Die Herausforderungen durch den Einzug des Internet der Dinge in den Mainstream führten zur Weiterentwicklung des Datenschutzrechts, im speziellen zur Schaffung einer EU-weiten Datenschutzgrundverordnung. Diese verstärkt die Rechte von Betroffenen (Personen, deren Daten verarbeitet werden) und legt Grundsätze für die Verarbeitung personenbezogener Daten fest. Unter personenbezogenen Daten versteht man im Generellen alle Informationen, welche eine Person identifizieren oder identifizierbar machen. Dabei kann es sich exemplarisch um Personen-Stammdaten (Name, Adresse,…), Messdaten (WLan-Signalstärke,…), oder Standortdaten (Geo-Location,…) handeln.
Der Großteil dieser Daten wird in Zukunft im Internet der Dinge geballt und verkettet in Hintergrundsystemen verarbeitet. Damit der Betroffene einen Überblick über diese Datenverarbeitungen behält, fordert die Datenschutzgrundverordnung, dass personenbezogene Daten „auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden“.
Konkret bedeutet das, dass der Verantwortliche (der Herr der Daten, im Normalfall der Diensterbringer) die Verarbeitung stets transparent zu gestalten hat. Für den Betroffenen muss erkennbar sein, wer seine Daten verarbeitet und zusätzlich über Zweck, Art und Umfang informiert sein. Dem Betroffenen sollen somit alle Informationen geliefert werden, damit dieser sein Recht auf Datenschutz informiert wahrnehmen kann. Diese Informationen müssen noch vor dem Vertragsabschluss dem Betroffenen zur Verfügung gestellt werden. Es empfiehlt sich bei einer App-basierten Anwendung diese Informationen gebündelt in einer Datenschutzerklärung mittels Check-Box vom Nutzer (Betroffenen) bestätigen zu lassen.
Sollten andere Datenverarbeitungen (Zwecke) – als zur Vertragserfüllung notwendig, oder wo kein berechtigtes Interesse des Verantwortlichen überwiegt – vorgenommen werden, so bedarf es der freiwilligen, informierten Einwilligung durch den Betroffenen. Diese ist getrennt von der Datenschutzerklärung zu bestätigen. Wichtig ist, dass weder die Check-Box der Datenschutzerklärung, noch die der zusätzlichen Zwecke wo es einer Einwilligung bedarf, vorangehakt sein dürfen. Dies wäre keine aktive Einwilligung, wie sie Erwägungsgrund 32 fordert.
Dieser Beitrag ist nur ein kleiner Ausschnitt aus den Herausforderungen und Anforderungen, welche mit der Datenschutzgrundverordnung in Zukunft auf IoT-Device-Entwickler zukommen.
Autor
Rolf-Dieter Kargl ist Datenschutzexperte und Jurist operierend im Bereich Datenschutzrecht/IT-Law in Verbindung mit neuen Business Models. Er ist Mentor des Topic Teams Legal.