungen Ziffer 3.1.2)?

• Ist die Erhebung notwendig bzw. kann z. B. durch Anonymisierung der Bezug zu Personen aufgehoben werden?

Dieser erste Schritt lässt sich in Abhängigkeit von der Unternehmensgröße, der Branche und des konkreten Industrie-4.0-Projekts in unter-schiedlicher Weise strukturiert angehen und realisieren: Sofern die notwendigen Kapazitäten

5. Wie kann das Unternehmen diese Risiken minimieren?

Die Schaffung eines Bewusstseins für Datenschutz-fragen und die Einholung von Informationen sind die ersten Schritte zur Risikominimierung.

in einer Rechtsabteilung vorhanden sind, sollte diese mit einbezogen werden. Besteht bereits ein externer Datenschutzbeauftragter, sollte dieser – so früh wie möglich – mit den Frage-stellungen befasst und systematisch bei Industrie-4.0-Sachverhalten (z. B. als Teil der Qualitäts-sicherung) informiert werden. Die Einbindung von Datenschutzsachverstand kann in dieser Frühphase helfen, einen zunächst ggf. nur schwer erkennbaren Personenbezug (für den es bereits genügen kann, dass sich ein Bezug des Datums zu einer bestimmbaren natürlichen Person herstellen lässt – wie z. B. im umstritte-nen Fall einer bloßen IP-Adresse) aufzudecken und die dadurch erforderlichen Folgeüber-legungen im Rahmen jeder Projektphase zu berücksichtigen.

5.2 Klärung des Personenbezugs bzw. der Personenbeziehbarkeit

Sofern keine systematische Einbindung von Datenschutzsachverstand möglich oder gewollt ist, muss sich der Entscheidungsträger genau überlegen, mit welchen Informationen das Industrie-4.0-Projekt arbeiten soll. Handelt es sich dabei um Daten, mit denen (auch nur über Umwege) Rückschlüsse auf z. B. das Verhalten oder die Eigenschaften von natürlichen Personen möglich sind, so muss erwogen werden, ob es nicht möglich ist, das Projekt ohne Verwendung dieser Daten durchzuführen. Dabei kann auch eine Anonymisierung der Daten in Betracht kommen. Auch hierbei ist jedoch größte Sorgfalt geboten, da das Gesetz in § 3 Abs. 6 BDSG nur dann von einer Anonymisierung ausgeht, wenn die personenbezogener Daten derart verändert werden, dass die Einzelangaben über persön-liche oder sachliche Verhältnisse nicht mehr oder nur mit einem unverhältnismäßig großen Aufwand an Zeit, Kosten und Arbeitskraft einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können. Soll die Anonymisierung dazu führen, dass eine nach-folgende Verwendung der Daten nicht mehr dem Datenschutzrecht unterfällt, wird es erfor-derlich, die Daten so zu verändern, dass der Rückbezug zum Betroffenen nicht mehr möglich ist. D. h. eine Variante, wonach eine Herstellung des Bezugs noch – allerdings mit unverhältnis-

16 DATENSCHUTZ & INDUSTRIE 4.0

mäßig hohem Aufwand – möglich ist, führt nicht zu einer sicheren Verarbeitungsbefugnis.8 Insgesamt ist die Anonymisierung nach dem gesetzlichen Leitbild immer nur als ein zweiter Schritt gedacht (d. h. als eine Bearbeitung bestehender Daten). Die anfängliche Erhebung der personenbezogenen Daten ist demnach weiterhin rechtfertigungsbedürftig.

