Industrie 4.0 und Big Data

In der Praxis unterliegen viele Industrie 4.0- und Big Data-Prozesse den Restriktionen des Datenschutzrechts. Ein effizientes Vorgehen verlangt die Berücksichtigung datenschutzrechtlicher Vorgaben und Rahmenbedingungen schon bei der Gestaltung neuer Prozesse, wie aus einem Gutachten des Kanzlei Noerr für den BDI hervorgeht. Nachfolgend gibt der Datenschutzexperte Daniel Rücker, Partner im Münchner Noerr-Büro und einer der Autoren der Studie, einen Überblick über die wesentlichsten datenschutzrechtlichen Rahmenbedingungen von Industrie 4.0- und Big Data-Prozessen.

„

Die vierte industrielle Revolution, Industrie 4.0, steht ganz im Zeichen der Analyse großer, oft unstrukturierter Datenmengen in Echtzeit (Big Data). Diese Auswertung solcher In-formationen und ihre Berücksichtigung im Produktionsprozess erlaubt etwa auch bei standardisierten Großserienproduktionen eine höchst flexible, im Idealfall am individuellen Kunden ausgerichtete Produktion.

Bei der Analyse von Daten für Industrie 4.0- und Big Data-Prozesse stellt sich zwangsläufig die Frage nach deren datenschutzrechtlicher Relevanz und damit zuvorderst, ob deutsches Datenschutzrecht für den jeweiligen Prozess überhaupt anwendbar ist. Während die globalisierte Industrie an den Landesgrenzen (zumindest digital) keinen Halt macht, basiert das Datenschutzrecht auf einer Vielzahl mehr oder weniger vergleichbarer nationaler Regelungen verschiedenster Staaten. Grundsätzlich unterfällt jede Datenverarbeitung in Deutschland auch deutschem Recht, wobei in bestimmten Konstellationen auch das Datenschutzrecht anderer EU-Mitgliedstaaten auf in Deutschland stattfindende Datenverarbeitungen anwendbar sein kann. Sobald die neue Datenschutz-Grundverordnung anwendbar ist (wohl ab Mitte 2018), vereinfacht sich die Lage deutlich, indem die Grundverordnung dann für alle Länder innerhalb der EU einen unmittelbar geltenden einheitlichen Rahmen vorgibt. Die Grundverordnung gilt dann auch für in Drittstaaten außerhalb der EU vorgenommeine Datenverarbeitungen, wenn Daten von sich in der EU befindenden Personen betroffen sind und sich die Stelle im Drittstaat in bestimmter Weise an diesen Perso-nenkreis richtet (Marktortprinzip).

Die Anwendbarkeit des Datenschutzrechts hängt außerdem davon ab, ob der jeweilige Vorgang den Umgang mit personenbezogenen Daten betrifft. Die sehr weite Definition personenbezogener Daten erfasst im Ergebnis jegliche Informationen über eine bestimmbare natürliche Person, also über Menschen. Streit besteht darüber, woran genau sich die Bestimmbarkeit einer Person bemisst. Dies kann entweder subjektiv erfolgen, also unter Berücksichtigung des Zusatzwissens der Stelle, die die Daten hat. Andere gehen von einer objektiven Betrachtungsweise aus, nach der eine Person schon dann bestimmbar ist, wenn ein beliebiger Dritter das zu ihrer Identifikation erforderliche Zusatzwissen hat. Handelt es sich um personenbezogene Daten, ist jeglicher Umgang mit diesen Daten untersagt, soweit nicht eine Einwilligung des Betroffenen vorliegt oder ein gesetzlicher Rechtfertigungstatbestand greift, etwa für die zur Vertragserfüllung erforderliche Datenverarbeitung oder auf Basis einer Interessenabwägung. Eng mit dem Verbotsprinzip verbunden ist der sog. Zweckbindungsgrundsatz. Gerechtfertigt ist der Umgang mit personenbezogenen Daten danach nur für jeweils konkret bestimmte Zwecke. Sollen ursprünglich für andere Zwecke erhobene Daten in Big Data-Anwendungen „zweitverwendet““ werden, bedarf es also einer neuen Rechtfertigung.

Diese Restriktionen verleiten zu dem Gedanken, der Anwendbarkeit des Datenschutzrechts durch Anonymisierung der betroffenen Informationen entkommen zu wollen. Dies gelingt in der Praxis schon deshalb oft nicht, weil es die Zahl der über eine Person verfügbaren Informationen oft sehr schwierig macht, überhaupt Datensätze zu generieren, bei denen das Risiko einer Re-Identifizierbarkeit der Betroffenen faktisch ausgeschlossen ist. Allerdings ermöglicht eine Pseudonymisierung, konkret das Ersetzen von Namen/Identifikationsmerkmalen der Betroffenen, eine weniger datenschutzinvasive Gestaltung von Industrie 4.0- und Big Data-Prozessen, was wiederum deren datenschutzrechtiche Rechtfertigung erleichtert.

Auch wenn eine Einwilligung nahezu jede Datenverarbeitung legitimieren kann, sollte man auf sie nur zurückgreifen, wenn tatsächlich kein gesetzlicher Rechtfertigungstatbestand in Frage kommt. Neben den hohen Anforderungen insbesondere an die Transparenz einer Einwilligung ist sie durch den Betroffenen jederzeit widerrufbar, was der weiteren Datenverarbeitung wiederum die Grundlage entzieht. Eine Kompromisslösung könnte es sein, Einwilligungen zu vermeiden oder kurz zu halten, indem die vertraglichen Beziehungen mit dem Betroffenen so gestaltet werden, dass die gewünschte Datenverarbeitung weitestgehend zur Vertragserfüllung erforderlich und damit schon gesetzlich gestattet ist.

Es bleibt festzuhalten, dass das geltende Datenschutzrecht ebenso wie die neue Datenschutz-Grundverordnung sich durchaus auch auf Industrie 4.0- und Big Data-Prozesse anwenden lassen. Infolge begrenzter datenschutzrechtlicher Rechtfertigungsmöglichkeiten ist es unerlässlich, das Datenschutzrecht schon bei der Gestaltung neuer betrieblicher Prozesse und Geschäftsmodelle zu berücksichtigen.

Weitere Informationen finden Sie unter
www.noerr.com/de/presse-publikationen

„