Rechtsanwältin, Fachanwältin für Informationstechnologierecht & Zertifizierte Datenschutzbeauftragte (TÜV)
T (+49) 040 / 7344 086-0
Fachanwalt für Urheber- und Medienrecht und Spezialist für Arbeitsrecht, Zertifizierter Datenschutzbeauftragter (TÜV)
T (+49) 040 / 7344 086-0
| Datenschutzrecht, Internetrecht
Blog News
Das Internet of Things (IoT) führt dazu, dass die daran teilnehmenden Geräte untereinander vernetzt sind und durch einen automatisierten Informationsaustausch miteinander kommunizieren können. Dafür sind die Erhebung, Verarbeitung und Speicherung von Daten erforderlich. Handelt es sich bei den genutzten Daten allerdings um personenbezogene Daten, müssen die Voraussetzungen der Datenschutzgrundverordnung (DSGVO) eingehalten werden, um Datenschutz-Schwierigkeiten für Unternehmen vorzubeugen.
Spricht man von dem Internet of Things, ist ein automatisierter Informationsaustausch zwischen physischen und virtuellen Systemen gemeint, bei der die Datenübertragung mit der Hilfe von Netzwerktechnologien vonstattengeht. Die mit einander vernetzten Geräte können dadurch immer mehr Aufgaben eigenständig ausführen und Informationen für andere Geräte bereitstellen. Die wesentliche Grundlage dafür besteht in der Kommunikation zwischen den Geräten, der sogenannten Machine-to-Machine-Kommunikation. Die Technologie des Internet of Things hat inzwischen in vielen Branchen und Sektoren Einzug gehalten - von der Produktion in der Industrie 4.0, über der Digitalisierung im öffentlichen Sektor, Mobilitäts- und Logistiklösungen, Assistenzsysteme in der Pflege und auch in der Vernetzung städtischer Infrastrukturen.
Durch die automatisierte Informations- und Datenübertragung können eine Vielzahl an Prozessen optimaler, energieeffizienter und somit wirtschaftlicher ausgestaltet werden. Die Unternehmen können durch die gewonnenen Daten ihre Abläufe verbessern, Reibungsverluste verringern, Aufgaben automatisieren und somit die Zufriedenheit von Mitarbeitern und Kunden steigern und die eigenen Unternehmenskosten senken. Einer der größten Vorteile des Internet of Things besteht allerdings in der Erhebung besonders präziser Daten in großen Mengen und ihrer Analyse in Echtzeit. Den Unternehmen stehen all diese Vorteile in Kombination mit künstlicher Intelligenz ohne große IT-Budgets oder Dienstleister zur Verfügung.
Trotz aller Vorteile gehen mit der Anwendung vom Internet of Things auch einige datenschutzrechtliche Probleme einher. Soweit im Zusammenhang mit IoT-Geräten personenbezogene Daten verarbeitet werden, finden die nationalen und unionsrechtlichen Regelwerke zum Datenschutz Anwendung. Dabei ist neben des Vorreiters DSGVO auch die ePrivacy-Richtlinie relevant. IoT-Anwender, die ihre Übertragungsleitung nicht von Netzbetreibern beziehen, sondern selbst erbringen, müssen dabei besonders auf die jeweilige Anwendbarkeit achten. Auch zukünftig wird dieses Problem an Relevanz gewinnen, indem aktuell eine neue ePrivacy-Verordnung geplant ist. Dabei ist allerdings noch unklar, ob und wann diese Verordnung verabschiedet wird.
Findet die DSGVO Anwendung, ist die Erhebung, Verarbeitung und Speicherung personenbezogener Daten grundsätzlich verboten, soweit keine gesetzliche Grundlage oder Einwilligung der betroffenen Person vorliegt. Gerade bei der IoT-Anwendung ist das Einholen von Einwilligungen mit erhöhten Schwierigkeiten verbunden und selbst bei gelungener Einholung kann diese jederzeit widerrufen werden. Der Umgang mit Einwilligungen erscheint daher wenig praktikabel für das Internet of Things und bereitet vor allem bei Beschäftigungsverhältnissen grundsätzlich Probleme.
