Energetika-VDS Angebot anfordern
DE

Blog

DSGVO und Leiterplattenbestückung: Wie EU-EMS Ihre BOM, Firmware und IP handhaben

Veröffentlicht 2026-05-27

Ein praktischer Leitfaden, wie EU-basierte EMS-Anbieter BOM-Dateien, Firmware-Binärdateien und Kunden-IP unter DSGVO verarbeiten — und warum das beim Vergleich mit chinesischen Bestückungswerkstätten zählt.

Zusammenfassung

  • DSGVO gilt für PCBA, wenn BOMs, Schaltpläne oder Firmware personenbezogene Daten, Auftragnehmer-Namen oder Geräte-Identifizierungen enthalten, die an natürliche Personen gebunden sind.
  • EU-EMS-Anbieter arbeiten unter einem einheitlichen Datenschutzregime; chinesische Bestückungswerkstätten unterliegen PIPL plus chinesischem Cybersicherheitsgesetz, die staatliche Zugriffsbestimmungen einschließen.
  • Energetika-VDS bewahrt technische Kundendateien für das vereinbarte Gewährleistungsfenster auf, dann sichere Löschung; NDAs sind bilateral und werden unterzeichnet, bevor eine BOM in unserem MES landet.

Kurzantwort: GDPR ist für PCB-Bestückung immer dann relevant, wenn Ihre Projektdateien identifizierbare personenbezogene Daten tragen — Namen von Auftragnehmern, geräte­gebundene Nutzer-IDs, eingebettete Service-Accounts oder Test-Jig-Logs mit Operator-IDs. EU-basierte EMS-Anbieter wie Energetika-VDS arbeiten unter einem einzigen, durchsetzbaren Datenschutzregime mit zivilrechtlichen Rechtsmitteln; chinesische Anbieter arbeiten unter PIPL und dem China Cybersecurity Law, wo staatlicher Zugriff auf Geschäftsdaten in definierten Fällen gesetzlich erzwingbar ist.

Für die meisten Elektronik-Käufer klingt "Datenschutz im PCBA" nach einem HR-Thema. Ist er nicht. Ihre BOM enthält Ihre Lieferantenliste, Ihre Firmware enthält Ihre Algorithmen, Ihre Testberichte enthalten Ihre Yields, und Ihre Vorrichtungen kodieren Ihre Teststrategie. Wo diese Daten liegen — und wer zur Offenlegung gezwungen werden kann — ist eine geschäftliche Entscheidung, keine Compliance-Fußnote.

Warum GDPR die PCB-Bestückung überhaupt berührt

GDPR (EU-Verordnung 2016/679) regelt die Verarbeitung personenbezogener Daten von EU-Bürgern. PCBA wirkt wie ein technischer B2B-Service, doch mehrere Berührungspunkte überschreiten die Linie:

  • BOM-Dateien enthalten häufig Namen und E-Mails von Engineers, Distributoren und Auftragsdesignern.
  • Firmware-Binaries können einkompilierte Service-Accounts, an identifizierbare Nutzer gebundene Telemetrie-Endpunkte oder kryptografische Schlüssel mit namentlich genannten Personen tragen.
  • DFM-Feedback-E-Mails sind per Definition persönliche Korrespondenz.
  • Während der PCB-Bestückung erzeugte Rückverfolgbarkeitsdatensätze verknüpfen Operator-IDs mit konkreten Seriennummern — das sind personenbezogene Daten nach Artikel 4(1).
  • Uploads in der Angebotsphase an einen Quote-Estimator tragen IP-Adressen und Kontakt-Metadaten.

Sobald irgendetwas davon in ein EMS-System gelangt, greift GDPR. Die Frage ist nicht "gilt sie?", sondern "ist die Verantwortliche-Auftragsverarbeiter-Beziehung sauber?"

