Aufrufe
vor 2 Wochen

Leitfaden Datennutzung

Die systematische Nutzung sowie die rechtliche Absicherung von Maschinendaten sind für Deutschlands Maschinenbauunternehmen zentrale Zukunftsfragen. Eine wertvolle Orientierungshilfe stellt der „Leitfaden Datennutzung“ dar, den der Verband Deutscher Maschinen- und Anlagenbau (VDMA) und die Kanzlei Noerr jetzt vorlegen. Der Leitfaden enthält praktische Lösungsvorschläge und dient Unternehmen, Öffentlichkeit und Politik als Diskussionsgrundlage für faire Lösungen bei der kommerziellen Nutzung der Daten.

16 LEITFADEN

16 LEITFADEN DATENNUTZUNG Grafik für Seite 13 – Leitfaden, ibe II. Datenschutz Datenhoheit Sofern sich Maschinendaten einem Menschen zuordnen lassen, sind ungeachtet einer vertraglichen Regelung zur Datenhoheit die datenschutzrechtlichen Flankierende Anforderungen zu Datenschutz berücksichtigen. Dazu gehören Regelungen allen voran die Datenschutz-Grundverordnung (DS-GVO) sowie die anwendbaren nationalen Regelungen zum Datenschutz wie etwa das deutsche Bundesdatenschutzgesetz (BDSG). Eine zentrale Weichenstellung für die Verwertung von Maschinendaten ist daher die Frage nach der Anwendbarkeit des Datenschutzrechts und ob sich diese durch Anonymisierung gänzlich vermeiden lässt oder jedenfalls durch Pseudonymisierung die Risiken minimiert werden können. Handelt es sich um personenbezogene Daten, liegt im bilateralen Verhältnis häufig eine Auftragsverarbeitung oder gemeinsame Verantwortlichkeit vor, die besonderen Regelungsbedarf auslöst. In jedem Fall sind dann aber die rechtlichen Vorgaben für eine datenschutzkonforme Verarbeitung einzuhalten. . Werkzeugkasten Teil 1, Seite 12 eugkasten Teil 1, Seite 12 Ausführliche Informationen zum Thema Datenschutz und Industrie 4.0 enthält die gleichnamige Publikation der VDMA Rechtsabteilung, die Mitglieder des VDMA kostenfrei anfordern können. Um festzustellen, ob eine Person identifizierbar ist, sind alle Mittel zu berücksichtigen, die hierzu nach allgemeinem Ermessen wahrscheinlich genutzt werden. Dabei sind die zum Zeitpunkt der Verarbeitung verfügbare Technologie und technologische Entwicklungen zu berücksichtigen. Dies führt dazu, dass ein Personenbezug auch erst nachträglich entstehen kann. Für die Bestimmung der Identifizierbarkeit kommt es nicht darauf an, ob die zur Identifizierung erforderlichen Mittel tatsächlich bei demjenigen vorliegen, der die Daten verarbeitet. Es reicht aus, wenn dieser sich diese Mittel (auf rechtmäßige Weise) beschaffen kann. Vor dem Hintergrund des vergleichsweise weit formulierten Begriffs des Personenbezugs können auch Maschinendaten häufig als personenbezogene Daten zu qualifizieren sein. Im industriellen Kontext kommt ein Personenbezug vor allem dann in Betracht, wenn Datensätze Rückschlüsse auf Beschäftigte zulassen, die Maschinen bedienen. Datenhoheit Kategorisierung Zuweisung Lizenzierung Anonymisierung Wird der Personenbezug durch Anonymisierung 176 beseitigt, ist eine natürliche Person also nicht mehr identifizierbar, so ist die Datennutzung von den Vorgaben des Daten­ t Kategorisierung Anwendbarkeit Zuweisung Anonymisierung LizenzierungPseudonymisierung Anwendbarkeit schutzrechts vollumfänglich befreit. ? Datenschutz Anwendbarkeit ? Anknüpfungspunkt für die Anwendbarkeit der datenschutzrechtlichen Anforderungen ist die Verarbeitung „personenbezogener Daten“. Verantwortlichkeit/ Anonymisierung Auftragsverarbeitung Hierzu gehören auch Daten ohne direkten Bezug zu einem Namen, wenn sie aufgrund ihres Zusammenhangs mit anderen Informationen oder ihrer Strukturierung auch nur potenziell einer bestimmten natürlichen Person zugeordnet werden können (identifizierbare Person). Im Wesentlichen lassen sich zwei Arten von Anonymisierungsansätzen 176unterscheiden: Als Randomisierung bezeichnet man Techniken, die die Daten in einer Weise verfälschen, dass die direkte Verbindung zwischen Daten und betrof­ Datenschutzkonforme Pseudonymisierung Verarbeitung Verantwortlichkeit/ Auftragsverarbeitung Datenschutzkonforme Verarbeitung