Neben der Einwilligung kann die Datenverarbeitung auch dann rechtmäßig sein, wenn sie für die Durchführung des Vertragsverhältnisses notwendig ist oder der Verarbeitende ein berechtigtes Interesse an der Nutzung der Sensoren hat. In derartigen Fällen muss allerdings vor der Anwendung des Internet of Things eine dokumentierte Prüfung von Spezialisten stattgefunden haben, um das Vorliegen der Voraussetzungen sicherstellen zu können.
Findet die DSGVO Anwendung, müssen insbesondere die in Artikel 5 DSGVO verankerten Grundsätze eingehalten werden. Namentlich handelt es sich dabei um die Grundsätze der Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz, Zweckbindung - mit einer Ausnahme für Forschungszwecke -, Datenminimierung, Datenrichtigkeit, Speicherbegrenzung, Integrität und Vertraulichkeit. Neben der Erfordernisse der Datensparsamkeit und Zweckbindung ist die Verwendung personenbezogener Daten nur statthaft, wenn die Daten anonymisiert wurden. Oft bezeichnen Unternehmen Daten vorschnell als anonym, ohne den strengen Vorschriften der DSGVO zu genügen. Für die echte Anonymität darf es einer Kombination verschiedener anonymisierten Datensätzen, durch die es keine Möglichkeit für Rückschlüsse auf einzelne Personen gibt. Dafür muss jede Datenkombination zu mindestens zwei Treffern führen. Je höher die Anzahl an möglichen Treffern ist, umso sicherer ist der Datensatz.
Ist die Verarbeitung personenbezogener Daten wegen ihrer Art, ihres Umfangs, der Umstände, des Zwecks oder durch die Verwendung neuer Technologien mit einem erhöhten Risiko für die Rechte und Pflichten natürlicher Personen verbunden, muss der Verantwortliche eine sogenannte Datenschutz-Folgenabschätzung vornehmen. Bei der Anwendung des Internet of Things ist diese zwar nicht immer erforderlich, aber dennoch überdurchschnittlich häufig notwendig. Die Folgenabschätzung bietet die Möglichkeit, Sicherheitslücken frühzeitig zu erkennen und adäquate Maßnahmen für die Datensicherheit umzusetzen. Es handelt sich dabei allerdings um kein einmaliges Verfahren, sondern um einen kontinuierlichen Prozess, bei dem bei jeder Detailänderung des Datenverarbeitungsvorgangs eine erneute Prüfung erforderlich werden kann. Grundsätzlich ist immer die frühstmögliche Identifizierung sicherheitstechnischer Anforderungen und deren Berücksichtigung auf der Grundlage von sachgerechten Sicherheits- und Datenschutzkonzepten erforderlich, wobei insbesondere bei IoT-Projekten ein besonderer Fokus auf die gesetzlich verankerten Grundsätze des Datenschutzes durch Technikgestaltung (Privacy by Design) und die datenschutzrechtlichen Voreinstellungen bei Anwendungen, die an Nutzer gerichtet sind (Privacy by Default), gerichtet werden muss.
In den rechtlichen Vorgaben des Internet of Things sind keine generellen Handlungsformulierungen zu finden, was wegen der Diversität an möglichen Ausgestaltungsformen und Einsatzbereichen für viele Unternehmen eine ganzheitliche Beratung erforderlich macht. An dieser Stelle kann Ihnen SBS LEGAL helfen. Mit ihrer jahrelangen Erfahrung können unsere Anwälte Ihnen jederzeit die optimale rechtliche Unterstützung für Ihr Unternehmen bieten.
Zögern Sie nicht, sich an uns zu wenden! Das Team von SBS LEGAL berät Sie mit seiner fachlichen Expertise zu sämtlichen Fragen in Bezug auf das Datenschutzrecht und das Internet of Things.