EU-EMS vs chinesische Anbieter: der rechtliche Rahmen

Jurisdiktion Primärgesetz Regel für grenzüberschreitenden Transfer Staatliche Zugriffsbestimmungen Zivilrechtlicher Rechtsbehelf bei Bruch
EU (inkl. Energetika-VDS in MK als PEM-Partei, GDPR-angeglichen) GDPR + nationale DPA Artikel 45 Adequacy / SCC Nur richterlicher Beschluss Bis 4 % Weltumsatz
China (JLCPCB, PCBWay) PIPL + Cybersecurity Law CAC-Sicherheitsbewertung für Export Artikel 7 Cybersecurity Law — Mitwirkungspflicht Begrenzt, gerichtliches Ermessen
Schweiz / Norwegen (Adequacy) revFADP / Personal Data Act Artikel-45-Äquivalent Nur richterlicher Beschluss Vergleichbar mit GDPR
USA Bundesstaaten-Patchwork (CCPA usw.) Keine für PCBA-artiges B2B FISA 702, CLOUD Act Sektoral

Das PIPL-Rahmenwerk in China enthält Bestimmungen (Artikel 41), die Transfers an Nicht-Chinesische Behörden nur mit Genehmigung der VRC-Regierung erlauben — das heißt, Ihre BOM kann, falls von einer EU-Regulierungsbehörde angefragt, nicht ohne Genehmigung Pekings zurückgegeben werden. Für die meiste Konsumelektronik ist das irrelevant. Für verteidigungsnahe, medizinische, Dual-Use- oder Kritis-Projekte ist es wesentlich.

Wie "Datenhandling" bei einem Mid-EU-EMS tatsächlich aussieht

Wenn ein Kunde Energetika-VDS beauftragt, läuft die Datenpipeline so:

  1. NDA unterschrieben, bevor irgendeine technische Datei eintrifft. Bilateral, gegenseitig, nordmazedonisches Recht mit EU-Gerichtsstandsoption.
  2. Dateien per TLS in unser Quoting-Portal hochgeladen; Metadaten werden aus PDFs entfernt.
  3. BOM ins MES für Component Sourcing importiert; Lieferantennamen nur für den Einkauf sichtbar.
  4. Gerbers, Pick-and-Place und Firmware in einem Projekt-Vault archiviert, verschlüsselt im Ruhezustand (AES-256).
  5. Operator-Zugriff ist rollenbasiert; Linienoperatoren sehen Job-IDs, keine Kundennamen.
  6. Nach Ablauf des Gewährleistungsfensters (typischerweise 24 Monate nach Endlieferung) werden Dateien sicher gelöscht — NIST SP 800-88 Purge-Stufe.
  7. Rückverfolgbarkeitsdatensätze Operator nach Seriennummer werden gemäß Quality-Traceability-Richtlinie und IPC-1782 aufbewahrt.

Der vollständige Prozess ist unter Manufacturing Process und unseren Inspection-and-Testing-Kontrollen dokumentiert.

Firmware und IP: die konkreten Bedenken

Firmware ist das risikoreichste Artefakt in einem PCBA-Vertrag. Kunden fragen:

  • "Wenn Sie meinen Binary flashen, behalten Sie eine Kopie?" Ja — für das Gewährleistungsfenster — verschlüsselt und aus der Linie nicht extrahierbar.
  • "Kann ein Wettbewerber auf Ihrer Linie meine Firmware sehen?" Nein. Produktionszellen sind physisch getrennt; Programmierstationen schreiben aus einem versiegelten Vault.
  • "Was, wenn ein Programmierer geht?" Sein Zugriff wird am selben Tag entzogen; das Vault-Audit-Log zeigt jeden Lesezugriff.
  • "Reverse-Engineern Sie?" Vertraglich untersagt; technisch sinnlos — wir sind Bestücker, kein Chip-Haus.

Für sensible Projekte können Kunden vorgeflashte MCUs liefern, blank versenden oder OTP-Fuses nach FCT setzen.

