DSGVO und Storage-Compliance im Betrieb. Produktionsdaten und Messwerte datenschutzkonform verwalten - prozesstechnik online

Produktionsdaten und Messwerte datenschutzkonform verwalten

DSGVO und Storage-Compliance im Betrieb

Anzeige
In der produzierenden Industrie planen 78 % der Maschinen- und Anlagenbauer in diesem Jahr ein IoT-Projekt. Dies ist ein zentrales Ergebnis der IDC-Studie „Internet of Things in Deutschland 2018“. Doch seit die EU-Datenschutz-Grundverordnung, kurz DSGVO, Ende Mai in Kraft getreten ist, stellen die Datenschätze industrielle Betriebe vor große Herausforderungen: Die erzeugten Daten müssen datenschutzkonform gesichert, gespeichert und archiviert werden.

Das Internet of Things führt dazu, dass in Produktionsanlagen und Maschinenparks immer mehr Sensoren zum Einsatz kommen. Die kleinen Helfer erzeugen ununterbrochen Produktionsdaten und Messwerte, zum Energieverbrauch ganzer Maschinen und Anlagen genauso wie einzelner Geräte und Bauelemente. So liefern sie wertvolle Daten über Maschinen, Produkte oder Transportmittel. Diese Daten können zu einer besseren Entscheidungsfindung im Management beitragen. Und sie eröffnen industriellen Betrieben die Möglichkeit, ganze Anlagen und einzelne Komponenten vorausschauend zu warten – Stichwort Predictive Maintenance –, was langfristig zu spürbaren Einsparungen führen und teure Produktionsausfälle verhindern kann.

Doch es reicht nicht, die Daten zu erfassen, zu analysieren und zu bewerten. Die wachsenden Informationsmengen müssen auch gespeichert, gesichert und archiviert werden. In großen industriellen Betrieben erreichen die aggregierten Daten leicht über ein Terabyte und bringen damit die Kapazitäten mancher Rechenzentren an ihre Grenzen. Die Situation verschärft sich dadurch, dass eine Analyse der Daten erst dann richtig wertvoll wird, wenn diese über viele Jahr gesammelt und aufbewahrt werden. Die wachsenden Datenmengen zu speichern, zu sichern, zu strukturieren, zu analysieren und gewinnbringend zu nutzen, ist für viele IT-Verantwortliche in der industriellen Fertigung eigentlich schon Herausforderung genug.

Dazu kommen aktuell noch die Anforderungen der DSGVO. Industrie-4.0-Anwendungen wie IoT verbreiten sich rasant und mit ihnen auch die Verbindung von Maschinendaten und Personenbezügen. Leider ist die Auffassung weit verbreitet, die DSGVO betreffe vor allem die Personalabteilung, da hier auf den ersten Blick ersichtlich mit personenbezogenen Daten gearbeitet wird. Dabei wird übersehen, dass in der Smart Factory auch Maschinendaten wie Kennnummern, Standortdaten oder Maschinennamen Rückschlüsse auf konkrete Personen und beispielsweise deren Verhalten oder Leistung zulassen – seien es Mitarbeiter, die die Maschinen führen oder warten, Kunden oder Geschäftspartner wie beispielsweise Zulieferer. Und Maschinendaten mit Personenbezug unterliegen, auch wenn der Bezug nicht auf den ersten Blick erkennbar ist, den Regelungen der DSGVO. Und so zeigt auch die IDC-Studie weiter, dass etwa 20 % der befragten Maschinen- und Anlagenbauer befürchten, dass IoT zu Sicherheitslücken in den IT-Systemen führt und dass sie Schwierigkeiten haben, den Datenschutz durchzusetzen.

Konsolidierung der IT-Landschaft

Der industrielle Mittelstand ist gezwungen, seine IT-Landschaft grundlegend zu erneuern beziehungsweise zu konsolidieren. Denn die DSGVO ist keinesfalls eine rein juristische Angelegenheit, die allein in den Verantwortungsbereich der Rechtsabteilung oder des Datenschutzbeauftragten fällt. Wenn es darum geht, die neuen Gesetze im Betrieb einzuhalten, spielt die Technologie eine entscheidende Rolle. Und so führen die Regelungen aktuell zu hohem Handlungsdruck in den IT-Abteilungen. Leider gibt es keine universelle DSGVO-konforme Lösung – allein deshalb, weil es noch gar keine Zertifizierung hierfür gibt. Das heißt konkret: Keine Software oder Hardware kann zum jetzigen Zeitpunkt sicherstellen, dass alle Anforderungen der DSGVO erfüllt werden. Es ist dennoch machbar, zentrale Aspekte hinsichtlich Back-up, Archivierung und Desaster Recovery zu berücksichtigen und gleichzeitig die Auswirkungen der Verordnung auf den täglichen Betriebsablauf zu begrenzen. Die DSGVO bietet zudem eine gute Gelegenheit, betriebseigene Datenflüsse nicht nur auf Compliance, sondern auch auf die Sicherheit hin zu überprüfen. Die EU-Verordnung empfiehlt eindeutig verschiedene Techniken wie Verschlüsselung, Anonymisierung und Pseudonymisierung. IT-Verantwortliche, die diese Vorgaben berücksichtigen, tragen nicht nur entscheidend zu einer datenschutzkonformen IT ihres Arbeitgebers bei, sondern verbessern gleichzeitig die Sicherheit.