5.3 Gestaltungsoptionen für eine zulässige Verarbeitung personen-bezogener Daten

Ist geklärt, dass das Industrie-4.0-Projekt ohne die Verarbeitung personenbezogener Daten nicht auskommt, muss deren Zulässigkeit geprüft und ggf. durch Einholung einer Einwilli-gung hergestellt werden. Wie oben beschrieben ist die Datenverarbeitung zulässig, wenn es dafür eine Einwilligung des Betroffenen oder eine gesetzliche Grundlage gibt. Im Bundes-datenschutzgesetz sind mit Blick auf Industrie-4.0-Anwendungen dabei insbesondere die Vor-schriften des § 28 BDSG sowie des § 32 BDSG relevant. § 28 BDSG gestattet in bestimmtem Umfang die Datenerhebung und -speicherung für eigene Geschäftszwecke. In der Regel beschränkt sich diese Befugnis jedoch strikt auf das für die Begründung, Durchführung oder

Beendigung eines Vertrages erforderliche Maß. Weiterhin müssen die Verarbeitungszwecke bereits zu Beginn konkret festgelegt werden. Eine Industrie 4.0 typische Verarbeitung, die in vielen Kontexten für eine Vielzahl von zum Teil noch nicht anfänglich bestimmbaren Zwecken und Mehrwerten gedacht sein soll, scheidet nach dieser Vorschrift häufig aus. Ob die Daten-verarbeitung im Rahmen einer Industrie-4.0- Anwendung deshalb auf § 28 BDSG gestützt werden kann, lässt sich nur im Einzelfall ent-scheiden.

Mit Blick auf das Beschäftigungsverhältnis gestattet auch § 32 BDSG die Verarbeitung personenbezogener Daten von Mitarbeitern in gewissem Umfang. Auch hieraus folgt jedoch nur eine beschränkte Zulässigkeit der Verarbei-tung im Industrie-4.0-Kontext, z. B. bezüglich der Mitarbeiterproduktivität, da die Verarbeitung nur im Rahmen des für die Durchführung des Arbeitsverhältnisses Erforderlichen gestattet ist.

Auch wenn es im Einzelfall weitere gesetzliche Grundlagen der Verarbeitung geben kann (z. B. nach der Abgabenordnung, dem Handelsgesetz-buch, den Sozialgesetzbüchern oder dem Tele-mediengesetz), so wird in vielen Fällen erst eine Einwilligung die taugliche Grundlage für die Verarbeitung im Industrie-4.0-Kontext bieten. Sollte doch einmal auf eine gesetzliche Grund-lagen zurückgegriffen werden, so ist dies im Idealfall schriftlich zu dokumentieren, z. B. in dem Verfahrensverzeichnis.

Das Anonymisieren von Daten führt nur zu einer datenschutzrechtlichen Zulässigkeit der nachfolgenden Verarbeitung, wenn die Einzelangaben über persön-liche oder sachliche Verhältnisse in keiner Weise mehr einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können. Auch in diesem Fall bleibt die Datenerhebung (also der Schritt vor der Anonymisierung) weiterhin rechtfertigungsbedürftig.

In vielen Industrie-4.0-Anwendungsfällen wird die Einholung einer Einwilligung der Betroffenen unabdingbar sein, wenn deren personenbezogene Daten verarbeitet werden.

8 Vgl. Buchner, in: Taeger/Gabel (Hrsg.), BDSG und Datenschutz-vorschriften des TKG und TMG, 2. Aufl. 2013, § 3 Rn. 44.

DATENSCHUTZ & INDUSTRIE 4.0 17

Die Einwilligung muss gem. § 4a BDSG auf der freien Entscheidung des Betroffenen beruhen. Der Betroffene ist auf den vorgesehenen Zweck der Erhebung, Verarbeitung oder Nutzung sowie, soweit nach den Umständen des Einzel-falles erforderlich oder auf Verlangen, auf die Folgen der Verweigerung der Einwilligung hinzuweisen. Die Einwilligung bedarf auch im Regelfall (soweit z. B. keine Sondervorschriften nach dem Telemediengesetz einschlägig sind oder sich etwas anderes aus den besonderen Umständen ergibt) der Schriftform. Soll die Ein-willigung zusammen mit anderen Erklärungen schriftlich erteilt werden, ist sie besonders hervorzuheben.

