Montag, 07.05.2018

Foto: Magnetic-Mcc/Thinkstock/Getty Images

Druck-Maschine: Auch Daten, die vom Drucker verarbeitet werden, werden durch die Datenschutz-Grundverordnung geschützt. Um sicher zu gehen, sollte der Arbeitgeber eine Einwilligung der Mitarbeiter dafür einholen.

Recht & Steuern
Auch Bürotechnik ist betroffen

„Die DSGVO gilt auch für personenbezogene Maschinendaten“

Maschinen, die Daten über Personen sammeln, stehen nicht nur in der Produktionshalle. Auch Drucker im Büro fallen darunter, erklärt der Rechtsanwalt und IT-Experte Jan Christian Sahl.

Herr Sahl, wo sehen Sie durch das Inkrafttreten der EU-Datenschutz-Grundverordnung (DSGVO) die größte Herausforderung für Industrieunternehmen?
Das Hauptproblem dürfte in fast allen Wirtschaftsbereichen gleich sein: Viele Unternehmen haben
sich bislang nicht wirklich um die Einhaltung von Datenschutzvorschriften gekümmert – obwohl diese seit der Einführung des Bundesdatenschutzgesetzes im Jahr 1977 gelten.

Folgen Sie Markt und Mittelstand jetzt auch auf LinkedIn:    


Woran liegt das?
Nun, die Geldbußen waren bisher gering, es gab kaum staatliche Kontrollen, und datengetriebene Geschäftsmodelle standen noch nicht im Fokus der klassischen Industrieproduktion. Deshalb dürfte für die meisten Unternehmen die tatsächlich größte Herausforderung sein, sich erstmals richtig mit dem Datenschutzrecht zu befassen.

Fallen auch Maschinendaten unter die DSGVO?
Ja und zwar immer dann, wenn Maschinendaten etwas über Menschen aussagen. Bislang haben vor
allem wir als Internetnutzer Daten produziert, wenn wir im Netz unterwegs waren. Zunehmend tun das
aber auch Maschinen oder „Dinge“, wie es in der Welt des Internet of Things (IoT) heißt. Man muss
sich bei diesen „Dingen“ deshalb immer fragen, ob die in und von ihnen generierten Daten einen Personenbezug haben.

Foto: Philipp Jeske

Jan Christian Sahl ist Rechtsanwalt und Forscher am Alexander von Humboldt

Institut für Internet und Gesellschaft (HIIG).

Was könnten das für Daten sein?
Das können zum Beispiel Daten sein, die etwas über den zuständigen Mitarbeiter aussagen – und sei es nur, dass er die Maschine von 11 bis 12 Uhr bedient hat. Oder etwa Daten über den Wartungstechniker. Sobald es einen solchen Personenbezug gibt, gelten auch hier die Regeln der DSGVO.

Sind davon alle Produktionsmaschinen betroffen?

Nein, das kommt auf den Einzelfall an. Manche Produktionsmaschinen erheben nur technische Daten oder Betriebsdaten über sich selbst oder ihre Umgebung, ohne dass damit ein Personenbezug hergestellt wird. Das gilt im Moment für die Mehrzahl aller Maschinen – noch. In Zukunft dürfte sich das allerdings, zumal im Kontext von Industrie-4.0-und IoT-Anwendungen, sicher ändern.

Was bedeutet das für Unternehmen aus dem produzierenden Gewerbe?
Wenn sie sich jetzt fit für die DSGVO machen wollen, dürfen Sie nicht nur daran denken, welche Daten Sie auf Ihren Smartphones, Laptops und Desktop-PCs verarbeiten. Sondern sie müssen auch alle Maschinen und sonstigen vernetzten „Dinge“ im Blick haben. Möglicherweise fallen auch hier personenbezogene Daten an.

Wie kann das Unternehmen herausfinden, ob die Maschine überhaupt personenbezogene Maschinendaten erhebt?
In einem ersten Schritt kann bei der Aufklärung sicher der Hersteller oder Verkäufer helfen. Verantwortlich bleibt am Ende aber der Eigentümer der Maschine.

