Wie beeinflusst die DSGVO das IoT?
Die Datenschutzgrundverordnung (DSGVO) gilt nunmehr seit über einem halben Jahr und findet natürlich auch Anwendung im Bereich des Internets der Dinge. Welchen Einfluss die Verordnung auf Anwendungsentwicklungen im IoT hat, fasst Sven Venzke-Caprarese, Prokurist und Justiziar bei der Datenschutz Nord GmbH, in diesem Artikel noch einmal zusammen.
Bild: ©pickup/Fotolia.com
Am 25. Mai 2018 ist die Datenschutzgrundverordnung wirksam geworden. Damit gelten seit nunmehr einem guten halben Jahr europaweit einheitliche Bestimmungen im Hinblick auf die Verarbeitung personenbezogener Daten.
Die Personenbeziehbarkeit als Ausgangsfrage
Für die datenschutzrechtliche Bewertung von IoT-Anwendungen ist es wichtig, zu klären, ob die jeweilige Anwendung überhaupt personenbeziehbare Daten verarbeitet. Denn nur in diesen Fällen gilt die DSGVO. Eine Personenbeziehbarkeit kann bei IoT-Anwendungen auf mehreren Ebenen entstehen:
- In einigen Fällen verarbeiten bereits die genutzten Sensoren selbst unmittelbar personenbezogene Daten (z.B. optische, akustische oder biometrische Sensoren).
- Daneben spielt auch der konkrete Einsatzort von Sensoren eine Rolle: Ein Bewegungsmelder, der einen Einzelarbeitsplatz erfasst und die Sensordaten protokolliert, erlaubt Aussagen über die Gewohnheiten einer bestimmbaren Person.
- Sofern Nutzer mit IoT-Anwendungen kommunizieren, kann auch dies zu einer Personenbeziehbarkeit führen – etwa wenn Nutzer über das Internet Daten abrufen und IP-Adressen verarbeitet werden oder wenn IoT-Anwendungen MAC-Adressen zur Anwesenheitserkennung auswerten.
- Schließlich kann ein Personenbezug dadurch entstehen, dass sich Nutzer mit Namen oder sonstigen Identifikationsmerkmalen anmelden, um die IoT-Anwendung in Anspruch zu nehmen.
Privileg für persönliche und familiäre Tätigkeiten
Selbst wenn personenbezogene Daten verarbeitet werden, findet die DSGVO nicht immer Anwendung. Eine Ausnahme besteht nach Art. 2 Abs. 2 lit. c DSGVO für natürliche Personen, die IoT-Anwendungen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten betreiben. Privatpersonen, die IoT-Geräte im eigenen Haushalt einsetzen, können sich grundsätzlich auf dieses „Haushaltsprivileg“ berufen.
Für die Datenverarbeitung Verantwortlicher
Nach Art. 4 Nr. 7 DSGVO ist datenschutzrechtlich die Stelle verantwortlich, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Sofern IoT-Anwendungen von einer klar definierten Stelle betrieben werden, ist diese also verantwortlich. Betreiben mehrere Stellen gemeinsam eine IoT-Anwendung, müssen diese gem. Art. 26 DSGVO eine besondere Vereinbarung schließen und unter anderem die Umsetzung der Rechte der betroffenen Personen regeln.
Flüchtige Datenverarbeitung
In der Vergangenheit vertrat das Bundesverfassungsgericht die Ansicht, dass eine rein flüchtige Datenverarbeitung von ein paar Millisekunden ohne anschließende Speicherung nicht dem Datenschutzrecht unterfalle. Diese Ansicht wurde allerdings kürzlich vom Bundesverfassungsgericht wieder korrigiert (Beschluss vom 18.12.2018 zu Az. 1 BvR 142/15). Im konkreten Fall ging es um die Kennzeichenerfassung im Straßenverkehr zur Durchsetzung von Diesel-Fahrverboten. Betreiber von IoT-Anwendungen sollten diese Änderung der Rechtsprechung unbedingt beachten.
Die Rechtsgrundlage der Datenverarbeitung
Sofern eine Datenverarbeitung dem Anwendungsbereich der DSGVO unterfällt, kommen mehrere Rechtsgrundlagen für diese Datenverarbeitung in Betracht: Hierzu zählt z.B. die Einwilligung der betroffenen Person. Eine solche ist aber nicht immer erforderlich. Oftmals können Datenverarbeitungen auch über bestehende Verträge legitimiert werden, sofern die Datenverarbeitung zur Vertragsdurchführung erforderlich ist. Im Beschäftigungsverhältnis kann als Rechtsgrundlage auch eine Betriebsvereinbarung in Betracht kommen und gelegentlich können bereits berechtigte Interessen des Verantwortlichen ausreichen. Hier muss jede Anwendung genau betrachtet werden.