Neben der Rechtsgrundlage oder Einwilligung für die Verarbeitung müssen jedoch noch wei-tere Voraussetzungen erfüllt sein, damit die Datenverarbeitung im Industrie-4.0-Projekt wirk-lich zulässig ist. Ein wichtiger Aspekt hierbei ist die Vorschrift des § 9 BDSG. Hiernach muss das Unternehmen bei der Verarbeitung perso-nenbezogener Daten technische und organisa-torische Maßnahmen zum Schutz der Informa-tionssicherheit treffen. Im Einzelnen müssen die (in der Anlage 9 zum BDSG dargestellten) Maßnahmen getroffen werden, die geeignet sind,

1. Unbefugten den Zutritt zu Datenverarbei-tungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren (Zutrittskontrolle),

2. zu verhindern, dass Datenverarbeitungs-systeme von Unbefugten genutzt werden können (Zugangskontrolle),

3. zu gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berech-tigten ausschließlich auf die ihrer Zugriffsbe-rechtigung unterliegenden Daten zugreifen können und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können (Zugriffskontrolle),

4. zu gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können und dass überprüft und fest-gestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist (Weitergabekontrolle),

5. zu gewährleisten, dass nachträglich über-prüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind (Eingabekontrolle).

Maßnahmen nach Nummer 2 bis 4 können dabei z. B. die Verwendung von dem Stand der Technik entsprechenden Verschlüsselungsver-fahren sein.

Die Gewährleistung des Datenschutzes ist im Industrie-4.0-Kontext damit insgesamt zwar kein einfaches Unterfangen – bei Berücksichtigung der oben dargestellten Leitfragen und Gestal-tungsoptionen können die bestehenden Risiken jedoch wirksam verringert werden. Ergänzend dazu kann das Unternehmen die auf Seite 20 dargestellte Checkliste zur Durchführung eines kleinen Selbstaudits durchführen und damit auch beurteilen, wie gut die bestehende Risiko-vorsorge allgemein und losgelöst vom einzelnen Projekt bereits ist.

Bei der Verarbeitung personenbezogener Daten muss die innerbetriebliche Organisation so gestaltet werden, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird (z. B. durch Verschlüsse-lung und Zutrittskontrollen).

18 DATENSCHUTZ & INDUSTRIE 4.0

Der VDMA bietet seinen Mitgliedern im Bereich des Datenschutzes eine Anlaufstelle für erste Informationen rund um den Datenschutz, etwa durch Vermittlung externer Datenschutz-experten.

Kontakt:RA Daniel van Geerenstein, LL.M.VDMA RechtTelefon +49 69 6603-1359E-Mail danielvangeerenstein@vdma.org

Darüber hinaus bieten die Datenschutzbehörden des Bundes und der Länder Informations-angebote und Musterformulare (z. B. zur Bestel-lung eines Datenschutzbeauftragten) auf ihren jeweiligen Internetseiten.9

Die Bundesdatenschutzbeauftragte betreibt zudem ein Datenschutz WIKI, auf dem ebenfalls zahlreiche Informationen bereitgehalten werden.10

Informationen und Formulare sind z. B. über die Gesellschaft für Datenschutz und Datensicher-heit GDD e.V. erhältlich.11

Für komplexere Rechtsfragen ist die Einholung externer Beratungsleistungen z. B. durch darauf spezialisierte Rechtsanwaltskanzleien möglich.

6. Wo erhalte ich weitere Informationen und Unterstützung?

9 http://www.bfdi.bund.de/DE/Infothek/Anschriften_Links/anschriften_links-node.html (zuletzt abgerufen am 12. April 2016).

10 https://www.bfdi.bund.de/bfdi_wiki/index.php/Hauptseite (zuletzt abgerufen am 12. April 2016).

11 https://www.gdd.de/ (zuletzt abgerufen am 12. April 2016).

