Personen­bezogene Daten am Fließband? Produktions­anlagen und Datenschutz

Eberhard Häcker • 23. Februar 2024

Der kleine feine Datentipp

Lesezeit: ca. 6 Minuten

Produktionsanlage


Ein Bereich, wo die Verarbeitung personenbezogener Daten oft übersehen wird: Industrieanlagen. Dabei fallen auch dort so gut wie immer Personendaten an – mit bedenkenswerten Folgen. Was droht aus Sicht des Datenschutzes und wie können Sie gegensteuern? Hintergründe und 10 praktische Handlungstipps.


Produktions­anlagen und Datenschutz


Datenschutzbeauftragte begreifen sich selten als zuständig für Produktionsanlagen und deren Wartung. Was soll es dort schon an personenbezogenen Daten geben? Betriebstechnik ist Betriebstechnik und da gibt es doch keine Personendaten!




Wer arbeitet heute an Anlage XY?

Dieser Schluss ist leider etwas vorschnell. Denn es gibt mittlerweile so gut wie keine informationstechnischen Systeme mehr, in denen nicht in irgendeiner Weise personenbeziehbare Daten vorhanden sind. Das gilt auch für die Produktion. Jemand bedient die Anlage. Und dieser Jemand muss sich an der Anlage anmelden. Und abmelden.




Profile und Leistungsmessung


Darüber hinaus wird protokolliert, was während der Arbeitszeit passiert. Und schon haben wir ein Protokoll, das sich auf eine Person und deren Arbeit bezieht. Werden mit dieser Person bestimmte Vorkommnisse in Verbindung gebracht (während der Schicht von Anton Abele sind fünf Fehler passiert!) haben wir ein Profil. Denn wenn bei Bertram Bebele nur zwei Fehler passiert sind, dann muss Bertram Bebele der Bessere sein, oder? Und plötzlich haben wir nicht nur ein Profil, sondern eine mögliche Kontrolle von Verhalten und Leistung.




Wer hat Zugriff?


In den wenigsten Fällen wird auf diese Protokolle zugegriffen werden. Das hat aber nichts damit zu tun, dass die dazugehörigen Daten nun mal verarbeitet werden und auf Personen beziehbar sind. Da Profilen laut Datenschutz-Grundverordnung (DSGVO) besondere Beachtung zukommt, sind wir mittendrin in den Tiefen des Datenschutzes.

quote

„Datenschutz­beauftragte überwachen, ob der Verantwortliche Datenschutzvorgaben angemessen umsetzt.“


Datenschutzrisiken an Produktions­anlagen


Informationspflicht erfüllt?


Laut Artikel 13 der DSGVO müssen Beschäftigte bei der Erhebung ihrer personenbezogenen Daten über diese Verarbeitung informiert werden. Unternehmen sollten prüfen, ob das für ihre Produktionsanlagen umgesetzt wurde. Konkret: Ist die Datenverarbeitung in der Produktion angemessen in der Datenschutzinformation berücksichtigt? Wenn nicht, liegt möglicherweise ein Datenschutzverstoß vor.



Datenschutz-Meldepflicht geprüft?


Bei einem Datenschutz-Verstoß kann die Meldepflicht an die Datenschutz-Aufsichtsbehörde greifen. Das gilt zumindest, wenn die Daten möglicherweise ein Risiko für die Rechte und Freiheiten Betroffener bedeuten können. Das kann unter Umständen schon dann der Fall sein, wenn Fehler an der Maschine den dort arbeitenden Personen zugeordnet werden und damit ein Leistungsvergleich möglich wird. Gibt es im Unternehmen einen Betriebsrat, ist er einzubinden.





Betroffenenanfragen beantworten


Laut Art. 15 müssen Verantwortliche Betroffenenanfragen vollständig beantworten. Habe Sie sichergestellt, dass im Fall der Anfrage eines Mitarbeiters in der Produktion auch an die Daten in den Produktionsmaschinen gedacht wird? Bleiben Personendaten unberücksichtigt, können Betroffene möglicherweise Schadenersatz geltend machen.




Wann werden Daten gelöscht?


