Vernetzung im Unternehmen bringt Vorteile – keine Frage. Die Effizienz der Abläufe lässt sich steigern, Kundenwünsche können direkter erfasst sowie passgenau umgesetzt werden und vieles mehr. Klingt alles perfekt, wären da nicht die vielen Daten, die im Rahmen der neuen Prozesse ständig produziert werden. Denn hier ist Vorsicht geboten, weil selbst Informationen, die auf den ersten Blick völlig trivial erscheinen, aufgrund der Aggregierens verschiedener ,e am Ende eine Aussagekraft erhalten und damit Mal sensibel und somit schützenswert werden können.
Die Mischung„macht’s“: Die Müsli-Kreation – über das Internet kombiniert und bestellt – wird automatisch abgefüllt, verpackt und versandt. Über die Packung erhält die Maschine Anweisungen, wie sie arbeiten muss: Mit automatisierter Warenwirtschaft, leistungsfähigen Rechnern, Cloud-Services und dem Internet der Dinge (IoT), lassen sich identifizierbare Produkte individuell fertigen. Mittels Scan-Code, RFID oder anderer Identifikationen erkennt eine Maschine, mit welchem Produktionsstück sie es zu tun hat, konfiguriert sich entsprechend und fertigt das Teil. Eines der vielen Beispiele, durch die immer mehr Unternehmen auf den Geschmack an der vierten industriellen Revolution kommen. Verständlich, denn darüber wird noch viel mehr geleistet: Jede Maschine steht über Netzwerke mit anderen Teilnehmern des Produktionsprozesses in Verbindung – tauscht sich aus, plant, vermeidet Engpässe und vor allem Stillstand oder Fehlproduktionen. Falls Probleme auftauchen, die sich im Dialog der Maschinen nicht lösen lassen, beziehen sie den Menschen ein, ganz von selbst und zwar genau den richtigen Ansprechpartner. Schöne neue Zukunft also?
Daten werden im Millisekundentakt produziert
Nein, diese Zukunft hat bereits begonnen. Es ist im Prinzip egal, wo man deren Geburtsstunde zeitlich exakt einordnet, wichtiger ist die Erkenntnis, dass keine industrielle Revolution bislang so fundamental auf den Faktor Daten gesetzt hat. Dabei verbindet das vielbeschworene Internet der Dinge nicht nur die Dinge untereinander, sondern bezieht den Menschen maßgeblich in diesen Austausch mit ein. Folglich müssen Sie sich als Datenschutzbeauftragter auch hier den neuen Herausforderungen stellen, denn im Millisekundentakt werden hierbei Daten produziert. Zukünftig werden Produktionsanlagen im Unternehmen mit Sensoren ausgestattet, die die unterschiedlichsten Daten erfassen, wie etwa Stromverbrauch, Temperatur, Betriebsmodus, Verbrauchsspitzen, aber ebenso wer die Maschine bedient. Welche Ausmaße dies annehmen kann, lässt sich anhand folgender Beispiele illustrieren:
• Eine einzelne Kompressor-Turbinenschaufel kann pro Tag 500 Gigabyte Daten produzieren
• Ein typischer Windenergiepark generiert 150.000 Datenpunkte pro Sekunde
• Ein Smart-Metering-Projekt kann 500 Millionen Datenmessungen pro Tag erzeugen
Aufgabe: Big Data macht die Daten auswertbar
Warum werden alle Daten gespeichert? Die Antwort ist ganz einfach: Nur so lassen sich Fehler analysieren und dadurch vermeiden, Kosten senken sowie die Qualität steigern. Hiermit fangen immer mehr Unternehmen an sich zu beschäftigen. Was sie dabei allerdings oftmals vernachlässigen sind die Fragestellungen, die mit der Verwendung und Speicherung dieser Daten einhergehen. Denn Daten in Millisekundentakt generieren, bedeutet im Umkehrschluss auch Terabytes an Daten. Experten erwarten hier eine zunehmend steigende Tendenz, weil das Internet der Dinge auch die Menge derjenigen Daten vergrößern wird, die sich tatsächlich auswerten lassen. Zum Vergleich: 2013 waren nur 22 Prozent aller Informationen im Digitalen Universum nutzbare Daten – von diesen wurden wiederum nur fünf Prozent tatsächlich ausgewertet. Für 2020 wird prognostiziert, dass bereits mehr als 35 Prozent aller Daten nutzbar sind.
Fast alle Daten haben einen personenbezug
Ein großes Problem dabei ist jedoch, dass fast alle Daten einen Personenbezug haben. Zum Beispiel können die Daten in Kombination mit dem Output einer Maschine auch als leistungsbezogene Daten für einen Mitarbeiter herangezogen werden. Dies ist heute zwar in dem Maße noch nicht möglich, da sich die Komplexität der Vernetzung zwischen Mitarbeitern, Produkten und Produktion, Herstellern und Kunden sich nicht einfach mit der klassischen IT-Infrastruktur abbilden und optimieren lassen. Aber es dürfte nur eine Frage der Zeit sein, bis die Unternehmen aus Effizienzgründen hier aufrüsten, weil bald Big Data Einzug auch in den Produktionsprozess hält. Big Data-Verfahren erheben, speichern und werten personenbezogene Daten aus. Deshalb gelten für sämtliche Verfahren die allgemeinen Grundsätze zur Erhebung, Speicherung und Vorhaltung von Daten ebenso wie die Grundsätze der Datensparsamkeit, der Zweckbindung und des grundsätzlichen Verbotes mit Erlaubnisvorbehalt. Die Auswertung der Daten erfolgt automatisiert, so dass weiter die Regelungen über automatisierte Entscheidungen im Einzelfall nach Art. 22 DSGVO zu beachten sind. Als Datenschutzbeauftragter müssen Sie sich also im Spannungsfeld von Einzelfallentscheidung und dem Zwang, dass Daten in Echtzeit verarbeitet werden müssen stellen.
