Der Grundsatz der Speicherbegrenzung verpflichtet die für die Verarbeitung Verantwortlichen, personenbezogene Daten nicht länger zu speichern, “als es für die Zwecke, für die die personenbezogenen Daten verarbeitet werden, erforderlich ist”, und Pseudonymisierungs- und Anonymisierungsmaßnahmen einzuführen, die die Identifizierbarkeit der betroffenen Personen verringern/aufheben, wenn die Identifizierung nicht länger als für diese Zwecke erforderlich ist. Das Problem hierbei ist, dass die für die Verarbeitung Verantwortlichen ein Interesse daran haben könnten, mehr Daten als nötig zu speichern, und zwar für längere Zeiträume als nötig, um die gespeicherten Daten schließlich für andere Zwecke zu verwenden. Außerdem werden sie, wie bereits erwähnt, manchmal “nur für den Fall” erhoben und gespeichert, dass sie für unvorhergesehene Zwecke verwendet werden könnten.

Daher sollten die Speicherfristen in einem angemessenen Verhältnis zu den Zielen der Verarbeitung stehen: “Bei der Festlegung der Speicherfristen (Zeiträume) sollten Kriterien wie die Dauer und der Zweck der Forschung berücksichtigt werden. Es ist zu beachten, dass auch nationale Bestimmungen Regeln für die Speicherdauer vorsehen können.”^[1]

Die für die Verarbeitung Verantwortlichen sollten sich darüber im Klaren sein, dass die DSGVO zwar eine längere Speicherung zulässt, dass es aber einen guten und realen Grund geben sollte, sich für eine solche Verlängerung zu entscheiden, zum Beispiel wenn der einzige Zweck die anschließende wissenschaftliche Forschung ist (oder die anderen in der engen Liste in Art. 5.1(c) GDPR genannten Umstände wie Archivierung im öffentlichen Interesse, historische Forschung oder statistische Zwecke) (siehe den Abschnitt “Datenschutz und wissenschaftliche Forschung” in den “Hauptkonzepten” und den Unterabschnitt “Zeitlicher Aspekt” im Abschnitt “Speicherbegrenzung” in den “Grundsätzen”, Teil II dieser Leitlinien).

Um eine unrechtmäßige Speicherung zu vermeiden, muss die “Erforderlichkeitsprüfung” von jedem einzelnen Akteur bei der Bereitstellung eines bestimmten Dienstes im IoT durchgeführt werden, da die Zwecke ihrer jeweiligen Verarbeitung tatsächlich unterschiedlich sein können. So sollten beispielsweise personenbezogene Daten, die von Nutzern übermittelt werden, wenn sie einen bestimmten Dienst im IoT abonnieren, gelöscht werden, sobald die Nutzer ihr Abonnement beenden. Ebenso sollten Informationen, die von Nutzern in ihrem Konto gelöscht werden, nicht aufbewahrt werden. Wenn ein Nutzer den Dienst oder die Anwendung über einen bestimmten Zeitraum nicht nutzt, sollte das Nutzerprofil als inaktiv eingestuft werden. Nach einer weiteren Zeitspanne sollten die Daten gelöscht werden. Der Nutzer sollte vor diesen Schritten benachrichtigt werden, und zwar mit allen Mitteln, die dem jeweiligen Interessenvertreter zur Verfügung stehen”.^[2]

Zusammenfassend lässt sich sagen, dass die für die Verarbeitung Verantwortlichen die Daten vollständig anonymisieren oder löschen müssen, wenn sie sie nicht benötigen und es keine zwingenden rechtlichen Gründe gibt, die sie zur Aufbewahrung der Daten verpflichten. Forscher sollten ihre behördlichen Datenschutzbeauftragten konsultieren, wenn sie Daten über einen längeren Zeitraum speichern wollen, und sich über die geltenden nationalen Vorschriften informieren. Dies könnte auch ein hervorragender Zeitpunkt sein, um Fristen für die Löschung der verschiedenen Datenkategorien ins Auge zu fassen und diese Entscheidungen zu dokumentieren oder sie automatisiert anzuwenden (siehe den Abschnitt “Rechenschaftspflicht” in den “Grundsätzen”, Teil II dieser Leitlinien).

Checkliste: Data Governance Minimierung ☐ Die IoT-Systeme verwenden, wann immer möglich, anonymisierte Daten, insbesondere wenn diese Daten mit anderen Geräten geteilt werden. ☐ Wenn Anonymisierungen nicht möglich sind, entscheiden sich die IoT-Systeme für die Aggregation von Daten in einem standardisierten Format. ☐ Die für die Verarbeitung Verantwortlichen haben sichergestellt, dass niemand außer der betroffenen Person Zugang zu den Rohdaten hat, es sei denn, eine Rechtsgrundlage legitimiert eine solche Verarbeitung (und vorausgesetzt, sie ist für die gesuchten Zwecke erforderlich). ☐ Die Kontrolleure haben dafür gesorgt, dass das Rohmaterial, das das Gerät verlässt, auf das unbedingt erforderliche Minimum beschränkt bleibt. Zweckbindung ☐ Die für die Verarbeitung Verantwortlichen verwenden die Daten nur für die Zwecke, für die sie erhoben wurden, es sei denn, eine Rechtsgrundlage erlaubt eine unrechtmäßige Verarbeitung durch Dritte. ☐ Der für die Verarbeitung Verantwortliche informiert in transparenter Weise über diese Zwecke und darüber, auf welche Rechtsgrundlage sie jeweils gestützt werden. Beschränkung der Speicherung ☐ Die für die Verarbeitung Verantwortlichen speichern personenbezogene Daten nicht “länger, als es für die Zwecke, für die die personenbezogenen Daten verarbeitet werden, erforderlich ist”, so das Necessity Toolkit des EDSB[3]. ☐ Der Nutzen der gespeicherten Daten für den beabsichtigten Zweck eines bestimmten Produkts oder einer bestimmten Dienstleistung muss in regelmäßigen Abständen neu bewertet werden. ☐ Personenbezogene Daten, die von den Nutzern mitgeteilt werden, wenn sie einen bestimmten Dienst im IoT abonnieren, werden gelöscht, sobald der Nutzer sein Abonnement beendet. ☐ Die von den Nutzern in ihrem Konto gelöschten Informationen werden vom IoT-System nicht aufbewahrt. ☐ Nutzt eine betroffene Person das IoT-System über einen bestimmten Zeitraum nicht, wird ihr Profil als inaktiv eingestuft und nach einem weiteren Zeitraum werden die Daten gelöscht. ☐ Der Benutzer wird vor der Durchführung dieser Schritte benachrichtigt. ☐ Die Kontrolleure haben alle Informationen zu diesen Fragen dokumentiert.

1. EDSB (2020) Leitlinien 03/2020 für die Verarbeitung von Gesundheitsdaten zum Zweck der wissenschaftlichen Forschung im Zusammenhang mit dem COVID-19-Ausbruch Angenommen am 21. April 2020. Europäischer Datenschutzbeauftragter, Brüssel, S.10. Verfügbar unter https://edps.europa.eu/sites/edp/files/publication/20-01-06_opinion_research_en.pdf (Zugriff am 23. April 2020). ↑
2. Art. 29 Stellungnahme der Datenschutzgruppe 8/2014 zu den jüngsten Entwicklungen im Internet der Dinge (SEP 16, 2014) https://www.dataprotection.ro/servlet/ViewDocument?id=1088 ↑
3. https://edps.europa.eu/data-protection/our-work/publications/papers/necessity-toolkit_en ↑