10.05.2022

Das Internet of Things – neue Herausforderungen im Datenschutz

Das Internet of Things (IoT) breitet sich immer weiter aus und erobert verschiedenste Arbeits- und Lebensbereiche. Die denkbaren Ausgestaltungsformen und Einsatzmöglichkeiten sind vielfältig; sie alle verbindet aber, dass Geräte des IoT untereinander vernetzt sind und miteinander kommunizieren, indem sie kontinuierlich Daten austauschen und verarbeiten. Das IoT ist per Definition datengetrieben und datenbedürftig. Dies bringt neue rechtliche Herausforderungen, bei deren Lösung es jeweils auf den konkreten Anwendungsfall ankommt.

Unverbindliches Erstgespräch vereinbaren

Handelt es sich bei den genutzten Daten allerdings um personenbezogene Daten, gelten natürlich stets die Regelungen der Datenschutz-Grundverordnung (DSGVO). Unabhängig von der Frage des Personenbezugs müssen auch die im Einzelfall bestehenden Anforderungen an die Datensicherheit untersucht und ein sachgerechtes Datensicherheitskonzept entwickelt und implementiert werden.

Wie das genau gelingt, was Entwickler und Anwender beachten sollten und wo typische Stolperfallen lauern können, verrät Ihnen dieser Beitrag.

Was steckt hinter dem IoT?

Kurzum beschreibt IoT den automatisierten Informationsaustausch zwischen physischen und virtuellen Dingen. Grundprinzip ist dabei die Datenübertragung zwischen zahlreichen unterschiedlichen Systemen mit Hilfe von Netzwerktechnologien. Die smarten, vernetzen Geräte können immer mehr Aufgaben automatisiert für ihre Anwender durchführen und Informationen für andere Geräte bereitstellen. Wesentliche Grundlage dafür ist die Kommunikation zwischen den Geräten, die sogenannte Machine-to-Machine-Kommunikation.

Das bringt einen breiten Anwendungsbereich und viele Vorteile: Prozesse können automatisiert, optimiert, wirtschaftlicher und energieeffizienter ausgestaltet werden. Unternehmen können, durch die mit IoT gewonnenen Daten ihre Abläufe verbessern, Reibungsverluste verringern und viele Aufgaben automatisieren. So steigt die Zufriedenheit von Mitarbeiter:innen sowie Kunden und es können Kosten gesenkt werden. Einer der größten Vorteile des IoT ist die Erhebung sehr präziser Daten in großen Mengen und deren Analyse in Echtzeit. In Kombination mit Anwendungen der Künstlichen Intelligenz (KI) sind die genannten Vorteile bereits jetzt vielen Unternehmen auch ohne große IT-Budgets über Dienstleister wie zum Beispiel SAP, Salesforce oder IBM zugänglich.

Dieses Potenzial sorgt dafür, dass viele Branchen und Sektoren IoT-Technologien integrieren; von der Produktion in der Industrie 4.0 über die Digitalisierung des öffentlichen Sektors, neue Mobilitäts- und Logistiklösungen bis hin zu Assistenzsystemen für die Pflege oder der Vernetzung der städtischen Infrastrukturen (Energie, Umwelt, Verkehr).

Newsletter

Alle wichtigen Neuigkeiten zu Themen wie Datenschutz, Künstliche Intelligenz, IT-Recht und vielen mehr – einmal monatlich in Ihr Postfach.

Was ist die Summe aus 4 und 8?

Mit Klick auf den Button stimmen Sie dem Versand unseres Newsletters und der aggregierten Nutzungsanalyse (Öffnungsrate und Linkklicks) zu. Sie können Ihre Einwilligung jederzeit widerrufen, z.B. über den Abmeldelink im Newsletter. Mehr Informationen: Datenschutzerklärung.

IoT und die DSGVO

Soweit im Zusammenhang mit den Anwendungen von IoT-Geräten personenbezogene Daten verarbeitet werden, sind die datenschutzrechtlichen Regelwerke auf unionsrechtlicher und teilweise auch nationaler Ebene einschlägig. Dies ist hauptsächlich die DSGVO; daneben sind aber auch die Regelungen zu beachten, die sich aus der RL 2002/58/EG (ePrivacy-RL) ergeben. Die ePrivacy-RL wurde in Deutschland hauptsächlich durch die Datenschutzregelungen des TKG und des TTDSG umgesetzt. Die Anwendbarkeit dieser Regelungen kann für solche IoT-Anwender wichtig werden, die die Übertragungsleitung für ihre IoT-Anwendung nicht von einem Netzbetreiber beziehen, sondern diese selbst erbringen. In der Zukunft könnte auch die geplante ePrivacy-VO neue Regelungen bringen – es bleibt jedoch abzuwarten ob und wann diese Verordnung verabschiedet wird.

