2. Fachtag der Datenschutz und IT-Sicherheit in Industrie 4.0
Was ist Industrie 4.0 überhaupt?
Ein Buzzword Industrielle Revolution auf Basis cyber-physischer Systeme Die Zukunft
Ein Buzzword Industrielle Revolution auf Basis cyber-physischer Systeme Die Zukunft
Definitionsversuche
Definitionsversuche: Industrie 4.0 ist ein Marketingbegriff Zukunftsprojekt der deutschen Bundesregierung Individualisierung bzw. Hybridisierung der Produkte und die Integration von Kunden und Geschäftspartnern in die Geschäftsprozesse Quelle: Gablers Wirtschaftslexikon
Definitionsversuche: Industrie 4.0 ist ein Megatrend, an dem kein Produzent vorbei kommt Reale und virtuelle Welt, Mensch und Maschine werden noch stärker verschmelzen und ständig miteinander kommunizieren Intelligente Roboter finden eigenständig Lösungen. Und das im laufenden Fertigungsprozess um auf Kundenwünsche oder ein verändertes Marktumfeld noch schneller zu reagieren als bisher Quelle: mittelstand DIE MACHER
Definitionsversuche: Das Zukunftsprojekt Industrie 4.0 zielt darauf ab, die deutsche Industrie in die Lage zu versetzen, für die Zukunft der Produktion gerüstet zu sein Sie ist gekennzeichnet durch eine starke Individualisierung der Produkte unter den Bedingungen einer hoch flexibilisierten (Großserien-) Produktion Kunden und Geschäftspartner sind direkt in Geschäfts- und Wertschöpfungsprozesse eingebunden Mit intelligenteren Monitoring- und Entscheidungsprozessen sollen Unternehmen und ganze Wertschöpfungsnetzwerke in nahezu Echtzeit gesteuert und optimiert werden können Quelle: Bundesministerium für Bildung und Forschung (BMBF)
Eigenschaften von Industrie 4.0
Eigenschaften von Industrie 4.0 Losgröße: 1/ Individualisierung Monitoring und Entscheidungsprozesse in Echtzeit Wertschöpfungsprozess Vernetzung von Welt, Mensch und Maschine Integration von Kunden und Geschäftspartnern
Eigenschaften von Industrie 4.0 Losgröße: 1/ Individualisierung Monitoring und Entscheidungsprozesse in Echtzeit Wertschöpfungsprozess Vernetzung von Welt, Mensch und Maschine Integration von Kunden und Geschäftspartnern Integration von Mitarbeitern?
Bausteine der Industrie 4.0 Sensoren Aktoren Kommunikationsmodule und architektur Datenverarbeitungsinstanzen Datenverarbeitungszwecke und Anwendungsszenarien Ideen
Vorhersagen für verbundene Dinge im Jahr 2020 200 180 160 140 120 100 80 in Milliarden 200 60 40 40,9 50 25 30 38 20 0 ABIresearch Cisco Gartner IDC Intel Juniper Research
Was bedeutet Industrie 4.0 für das eigene Arbeitsumfeld
Szenarien
Szenario 1
Szenario 1 Kunde bestellt individuell (Losgröße 1) Smart Factory plant den Produktionsprozess: Produktionsort (Fabrikauswahl) Ressourcenbestellung notwendige Mitarbeiter Qualifikation Arbeitsgeschwindigkeit Verfügbarkeit (Urlaub, Krankheit) Belastbarkeit/Einsatzfähigkeit
Datenschutzrechtliche Fragen Werden personenbezogene Daten erhoben? Werden personenbezogene Daten gespeichert? Wie werden die Daten wo verarbeitet und zu welchen Zwecken? Wie automatisiert sind Entscheidungen in der Industrie 4.0?
Personenbeziehbarkeit durch Sensordaten: Unmittelbare Personenbeziehbarkeit der gemessenen Daten Sensoren erheben direkt biometrische Daten Videokameras Mikrofonarrays Direkte Erfassung von Identifikationsmerkmalen Personenbeziehbarkeit durch den Kontext der Erhebung Smarter Bewegungsmelder im öffentlichen Raum (-) Smarter Bewegungsmelder am Einzelarbeitsplatz (+)
Personenbeziehbarkeit durch Nutzungsdaten: Was muss die Industrie 4.0 über einzelne Mitarbeiter wissen? Werden personenbezogene Daten künftig aus andern Systemen (HR/ERP) über Schnittstellen eingebunden? Qualifikation Arbeitsgeschwindigkeit Schulung und Unterweisung Eignung Verfügbarkeit (Urlaub, Krankheit) Belastbarkeit/Einsatzfähigkeit Oder werden Daten durch das System selbst erhoben und bewertet (Wissensstand des Mitarbeiters ermitteln um bedarfsgerechte Hilfestellung geben zu können)
Rechtliche Grundlagen der Datenverarbeitung Sofern personenbezogene Daten betroffen, gilt das Verbot mit Erlaubnisvorbehalt aus 4 Abs. 1 BDSG.
