Fairness ist ein wesentlicher Grundsatz der Datenschutz-Grundverordnung. Beim gesamten Datenschutz und somit auch bei der Datenschutz-Grundverordnung geht es um Fairness gegenüber den betroffenen Personen. In der Datenschutz-Grundverordnung kann man sehen, was fair eigentlich konkret bedeutet. Im Falle der IKT geht es vor allem darum, zu vermeiden, dass niemand von den Werkzeugen ausgeschlossen wird, d. h. dass alle Menschen Anspruch auf die gleichen Grundrechte und Möglichkeiten haben, von den technologischen Fortschritten zu profitieren. Außerdem darf es keine Diskriminierung aufgrund grundlegender Aspekte unserer Identität geben, die unveräußerlich sind, wie Geschlecht, Rasse, Alter, sexuelle Ausrichtung, nationale Herkunft, Religion, Gesundheit, Behinderung usw. Mit anderen Worten, in Bezug auf das Internet der Dinge bezieht sich Fairness vor allem auf die Notwendigkeit, die Werkzeuge für diejenigen, die nicht besonders erfahren im Umgang mit digitalen Technologien sind, leicht nutzbar zu machen und zu vermeiden, dass das System durch die Einführung unfairer Vorurteile zu Diskriminierung führt (siehe Unterabschnitt “Fairness” unter “Rechtmäßigkeit, Fairness und Transparenz” in “Hauptkonzepte”, Teil II dieser Leitlinien).

Andererseits ist Transparenz der Schlüssel dazu, dass die Betroffenen Vertrauen in IoT-Systeme und -Geräte entwickeln. Die Anforderungen an die Transparenz sind eindeutig mit dem Grundsatz der Fairness verbunden, denn je schwieriger es für den Nutzer ist, das IoT-System zu verstehen, desto größer ist der Unterschied zwischen den verschiedenen Arten von Nutzern. Transparenz zeigt, dass der Kontrolleur verantwortungsbewusst handelt. Andererseits verstößt ein Mangel an allgemeiner Transparenz (und speziell an Informationsrechten) gegen die Verpflichtungen der Datenschutz-Grundverordnung und kann für den für die Verarbeitung Verantwortlichen hohe Geldstrafen nach sich ziehen. Sie gilt für alle Elemente, die für ein IoT-System relevant sind: die Daten, das System und die Prozesse, mit denen es entworfen und betrieben wird, die Interaktion mit anderen IoT-Systemen, die Verwendung (oder Nichtverwendung) von KI-Tools, die Durchführung von Profilerstellung oder automatischer Entscheidungsfindung, usw. Darüber hinaus geht es um das “Wer”: Wer ist der für die Verarbeitung Verantwortliche, an wen werden die Daten weitergegeben, wer ist der DSB (falls es einen gibt) usw.

Die Transparenz wird in der Datenschutz-Grundverordnung in Form von detaillierten Anforderungen an die Informationen, die der für die Verarbeitung Verantwortliche sowohl den betroffenen Personen als auch den Aufsichtsbehörden zur Verfügung stellen muss, dargelegt. Der Schwerpunkt der Transparenz liegt darin, die betroffenen Personen im Voraus über die Existenz der Verarbeitung und ihre wichtigsten Merkmale zu informieren, wie in den Artikeln. 12-14. Weitere Informationen (z. B. über die Daten der betroffenen Person) sind auf Anfrage erhältlich (z. B. bei Ausübung des Rechts auf Auskunft oder des Rechts auf Datenübertragbarkeit). Die betroffenen Personen müssen auch über bestimmte Ereignisse informiert werden, vor allem über Datenschutzverletzungen (wenn die betroffene Person einem hohen Risiko ausgesetzt ist). Transparenz ist natürlich eine Voraussetzung dafür, dass Verstöße aufgedeckt und behoben werden können (siehe “Transparenz” im Abschnitt “Rechtmäßigkeit, Verarbeitung nach Treu und Glauben und Transparenz” in den “Hauptkonzepten”, Teil II dieser Leitlinien).

