Angemessene Informationen bereitstellen, um Transparenz zu gewährleisten
Home » IoT » Fairness und Transparenz » Angemessene Informationen bereitstellen, um Transparenz zu gewährleisten

IoT-Systeme sind in der Regel komplexe Geräte, die viele personenbezogene Daten in Verbindung mit anderen IoT-Systemen oder durch in das Gerät integrierte Tools verarbeiten. Dies schafft ein komplexes Szenario, da, wie die Arbeitsgruppe zu Artikel 29 feststellte, “die Interaktion zwischen Objekten, zwischen Objekten und Geräten von Einzelpersonen, zwischen Einzelpersonen und anderen Objekten sowie zwischen Objekten und Back-End-Systemen zur Erzeugung von Datenströmen führen wird, die mit den klassischen Werkzeugen, die zur Gewährleistung eines angemessenen Schutzes der Interessen und Rechte der betroffenen Personen verwendet werden, kaum zu bewältigen sind”.

Die für die Verarbeitung Verantwortlichen müssen sich darüber im Klaren sein, dass die betroffenen Personen in der Lage sein müssen, zu verstehen, wie und zu welchem Zweck das IoT-System ihre personenbezogenen Daten verwendet, um zu funktionieren und Entscheidungen zu treffen, auch wenn dies schwer zu erreichen sein mag. Im Allgemeinen bedeutet dies, dass IoT-Entwickler Funktionen in das System einbauen sollten, die dieses Wissen auf möglichst einfache Weise vermitteln. Erklärbarkeit – d. h. die Fähigkeit, die technischen Prozesse eines IoT-Systems und die Logik der von ihm getroffenen Entscheidungen zu erklären – ist im Falle des IoT von zentraler Bedeutung, insbesondere wenn es ein KI-Tool enthält (siehe den Abschnitt “Transparenz” in den “KI-Anforderungen für Innovatoren und Entwickler”, Teil IV dieser Leitlinien).

Diesbezüglich erklärte die Artikel-29-Datenschutzgruppe, dass “die Methoden zur Erteilung von Informationen, zum Angebot eines Ablehnungsrechts oder zur Einholung der Einwilligung so benutzerfreundlich wie möglich gestaltet werden sollten. Insbesondere muss sich die Informationspolitik auf Informationen konzentrieren, die für den Nutzer verständlich sind, und sollte sich nicht auf eine allgemeine Datenschutzerklärung auf der Website des für die Verarbeitung Verantwortlichen beschränken.[1] In dieser Hinsicht müssen die für die Verarbeitung Verantwortlichen die Besonderheiten des IoT-Geräts berücksichtigen, z. B. kleine Bildschirme, die das Lesen von Datenschutzerklärungen fast unmöglich machen, oder sogar das völlige Fehlen von Bildschirmen. Zweischichtige Systeme könnten besonders nützlich sein, wenn es um Szenarien geht, in denen die Menge an Informationen und deren Komplexität schwer zu handhaben ist. Eine erste Ebene, die dem Nutzer die wesentlichen Informationen liefert, und eine zweite Ebene mit tiefer gehenden Informationen und Erklärungen erscheint sinnvoll.

Im Allgemeinen sollten IoT-Systeme in der Lage sein, einen Gesamtüberblick darüber zu geben, “welche personenbezogenen Daten an welchen für die Datenverarbeitung Verantwortlichen im Rahmen welcher Richtlinien weitergegeben wurden; sie sollten einen Online-Zugang zu den personenbezogenen Daten und deren Verarbeitung bieten; und sie sollten Möglichkeiten zur Erstellung von Gegenprofilen bieten, die dem Nutzer dabei helfen zu erkennen, wie seine Daten mit relevanten Gruppenprofilen übereinstimmen, was sich auf künftige Chancen oder Risiken auswirken kann”.[2] Wenn der für die Verarbeitung Verantwortliche eine Verarbeitung zu anderen Zwecken als denen, für die die Daten erhoben wurden, “plant”, muss er die Nutzer oder betroffenen Personen vorab über eine solche Weiterverarbeitung informieren, Informationen bereitstellen und alle anderen Anforderungen erfüllen, wie z. B. das Vorliegen einer Rechtsgrundlage für diesen neuen Zweck oder die Durchführung einer Vereinbarkeitsprüfung. Ausgehend von den oben genannten Verpflichtungen und speziell auf das Internet der Dinge angewandt, muss den Nutzern eine erste Informationsebene zur Verfügung gestellt werden, bevor sie das Gerät in Betrieb nehmen. Darüber hinaus besagen die Informationsanforderungen, dass vor Beginn der Verarbeitung vollständige Informationen bereitgestellt werden müssen, so dass die Nutzer eine Möglichkeit haben müssen, auf diese Informationen zuzugreifen, bevor sie das IoT-Gerät registrieren oder nutzen.

Nach der Datenschutz-Grundverordnung sind die Informationen, die ein IoT-System den betroffenen Personen zur Verfügung stellen muss, unterschiedlich, je nachdem, ob diese Informationen von ihnen selbst eingeholt oder von dem System abgeleitet wurden.

