Privacy by design und by default
Die DSGVO enthält in Art. 25 Regelungen zum Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen (privacy by design und by default). Betreiber von IoT-Anwendungen müssen sich also Gedanken um ein möglichst datenschutzkompatibles und datenschutzfreundliches IoT-Design machen. Die Hersteller einzelner Komponenten werden allerdings nicht von Art. 25 DSVO erfasst. In der Praxis bedeutet dies häufig, dass Betreiber von IoT-Anwendungen mit unsicheren oder schlecht konfigurierbaren Komponenten konfrontiert werden und für deren Einsatz datenschutzrechtlich die volle Verantwortung tragen.
Sicherheit der Anwendung
Die DSGVO enthält in Art. 32 Vorgaben zur Sicherheit der Verarbeitungsprozesse. Genannt werden insbesondere die Schutzziele der Verfügbarkeit, Vertraulichkeit und Integrität. Hier müssen in Bezug zum Schutzbedarf der Daten angemessene Sicherheitsmaßnahmen getroffen werden. Neu ist, dass die DSGVO in Art. 32 Abs. 2 lit. d auch die regelmäßige Überprüfung der Wirksamkeit der getroffenen Sicherheitsmaßnahmen fordert. In der Praxis kommen hier z.B. Penetrationstests auf IoT-Umgebungen in Betracht, die von spezialisierten Firmen durchgeführt werden können. Daneben sollten Betreiber von IoT-Anwendungen bei dem Design ihrer Anwendung die gängigen Angriffsszenarien berücksichtigen und entsprechende Vorsichtsmaßnahmen treffen. Einen sehr guten Überblick über Risiken im IoT-Umfeld gibt das Projekt „OWASP IoT Top 10“, welches die häufigsten Angriffe beschreibt und Empfehlungen zu Gegenmaßnahmen gibt.
Datenschutzfolgenabschätzung
Neben weiteren datenschutzrechtlichen Dokumentationspflichten enthält die DSGVO in Art. 35 die Verpflichtung, in bestimmten Fällen eine formalisierte Datenschutz-Folgeabschätzung durchzuführen. In diesem Rahmen wird von der Artikel 29 Datenschutzgruppe im Workingpaper 248 vertreten, dass sich „einige Anwendungen des Internet der Dinge erheblich auf den Alltag und das Privatleben von Personen auswirken [können] und somit eine Datenschutz-Folgenabschätzung obligatorisch machen“.
