Nach der Datenschutz-Grundverordnung sind personenbezogene Daten so zu verarbeiten, dass eine angemessene Sicherheit der personenbezogenen Daten gewährleistet ist, einschließlich des Schutzes vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Beschädigung durch geeignete technische oder organisatorische Maßnahmen (Grundsatz der “Integrität und Vertraulichkeit“). (Siehe den Abschnitt “Integrität und Vertraulichkeit” in den “Grundsätzen”, Teil II dieser Leitlinien).

In der Praxis geht es bei diesem Prinzip um drei wesentliche Aspekte: Integrität, Vertraulichkeit und Verfügbarkeit

• Die Integrität bezieht sich auf den Schutz personenbezogener Daten “gegen zufällige Beschädigung”, z. B. aufgrund eines Übertragungsfehlers oder einer zufälligen oder unbefugten Änderung. Sie zielt also darauf ab, jede Art von Ereignis zu verhindern, das die Daten in einer Weise “beschädigen” könnte, die sie für die Zwecke der Verarbeitung unbrauchbar macht.
• Die Vertraulichkeit bezieht sich auf den Schutz personenbezogener Daten “gegen unbefugte oder unrechtmäßige Verarbeitung”.
• Die Verfügbarkeit bezieht sich auf den Schutz personenbezogener Daten “gegen zufälligen Verlust oder Zerstörung”, z. B. durch den Ausfall einer Speicherkomponente.

Verfügbarkeit und Integrität sind im Falle des IoT in gewisser Weise miteinander verknüpft, da nur Daten, die angemessen aufbewahrt werden, dem Datensubjekt zugänglich gemacht werden können. Die Vertraulichkeit hingegen ist ein komplexeres Thema, das aufgrund der reinen Natur der beteiligten Prozesse und der mit diesen Prozessen verbundenen Risiken komplexe Maßnahmen erforderlich macht.