  • Wenn die Daten direkt bei der betroffenen Person erhoben werden (Art. 13 GDPR)

Der für das IoT-System Verantwortliche muss den Nutzer vor der Verarbeitung über die Identität des für die Verarbeitung Verantwortlichen, die Kontaktdaten des DSB, die spezifischen Verarbeitungszwecke, die Rechtsgrundlage für die Verarbeitung und gegebenenfalls die berechtigten Interessen, auf die sich die Verarbeitung stützt[3], die für jeden Zweck geltende Rechtsgrundlage, die Empfänger oder Kategorien von Empfängern der Daten, das Bestehen internationaler Übermittlungen informieren; gegebenenfalls die Fristen für die Speicherung der Daten oder die Kriterien für die Festlegung dieser Fristen; die Art und Weise der Ausübung der Rechte der betroffenen Personen und das Recht, eine Beschwerde bei der Aufsichtsbehörde einzureichen; und im Falle automatisierter Entscheidungen, einschließlich Profiling, muss der für die Verarbeitung Verantwortliche einschlägige Informationen über die zugrunde liegende Logik und die voraussichtlichen Folgen einer solchen Verarbeitung für die betroffene Person bereitstellen.

  • Wenn die personenbezogenen Daten nicht vom Nutzer erhoben werden (Art. 14 GDPR)

In diesem Fall, wenn die personenbezogenen Daten von einem Dritten erhalten werden, muss der für das IoT-System Verantwortliche den Nutzer über die Bestimmungen von Art. 13 der DSGVO informieren und die Informationen über den Ursprung oder die Quelle der Daten mitteilen, insbesondere wenn sie aus öffentlich zugänglichen Quellen stammen. In diesem Zusammenhang müssen die für die Verarbeitung Verantwortlichen bedenken, dass das Konzept der “öffentlich zugänglichen Quellen” keine umfassende Liste ist, sondern eine eher enge, die soziale Medien oder das Internet nicht einschließt. Die Informationen sind dem IoT-Nutzer “spätestens” innerhalb eines Monats zur Verfügung zu stellen.

Checkliste: Fairness und Transparenz[4]

Fairness

☐ Die Steuerungen haben Funktionen oder einfach zu bedienende Steuerschnittstellen implementiert, die die Verwaltung von technischen und Datenschutzeinstellungen ermöglichen

☐ Die IoT-Systeme wurden so konzipiert, dass die Präferenzen und Bedürfnisse der Nutzer auf verteilte, kooperative Weise in das Tool übertragen werden, so dass angemessene Entscheidungen über die zu kontrollierenden Ressourcen getroffen werden

☐ Die für die Verarbeitung Verantwortlichen haben angemessene Maßnahmen ergriffen, um durch den Einsatz von KI-Tools verursachte Verzerrungen zu vermeiden.

☐ Die für die Verarbeitung Verantwortlichen haben Maßnahmen ergriffen, um die Erhebung verzerrter Datensätze zu vermeiden.

Transparenz

☐ Die IoT-Systeme bieten:

  • einen Gesamtüberblick darüber, welche personenbezogenen Daten im Rahmen welcher Maßnahmen an welchen für die Datenverarbeitung Verantwortlichen weitergegeben wurden;
  • Online-Zugang zu den personenbezogenen Daten und deren Verarbeitung;
  • Funktionen zur Erstellung von Gegenprofilen, die dem Nutzer helfen zu erkennen, wie seine Daten mit relevanten Gruppenprofilen übereinstimmen, was sich auf zukünftige Chancen oder Risiken auswirken kann.

☐ Wenn die personenbezogenen Daten direkt von der betroffenen Person zur Verfügung gestellt wurden, haben die für die Verarbeitung Verantwortlichen alle in Artikel 13 DSGVO aufgeführten Informationen bereitgestellt.

☐ Wenn die personenbezogenen Daten nicht von der betroffenen Person zur Verfügung gestellt wurden, haben die für die Verarbeitung Verantwortlichen alle in Artikel 14 DSGVO aufgeführten Informationen bereitgestellt.

☐ Werden die personenbezogenen Daten direkt von der betroffenen Person zur Verfügung gestellt, erfolgt die Information vor der Verarbeitung, spätestens jedoch bei der Erhebung der Daten bei der betroffenen Person.

☐ Wenn die personenbezogenen Daten nicht von der betroffenen Person zur Verfügung gestellt werden, werden die Informationen bereitgestellt:

  • innerhalb einer angemessenen Frist nach Erhalt der personenbezogenen Daten, spätestens jedoch innerhalb eines Monats;
  • wenn die personenbezogenen Daten für die Kommunikation mit der betroffenen Person verwendet werden sollen, spätestens zum Zeitpunkt der ersten Kommunikation mit dieser Person;
  • wenn eine Weitergabe an eine andere Person beabsichtigt ist, spätestens bei der ersten Weitergabe der personenbezogenen Daten.

☐ Die Informationen werden knapp, transparent, verständlich und leicht zugänglich bereitgestellt. Sie sind klar und in einfacher Sprache abgefasst.

☐ Die Kontrolleure haben alle Informationen zu diesen Fragen dokumentiert.
  1. Art. 29 Datenschutzgruppe (2014) Stellungnahme 8/2014 zu den jüngsten Entwicklungen im Internet der Dinge (SEP 16, 2014) https://www.dataprotection.ro/servlet/ViewDocument?id=1088
  2. Weber, Rolf H., “Internet of Things: Privacy Issues Revisited” (2015) 31 Computer Law & Security Review 618, 625; ähnlich auch Tene und Polonetsky (n 18).
  3. Beachten Sie, dass nach der jüngsten Rechtsprechung der spanischen Datenschutzbehörde APED die Interessen, die als Grundlage für die Rechtsgrundlage von Art. 6.1.f GDPR dienen, nicht mit den Zwecken der Verarbeitung übereinstimmen.
  4. Nicht alle diese Anforderungen sind rechtliche Anforderungen im engeren Sinne, aber sie können alle als ethische Anforderungen betrachtet werden.

 

Skip to content