Mensch, Maschine und dazwischen irgendwo der Datenschutz

| Monitoring, Big Data, Machine-Learning ‒ kaum ein Unternehmen ab einer gewissen Größe will sich die Effizienzgewinne entgehen lassen, die die Digitalisierung in das Unternehmen bringt. Das Recht rangiert dabei häufig an letzter Stelle. Das ist riskant, denn die Vernetzung sämtlicher am Produktionsprozess beteiligter Komponenten bringt vielfältige ungelöste Rechtsprobleme mit sich. So greift selbstverständlich der Datenschutz bei Sensorik und selbstlernenden Systemen in der Produktion. Doch wie lässt sich dem Rechnung tragen? |

Und täglich grüßt die Limo

Dann rüttelt es dazwischen eben ein bisschen, wenn der Mitarbeiter auf seiner SmartWatch zwar eine Wartungsroutine-Anweisung vorgefunden hat, aber gerade ein Käffchen holen gegangen ist. Gut, dass die moderne Abfüllmaschine via Sensortechnik nicht nur erkennt, dass aktuell zu wenig Zucker in der Limo ist, sondern dies auch vermeldet und nach Abhilfe ruft; reagiert der Adressierte nun nicht unmittelbar, versucht die Anlage, sich selbst zu heilen. Vibrationsmechanismen lösen etwaige Verklumpungen. Danach stimmt die Mischung manchmal wieder. Ob und wie oft dies gelingt, wie lange der Wiederherstellungsprozess dauert und wie viele Flaschen deshalb eventuell noch einmal geprüft werden müssen, das vermeldet der Mikroprozessor im Werk via Kommunikationsmodul in Echtzeit ins ERP-System.

Bei solchen Produktionsarchitekturen fallen jeden Tag erhebliche Datenmengen an ‒ 6.000 Messwerte an einer Anlage sind keine Seltenheit, selbst wenn es nur um Limo geht. Dabei ist strittig, wem die gesammelten Rohdaten überhaupt gehören: Denn nicht nur die einsetzenden Unternehmen interessieren sich dafür, sondern auch Sensorenhersteller und Auswertungsdienstleister, die damit wertvolles Branchenwissen gewinnen können. Vollkommen klar ist indes, wer gegenüber den Arbeitnehmern zu ihrem Schutz verpflichtet ist: der Arbeitgeber. Der weiß aber oft gar nicht, was er schützen muss.

Smarte Sensoren bringen neue Risiken

Besonders große Erwartungen sind zurzeit mit den sogenannten smarten Sensoren verknüpft, die aus drei Elementen bestehen: dem eigentlichen Sensor, einem Mikroprozessor und einer Kommunikationseinheit. Sie sollen Daten untereinander austauschen und eigene Algorithmen anwenden. Das Ziel ist dabei ganz klar: mehr Just-in-Time-Prozesse, geringere Wartungszeiten und weniger Ausschuss.

Die Datenspeicherung ist dabei nur solange kein Problem, wie sie sich ausschließlich auf die Handlungen der Maschinen bezieht. In Zeiten von Collaborative Roboting ‒ also dem immer ausgeklügelteren Zusammenspiel von Mensch und Apparat ‒ ist das aber immer schwerer abzugrenzen, und zwar nicht nur im Fall einer Störung. Es ist in jedem Fall in irgendeiner Weise dokumentiert, dass der Mitarbeiter abwesend, in der Cafeteria, war und dort vielleicht gerade Zucker in seinen eigenen Kaffee schüttete anstatt wie eigentlich zu diesem Zeitpunkt vorgesehen, den exakten Zuckergehalt der gesamten Limonadenproduktion zu gewährleisten. Besonders problematisch ist eine Speicherung solcher mitarbeiterbezogenen Sachverhalte bei Sensoren, die Kommunikationsmodule enthalten, die ihrerseits automatisiert Daten weitertragen können, und zwar verarbeitete wie auch Rohdaten.

Das klingt so unübersichtlich, wie es tatsächlich ist. Schritt eins einer Lösungsstrategie muss daher die Strukturierung und Katalogisierung der Daten sein, die überhaupt erfasst werden. Das kann extrem aufwendig sein, da die Maschinen oft Hunderte oder Tausende von einzelnen Sensordaten speichern, ohne dass dies jemandem bewusst wäre. Dass von diesen nur ein Bruchteil überhaupt relevant ist, spielt in diesem Zusammenhang keine Rolle, denn der Datenschutz greift ja nicht nur bei denjenigen Informationen, die Unternehmen tatsächlich nutzen.

Unwillentliche Vermessung des Arbeitnehmers

Wo er überhaupt greift, ist nur im Einzelnen zu klären, da der Datenschutz im Kontext der Industrie 4.0 eine ganze Reihe von Einzelpunkten berührt. Im Raum steht zunächst einmal die ganz generelle Vermessung des Arbeitnehmers ‒ die mittels Smart Sensor-Technologie häufig automatisch mit passiert ‒ sprich Kaffeeholen. Diese Vermessung widerspricht dem Verbot mit Erlaubnisvorbehalt, personenbezogene Daten über persönliche oder sachliche Verhältnisse einer bestimmbaren natürlichen Person zu erheben. Lässt der Arbeitnehmer nun an dieser Stelle die betroffenen Arbeitnehmer schlicht einwilligen, dann löst dies das Problem auch nicht, da die Freiheit der Einwilligung zweifelhaft ist und die Widerruflichkeit Rechtsunsicherheit schafft.

Wem gehören die Daten?

Ein zweiter wesentlicher Aspekt ist die Verfügungsgewalt über die Daten. Dabei ist allein schon völlig unklar, wem diese überhaupt gehören: demjenigen, der sie erfasst, also dem Unternehmen? Dem Eigentümer der datenverarbeitenden Maschinen oder gar einem dritten, auswertenden Dienstleister? Diese Frage ist nicht nur in der Praxis ungeklärt, sondern auch in der Rechtslehre noch umstritten. Experten fordern daher seit längerem eine gesetzliche Festlegung. Bis dahin ist in jedem Fall eine vertragliche Regelung zwischen den Beteiligten erforderlich.

Außerdem gilt es immer dann besondere Sorgfalt walten zu lassen, wenn die Daten per Cloudlösung grenzüberschreitend ausgetauscht und gespeichert werden. Zu klären ist dann, ob der ausländische Datenschutzstandard deutschem oder europäischem Recht Genüge tut.

Diskriminierung durch Algorithmen

Ebenfalls nicht von der Hand zu weisen ist die Gefahr, dass durch Algorithmen eine Diskriminierung einzelner Arbeitnehmer oder ganzer Gruppen möglich ist. Problematisch ist, dass Softwarelösungen i. d. R. nicht jeden Rechenschritt offen legen, die Entscheidungskompetenz etwa über die Gewährung von leistungsabhängigen Gehaltsbestandteilen letztlich aber beim Menschen liegen muss.

Zu all diesen Aspekten fällt es den meisten Unternehmen derzeit äußerst schwer, Transparenz für sich zu gewinnen und für ihre Arbeitnehmer zu schaffen, da moderne Systeme oftmals als Black Boxes funktionieren. Klar ist aber, dass immer der Arbeitgeber für alle etwaigen Verstöße im Hinblick auf Datenschutz oder andere Schutzrechte der Arbeitnehmer vollumfänglich in der Haftung steht ‒ denn es gilt wie stets: Unwissenheit schützt einmal mehr nicht.