Fernwartung in der Produktion und mögliche Datenpannen

Eberhard Häcker • 1. März 2024

Der kleine feine Datentipp

Lesezeit: ca. 6 Minuten

Was bei Produktionsmaschinen oft übersehen wird: In aller Regel stehen mit ihnen personenbezogene Daten in Verbindung. Wartung und Fernwartung von Maschinen und Anlagen betreffen also den Datenschutz. Darum sollten Datenschutzbeauftragte eingebunden werden und die Abläufe begleiten. Tipps für eine datenschutzgerechte Fernwartung in der Produktion.

Datenschutz im Produktionsbereich

Auch wenn Sie vielleicht nicht auf Anhieb wissen, was die Abkürzungen OT oder ICS, IoT oder IIoT bedeuten, sollten Datenschutzbeauftragte die dahinterstehenden Begriffe kennen. OT ist die Abkürzung für Operational Technology oder operative Technologie, sprich: Betriebstechnik. Damit sind Hardware und Software für industrielle Einrichtungen gemeint. Während die IT vorrangig zur Lösung geschäftlicher Anforderungen in der Bürowelt eingesetzt wird, dienen OT-Lösungen in technischem Kontext der Lösung von technischen Anforderungen wie Produktionstechnik. Nebenbei müssen diese deutlich robuster sein als die IT-Systeme der Büroanwendungen.

Daneben gibt es noch IoT (Internet of Things, Internet der Dinge), was zunächst nichts mit der hier beschriebenen Abkürzung OT zu tun hat, und IIoT (Industrial Internet of Things, industrielles Internet der Dinge).

ICS sind Industrial Control Systems, Systeme zur Fertigungs- und Prozessautomatisierung, kommen in beinahe allen Infrastrukturen zum Einsatz und sind häufig Ziel von Angriffen.

Dass das auch den Datenschutz interessieren muss, hat zwei Gründe. Erstens weisen Operational Technology und Industrial Control Systems in den meisten Fällen einen Personenbezug auf. Und zweitens macht ein gelungener Angriff auf diese Bereiche dort nicht Halt, sondern von dort aus erfolgen weitere Angriffe auch auf Office-Technik. In beiden Fällen sind personenbezogene oder auf Personen beziehbare Daten beteiligt. Bei Angriffen löst das häufig eine Datenschutzverletzung aus, die binnen 72 Stunden auf Meldepflicht geprüft werden und im zutreffenden Fall mit einer Meldung bei der Aufsichtsbehörde abgeschlossen werden muss.

Praxisbeispiel: Personendaten an Produktionsmaschinen

Ein Beispiel aus der Praxis. Kollege Abele arbeitet an der Maschine X. Er meldet sich bei Schichtbeginn mit seiner Kennung an der Maschine an. Die Maschine protokolliert je nach Anforderung oder entsprechender Einstellung Daten zu seiner Tätigkeit. Dazu gehören Daten wie Arbeitszeitbeginn und -ende, mögliche Störungen, Zahl der produzierten Teile, Fehlbedienungen, kontrolliertes und spontanes Abschalten usw. Die Maschine erstellt also ein Profil über Herrn Abele.

Angenommen, die Maschine wird bei einem Cyberangriff gehackt. Die Daten wurden kopiert und werden Teil der Forderung der Angreifer. Das ist ein unbefugter Zugang zu personenbezogenen Daten. Wenn die von der gehackten Maschine verarbeiteten Daten ein Risiko für die Rechte und Freiheiten von Herrn Abele bedeuten, löst der Vorfall eine Meldepflicht bei der Datenschutz-Aufsichtsbehörde aus.

Darum muss der Datenschutz in diese Abläufe eingebunden sein. Wenn der nichts von OT oder ICS und nichts von IoT oder IIoT weiß, können Verantwortliche nicht ihrer Meldepflicht nachkommen und Datenschutzbeauftragte nicht ihrer Überwachungsaufgabe. Die Rechte betroffener Personen werden verletzt, ohne dass Gegenmaßnahmen ergriffen werden.
Datenschutzbeauftragte sollten sich also der Fernwartung in der Produktion annehmen.

Fernwartung in der Produktion und die DSGVO

Datenschutzbeauftragte kennen die Anforderungen der DSGVO (Datenschutz-Grundverordnung). Sie können mögliche Datenpannen im Zusammenhang mit Fernwartung in der Produktion beurteilen und Verantwortliche unterstützen: Es gilt, die Risiken zu definieren, deren Eintrittswahrscheinlichkeit und Schadenshöhe abzuschätzen und zu helfen, vorgeschlagene Maßnahmen im Hinblick auf Datenschutz zu bewerten. So fordert es Artikel 24 der DSGVO.

