deepIng
DatensouveränitätDSGVOKI Mai 2026 von Juan Garcia

Datensouveränität in der Industrie: was DSGVO und KI für Ihre Daten bedeuten

Datensouveränität in der Industrie: was DSGVO und KI für Ihre Daten bedeuten

Produktionsdaten sind Wettbewerbsdaten. Zykluszeiten, Ausschussquoten, Rüstzeitoptimierungen, Kapazitätsauslastungen, Qualitätsprüfprotokolle — all das ist proprietäres Wissen, das Unternehmen über Jahre aufgebaut haben. Es ist das digitale Abbild ihrer operativen Exzellenz.

Gleichzeitig werden diese Daten zunehmend in Cloud-Plattformen verarbeitet — für MES-Funktionen, für KI-Analysen, für ERP-Integrationen. Die Frage, die dabei zu selten gestellt wird: Wer kontrolliert eigentlich diese Daten? Und was passiert mit ihnen?

Was Datensouveränität in der Fertigung bedeutet

Datensouveränität ist mehr als ein rechtliches Konzept. Es geht um die Frage, ob ein Unternehmen die vollständige Kontrolle über seine Daten behält — wer sie speichert, wer sie lesen kann, ob sie für andere Zwecke verwendet werden, und ob sie das Unternehmen verlassen können, ohne dass es das merkt.

In der Praxis bedeutet das für Fertigungsunternehmen konkret:

  • Wo werden die Daten physisch gespeichert? In einem Rechenzentrum in Frankfurt oder in einem Hyperscaler-Cluster in den USA?
  • Wer hat Zugriff? Nur das eigene Unternehmen, oder auch der Software-Anbieter, der Hosting-Partner, Subunternehmer?
  • Werden die Daten für Training von KI-Modellen genutzt? Viele SaaS-Anbieter tun das — oft in den AGB versteckt.
  • Können die Daten beim Anbieterwechsel vollständig exportiert werden? Oder entsteht Vendor Lock-in auf Datenebene?

DSGVO in der Fertigung: unterschätzte Komplexität

Die Datenschutz-Grundverordnung gilt auch für industrielle Daten, sobald diese Personenbezug haben — und das ist in der Fertigung häufiger der Fall als gedacht. Schichtpläne, Leistungsdaten je Maschinenführer, Qualitätsprüfergebnisse mit Mitarbeiterkennzeichen, Zeiterfassungsdaten im MES: all das ist personenbezogen im Sinne der DSGVO.

Die Verarbeitung solcher Daten in Cloud-Systemen erfordert Verarbeitungsverträge (AVV), eine klare Rechtsgrundlage, und bei Drittland-Transfers (USA, Großbritannien) zusätzliche Absicherungen. Die Prüfung, ob ein Cloud-MES diese Anforderungen erfüllt, ist oft aufwändiger als erwartet — und die Antworten der Anbieter nicht immer zufriedenstellend.

KI und Produktionsdaten: das neue Datenschutzproblem

Mit dem Einzug von KI in Fertigungsanwendungen entsteht eine neue Dimension des Problems. KI-Modelle werden mit Daten trainiert. Wenn ein MES-Anbieter KI-Funktionen anbietet und dabei auf Ihre Produktionsdaten zugreift, stellen sich Fragen, die bisher in Ausschreibungen kaum vorkamen:

  • Werden meine Produktionsdaten dazu verwendet, das Modell zu verbessern, das auch meine Wettbewerber nutzen?
  • Können Rückschlüsse auf meine Prozesse gezogen werden, indem das Modell mit meinen Daten trainiert und dann von anderen abgefragt wird?
  • Wer haftet, wenn ein KI-Modell aufgrund fehlerhafter Trainingsdaten falsche Empfehlungen liefert?

Diese Fragen sind keine theoretischen Szenarien. Sie sind juristisch und operativ relevant — besonders in Branchen mit hohem Wettbewerbsdruck und sensiblen Fertigungsverfahren.

On-Premise als Antwort — aber nicht die einzige

On-Premise-Deployment ist die klassische Antwort auf Datensouveränitätsfragen: Wenn die Software auf eigener Hardware im eigenen Rechenzentrum läuft, bleiben die Daten im Unternehmen. Das ist richtig, aber es gibt Nuancen.

Erstens bedeutet On-Premise nicht automatisch Sicherheit — veraltete Software, fehlende Patch-Routinen und interne Zugriffskontrollen sind eigene Risiken. Zweitens schließt On-Premise nicht aus, dass Software-Komponenten nach Hause telefonieren (Telemetrie, Lizenzprüfung, Update-Mechanismen). Drittens entsteht Vendor Lock-in auch ohne Cloud, wenn proprietäre Datenformate eingesetzt werden.

Die moderne Antwort ist daher nicht „On-Premise vs. Cloud", sondern die Kombination aus Deployment-Flexibilität und Datentransparenz: Software, die sowohl On-Premise als auch in privaten Cloud-Umgebungen betrieben werden kann, offene Datenformate nutzt und keine versteckten Daten-Abflüsse enthält.

Was Unternehmen heute tun sollten

Datensouveränität ist keine einmalige Entscheidung, sondern ein kontinuierlicher Prozess. Konkrete erste Schritte:

  1. Inventarisieren: Welche Ihrer Fertigungssysteme verarbeiten Daten außerhalb Ihres direkten Einflussbereichs?
  2. Vertragscheck: Haben Sie AVVs mit allen Anbietern? Erlauben die AGB Datennutzung für KI-Training?
  3. Deployment-Optionen prüfen: Bieten Ihre Anbieter On-Premise- oder Private-Cloud-Optionen an?
  4. KI-Nutzungsbedingungen lesen: Wenn ein Anbieter KI-Features einführt, ändern sich oft die Datennutzungsrechte.

Datensouveränität wird in den nächsten Jahren zu einem entscheidenden Auswahlkriterium für Fertigungssoftware werden — nicht weil Regulatoren es fordern, sondern weil Unternehmen verstehen, dass ihre Daten ihr wichtigstes Kapital sind.