Wie beeinflusst die DSGVO das IoT?
Die Datenschutzgrundverordnung (DSGVO) gilt nunmehr seit über einem halben Jahr und findet natürlich auch Anwendung im Bereich des Internets der Dinge. Welchen Einfluss die Verordnung auf Anwendungsentwicklungen im IoT hat, fasst Sven Venzke-Caprarese, Prokurist und Justiziar bei der Datenschutz Nord GmbH, in diesem Artikel noch einmal zusammen.
Bild: ©pickup/Fotolia.com
Am 25. Mai 2018 ist die Datenschutzgrundverordnung wirksam geworden. Damit gelten seit nunmehr einem guten halben Jahr europaweit einheitliche Bestimmungen im Hinblick auf die Verarbeitung personenbezogener Daten.
Die Personenbeziehbarkeit als Ausgangsfrage
Für die datenschutzrechtliche Bewertung von IoT-Anwendungen ist es wichtig, zu klären, ob die jeweilige Anwendung überhaupt personenbeziehbare Daten verarbeitet. Denn nur in diesen Fällen gilt die DSGVO. Eine Personenbeziehbarkeit kann bei IoT-Anwendungen auf mehreren Ebenen entstehen:
- In einigen Fällen verarbeiten bereits die genutzten Sensoren selbst unmittelbar personenbezogene Daten (z.B. optische, akustische oder biometrische Sensoren).
- Daneben spielt auch der konkrete Einsatzort von Sensoren eine Rolle: Ein Bewegungsmelder, der einen Einzelarbeitsplatz erfasst und die Sensordaten protokolliert, erlaubt Aussagen über die Gewohnheiten einer bestimmbaren Person.
- Sofern Nutzer mit IoT-Anwendungen kommunizieren, kann auch dies zu einer Personenbeziehbarkeit führen – etwa wenn Nutzer über das Internet Daten abrufen und IP-Adressen verarbeitet werden oder wenn IoT-Anwendungen MAC-Adressen zur Anwesenheitserkennung auswerten.
- Schließlich kann ein Personenbezug dadurch entstehen, dass sich Nutzer mit Namen oder sonstigen Identifikationsmerkmalen anmelden, um die IoT-Anwendung in Anspruch zu nehmen.
Privileg für persönliche und familiäre Tätigkeiten
Selbst wenn personenbezogene Daten verarbeitet werden, findet die DSGVO nicht immer Anwendung. Eine Ausnahme besteht nach Art. 2 Abs. 2 lit. c DSGVO für natürliche Personen, die IoT-Anwendungen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten betreiben. Privatpersonen, die IoT-Geräte im eigenen Haushalt einsetzen, können sich grundsätzlich auf dieses „Haushaltsprivileg“ berufen.
Für die Datenverarbeitung Verantwortlicher
Nach Art. 4 Nr. 7 DSGVO ist datenschutzrechtlich die Stelle verantwortlich, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Sofern IoT-Anwendungen von einer klar definierten Stelle betrieben werden, ist diese also verantwortlich. Betreiben mehrere Stellen gemeinsam eine IoT-Anwendung, müssen diese gem. Art. 26 DSGVO eine besondere Vereinbarung schließen und unter anderem die Umsetzung der Rechte der betroffenen Personen regeln.
