Geschrieben am 19.05.2023 von:
Dominik Piroth
Privacy Consultant | Datenschutzbeauftragter (TÜV)
zum Profil
Kontaktiere mich:
+49 (0) 261 – 9886236 44
E-Mail senden
Das Internet of Things (IoT) ist derzeit dabei, das Leben der Menschen zu ändern. Schließlich sind IoT-Anwendungen, die die teilweise Ablösung des Desktop Computers, des Smartphones oder des Tablets in seiner bisherigen Erscheinung vorantreiben, näher an ihren Nutzern als alle vorherigen Technologien. Nicht zuletzt auch deshalb, weil diese Geräte selbst „mitdenken“, dank Vernetzung kommunizieren können und eigenständig Aufgaben erfüllen.
Für Unternehmen bringt das IoT grundsätzlich einen breiten Anwendungsbereich und viele Vorteile mit sich: Prozesse können automatisiert, optimiert, wirtschaftlicher und energieeffizienter ausgestaltet werden. Unternehmen können, durch die mit IoT gewonnenen Daten ihre Abläufe verbessern, Reibungsverluste verringern und viele Aufgaben automatisieren.
Selbstverständlich drängt sich das Thema Datenschutz bei der Vernetzung unserer Alltagsgegenstände geradezu auf. Denn einer der größten Vorteile des IoT ist die Erhebung sehr präziser personenbezogener Daten in großen Mengen und deren Analyse in Echtzeit. Hier kommt zunächst die Datenschutz-Grundverordnung (DS-GVO) ins Spiel. Daneben können aber auch weitere Regelungswerke wie etwa das Telekommunikationsgesetz (TKG) oder das Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) potenziell einschlägig sein. Deren Vorschriften kann für solche IoT-Anwender wichtig werden, die die Übertragungsleitung für ihre IoT-Anwendung nicht von einem Netzbetreiber beziehen, sondern diese selbst erbringen. Ferner könnte zukünftig auch die geplante ePrivacy-VO neue Regelungen bringen – es bleibt jedoch abzuwarten ob und wann diese Verordnung verabschiedet wird.
Mit Anwendung der DS-GVO gilt die allgemeine Regelung, dass die Verarbeitung personenbezogener Daten grundsätzlich verboten ist, sofern es keinen Erlaubnistatbestand dafür gibt. Eine mögliche Option ist die Einwilligung gemäß Art. 6 Abs. 1 a) DS-GVO. Diese kann sich allerdings gerade für IoT-Anwendungen schwierig gestalten. Dazu gehört insbesondere, dass die Hersteller über Funktionen und Datenflüsse in verständlicher Form aufklären. Bei vielen IoT-Lösungen ist es indes technisch schon gar nicht möglich, eine Einwilligung anzufordern oder zu erteilen. Zudem muss der Betroffene diese jederzeit widerrufen können. Es ist oft aber gar nicht möglich, der Datenverarbeitung als Nutzer der IoT zu widersprechen.
Als weitere Rechtsgrundlagen kommen noch die Verarbeitung zur Durchführung eines Vertragsverhältnisses oder auf Grundlage eines berechtigten Interesses an der Nutzung der Sensoren in Frage. Das sollte allerdings jeweils individuell auf den Einzelfall bezogen betrachtet und vor Anwendung geprüft und dokumentiert werden.
Sollten IoT-Geräte Daten verarbeiten, die unter die besonderen Kategorien personenbezogener Daten nach Art. 9 DS-GVO fallen (z.B. Gesundheitsdaten) sind im Hinblick auf die Rechtsgrundlage hier die besonderen Anforderungen von Art. 9 DS-GVO zu beachten.
Hat eine Verarbeitung von personenbezogenen Daten aufgrund der Art, des Umfangs, der Umstände und dem Zweck der Verarbeitung und „insbesondere bei Verwendung neuer Technologien“ voraussichtlich ein hohes Risiko für die Rechte und Pflichten natürlicher Personen zur Folge, muss der Verantwortliche gemäß Art. 35 DS-GVO eine Datenschutz-Folgenabschätzung (DS-FA) durchführen. Das könnte bei IoT-Anwendungen potenziell der Fall sein. Eine DS-FA bietet die Möglichkeit, Sicherheitslücken frühzeitig zu erkennen und adäquate Maßnahmen zur Erhöhung der Datensicherheit umzusetzen. Auch hier gilt, dass dies im Einzelfall individuell geprüft werden sollte und nicht pauschalisiert werden kann.
Grundsätzlich sollten Unternehmen beim Einsatz von IoT-Anwendungen ihr Augenmerk darauf richten, dass ihre Sensoren nicht mehr Daten erheben als zur Erfüllung des Zwecks der Komponente unbedingt notwendig sind.
Du brauchst Unterstützung? Wir helfen dir dabei!