DSGVO und die Bedeutung für das Industrial Internet of Things (IIoT)

Smarte Geräte und Installationen erobern den Markt. Gemeint sind Geräte, die am Internet angeschlossen sind, also IoT-Geräte, und dem Nutzer damit zusätzliche Dienste bieten. Der Zustand einer Pumpe wird überwacht; hinzukommen Verbrauchsdaten, aktive Nutzungszeiten und durchaus vieles mehr. Die Geräte helfen, Energie zu sparen, erhöhen die Sicherheit und den Komfort für den Nutzer. Zahlreiche erfolgreiche IIoT Lösungen bestätigen den großen Nutzen und Mehrwert, der sich letztendlich auch in den Prognosen für das Wachstum in diesem Segment wiederspiegelt.



Trotz ihrer zahlreichen Vorteile gibt es auf Nutzerseite starke Vorbehalte gegen IoT-Produkte. Denn sie beobachten Nutzer und ihre Umgebung permanent und senden entsprechende Daten an einen Host oder Service Provider. Die Sorge um Datenschutz und -sicherheit hält Käufer davon ab, verstärkt zu investieren und ist daher für Hersteller und Systemanbieter ein wesentliches Markthemmnis.


Neue gesetzliche Anforderungen

Die Europäische Datenschutzgrundverordnung (EU-DSGVO) bzw. General Data Protection Regulation (GDPR) stellt den Datenschutz auf eine neue Grundlage und enthält nicht nur deutlich mehr und strengere Anforderungen als das bisherige Bundesdatenschutzgesetz, sondern auch drastischere Sanktionen: Künftig sind 20 Mio. € oder 4 % des weltweiten Jahresumsatzes eines Unternehmens bei Verstößen fällig. Zum Tragen kommt dabei immer der vergleichsweise höhere Betrag.


Die DSGVO kommt seit dem 25. Mai 2018 zur Anwendung. Der deutsche Gesetzgeber hat bereits das Bundesdatenschutzgesetz neu formuliert und hundert weitere Gesetze angepasst. Anbieter von Geräten sowie diejenigen, die sie in IoT Lösungen einsetzen, sollten sich daher kontinuierlich mit ggf. neuen gesetzlichen Bestimmungen auseinandersetzen. Wenn es um smartifizierte Maschinen und Anlagen geht, sind dabei die wichtigsten neuen Regelungen folgende:

  • Werden Daten personenbezogen erfasst, etwa bei der Eingangskontrolle im Unternehmen, dann sollten diese so schnell wie möglich entpersonalisiert werden, zum Beispiel durch Anonymisierung. Damit fallen sie aus dem Geltungsbereich des BDSG und können ohne Auflagen verwendet werden.

  • Die beiden wichtigsten Auflagen sind die Zweckbindung und die Einwilligung. Es muss fest definiert sein, zu welchem Zweck die Daten erhoben werden, und der Betroffene muss zustimmen. Statt das individuell auszuhandeln, wird es im gewerblichen Umfeld durch Vereinbarungen, z.B. mit Arbeitnehmervertretern, geregelt. Dabei ist zu beachten, dass eine Einwilligung immer an den Zweck gebunden sein muss. Der kann sich später ändern, so dass dann eine entsprechende Information darüber zwingend ebenso notwendig ist wie eine erneute Einwilligung.

  • Eng mit der Zweckbindung verbunden ist die Minimierung und Befristung personenbezogener Daten. Es sollen nur die Daten erhoben werden, die für den vereinbarten Zweck benötigt werden, und die Daten sollen sobald wie möglich wieder gelöscht oder entpersonalisiert werden. Dies hat spätestens zu erfolgen, wenn sie für den vereinbarten Zweck nicht mehr gebraucht werden.


Das BDSG behandelt nicht nur den Schutz der Daten, sondern auch die Sicherheit der Verarbeitung. Speziell im betrieblichen Umfeld soll hier auf die Verschlüsselung hingewiesen werden. Es wird kaum möglich sein, Datenleitungen zu smarten Geräten gegen unberechtigten Zugriff zu schützen. Bei der Funkübertragung gilt dies noch mehr. Daher soll die Datenübertragung immer verschlüsselt erfolgen.


Personenbezogene Erkenntnisse Grundsätzlich gilt: Solange sich aus den gewonnen Daten keine personenbezogenen Erkenntnisse gewinnen lassen, ist das im Sinne des BDSG unkritisch. Falls doch, ist Zurückhaltung angesagt. Die Verkettung von Datensätzen aus unterschiedlichen Quellen macht aus harmlosen Daten plötzlich sensible.


Dazu ein Beispiel: Ein smarte Maschinensteuerung eines Bearbeitungszentrums muss wird durch einen Mitarbeiter über einen Berechtigungschip aktiviert. Werden die Daten gespeichert und mit dem Produktionsplan verkettet, lassen sich Mitarbeiterlisten erstellen, wer wann wie oft und wie lange an einer Maschine gearbeitet hat.