Anfrage senden

Rechtliche Klarstellungen und Definitionen

BDSG & ISO 27001: Auslegungshilfen für die industrielle Praxis

Was bedeutet „Verantwortlicher“ im Sinne des BDSG für einen Industriebetrieb?

Der Verantwortliche ist die juristische Person, die über Zwecke und Mittel der Datenverarbeitung entscheidet. In der Fertigungsindustrie ist dies in der Regel die Geschäftsführung des produzierenden Unternehmens, nicht die einzelne Abteilung oder der IT-Dienstleister. Die Verantwortung umfasst die gesamte Datenverarbeitungskette – von der Erfassung der Mitarbeiterdaten bis zur Steuerung von Produktionssystemen mit Personenbezug.

BDSG § 46

Gilt ISO/IEC 27001 als „Stand der Technik“ für die Datensicherheit nach Art. 32 DSGVO?

Ja, die Zertifizierung nach ISO/IEC 27001 wird von Aufsichtsbehörden als starkes Indiz für angemessene technische und organisatorische Maßnahmen (TOM) gewertet. Sie ersetzt jedoch nicht die individuelle Risikoanalyse des Verarbeitungsvorgangs. Ein zertifiziertes ISMS muss für jede Verarbeitungstätigkeit nachweisen, dass die Schutzziele Vertraulichkeit, Integrität und Verfügbarkeit spezifisch adressiert werden.

Art. 32 DSGVO

Wie ist der Begriff „personenbezogenes Datum“ in einer Produktionsdatenbank abzugrenzen?

Ein Datum ist personenbezogen, wenn es sich auf eine identifizierte oder identifizierbare natürliche Person bezieht. In der Industrie betrifft dies nicht nur Stammdaten von Mitarbeitern, sondern auch Maschinendaten, die Rückschlüsse auf das Verhalten einzelner Bediener zulassen (z. B. Logdaten mit Benutzerkennung). Rein technische Prozessparameter ohne Personenbezug fallen nicht unter das BDSG.

BDSG § 46 / Art. 4 DSGVO

Was bedeutet „Auftragsverarbeitung“ in einer mehrstufigen Lieferkette?

Ein Auftragsverarbeiter ist ein Dienstleister, der personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. In der Lieferkette kann ein Logistikdienstleister, der Lieferdaten mit Personenbezug verarbeitet, Auftragsverarbeiter sein. Entscheidend ist die Weisungsgebundenheit: Der Verarbeiter darf die Daten nur nach dokumentierten Weisungen des Verantwortlichen nutzen. Eine eigenständige Zweckbestimmung macht ihn zum eigenen Verantwortlichen.

Art. 28 DSGVO

Welche Dokumentationspflichten ergeben sich aus der Kombination von BDSG und ISO 27001?

Das BDSG verlangt ein Verzeichnis von Verarbeitungstätigkeiten (VVT) sowie eine Datenschutz-Folgenabschätzung bei risikoreichen Verarbeitungen. ISO 27001 fordert ein umfassendes Dokumentenmanagement im ISMS, einschließlich Richtlinien, Verfahrensanweisungen und Aufzeichnungen. Synergien entstehen, wenn das VVT als Teil des ISMS geführt wird und die Risikobewertung nach ISO 27001 die Grundlage für die Datenschutz-Folgenabschätzung bildet.

BDSG § 64 / ISO 27001 A.7.5

Unser Prozess: Vom Erstgespräch zur zertifizierten Datenarchitektur

1. Analyse der Ist-Situation

Wir erfassen Ihre bestehende Datenarchitektur, identifizieren Verarbeitungstätigkeiten und prüfen die aktuelle BDSG- und ISO/IEC 27001-Konformität. Ergebnis: ein detaillierter Gap-Bericht mit Handlungsempfehlungen.

2. Risikobewertung und Maßnahmenplan

Gemeinsam bewerten wir die identifizierten Risiken für personenbezogene Daten und legen technische sowie organisatorische Maßnahmen fest. Der Plan priorisiert Umsetzungsschritte nach Dringlichkeit und Aufwand.

3. Implementierung der Datenarchitektur

Wir gestalten Ihre Datenflüsse neu, implementieren Zugriffskontrollen, Verschlüsselung und Löschkonzepte. Die Architektur wird nach Privacy-by-Design-Prinzipien aufgebaut und auf Ihre industriellen Systeme abgestimmt.

4. Dokumentation und Nachweis

Alle Prozesse werden gemäß BDSG und ISO/IEC 27001 dokumentiert: Verarbeitungsverzeichnis, Auftragsverarbeitungsverträge, Datenschutz-Folgenabschätzungen und Richtlinien. So schaffen Sie die Grundlage für Audits.

5. Zertifizierungsvorbereitung

Wir begleiten Sie durch den gesamten Zertifizierungsprozess für ISO/IEC 27001, inklusive internem Audit, Management-Review und Vorbereitung auf das externe Audit. Ziel ist die erfolgreiche Erstzertifizierung.

6. Kontinuierliche Verbesserung

Nach der Zertifizierung etablieren wir einen PDCA-Zyklus für Ihr ISMS. Regelmäßige Überprüfungen, Aktualisierungen der Risikobewertung und Schulungen sichern die dauerhafte Compliance mit BDSG und ISO 27001.

Leistungsspektrum

Datenarchitektur & Compliance

Maßgeschneiderte Umsetzung von BDSG und ISO/IEC 27001 für industrielle Datenumgebungen – von der Risikoanalyse bis zur Zertifizierungsreife.

Beratung anfragen

BDSG-Implementierung

Auftragsverarbeitungsverträge

Prüfung und Neugestaltung Ihrer AVV für alle industriellen Dienstleister und Zulieferer nach Art. 28 DSGVO und §62 BDSG.

Rechtssichere Lieferketten

ISO/IEC 27001

ISMS-Aufbau für Fertigung

Aufbau eines Informationssicherheits-Managementsystems, das die spezifischen Anforderungen der Produktions-IT und Maschinensteuerung abdeckt.

Zertifizierungsreife in 12 Wochen

Datenarchitektur

Privacy-by-Design in MES

Integration von Datenschutz-Folgenabschätzungen und Löschkonzepten in Manufacturing Execution Systeme und SCADA-Umgebungen.

Compliance ohne Produktionsstillstand

Audit & Dokumentation

Verfahrensverzeichnis BDSG

Erstellung und Pflege des elektronischen Verfahrensverzeichnisses nach §70 BDSG inklusive Datenflussdiagrammen für alle Verarbeitungstätigkeiten.

Nachweisbare Ordnungsmäßigkeit

Cookie-Einstellungen

Wir verwenden Cookies, damit die Website zuverlaessig funktioniert, grundlegende Auswahl merkt und nuetzliche Seiten erkannt werden. Sie koennen akzeptieren, ablehnen oder die Einstellungen pruefen.

Einstellungen Ablehnen Akzeptieren