Parlamentarischer Abend: Industrie 4.0 und Datenschutz

Mit dem Thema "Industrie 4.0 und Datenschutz - ein lösbarer Widerspruch? - Industry 4.0 and Data Protection - A contradiction that can be solved?" beschäftigte sich ein Parlamentarischer Abend der IHKs in Bayern in der Vertretung des Freistaats Bayern bei der Europäischen Union in Brüssel.

Öffnet die Datenschutzreform den Weg in ein digitales Europa? Oder wird es Innovation künftig nur außerhalb Europas geben? Ein sicherer Datenfluss über die Grenzen einzelner Unternehmen hinaus ist Voraussetzung für die Digitalisierung der Wirtschaft. Eine DIHK-Schätzung beziffert das digitale Geschäftspotenzial mit 425 Milliarden Euro. Die Gefahr besteht darin, dass die Regulierung nicht mit dem Tempo der technischen Entwicklung Schritt hält und zur Innovationsbremse wird. Dies gilt vor allem, wenn Datenschutzanforderungen überzogen oder der Anwendungsbereich des Datenschutzrechts ohne Not zu weit ausgedehnt wird.

IHK-Hauptgeschäftsführer Peter Driessen hält es für fraglich, ob komplizierte Datenschutz-Regeln – wie die technisch aufwändige Umsetzung des Rechts auf Vergessen oder des Rechts auf Datenportabilität – tatsächlichen Schutzbedürfnissen der Bürger entsprechen. Einen Punkt machte Driessen deutlich: Daten müssen vor illegalen Zugriffen Dritten sicher sein.

Ohne Datenschutz keine Innovation

Frankreichs Top-Datenschützerin Sophie Nerbonne (Direktorin der Commission Nationale Informatique & Libertés, kurz CNIL) brachte das auf die Formel „ohne Datenschutz keine Innovation“. Sie sieht Europa auf gutem Weg. Ihrer Ansicht nach dient die EU-Datenschutz-Grundverordnung dem Sicherheitsbedürfnis der Bürger und den Interessen der Unternehmen an der Entwicklung neuer digitaler Geschäftsmodelle. Big Data eröffne der Industrie viele Möglichkeiten: vernetzte und selbstfahrende Autos, Smart Cities, Regallager, die sich selbstständig organisieren, digitale Verkehrssteuerung oder Windräder, die sich in Rückkopplung mit der Steuerungseinheit selbst justieren.

Nerbonne und EU-Parlamentarierin Prof. Angelika Niebler erinnerten daran, dass man jahrelang um eine zeitgemäße Datenschutz-Verordnung gerungen habe. Nerbonne betonte, das man die Interessen der Wirtschaft sehr weitgehend berücksichtigt habe. Die Folge ist die Beschränkung auf eine Grundverordnung, die nationale Auslegungsspielräume und Abwägungsprozesse zulasse.

Sanktionen in der Datenschutz-Grundverordnung DS-GVO

Der Preis dieser flexiblen Regeln ist die Unsicherheit der Unternehmen in Detailfragen. Wegen der laufenden Umsetzung der EU-Verordnung herrscht Zeitdruck. Am 25. Mai 2018 tritt das neue Datenschutzrecht in Deutschland in Kraft – und mit ihm der Sanktionsrahmen. Zumindest auf dem Papier sind Bußgelder bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes möglich. Dazu kommt, dass ein EuGH-Urteil den Schutz personenbezogener Daten extrem streng auslegt.

Der IT-Rechtsexperte Martin Schweinoch demonstrierte das am Beispiel der Hamburger Hafengesellschaft. Das Unternehmen hat mit der digitalen Steuerung des LKW-Verkehrs einen Effizienzgewinn von 10 Prozent erzielt. Die Betriebsdaten des LKW-Verkehrs sind an sich unkritisch. Nimmt man aber die Schichtpläne der Spediteure hinzu, lassen sich auch einzelne Fahrer identifizieren. Nach Ansicht des EuGHs genügt schon diese „theoretische Möglichkeit“, damit technische Betriebsdaten unter den Datenschutz mit allen Informations- und Berichtspflichten fallen.

Mittelstand und Datenschutz

Die EU arbeitet derzeit an einer E-Privacy-Verordnung. Laut Dr. Carl-Christian Buhr, stellvertretender Kabinettschef der EU-Digitalkommissarin Marija Gabriel, soll die neue Verordnung klären, was Telekommunikations-Anbieter und populäre Messenger-Dienste wie WhatsApp mit ihren Daten anstellen dürfen. Dr. Axel Keßler, bei Siemens Leiter für Datenschutzrecht, warnte eindringlich vor zu komplexen Regeln: „Das versteht kein Mittelständler mehr.“ Wie schwerwiegend sich Datenschutz auf die Zukunftsbranchen Gesundheitswirtschaft und Medizintechnik auswirkt, verdeutlichte er am Beispiel eines Röntgenbildes. Das enthält 2.000 personenbezogene Daten. Die Folgen: „Ohne Datenschutz wären wir in der medizinischen Forschung deutlich weiter“, sagte Keßler. Er forderte einen „strikt risikobasierten Ansatz“. Das heißt, reguliert wird nur da, wo tatsächliche Datenschutz-Risiken bestehen. Zweitens sollten rein maschinell erzeugte Daten – beispielsweise Sensor-Signale über den Wartungsbedarf eines Triebwerks – vom Datenschutz ausgenommen bleiben. „Sonst würde man die Industrie 4.0 killen“, warnte Keßler.

Nerbonne und Niebler hielten diese Warnungen für überzogen. Sie betonten, dass Europas Unternehmen die eigentlichen Gewinner der Datenschutz-Reform seien. Europa hat endlich ein einheitliches Datenschutzrecht, an das sich auch jeder asiatische und amerikanische Konzern halten muss, der mit Europas Bürgern ins Geschäft kommen will. „Die Sache ist gut gelaufen. Jetzt sind die Datenschutzbehörden am Zug“, sagte Niebler. Das griff Thomas Kranig, Präsident des Bayerischen Landesamtes für Datenschutzaufsicht, auf. „Datenschutz als solcher ist keine Innovationsbremse“, stellte Kranig fest. Er erinnerte daran, dass man bislang auch mit der völlig veralteten EU-Datenschutzrichtlinie aus dem Jahr 1995 in Zeiten von Facebook und Google einigermaßen klar gekommen sei. Es sei völlig normal, dass eine neue Rechtslage Unsicherheit schaffe. Sein Amt stehe Unternehmen für Umsetzungsfragen als Ansprechpartner zur Verfügung. „Wir finden fast immer eine Lösung“, versprach Kranig.

Marktchance: datenschutzkonforme Prozesse und Produkte

Er forderte die Unternehmen auf, von Beginn an datenschutzkonforme Prozesse und Produkte zu entwickeln. In der Diskussion erklärte eine Teilnehmerin, wirksamer Datenschutz schaffe das Vertrauen, ohne das Digitalisierung nicht möglich sei. Eine zweite betonte, Datenschutz sei ein wichtiger europäischer Wert, den man schon erfolgreich exportiert habe. In den USA habe die EU mit ihrem Datenschutz jedenfalls Politik und Wirtschaft nachhaltig beeindruckt. Buhr und Niebler sagten, sie werden Forderungen aus der Diskussion mitnehmen und sich für deren Umsetzung einsetzen, wenn die EU-Kommission und das EU-Parlament im Oktober erneut über den Entwurf für eine E-Privacy-Verordnung behandeln werden.