Minimierungsprinzip
Home » IoT » Data Governance: Grundsätze der Minimierung, Zweckbindung und Speicherbegrenzung » Minimierungsprinzip

Der Grundsatz der Datenminimierung besagt, dass personenbezogene Daten dem Zweck entsprechen, für den sie verarbeitet werden, dafür erheblich sein müssen und auf das für die Zwecke, für die sie verarbeitet werden, erforderliche Maß beschränkt sein müssen (siehe “Datenminimierung” im Abschnitt “Grundsätze” in Teil II der vorliegenden Leitlinien). Einfach ausgedrückt bedeutet dies, dass die Menge, die Kategorien und die Granularität der verarbeiteten personenbezogenen Daten so weit wie möglich reduziert werden. Das bedeutet, dass es nicht möglich ist, personenbezogene Daten zu erheben, die nicht verarbeitet werden sollen, nur damit der für die Verarbeitung Verantwortliche über sie verfügen und sie in der Zukunft entweder für die erklärten Zwecke oder für neue Zwecke verwenden kann. Leider steht dieser Grundsatz manchmal im Widerspruch zur Logik der IoT-Technologie. Manchmal sind die Ableitung von Daten und die Erstellung von Profilen für die Zwecke des Systems notwendig, aber sie vervielfachen die Menge der Daten, die verarbeitet werden. Darüber hinaus verarbeiten die meisten IoT-Systeme viele personenbezogene Daten zwischen Geräten, die häufig unter der Kontrolle alternativer Auftragsverarbeiter stehen und/oder Dritte einbeziehen.

Es gibt einige Möglichkeiten, wie sich allgegenwärtige Szenarien vermeiden lassen. Wenn der Zweck der Verarbeitung ohne die Notwendigkeit oder identifizierbare Informationen erreicht werden kann, müssen die Daten so schnell wie möglich anonymisiert werden. Grundsätzlich sollten IoT-Systeme die Verwendung von anonymisierten Daten fördern, insbesondere wenn diese Daten mit anderen Geräten geteilt werden. “Da die Möglichkeit, umfangreiche persönliche Profile zu erstellen, kaum zu vermeiden ist, ist die Anonymisierung von Daten im Zusammenhang mit dem Datenaustausch wichtig.”[1] Im Prinzip scheint dies machbar zu sein, aber in der Praxis könnte es schwer zu erreichen sein. Die AEPD stellte fest: “Die Verknüpfung von IoT-Geräten mit eindeutigen Identifikatoren und die enge Verbindung zwischen bestimmten Geräten und ihren Nutzern machen eine anonyme Nutzung solcher Daten praktisch unmöglich, und das Risiko einer Re-Identifizierung steigt rapide an. Zum Beispiel erfordern viele Geräte eine Benutzerregistrierung oder enthalten eindeutige Werbekennungen, wie z. B. smart televisions. Linking Es ist eine erwiesene Tatsache, dass eindeutige Kennungen in mobilen Geräten vorhanden sind, und solche Geräte werden häufig für die Interaktion mit IoT-Geräten und deren Betrieb verwendet.[2] Daher sollten die für die Verarbeitung Verantwortlichen nicht davon ausgehen, dass ihre Anonymisierungsverfahren die Privatsphäre der betroffenen Personen gut schützen würden. Vielmehr sollten sie Datenschutzfolgenabschätzungen und Risikobewertungen durchführen, um sich dieser Überzeugung zu versichern (siehe Verantwortlichkeit in diesem Teil der Leitlinien).

In diesem Zusammenhang müssen sich die für die Verarbeitung Verantwortlichen darüber im Klaren sein, dass die Erfassung personenbezogener Daten, die anschließend anonymisiert werden, eine Verarbeitung personenbezogener Daten darstellt, bis diese Daten den Anonymisierungsprozess abgeschlossen haben, unabhängig davon, wie kurz dieser Zeitraum ist. Außerdem ist die Anonymisierung eine Verarbeitung, was bedeutet, dass sie nur rechtmäßig sein kann, wenn eine Rechtsgrundlage vorliegt. Das berechtigte Interesse oder die Einwilligung sind die vielversprechendsten Kandidaten. Sobald die Daten anonymisiert sind, muss die Verarbeitung nicht mehr den Anforderungen des Schutzes personenbezogener Daten entsprechen. Sie kann immer noch unter die e-Privacy-Vorschriften fallen, allerdings in abgeschwächter Form.