Datenaufbewahrung, Löschung und Audit-Rechte

Mid-EU-EMS-Aufbewahrungsfenster sind an Gewährleistungspflichten und IPC-Rückverfolgbarkeitsregeln gebunden (Zehn-Jahres-Aufbewahrung ist kein GDPR-Standard — sie ist eine kundengetriebene Wahl für sicherheitskritische Sektoren). Standardaufbewahrung bei Energetika-VDS:

  • Angebote und E-Mail-Korrespondenz: 36 Monate
  • BOM, Gerbers, P&P: Gewährleistungsfenster + 12 Monate
  • Firmware-Binary: nur Gewährleistungsfenster
  • Traceability-JSON (Operator + Seriennummer + Lot): 10 Jahre für IPC Class 3, 5 Jahre für Class 2
  • AOI-Bilder: 6 Monate, sofern Kunde nicht länger verlangt

Kunden können das Datenhandling mit 30 Tagen Vorlauf auditieren. Wir sind eine JLCPCB-Alternative genau deshalb, weil dieses Audit-Recht hier durchsetzbar ist und in Shenzhen faktisch nicht.

Praktische Empfehlungen

  • Für Low-Volume-PCB-Bestückung in Europa entfernt ein EU-EMS einen ganzen Compliance-Vektor zu moderatem Aufpreis.
  • Fügen Sie Ihrer RFQ einen Datenschutz-Anhang bei. Wir unterzeichnen ihn. Die meisten asiatischen Häuser nicht.
  • Fragen Sie nach dem Datenflussdiagramm. Kann der EMS keines in einer Woche liefern, gehen Sie.
  • Verifizieren Sie die Liste der Unterauftragsverarbeiter. Programmier- oder Testhaus-Subaufträge brauchen denselben Flow-Down.
  • Wenn Sie ein Angebot anfordern, kennzeichnen Sie jede Exposition personenbezogener Daten vorab, damit der NDA-Scope der Realität entspricht.

Häufig gestellte Fragen

Ist GDPR für PCBA relevant? Ja, immer wenn die Projektdateien personenbezogene Daten tragen — Namen von Auftragnehmern, eingebettete Nutzer-IDs, an Personen gebundene Telemetrie-Endpunkte oder Rückverfolgbarkeitsdatensätze, die Operatoren mit Einheiten verknüpfen. Für die meiste kommerzielle Elektronik lautet die Antwort "ja, in begrenztem Umfang".

Wie steht es um mein Firmware-IP? Firmware-Binaries werden verschlüsselt gespeichert, nur über Programmierstations-Credentials zugegriffen und am Gewährleistungsende gelöscht. Reverse-Engineering ist vertraglich untersagt und operationell nichts, was ein Bestücker tut. Wer maximale Kontrolle will, kann vorgeflashte Geräte liefern.

Wie sind die Datenaufbewahrungsnormen bei EU-EMS? BOMs und Gerbers: Gewährleistungsfenster plus 12 Monate. Firmware: nur Gewährleistungsfenster. Traceability: 10 Jahre für IPC Class 3, 5 Jahre für Class 2. AOI-Bilder: standardmäßig 6 Monate. Alles vom Kunden überschreibbar.

Ist eine NDA Standard? Ja, bilateral unterzeichnet, bevor Dateien eintreffen. Energetika-VDS stellt eine englische Standard-Mutual-NDA bereit; wir unterzeichnen auch eine Kundenvorlage, wenn sie angemessen ist. Das anwendbare Recht ist verhandelbar; der Gerichtsstand ist standardmäßig Skopje mit EU-anerkannter Schiedsoption.

Gibt es zusätzlichen Schutz für Defense- oder Dual-Use-Projekte? Ja — separierte Zelle, namentliche Operatoren, keine Sub-Programmierung, vom Kunden bezeugte Linenöffnung und air-gapped Firmware-Vaults. Anforderungen im Quoting besprechen.

In die Serie überführen

Wenn Sie an der Datei oder der Testvorbereitung arbeiten, um die es in diesem Artikel geht, sehen wir uns Ihre Unterlagen gerne an.

Dateien zur Prüfung senden Fähigkeiten ansehen