In vielen Fällen können die nachfolgend exemplarisch aufgezählten Musterformulare und Informationsmaterialien zur Lösung daten-schutzrechtlicher Probleme und zur Verringe-rung des Aufwands bei der Bearbeitung daten-schutzrechtlicher Fragestellungen beitragen.

DATENSCHUTZ & INDUSTRIE 4.0 19

Weiterführende Informationen

Musterdokumente und Informationsmaterialien

Bundesdatenschutzgesetz – Text und Erläuterung (Bundesbeauftragte für Datenschutz und Informa-tionsfreiheit)

http://www.bfdi.bund.de/SharedDocs/Publikationen/ Infobroschueren/INFO1.pdf?__blob=publicationFile&v=12

Informationsbroschüre „Die Datenschutzbeauftragten in Behörde und Betrieb“ (Bundesbeauftragte für Datenschutz und Informationsfreiheit)

http://www.bfdi.bund.de/SharedDocs/Publikationen/ Infobroschueren/INFO4.pdf?__blob=publicationFile&v=6

GDD Checkliste zur Beurteilung der eigenen Kennt-nisse einer in privatwirtschaftlichen Institutionen tätigen Datenschutzbeauftragten

https://www.gdd.de/seminare/Checkliste%20zur%20Fachkunde.pdf

Deutschsprachiges Muster zur Auftragsdaten-verarbeitung nebst Dokumentation der Ergebnisse von ADV-Kontrollmaßnahmen der GDD

https://www.gdd.de/links/downloads/deutschsprachiges- muster-zur-auftragsdatenverarbeitung

Englischsprachiges Muster zur Auftragsdaten-verarbeitung nebst Dokumentation der Ergebnisse von ADV-Kontrollmaßnahmen der GDD

https://www.gdd.de/links/downloads/englischsprachiges- muster-zur-auftragsdatenverarbeitung

EU-Standardvertragsklauseln für den Transfer personenbezogener Daten in Drittstaaten

http://ec.europa.eu/justice/data-protection/international- transfers/transfer/index_en.htm

Orientierungshilfe des Düsseldorfer Kreises zu den Datenschutzanforderungen an App-Entwickler und App-Anbieter

http://www.bfdi.bund.de/DE/Infothek/Orientierungshilfen/Artikel/OH_App.pdf?__blob=publicationFile&v=3

Orientierungshilfe des Düsseldorfer Kreises zum datenschutzgerechten Einsatz von RFID

http://www.bfdi.bund.de/DE/Infothek/Orientierungshilfen/Artikel/Orientierungshilfe_RFID.pdf?__blob=publicationFile&v=4

Orientierungshilfe des Düsseldorfer Kreises zu Datenschutz und Datensicherheit in Projekten: Projekt- und Produktivbetrieb

http://www.bfdi.bund.de/DE/Infothek/Orientierungshilfen/Artikel/OH_Projekt-Produktivbetrieb.pdf?__blob=publicationFile&v=4

Verpflichtung auf das Datengeheimnis gemäß § 5 Bundesdatenschutzgesetz (BDSG), auf das Fern-meldegeheimnis gemäß § 88 Telekommunikations-gesetz (TKG) und auf Wahrung von Geschäfts-geheimnissen (Bundesbeauftragte für Datenschutz und Informationsfreiheit)

http://www.bfdi.bund.de/SharedDocs/Publikationen/ Arbeitshilfen/VerpflichtungDatengeheimnis2.pdf?__blob=publicationFile&v=4

Muster Verfahrensverzeichnis der GDD https://www.gdd.de/downloads/materialien/muster/ verfahrensverzeichnis.pdf/at_download/file

Hinweise zu Verfahrensverzeichnis und Verarbei-tungsübersicht des Bayerischen Landesamtes für Datenschutzaufsicht

https://www.lda.bayern.de/lda/datenschutzaufsicht/lda_daten/BayLDA_Verfahrensverzeichnis_und_Verarbeitungsuebersicht.pdf