Informationspflichten und Datenschutzrechte
Unabhängig von der Rechtsgrundlage der Datenverarbeitung haben die Informationsrechte der betroffenen Personen einen hohen Stellenwert erlangt. So bestimmt die DSGVO in Art. 13 und 14, dass einer betroffenen Person sehr viele Informationen bei der Datenerhebung mitgeteilt werden müssen. Ausnahmsweise besteht keine Informationspflicht, wenn die Daten nicht direkt bei der betroffenen Person erhoben wurden und die Erteilung der Information einen unverhältnismäßigen Aufwand bedeuten würde; Art. 14 Abs. 5 lit. b DSGVO. Neben einem Konzept zur Umsetzung der Informationspflichten benötigen Betreiber von IoT-Anwendungen ein Konzept zur Umsetzung der Betroffenenrechte, die sich aus Art. 15 ff. DSGVO ergeben (u.a. Recht auf Auskunft, Löschung und gegebenenfalls Recht auf Datenübertragbarkeit).
Privacy by design und by default
Die DSGVO enthält in Art. 25 Regelungen zum Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen (privacy by design und by default). Betreiber von IoT-Anwendungen müssen sich also Gedanken um ein möglichst datenschutzkompatibles und datenschutzfreundliches IoT-Design machen. Die Hersteller einzelner Komponenten werden allerdings nicht von Art. 25 DSVO erfasst. In der Praxis bedeutet dies häufig, dass Betreiber von IoT-Anwendungen mit unsicheren oder schlecht konfigurierbaren Komponenten konfrontiert werden und für deren Einsatz datenschutzrechtlich die volle Verantwortung tragen.
Sicherheit der Anwendung
Die DSGVO enthält in Art. 32 Vorgaben zur Sicherheit der Verarbeitungsprozesse. Genannt werden insbesondere die Schutzziele der Verfügbarkeit, Vertraulichkeit und Integrität. Hier müssen in Bezug zum Schutzbedarf der Daten angemessene Sicherheitsmaßnahmen getroffen werden. Neu ist, dass die DSGVO in Art. 32 Abs. 2 lit. d auch die regelmäßige Überprüfung der Wirksamkeit der getroffenen Sicherheitsmaßnahmen fordert. In der Praxis kommen hier z.B. Penetrationstests auf IoT-Umgebungen in Betracht, die von spezialisierten Firmen durchgeführt werden können. Daneben sollten Betreiber von IoT-Anwendungen bei dem Design ihrer Anwendung die gängigen Angriffsszenarien berücksichtigen und entsprechende Vorsichtsmaßnahmen treffen. Einen sehr guten Überblick über Risiken im IoT-Umfeld gibt das Projekt „OWASP IoT Top 10“, welches die häufigsten Angriffe beschreibt und Empfehlungen zu Gegenmaßnahmen gibt.
Datenschutzfolgenabschätzung
Neben weiteren datenschutzrechtlichen Dokumentationspflichten enthält die DSGVO in Art. 35 die Verpflichtung, in bestimmten Fällen eine formalisierte Datenschutz-Folgeabschätzung durchzuführen. In diesem Rahmen wird von der Artikel 29 Datenschutzgruppe im Workingpaper 248 vertreten, dass sich „einige Anwendungen des Internet der Dinge erheblich auf den Alltag und das Privatleben von Personen auswirken [können] und somit eine Datenschutz-Folgenabschätzung obligatorisch machen“.
Fazit
Professionelle Betreiber von IoT-Anwendungen sollten die in ihrer Verantwortung stehenden Datenverarbeitungsprozesse DSGVO-konform gestalten. Hierzu können Datenschutzkonzepte, Datensicherheitskonzepte, Datenschutz-Folgenabschätzungen sowie die regelmäßige Überprüfung der getroffenen Sicherheitsmaßnahmen durch Penetrationstests erforderlich sein. n @FA_Kontakt:www.datenschutz-nord-gruppe.de Der Autor Sven Venzke-Caprarese ist Justiziar und Consultant bei der Datenschutz Nord GmbH mit dem Schwerpunkt Datenschutz in neuen Technologien. Zu seinen Tätigkeitsfeldern gehört die Beratung von IoT-Anwendungsverantwortlichen in allen Stadien des IoT-Designs. Neben der juristischen Beratung erfolgt dabei eine enge Zusammenarbeit mit anderen Abteilungen der Datenschutz Nord GmbH, die nach Absprache Penetrationstests auf IoT-Anwendungen durchführen, um Schwachstellen aufzudecken, bevor Angreifer diese ausnutzen können.
