Der Grundsatz der Zweckbindung (siehe den Abschnitt “Zweckbindung” im Abschnitt “Grundsätze” in Teil II dieser Leitlinien) verlangt, dass personenbezogene Daten, die im Zusammenhang mit dem Internet der Dinge erhoben und verarbeitet werden, nur für den Zweck verarbeitet werden, für den die Daten erhoben wurden.
Der für die Datenverarbeitung Verantwortliche darf die Daten nur für die Zwecke oder Ziele verwenden, die den Nutzern in der Datenschutzerklärung klar und ausdrücklich mitgeteilt wurden. Nicht informierte Datenverwendungszwecke sind nicht rechtmäßig, und selbst schlecht informierte Zwecke sind es nicht. Wenn beispielsweise die bereitgestellten Informationen nicht transparent oder vollständig sind, kann argumentiert werden, dass die Zwecke nicht ausdrücklich genannt wurden.
Darüber hinaus müssen die Zwecke spezifiziert werden. Das heißt, eine weite und offene Formulierung, die es einer Durchschnittsperson nicht erlaubt, alle und jeden Zweck der Daten zu verstehen, wird nicht unter das Gesetz fallen.
Das Hauptproblem besteht darin, dass IoT-Systeme oft riesige Datenmengen für vage oder weit gefasste Zwecke sammeln. Wie Watcher feststellte, “kann die Sensorfusion oder die Verknüpfung vorhandener, aber zuvor nicht verbundener Datensätze neue Möglichkeiten für die Datenanalyse bieten, die bei der Erfassung der Daten nicht vorgesehen waren. Durch Identifizierungsdienste, die Geräte und die von ihnen gesammelten Daten miteinander verknüpfen, wird eine invasive und unvorhersehbare Profilerstellung ermöglicht”. [1] Infolgedessen könnten die für die Verarbeitung Verantwortlichen Rückschlüsse auf die betroffene Person ziehen, die nicht mit den Zwecken zusammenhängen, für die die Daten ursprünglich erhoben wurden, und denen die betroffene Person nie zugestimmt hat. Darüber hinaus sind sich die betroffenen Personen möglicherweise nicht einmal über eine solche Verarbeitung bewusst. Schlimmer noch, es kann vorkommen, dass Daten von Dritten für andere Zwecke verarbeitet werden, in die die betroffene Person nie eingewilligt hat.
Um ein solches Szenario zu vermeiden, sollten die für die Verarbeitung Verantwortlichen Instrumente einsetzen, mit denen sie sicherstellen können, dass die Verarbeitung nur erfolgt, wenn eine Rechtsgrundlage gegeben ist. Der Nutzen der gespeicherten Daten für den beabsichtigten Zweck eines bestimmten Produkts oder einer bestimmten Dienstleistung muss regelmäßig neu bewertet werden, um eine unrechtmäßige Datenverarbeitung zu vermeiden.
- Wachter, Sandra (2018). Die Datenschutz-Grundverordnung und das Internet der Dinge: ein dreistufiges Transparenzmodell. Recht, Innovation und Technologie, 1-29. doi:10.1080/17579961.2018.1527479 . ↑