Musterrichtlinien und Beispielkonzepte des Bundes-amts für Sicherheit in der Informationstechnik zum IT-Grundschutz

https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ ITGrundschutzKataloge/Inhalt/_content/hilfmi/muster/ musterrichtlinien/musterrichtlinien.html

20 DATENSCHUTZ & INDUSTRIE 4.0

Die nachfolgend abgedruckten Fragen können eine erste Orientierung bieten und das der Risikominimierung vorausgehende Datenschutzbewusstsein fördern. Sie können jedoch weder eine sachverständige datenschutzrechtliche Prüfung, einen Datenschutzaudit noch die Bestellung eines Datenschutzbeauftragten ersetzen.

1. Hat das Unternehmen einen Datenschutzbeauftragten bestellt? • Wenn nein, wie wird die Erfüllung datenschutzrechtlicher Meldepflichten und

die Prüfung der Rechtmäßigkeit jeder Verarbeitung personenbezogener Daten sichergestellt?

2. Besteht ein aktuelles internes und externes Verfahrensverzeichnis? • Wenn nein, in welchen Abteilungen und Prozessen im Unternehmen

werden personenbezogene Daten verarbeitet?

3. Bestehen schriftliche Auftragsdatenverarbeitungsvereinbarungen mit Lieferanten, Geschäftspartnern und verbundenen Konzernunternehmen, an die personen-bezogene Daten übermittelt werden bzw. die darauf zugreifen können? • Wenn ja, wie und wann werden die Auftragsdatenverarbeiter kontrolliert?

Gibt es Prüfberichte?

4. Sind alle Mitarbeiter im Unternehmen gem. § 5 BDSG verpflichtet?

5. Wie werden Mitarbeiter in Datenschutzthemen geschult?

6. Hat die Unternehmensinternetseite sowie etwaige Apps aktuelle Datenschutz-erklärungen und werden diesbezügliche Datenverarbeitungen auf wirksame Einwilligungserklärungen gestützt? • Wenn ja, wie wird sichergestellt, dass die Einwilligungserklärung auch

angesichts der konkreten Art und Weise der Implementierung auf der Website wirksam ist?

Checkliste – Selbstaudit

7. Checkliste / Fragebogen – Selbstaudit

DATENSCHUTZ & INDUSTRIE 4.0 21

Projektpartner / Impressum

VDMA RechtRA Daniel van Geerenstein, LL.M.(CESL Beijing / Hamburg)Lyoner Str. 18 60528 Frankfurt am MainE-Mail daniel.vangeerenstein@vdma.org Internet www.vdma.org/recht

GvW Graf von Westphalen Rechtsanwälte Steuerberater Partnerschaft mbBRA Stephan MenzemerUlmenstraße 23–2560325 Frankfurt am MainE-Mail s.menzemer@gvw.comInternet www.gvw.com

Design und LayoutVDMA Verlag GmbH

Erscheinungsjahr2016

CopyrightVDMA e. V.

BildnachweiseTitelbild: fotogestoeber – Fotolia.comSeite 3: VDMA

HinweisDie Verbreitung, Vervielfältigung und öffentliche Wiedergabe dieser Publikation bedarf der Zustimmung des VDMA e. V.

www.vdma.org/recht

VDMA RechtLyoner Str. 18 60528 Frankfurt am MainRA Daniel van Geerenstein, LL.M.Telefon +49 69 6603-1359Fax +49 69 6603-2359E-Mail daniel.vangeerenstein@vdma.org Internet www.vdma.org/recht

GvW Graf von Westphalen Rechtsanwälte Steuerberater Partnerschaft mbBUlmenstraße 23–2560325 Frankfurt am MainRA Stephan MenzemerTelefon +49 69 8008519-0Fax +49 69 8008519-99E-Mail s.menzemer@gvw.com Internet: www.gvw.com