Erfolgreiche Datenlöschung

Die DSGVO sieht für EU-Bürger ein Recht auf Vergessenwerden vor. Fordert eine Person – dies kann ein Kunde sein, ein Mitarbeiter eines Zuliefererbetriebes oder ein interner Mitarbeiter – ein Unternehmen auf, ihre Daten zu löschen, muss dieses innerhalb eines Monats sicherstellen, dokumentieren und nachweisen, dass alle Spuren restlos aus allen Systemen entfernt wurden. Das gilt auch für Back-ups mit langer Aufbewahrungsfrist und für Datenarchive mit Tausenden von Einträgen. Die Basis eines DSGVO-konformen Daten-Managements liegt daher in der Ist-Analyse der Systeme. Das Ziel ist eine lückenlose Transparenz, Stichwort Data Discovery. Denn nur wer weiß, wo sich die Daten befinden, kann garantieren, sie auch vollständig zu löschen.

Die meisten Betriebe haben Back-up-Aufbewahrungsfristen von drei bis fünf Wochen und die Daten laufen in der Regel automatisch mit den Back-ups ab, in denen sie gespeichert sind. Back-ups können jedoch auch länger aufbewahrt werden. Sofern der Daten-Controller aus anderen Compliance-Gründen die Daten länger aufbewahrt, wird das Recht auf Vergessenwerden nicht angewendet. In jedem Fall ist es ratsam, die eigenen Prozesse grundlegend zu hinterfragen: Müssen alle Daten wirklich gesichert werden? Und ist es vielleicht ohnehin an der Zeit, einen neuen Archivierungsprozess zu starten? Daten, die in den Archivspeicher verschoben wurden, sind nicht mehr Teil des regulären Sicherungsprozesses. Daher sind weniger Daten durch die IT zu sichern und die Sicherungsvorgänge laufen entsprechend zeitsparender ab. Vor dem Hintergrund der DSGVO ist das Archiv datenschutzfreundlicher als das Back-up, denn es speichert die Daten in der Regel im nativen Format. Der Vorteil: Der Datenschutzbeauftragte kann direkt auf Daten zugreifen, ohne Unterstützung vom IT-Team anzufordern. Dies bedeutet eine weitere Zeitersparnis für die IT-Abteilung.

Sicherheitsniveau gewährleisten

Die DSGVO verpflichtet dazu, technische und organisatorische Maßnahmen zu ergreifen, die ein Sicherheitsniveau gewährleisten, das dem Risiko angemessen ist. Personenbezogene Daten sind – neben dem Einsatz von sicheren Back-ups – während des gesamten Lebenszyklus durch Verschlüsselung zu schützen. Aber eine lückenlose Verschlüsselung allein reicht nicht. IT-Verantwortliche sollten weitere Tools für die Datensicherheit implementieren. Sinnvoll ist zum Beispiel eine Lösung, die vertrauliche Daten inklusive aller Restdaten sicher und dauerhaft von den Festplatten löschen kann.

www.prozesstechnik-online.de

Suchwort: phpro0418quantum


Autor: Eric Bassier

Senior Director of
Marketing,

Quantum

Anzeige

Webinare & Webcasts

Technisches Wissen aus erster Hand

Whitepaper

Hier finden Sie aktuelle Whitepaper

Pharma-Lexikon

Online Lexikon für Pharma-Technologie

Prozesstechnik-Videos

Hier finden Sie alle aktuellen Videos

Prozesstechnik-Kalender

Alle Termine auf einen Blick

Top Produkt

Wählen Sie Ihr Top-Produkt und gewinnen Sie monatlich einen unser attraktiven Preise.
Anzeige

Industrie.de Infoservice

Vielen Dank für Ihre Bestellung!
Sie erhalten in Kürze eine Bestätigung per E-Mail.
Von Ihnen ausgesucht:
Weitere Informationen gewünscht?
Einfach neue Dokumente auswählen
und zuletzt Adresse eingeben.
Wie funktioniert der Industrie.de Infoservice?
Zur Hilfeseite »
Ihre Adresse:














Die Konradin Verlag Robert Kohlhammer GmbH erhebt, verarbeitet und nutzt die Daten, die der Nutzer bei der Registrierung zum Industrie.de Infoservice freiwillig zur Verfügung stellt, zum Zwecke der Erfüllung dieses Nutzungsverhältnisses. Der Nutzer erhält damit Zugang zu den Dokumenten des Industrie.de Infoservice.
AGB
datenschutz-online@konradin.de