Sorgen Sie dafür, dass Daten der Anlagen gelöscht werden – wenn sie nicht mehr gebraucht werden oder wenn ihre gesetzliche Aufbewahrungsfrist abgelaufen ist. Gebraucht werden sie möglicherweise sehr lange. Ein Beispiel: Ein Auftraggeber komplexer Industriegüter verlangt aus Beweisgründen, dass Details zur Produktion für eine bestimmte Zeit gespeichert werden, um Anforderungen des Qualitätsmanagements zu erfüllen oder in Garantiefällen als Beweis zu dienen. In anderen Fällen muss geprüft werden, wie lange die Daten objektiv erforderlich sind.


In der Praxis sind in einzelnen Fällen sicher weitere Risiken vorhanden. Diese gilt es anhand der konkreten Umstände zu ermitteln und zu dokumentieren.






Viel zu tun für den Datenschutz



Überwachung durch Datenschutzbeauftragte


Datenschutzbeauftragte überwachen, ob der Verantwortliche Datenschutzvorgaben angemessen umsetzt. Hier einige Maßnahmen, die helfen können. Die Ergebnisse sollten Sie in den Datenschutz-Jahresbericht aufnehmen.





Verzeichnis der Verarbeitungstätigkeiten


Prüfen Sie, ob die Datenverarbeitung an den Produktionsmaschinen im Verarbeitungsverzeichnis erfasst ist. Wenn nein, sollten Sie dies schnell nachholen. Wenn ja: Wann wurde dies das letzte Mal geprüft und aktualisiert?





Sind Wartungsverträge richtig abgefasst?


Produktionsanlagen werden regelmäßig gewartet. Da Anlagen komplex sind, geschieht dies häufig durch den Hersteller oder spezialisierte Dienstleister. Kann dabei ein Zugriff auf die Personendaten nicht ausgeschlossen werden, ist mindestens eine Vertraulichkeitsvereinbarung abzuschließen. Wird ein Wartungsdienst mit der Erstellung von Auswertungen beauftragt, schließen Sie einen Vertrag über Auftragsverarbeitung. Es hilft nichts, hier müssen sich Datenschutzbeauftragte, Produktionsleitung und technisch Verantwortliche eng miteinander abstimmen.





 Werden die Daten richtig gelöscht?


Prüfen Sie, wie lange Daten objektiv gebraucht werden, wie sie zu löschen sind und wie sie bis zu ihrer Löschung sicher aufbewahrt werden. Denn: Wenn Daten lange aufzubewahren sind, dann gilt auch der Grundsatz der Verfügbarkeit laut DSGVO. Dann müssen die Daten unter Anwendung der geeigneten technischen und organisatorischen Maßnahmen so aufbewahrt werden, dass sie vorhanden und nutzbar sind.





 Personenbezogene Daten aus Industrieanlagen schützen


Auch das muss geprüft werden: sind die Schutzmaßnahmen geeignet oder kann jeder die Anlagendaten auslesen? Oft wissen die an den Anlagen arbeitenden Personen, wo sie bestimmte Details nachsehen können. Sie können also grundsätzlich auch Daten von Kollegen einsehen. Haben Sie geeignete Schutzmaßnahmen gegen Datenpannen getroffen? Werden diese Maßnahmen regelmäßig geprüft?


Also, liebe Datenschutzbeauftragte: Sicherheitsschuhe anziehen, Ohrstöpsel (Gehörschutz) einstecken und ab in die Produktion!





10 Tipps, um personenbezogene Daten aus Produktions­anlagen sicher zu verarbeiten


Datenschutzverstöße an den Produktionsanlagen vermeiden? Hier einige Tipps und Maßnahmen.


Tipp Nr. 1

Prüfen Sie, mit welchen Produktionsanlagen oder Steuerungseinrichtungen personenbezogene oder auf Personen beziehbare Daten verarbeitet werden. Legen Sie ein „Inventar“ an.

Tipp Nr. 2

Prüfen Sie, unter welchen näheren Umständen die Verarbeitung erfolgt.

Tipp Nr. 3

Prüfen Sie, wer die Verantwortlichen für diese Verarbeitungsprozesse sind und ob sie sich ihrer Verantwortung hinsichtlich des Datenschutzes bewusst sind

Tipp Nr. 4

Prüfen Sie, ob die Verarbeitungstätigkeit Bestandteil des Verzeichnisses der Verarbeitungstätigkeiten ist. Wenn nicht, nehmen Sie sie dort auf.

Tipp Nr. 5

Prüfen Sie, ob und wie Wartung durch Dritte erfolgt und wie die vertraglichen Regelungen lauten.