Was muss ein Unternehmen im Rahmen der DSGVO nun tun, um sich abzusichern?
Wenn feststeht, dass die Maschine personenbezogene Daten erhebt oder verarbeitet, müssen
Sie prüfen, ob die Voraussetzungen der DSGVO vorliegen. Dabei geht es unter anderem um Fragen
wie: Gibt es eine Einwilligung der Person oder eine andere rechtliche Grundlage für die Verarbeitung
dieser Daten? Kommen andere Unternehmen im Rahmen des Outsourcings mit diesen Daten in
Berührung, und gibt es hierfür die erforderlichen Verträge? Werden die Daten vielleicht auch außerhalb der Europäischen Union verarbeitet, etwa auf Servern in den USA?

Das sind eine ganze Menge Fragen. Was raten Sie Unternehmen, um das bewältigen zu können?

Unternehmen sollten einen Datenschutzbeauftragten benennen, der sich speziell um diese Fragen
kümmert. Dieser ist gesetzlich in der Regel ohnehin vorgeschrieben, wenn ein Unternehmen mehr als
zehn Mitarbeiter hat.

Ändert sich durch die DSGVO etwas an den Vorschriften, die bisher durch das Bundesdatenschutzgesetz gegolten haben?
Lassen Sie es mich so sagen: Wenn für Unternehmen schon heute Begrifflichkeiten wie Verfahrensverzeichnis, Auftragsdatenverarbeitungsvertrag und Verbot mit Erlaubnisvorbehalt keine Fremdwörter sind, haben sie eher wenig zu befürchten. Denn die meisten Vorschriften bleiben dieselben ...

… und wenn es Fremdwörter sind?
Auch dann sperrt keine Datenschutzaufsichtsbehörde gleich das Werkstor zu, weil ein Unternehmen
nicht auch noch die letzte Vorschrift eingehalten hat. Unternehmen werden allerdings dann Ärger
bekommen, wenn sie sich noch gar nicht um den Datenschutz gekümmert haben. Und das wird in
Zukunft tatsächlich deutlich teurer als bisher: Die Strafen können bis zu 4 Prozent des weltweiten Jahresumsatzes betragen.

Sind Mittelständler auf die Verschärfungen hinreichend vorbereitet?
Nach meiner subjektiven Wahrnehmung jedenfalls nicht die Mehrheit, mal abgesehen von kleinen
und mittleren Unternehmen mit stark digital oder datengetriebenen Geschäftsmodellen. Wer sich
mit der DSGVO noch nicht beschäftigt hat, sollte dies dringend zur Chefsache machen. Das Datenschutzrecht ist längst aus seinem Dornröschenschlaf erwacht – wer jetzt nicht handelt, handelt wirklich fahrlässig.

Sind davon auch andere „Maschinen“ betroffen, etwa die Bürotechnik?
Ja, klar! Ganz egal, ob es um Maschinen oder „Dinge“ im Shop- oder Officefloor geht – bei allem,
was automatisiert Daten verarbeitet, können personenbezogene Daten anfallen. Wichtig ist nicht, wer
oder was die Daten erhebt. Wichtig ist, was diese Daten aussagen. Und sobald sie irgendetwas, auch
nur eine kleine Kleinigkeit, über einen Menschen aussagen, fallen diese Daten unter das Datenschutzrecht.

Muss die Geschäftsleitung damit von jedem Mitarbeiter eine Einwilligung unterschreiben lassen, um
speichern zu dürfen, wie viel Blatt Papier er verbraucht?

Arbeitsrechtlich ist nicht ganz klar ersichtlich, was gilt. Im Datenschutzrecht gibt es einerseits den
Erlaubnisvorbehalt. Zu kontrollieren, wie viel ein Mitarbeiter gedruckt hat oder wie oft er krank ist,
ist demnach nur dann erlaubt, wenn der Mitarbeiter davor eingewilligt hat. Andererseits ist das aber auch zulässig, wenn die Interessen des Datenverarbeiters über den Interessen der Mitarbeiter stehen.

Wann ist das der Fall?
Das ist das Problem, denn das sagt der Gesetzgeber nicht explizit. Deshalb würde ich Unternehmen
empfehlen, eine Einwilligung einzuholen oder sich mit dem Betriebsrat zusammenzusetzen.

Info

Zur Person

Jan Christian Sahl ist Rechtsanwalt und Forscher am Alexander von Humboldt Institut für Internet und Gesellschaft (HIIG). Sahl hat den Gesetzgebungsprozess zur DSGVO für den Bundesverband der Deutschen Industrie in Berlin und Brüssel begleitet.