Datenhoheit Kategorisierung Zuweisung Lizenzierung LEITFADEN DATENNUTZUNG 17 ? 176 ng ierung 4 Datenschutzkonforme Verarbeitung fener Person entfernt wird. Bei der Generalisierung werden Merkmale betroffener Personen durch die Veränderung der entsprechenden Größenskala oder -ordnung generalisiert, d. h. durch einen weniger spezifischen Wert ersetzt. Datenschutz Ob ein Anonymisierungsverfahren im Einzelfall ausreichend ist, hängt maßgeblich von den individuellen Besonderheiten der jeweiligen Datensätze ab. In Anbetracht des vergleichsweise weiten Begriffs des Personenbezugs und der im Zeitalter von „Big Data“ potenziell zirkulierenden Fülle an Daten ist dies mitunter eine tatsächlich und rechtlich komplexe Frage und bedarf gegebenenfalls einer eingehenden Prüfung. Lizenzierung Pseudonymisierung Bei der Pseudonymisierung 176 werden Daten grundsätzlich nur unter Verwendung des Pseudonyms und nicht des Namens oder anderer Identifikationsmerkmale verarbeitet. Da die Pseudonyme aber im Ausnahmefall mit den gesondert aufbewahrten Daten zur Identifizierung des Trägers des Pseudonyms zusammengeführt werden können, weisen die Daten weiterhin Personenbezug auf. Pseudonymisierung Anwendbarkeit Die Pseudonymisierung führt daher nicht dazu, dass die datenschutzrechtlichen Anforderungen keine Anwendung finden, sie kann aber etwaige Risiken der Verarbeitung senken und die Einhaltung der Datenschutzpflichten unterstützen. (Gemeinsame) Anonymisierung Verantwortlichkeit und Auftragsverarbeitung Verantwortlichkeit/ Auftragsverarbeitung Datenschutzkonforme Verarbeitung Adressat der Grundsätze für die Verarbeitung personenbezogener Daten und der Rechte der betroffenen Personen ist primär der sog. Verantwortliche. Das ist derjenige, der (allein oder gemeinsam mit anderen) über die Zwecke und Mittel der Verarbeitung der personenbezogenen Daten entscheidet. Sofern zwei oder mehrere datenschutzrechtlich Verantwortliche die Zwecke und Mittel für die Verarbeitung personenbezogener Maschinendaten gemeinsam festlegen, handelt es sich dabei um eine sog. Gemeinsame Verantwortlichkeit. In diesem Fall ist ein Vertrag zur Gemeinsamen Verantwortlichkeit erforderlich, der die maßgeblichen Rollen und Verantwortlichkeiten der Parteien definiert, insbesondere gegenüber betroffenen Personen. Gemeinsame Verantwortlichkeit kann insbesondere in Konstellationen eine Rolle spielen, in denen sowohl der Betreiber als auch der Hersteller einer Maschine die beim Betrieb anfallenden personenbezogenen Maschinendaten nutzen wollen. Sofern die Verarbeitung personenbezogener Maschinendaten im Auftrag eines Verantwortlichen durch einen Auftragsverbeiter erfolgt, handelt es sich um eine sog. Auftragsverarbeitung. In diesem Fall ist ein Vertrag zur Auftragsverarbeitung zwischen dem Verantwortlichem und dem Auftragsverarbeiter erforderlich. Den Auftragsverarbeiter treffen neben den vertraglichen Pflichten außerdem eine Reihe eigenständiger gesetzlicher Datenschutzpflichten. Fälle der Auftragsverarbeitung können insbesondere vorliegen, wenn sich der Betreiber einer Maschine für den Betrieb oder die Wartung der Maschine eines externen Dienstleisters bedient, der mit personenbezogenen Daten in Berührung kommt. Pseudonymisierung

Arbeitsrecht
Leitfaden Datennutzung
Whitepaper: Die EU-Strategie für einen digitalen Binnenmarkt
Public M&A Report H1/2018
Legal issues of digitalisation in Europe
Studie: M&A Treiber für die digitale Transformation