Tipp Nr. 6

Stellen Sie sicher, dass die personenbezogenen oder auf Personen beziehbaren Daten gelöscht werden, sobald sie für den Prozess nicht mehr erforderlich sind und keine gesetzlichen Aufbewahrungsfristen mehr greifen.

Tipp Nr. 7

Prüfen Sie, wie weit gegebenenfalls der Betriebsrat eingebunden ist und ob möglicherweise in einer Betriebsvereinbarung rechtlich verbindliche Regelungen getroffen wurden.

Tipp Nr. 8

Prüfen, ob die Vorkehrungen zum Schutz der Daten ausreichen oder wie gegebenenfalls nachgebessert werden kann.

Tipp Nr. 9

Ermitteln Sie, ob die Daten bei Betroffenenanfragen berücksichtigt werden.

Tipp Nr. 10

Stellen Sie sicher, dass Datenschutzbeauftragte von Anfang an in Prozesse der Datenverarbeitung in Produktionsanlagen eingebunden werden.



Und die Kernfrage: Ist sichergestellt, dass personenbezogene Daten in Industrieanlagen datenschutzkonform verarbeitet werden?



Wir wünschen viel Erfolg dabei, Datenpannen an Produktionsanlagen souverän zu vermeiden.



Sie wünschen sich Unterstützung?

Die Experten von Team Datenschutz sind für Sie da.

Bei Datenschutz-Fragen Team Datenschutz fragen.


Kontakt aufnehmen Kontakt aufnehmen

Hat Ihnen der Datentipp gefallen? Empfehlen Sie ihn weiter!

Der VVT-Check

Passgenaue Analyse. Klare Empfehlungen.

Endlich Sicherheit beim Verzeichnis der Verarbeitungstätigkeiten.


Jetzt unverbindlich kennenlernen.

zum VVT-Check

15. Türchen im Datenschutz-Advents­kalender

von Team Datenschutz 14. Dezember 2025
Dieses Türchen verbindet Alltag, Risiko und Weihnachtszauber und zeigt, warum Datenschutz in Behörden nicht nur Pflicht ist – sondern Menschenschutz.

14. Türchen im Datenschutz-Advents­kalender

von Team Datenschutz 13. Dezember 2025
Das heutige Adventskalender-Türchen ist für alle, die wissen wollen, wie Datenschutz auch auf vier Rädern funktioniert.

13. Türchen im Datenschutz-Advents­kalender

von Team Datenschutz 12. Dezember 2025
In dieser warm erzählten Adventsgeschichte zeigt ein Fuhrparkleiter, wie man mit Ruhe, Respekt und Know-how eine stille Datenpanne verhindert und gleichzeitig das gesamte Unternehmen verbessert.

12. Türchen im Datenschutz-Advents­kalender

von Team Datenschutz 11. Dezember 2025
VPN, Verschlüsselung und richtige Reihenfolge entscheiden, ob ein Angreifer nur bunte Datenpakete sieht oder ob ein echtes Risiko entsteht.

11. Türchen im Datenschutz-Advents­kalender

von Team Datenschutz 10. Dezember 2025
Nicht jeder Held trägt einen Umhang. Diese Geschichte erzählt von einem Kollegen, der mehr Sicherheit schafft als jede technische Maßnahme.

10. Türchen im Datenschutz-Advents­kalender

von Team Datenschutz 9. Dezember 2025
Was tun, wenn ein externer Partner einen Datenschutzfehler verursacht? Ein spannendes Türchen über Krisenkompetenz, Vertrauen und echtes Projekt-Leadership.

9. Türchen im Datenschutz-Advents­kalender

von Team Datenschutz 8. Dezember 2025
Wie gewinnt man Kunden, wenn Budgets wie dünne Eiszapfen wirken? Indem man zeigt, dass Datenschutz nicht nur Ressourcen kostet, sondern sich auszahlen kann.

8. Türchen im Datenschutz-Advents­kalender

von Team Datenschutz 7. Dezember 2025
Das 8. Türchen zeigt humorvoll, wie ein unscheinbarer Router zum Risiko wird und wie ein IT-Kollege mit viel Fachkenntnis (und etwas Übermut) eine kritische Situation sichtbar macht.

7. Türchen im Datenschutz-Advents­kalender

von Team Datenschutz 6. Dezember 2025
Was passiert, wenn ein Team erkennt, dass ein Kollege unterzugehen droht? In dieser warmen Adventsgeschichte wird aus Stress eine stille, liebevolle Rettungsaktion.
Mehr anzeigen