Mit Anwendung der DSGVO gilt die allgemeine Regelung, dass die Erhebung, Verarbeitung und Speicherung personenbezogener Daten grundsätzlich verboten ist, wenn es dafür keine gesetzliche Grundlage gibt bzw. die betroffene nicht Person eingewilligt hat. Dabei kann sich gerade für IoT-Anwendungen das rechtssichere Einholen von Einwilligungen als anspruchsvoll erweisen; auch kann diese vom Betroffenen jederzeit widerrufen werden und ist daher wenig praktikabel. Gerade im Beschäftigungsverhältnis ist eine Einwilligung grundsätzlich schwierig. Daneben gibt es die Möglichkeit der Rechtmäßigkeit der Datenverarbeitung, wenn die Datenverarbeitung für die Durchführung eines Vertragsverhältnisses notwendig ist oder der Verarbeiter ein berechtigtes Interesse an der Nutzung der Sensoren hat. Natürlich sollte das vor der Anwendung von Spezialisten ausführlich geprüft und diese Prüfung dokumentiert werden.

Mit der DSGVO sind auch die in ihr verankerten Grundsätze für die Verarbeitung einzuhalten. Diese finden sich in Art. 5 DSGVO. Namentlich sind dies die Rechtmäßigkeit, die Verarbeitung nach Treu und Glauben und die Transparenz (Abs. 1 lit. a), der Grundsatz der Zweckbindung mit Ausnahme für Forschungszwecke (Abs. 1 lit. b), die Datenminimierung (Abs. 1 lit. c), die Datenrichtigkeit (Abs. 1 lit. d), die Speicherbegrenzung (Abs. 1 lit. e) sowie die Integrität und Vertraulichkeit (Abs. 1 lit. f).

Nach den Prinzipien der Datensparsamkeit und der Zweckbindung ist die Verwendung anonymisierter Daten insbesondere nur dann statthaft, wenn es sich um eine echte Anonymisierung handelt. Häufig werden Daten vorschnell als „anonym“ bezeichnet, sind es aus DSGVO-Sicht aber nicht, da auch unscheinbare Information zu einer Identifizierung führen können. Daten sind erst dann anonym, wenn aus der Kombination verschiedener anonymisierter Datensätze keinerlei Rückschlüsse auf einzelne Personen mehr möglich sind. In der Forschung spricht man deshalb erst von einer Anonymisierung, wenn jegliche mögliche Datenkombination zu mindestens zwei Treffern führt. Je höher die Anzahl der Treffer (Personen, auf die die Daten zutreffen), desto sicherer ist der Datensatz.

Hat eine Verarbeitung von personenbezogenen Daten aufgrund der Art, des Umfangs, der Umstände und dem Zweck der Verarbeitung und „insbesondere bei Verwendung neuer Technologien“ voraussichtlich ein hohes Risiko für die Rechte und Pflichten natürlicher Personen zur Folge, muss der Verantwortliche eine Datenschutz-Folgenabschätzung (DSFA) durchführen, Art. 35 DSGVO. Das ist bei IoT-Anwendungen erfahrungsgemäß zwar nicht immer, aber doch überdurchschnittlich häufig der Fall. Eine DSFA bietet die Möglichkeit, Sicherheitslücken frühzeitig zu erkennen und adäquate Maßnahmen zur Erhöhung der Datensicherheit umzusetzen. Dabei handelt es sich allerdings nicht um ein einmaliges Verfahren, sondern um einen kontinuierlichen Prozess: Ändern sich Details eines entsprechenden Datenverarbeitungsvorganges, kann eine erneute Prüfung erforderlich werden.

Handlungsempfehlungen

Aufgrund der Diversität möglicher Ausgestaltungen und Einsatzbereichen lassen sich keine generellen Handlungsformulierungen empfehlen; es ist eine individuelle ganzheitliche Beratung geboten.

Grundsätzlich immer müssen aber die (geltenden und zukünftigen) datenschutzrechtlichen und IT-Sicherheitstechnischen Anforderungen frühestmöglich identifiziert und auf Grundlage eines sachgerechten Sicherheits- und Datenschutzkonzepts berücksichtigt werden. Dabei müssen insbesondere bei IoT-Projekten die gesetzlich verankerten Grundsätze des Datenschutzes durch Technikgestaltung (Privacy by Design) und im Fall von nutzer-gerichteten Anwendungen der datenschutzfreundlichen Voreinstellungen (Privacy by Default) beachtet werden.

Vereinbaren Sie jetzt ein
unverbindliches Erstgespräch!

Lassen Sie uns über Ihre Herausforderungen sprechen und vereinbaren Sie ein unverbindliches Erstgespräch mit unseren spezialisierten Anwält:innen.

Termin vereinbaren

Unsere Experten zum Thema

Weitere Neuigkeiten

04.09.2024

AI as a Service (AIaaS): So funktioniert die Implementierung im Unternehmen

31.07.2024

Digital Health Update 2024

25.07.2024

Bonitätsprüfung und Zusammenarbeit mit Auskunfteien nach der SCHUFA-Entscheidung des EuGH