Problem: Datenflut plus unsichere Systeme
Obwohl Big Data-Verfahren heute noch nicht umfassend im Einsatz sind, schätzen Experten die Datenflut bereits jetzt schon als unbeherrschbar ein. Insbesondere Firmen, die sich bisher wenig mit Industrie 4.0 beschäftigt haben, kommen mit den Dimensionierungen kaum zurecht. Andererseits wird ebenso postuliert, dass das Wachstum nutzbarer Daten vollkommen neue Möglichkeiten eröffnet, um mit Kunden zu interagieren, Geschäftsabläufe zu optimieren und Betriebskosten zu senken. Also werden Unternehmen handeln. Aber zum Etablieren leistungsfähiger, dezentraler Produktionssysteme im Sinne einer Industrie 4.0 müssen sehr große Datenmengen aus Anlagensteuerungen und Sensorik verknüpft sowie analysiert werden. Daneben gilt es ebenso, die fehlerfreie sowie schnelle Interaktion zwischen Mensch und Maschine über leicht verständliche flexibel einsetzbare Applikationen zu gewährleisten. Zusätzlich ist davon auszugehen, dass durch das Nachrücken der nächsten Generationen von Mitarbeitern der Einsatz mobiler Geräte sowie die Nutzung von Cloud-Anwendungen gefordert und somit immer selbstverständlicher wird. Letztendlich wird durch den Einzug der Industrie 4.0 eine Smart Factory entstehen, in der Anwender und Anlagen über das Internet kommunizieren und sowohl Daten als auch Anwendungen zunehmend auf virtuellen Servern oder in Clouds gehostet werden. Dies erfordert insgesamt ganz neue Sicherheitskonzepte.
Was ermöglicht Profiling?
Durch die Erhebung der Daten zur Optimierung der Produktionsprozesse ergeben sich ganz neue Konstellationen, die es zu überprüfen gilt. Hierunter fällt bereits Smart Maintenance. Denn in Art. 4 Nr. 4 der DSGVO wird definiert, dass Profiling jede Art der automatisierten Verarbeitung personenbezogener Daten ist, die dann dazu verwendet werden, um persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten – insbesondere um Aspekte bzgl. Arbeitsleistungen, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen. Das gilt dann auch für die Produktion im Rahmen der Industrie 4.0. Das Unternehmen soll für diese Verfahren geeignete mathematische oder statistische Verfahren verwenden sowie technische und organisatorische Maßnahmen ergreifen, um unrichtige personenbezogene Daten zu vermeiden oder zumindest korrigieren zu können (Erwägungsgrund 71, S. 6 DSGVO). Außerdem unterliegt das Profiling allen Anforderungen der DSGVO (Erwägungsgrund 72 DSGVO). Dazu gehört auch der Zweckbindungsgrundsatz. Danach dürfen personenbezogene Daten grundsätzlich nur für die Zwecke verarbeitet werden, für die sie erhoben wurden (Art. 6 Abs. 3 DSGVO). Eine Zweckänderung ist nach Art. 6 Abs. 4 DSGVO bei Fehlen einer Einwilligung der betroffenen Personen grundsätzlich nicht zulässig. Hier müssen Sie als Datenschutzbeauftragter die Sachverhalte genau prüfen sowie entsprechend begründen und vor allem dokumentieren.
Fazit
Die Verfügbarkeit in einer angemessenen Performance wird zum Schlüsselfaktor. Die Big Data-Auswertungen, die durch Algorithmen gesteuert werden, müssen zuverlässige Ergebnisse liefern um Industrie 4.0 zu ermöglichen. Führungskräfte müssen erkennen, welche Daten (Informationen) erforderlich sind, um die Geschäftsziele ihrer Kunden unterstützen zu können. Wie oben erwähnt müssen Terabytes an Daten, die bei der Produktion TÄGLICH generiert datenschutzkonform gespeichert werden. Setzen Sie sich frühzeitig als Datenschutzbeauftragter mit diesen Szenarien auseinander – Datensparsamkeit ist ein Argument, um Unternehmen vor Kostenexplosionen zu schützen sowie ein Gebot gemäß § 3a BDSG. In Bezug auf Sicherheit sollten Sie dem Cloud-Dienstleister den Vorzug geben, der künftig verstärkt auf private oder personalisierte Systemlandschaften setzt und idealerweise seinen Firmensitz ausschließlich in der EU hat. Damit unterliegt er a) nicht der US-Jurisdiktion und b) definitiv der EU-Jurisdiktion. Insgesamt bedeutet die Umstellung für Unternehmen neue Herausforderungen beim Management, der Speicherung und dem Schutz dieser Masse an unterschiedlichen Daten. Experten schätzen, dass 40 Prozent aller Daten im Digitalen Universum Schutz benötigen – von Daten mit erhöhtem Vertraulichkeitslevel bis hin zu vollständig verschlüsselten Informationen. Jedoch werden derzeit nur 20 Prozent der Daten tatsächlich abgesichert. Das ist gerade einmal etwa die Hälfte aller eigentlich schutzwürdigen Daten. Dieses Maßverhältnis sollte zu denken geben.