Rechtliche Grundlagen der Datenverarbeitung 32 BDSG im Beschäftigungsverhältnis. Einwilligung als Rechtsgrundlage im Beschäftigungsverhältnis kaum möglich. Betriebsvereinbarung. Fragen: Was ist zur Durchführung des Beschäftigungsverhältnisses erforderlich? Wie werden die Betroffenenrechte gewahrt (u.a. Information der Betroffenen bei komplexen Datenverarbeitungen, BigData)? Gibt es automatisierte Einzelentscheidung nach 6a BDSG?
Wo werden die Daten eigentlich verarbeitet?
Wo werden die Daten eigentlich verarbeitet?
Wo werden die Daten eigentlich verarbeitet?
Datensparsamkeit und Datenlöschung Frühzeitige Pseudonymisierung/ Löschung von personenbezogenen Daten auf jeder Ebene Kontroll- und Datenschutzverluste wo möglich durch lokale Datenverarbeitung vermeiden (Fog Computing) Privacy by Design und Privacy by Default Bisherige Datenschutzregelungen anwenden
Herausforderungen Sicherheit Globale Vernetzung Schwachstellenmanagement und Patch Fernzugriff Benutzerverwaltung Verschlüsselung
Lösungsansätze Klassische IT und Produktionstechnik wachsen zusammen IEC 62443 (Managementsystem, technische Anforderungen, sichere Produkte) ANSI/ISA-99 ISO 27001 (Informationssicherheitsmanagement als dauerhafter Prozess) Zones and Conduits IDS, Monitoring, Selbstdiagnose Defense in Depth Entwicklung neuer Systeme mit moderner Technik Forschungsprojekte (IUNO, etc) Safety und Security Vertragsgestaltung mit Zulieferern, Partnerfabriken, etc. Penetrationstests, Audits Awarenessprojekte (OWASP, OWASP IoT warum kein OSP I40)
Szenario 2
Szenario 2 Mitarbeiter wird durch Datenbrille unterstützt Anleitung/Vorgaben für Aufgaben (Lager) Anzahl der Teile Lagerort Fehlerreduktion Messung der Leistung Aufzeichnung des Sichtfeldes Eyetracking PPM
Rechtliche Grundlagen der Datenverarbeitung Grundsätzlich wie Szenarion 1 aber ggf. hohe Eingriffsintensität. Rahmenbedingungen festlegen! Was ist erforderlich?
Sensorspezifische Regelungen 6b BDSG: Optisch-elektronische Beobachtung öffentlich zugänglicher Räume (Videoüberwachung). 201a StGB: Verletzung des höchstpersönlichen Lebensbereichs durch Bildaufnahmen; z.b. unbefugte Bildaufnahmen in Wohnungen (auch Besucher werden geschützt). 201 StGB: Abhören des nichtöffentlich gesprochenen Wortes mittels Abhörgeräten oder Aufnahme auf Tonträger.
Weitere Szenarien?
Herausforderungen Datenschutz Mehr Daten Echtzeitdaten Größerer Datenfluss Big Data Verwaltung über die Cloud
Lösungen Bestehende Datenschutzprinzipien anwenden Cloud vs Fog-Computing (Datensparsamkeit) Erforderlichkeits-Prinzip Verhältnismäßigkeit Pseudonymisieren/Anonymisieren Keine automatisierten Einzelentscheidungen Keine unzulässige Leistungs- und Verhaltenskontrolle Mitbestimmung
Bremen Berlin Köln Würzburg Vielen Dank! Sven Venzke-Caprarese Justiziar Telefon: +49 (0) 421 69 66 32 18 svenzke@datenschutz-nord.de www.datenschutz-nord.de
Übrigens: Wir bloggen zum Thema https://www.datenschutznotizen.de/category/industrie-4-0/
Weiterführende Links https://www.datenschutz-notizen.de/category/industrie-4-0/ http://www.plattform-i40.de/ http://www.zvei.org/themen/industrie40/seiten/default.aspx https://www.vdi.de/technik/fachthemen/mess-undautomatisierungstechnik/industrie-40/ http://www.plattformi40.de/i40/navigation/karte/siteglobals/forms/formulare/karteanwendungsbeispiele-formular.html http://belden.com/blog/industrialsecurity/
Datenquellen für Diagramm auf Folie 13 http://www.cisco.com/web/solutions/trends/iot/portfolio.html http://www.gartner.com/newsroom/id/2905717 https://www.abiresearch.com/press/the-internet-of-things-will-drive-wirelessconnect/ http://www.emc.com/leadership/digital-universe/2014iview/internet-ofthings.htm http://www.intel.com/content/www/us/en/internet-ofthings/infographics/guide-to-iot.html http://www.juniperresearch.com/press/press-releases/iot-connected-devicesto-triple-to-38-bn-by-2020