Eine Alternative zur Anonymisierung als solche ist die Verwendung aggregierter Daten (manchmal wird die Aggregation als Anonymisierungswerkzeug betrachtet). Dies sollte in den meisten IoT-Systemen möglich sein, da die meisten Datenwerte, mit denen wir zu tun haben, eine Form der Aggregation darstellen, auch wenn dies vielleicht nicht offensichtlich ist, da es “unsichtbar” von einem Sensor oder einer Datenerfassungsmethode durchgeführt werden kann. Aggregation ist eine Möglichkeit, mehrere Datenelemente durch ein einziges zu ersetzen. Paradebeispiele kommen aus der Statistik und umfassen den Durchschnitt, den Median, das Minimum und das Maximum. Im Zusammenhang mit dem Datenschutz müssen zwei Arten der Aggregation unterschieden werden (siehe “Datenminimierung” in den “Grundsätzen”, Teil II dieser Leitlinien):

  • Aggregation von Datenelementen, die sich auf eine einzelne Person beziehen: Nimmt man z. B. das durchschnittliche Monatseinkommen einer Person über ein Jahr, so reduziert sich der Informationsgehalt, der sich auf diese Person bezieht.
  • Aggregation von Datenelementen, die sich auf eine Vielzahl von Personen beziehen: Nimmt man z. B. das durchschnittliche Jahreseinkommen über eine Gruppe von Personen, so verringert sich auch der Gesamtinformationsgehalt (Datenminimierung). Darüber hinaus wird dadurch auch der Grad der Assoziation zwischen einem Datenelement und einer bestimmten Person abgeschwächt. Diese Art der Aggregation ist daher auch für die Speicherbegrenzung relevant.

Wenn der Zweck durch die Verwendung aggregierter Daten erreicht werden kann, sollte dies umgesetzt werden. Unter diesen Umständen sollte niemand außer der betroffenen Person auf die Rohdaten zugreifen, es sei denn, es liegt ein wichtiger Grund vor. Die Umwandlung von Rohdaten in aggregierte Daten sollte im IoT-Tool möglich sein, so dass das Rohmaterial, das das Gerät verlässt, auf das unbedingt erforderliche Minimum beschränkt bleibt. Diese aggregierten Daten sollten in einem standardisierten Format vorliegen.”[3] In jedem Fall müssen sich die für die Verarbeitung Verantwortlichen der Tatsache bewusst sein, dass das Sammeln von Daten und das Löschen dieser Daten nach einer geringen Zeitspanne, selbst nach Millisekunden, immer noch eine Verarbeitung personenbezogener Daten darstellt und die Datenschutzvorschriften in vollem Umfang eingehalten werden müssen.

Wenn der Zweck der Verarbeitung nur durch die Verarbeitung personenbezogener Daten erreicht werden kann, können diese Daten dennoch pseudonymisiert werden. Dies fällt immer noch unter den Datenschutz und die Vorschriften zum Schutz der Privatsphäre, stellt aber eine gute Sicherheitsmaßnahme dar und verbessert die Verantwortlichkeit.

Ein wichtiges Thema, das hervorgehoben werden sollte, ist die Tatsache, dass ein Controller keine Daten “nur für den Fall” erstellen, sammeln und speichern darf. Das heißt, Daten, die für den Fall gespeichert werden, dass in Zukunft eine neue Idee aufkommt, die diese Daten für die Entwicklung eines anderen Projekts benötigt. In diesem Fall können die Speicherung von Daten länger als nötig und die Wiederverwendung von Daten auf unrechtmäßige Weise höchste Geldstrafen nach sich ziehen.

Nicht zuletzt sollten IoT-Entwickler “lokale Kontroll- und Verarbeitungsinstanzen (die sogenannten persönlichen Datenschutzbeauftragten) einrichten, die es den Nutzern ermöglichen, ein klares Bild der von ihren Geräten gesammelten Daten zu erhalten und die lokale Speicherung und Verarbeitung zu erleichtern, ohne die Daten an den Gerätehersteller übermitteln zu müssen.”[4]

  1. Rolf H. Weber, “Internet of Things: Privacy Issues Revisited” (2015) 31 Computer Law & Security Review 618.
  2. AEPD, “IoT (I): Was ist IoT und welche Risiken birgt es”, unter: https://www.aepd.es/en/prensa-y-comunicacion/blog/iot-%20and-which-risks-does-it-entail
  3. Art. 29 Stellungnahme der Datenschutzgruppe 8/2014 zu den jüngsten Entwicklungen im Internet der Dinge (SEP 16, 2014) https://www.dataprotection.ro/servlet/ViewDocument?id=1088.
  4. Art. 29 Stellungnahme der Datenschutzgruppe 8/2014 zu den jüngsten Entwicklungen im Internet der Dinge (SEP 16, 2014) https://www.dataprotection.ro/servlet/ViewDocument?id=1088.

 

Skip to content