Abläufe sauber dokumentieren

Datenschutzbeauftragte erkennen, was es für Datenschutz und Informationssicherheit bedeuten kann, wenn Fernwartungszugänge vor Ort nicht bekannt oder unvollständig dokumentiert sind. In die Kategorie „unvollständige Dokumentation“ gehört auch, wenn nicht bekannt ist, welche personenbezogenen oder auf Personen beziehbare Daten mit den Maschinen verarbeitet werden und daher bei der Fernwartung grundsätzlich einsehbar sind. Damit kann der Vorgang im Verzeichnis der Verarbeitungstätigkeiten nur unzureichend dokumentiert werden. Im Fall einer Anfrage der Aufsichtsbehörde für den Datenschutz gibt das kein gutes Bild ab.

„Fehlen die Dokumentationen, welche personenbezogenen oder auf Personen beziehbaren Daten mit den Maschinen und Anlagen sowie den dafür notwendigen Netzen verarbeitet werden, ist der Datenschutz zwangsläufig unvollständig.“

IT-Grundschutz und die Fernwartung im industriellen Umfeld

Beim Bundesamt für Sicherheit in der Informationstechnik (BSI) gibt es im IT-Grundschutz einen eigenen Baustein für die Fernwartung im industriellen Umfeld, seine Abkürzung lautet IND.3.2. Dort sind allein zehn Gefährdungen für die Informationssicherheit aufgelistet. Allerdings: Es fehlen die Gefährdungen für den Datenschutz, denn für den ist BSI nicht zuständig. Team Datenschutz unterstützt Sie gerne, diese Gefährdungen zielführend anzugehen.

Mögliche Datenschutzverstöße bei Wartungszugriffen

Kommt es durch Fehler bei Wartungszugriffen zu Schutzverletzungen beim Datenschutz, müssen Sie die üblichen Meldewege einhalten. Und worüber sich Verantwortliche für die Produktions-IT, also für Operational Technology und Industrial Control Systems sowie Internet of Things und Industrial Internet of Things nicht immer im Klaren sind: Fehlen die Dokumentationen, welche personenbezogenen oder auf Personen beziehbaren Daten mit den Maschinen und Anlagen sowie den dafür notwendigen Netzen verarbeitet werden, ist der Datenschutz zwangsläufig unvollständig. Damit wird er zur offenen Flanke und möglicher Gegenstand von Anfragen und Überprüfungen durch die Aufsichtsbehörde.

Natürlich müssen Betriebe und Unternehmen die Daten der Beschäftigten gesetzeskonform verarbeiten. Das zu überwachen, ist unter anderem die gesetzliche Aufgabe des Betriebsrats. Erfahrungsgemäß sind aber die wenigsten Betriebsräte in die Abläufe bei Wartung und Fernwartung von Anlagen und Maschinen in der Fertigung eingebunden.

Unternehmen sollten die Datenschutzanforderungen bei Wartung und Fernwartung von Anlagen und Maschinen kennen und Datenschutzbeauftragte einbinden. Dann lassen sich die damit verbundenen Arbeiten datenschutzkonform umsetzen.

Tipps für eine datenschutzgerechte Fernwartung

Datenpannen in der Fertigung vermeiden. Sieben Tipps.

Tipp Nr. 1

Stellen Sie sicher, dass alle Fernwartungszugriffe auf Maschinen und Netze der Produktion bekannt sind.

Tipp Nr. 2

Stoßen Sie an, dass bei allen Fernwartungszugriffen in der Fertigung Verantwortliche benannt sind.

Tipp Nr. 3

Stellen Sie sicher, dass alle Wartungsprozesse in der Produktion grundlegend und nachvollziehbar festgelegt sind.

Tipp Nr. 4

Halten Sie fest, welche Personendaten Maschinen über jene verarbeiten, die sie bedienen.

Tipp Nr. 5

Prüfen Sie, ob für die Wartung und Fernwartung industrieller Anlagen und Maschinen die jeweilige Verarbeitungstätigkeit im Verzeichnis der Verarbeitungstätigkeiten erfasst ist.

Tipp Nr. 6

Stellen Sie sicher, dass für alle Wartungs- und Fernwartungsaufträge belastbare Vereinbarungen vorhanden sind und entsprechende Verträge entweder über Auftragsverarbeitung (das dürfte die Regel sein) oder Vertraulichkeitsvereinbarung (NDA) vorliegen.

Tipp Nr. 7

Stimmen Sie sich mit dem Betriebsrat ab, um gemeinsam oder in Absprache mit ihm weitere Schritte zu prüfen.

Und die Kernfrage: Sind Datenschutzbeauftragte in die Wartung und Fernwartung von Fertigungsmaschinen eingebunden und können sicherstellen, dass datenschutzrechtliche Anforderungen eingehalten werden?