Im Falle des IoT müssen die für die Verarbeitung Verantwortlichen bedenken, dass es aufgrund einer Reihe von Faktoren, die einem solchen Ziel entgegenstehen, schwierig ist, für die betroffenen Personen Transparenz zu gewährleisten. Erstens muss man bedenken, dass ein IoT-System in der Regel mit anderen Systemen interagiert und dabei eine Vielzahl personenbezogener Daten verarbeitet. Da das IoT auf dem Prinzip der umfassenden Verarbeitung von Daten durch diese Sensoren beruht, die so konzipiert sind, dass sie unauffällig kommunizieren und Daten nahtlos austauschen können, ist es eng mit den Begriffen des “allgegenwärtigen” und “allgegenwärtigen” Computings verbunden.^[1] Im Falle des IoT sind die Sensoren in der Tat so konzipiert, dass sie nicht aufdringlich, d. h. so unsichtbar wie möglich sind. Folglich ist sich die betroffene Person in vielen Fällen der Datenverarbeitung nicht bewusst, da keine Informationen verfügbar sind. In anderen Fällen sind die verfügbaren Informationen nicht gleichbedeutend mit Transparenz und Bewusstsein der betroffenen Personen. In diesen Fällen kann Transparenz zusammen mit informativen Formulierungen bedeuten, dass Symbole verwendet werden, wenn Daten wie der Standort erhoben werden, und dass solche Symbole ausgeschaltet werden, wenn keine Daten erhoben werden. Die für die Verarbeitung Verantwortlichen müssen beurteilen, was Transparenz für ihre spezifische Entwicklung und ihr Gerät bedeutet.

Außerdem “können die Daten, sobald sie aus der Ferne gespeichert wurden, an andere Parteien weitergegeben werden, manchmal ohne dass die betroffene Person davon weiß. In diesen Fällen wird die Weitergabe der Daten dem Nutzer auferlegt, der sie nicht verhindern kann, ohne die meisten Funktionen des Geräts zu deaktivieren.^[2] Dies kann durch die immer häufigeren, im Gerät gespeicherten Daten noch verstärkt werden. In diesen Fällen verlassen die Daten das Gerät nicht, was die Transparenz, die Kontrolle der Betroffenen über ihre Daten und, je nach Fall, die Sicherheit erhöht.

Außerdem werden in IoT-Systemen häufig KI-Tools eingesetzt. Wie im entsprechenden Abschnitt ausführlich dargelegt, leiden diese Werkzeuge häufig unter verschiedenen Arten von Intransparenz, die eine angemessene Erfüllung der Transparenzanforderungen behindern (siehe “Transparenz” in Teil IV (KI) dieser Leitlinien).

Und schließlich, was auch wichtig ist, müssen IoT-Entwickler Transparenz gewährleisten, indem sie eine Reihe von ergänzenden Instrumenten einsetzen. Die Benennung eines behördlichen Datenschutzbeauftragten, der dann als zentrale Anlaufstelle für Anfragen von betroffenen Personen dient, ist eine hervorragende Option. Die Erstellung angemessener Aufzeichnungen über die Verarbeitung für die Aufsichtsbehörden oder die Durchführung von Datenschutzfolgenabschätzungen sind ebenfalls sehr empfehlenswerte Maßnahmen zur Förderung der Transparenz. Die Durchführung von Analysen zur Bewertung der Wirksamkeit und Zugänglichkeit der den betroffenen Personen zur Verfügung gestellten Informationen trägt dazu bei, die effiziente Umsetzung dieses Grundsatzes zu gewährleisten. Oder die Gewährleistung der Interoperabilität zwischen verschiedenen Systemen, damit die betroffenen Personen von der Portabilität Gebrauch machen können, oder die Bereitstellung einfacher Möglichkeiten, die eigenen Daten herunterzuladen und das Auskunftsrecht selbst wahrzunehmen.

1. Art. 29 Datenschutzgruppe (2014) Stellungnahme 8/2014 zu den jüngsten Entwicklungen im Internet der Dinge (SEP 16, 2014) https://www.dataprotection.ro/servlet/ViewDocument?id=1088 ↑
2. Art. 29 Datenschutzgruppe (2014) Stellungnahme 8/2014 zu den jüngsten Entwicklungen im Internet der Dinge (SEP 16, 2014) https://www.dataprotection.ro/servlet/ViewDocument?id=1088 ↑