Eines der Probleme des IoT besteht darin, dass diese Technologie die Erstellung von Profilen und die automatisierte Datenverarbeitung kaum vermeiden kann. Dies wirft wichtige Fragen im Hinblick auf den Datenschutz auf. Die Artikel-29-Datenschutzgruppe stellte fest: “Im Gegensatz zu anderen Arten von Inhalten können vom IoT gepushte Daten von der betroffenen Person vor der Veröffentlichung nicht angemessen überprüft werden, was unbestreitbar das Risiko eines Mangels an Kontrolle und einer übermäßigen Selbstentblößung für den Nutzer mit sich bringt. Darüber hinaus kann die Kommunikation zwischen Objekten automatisch und standardmäßig ausgelöst werden, ohne dass sich der Einzelne dessen bewusst ist. Ohne die Möglichkeit, die Interaktion zwischen Objekten wirksam zu steuern oder virtuelle Grenzen zu definieren, indem aktive oder nicht aktive Zonen für bestimmte Dinge festgelegt werden, wird es außerordentlich schwierig, den erzeugten Datenfluss zu kontrollieren. Noch schwieriger wird es sein, die spätere Nutzung zu kontrollieren und damit eine mögliche schleichende Ausweitung der Funktionen zu verhindern. Dieses Problem der mangelnden Kontrolle, das auch andere technische Entwicklungen wie Cloud Computing oder Big Data betrifft, wird noch schwieriger, wenn man bedenkt, dass diese verschiedenen aufkommenden Technologien in Kombination eingesetzt werden können.”^[1] In der Tat müssen wir bedenken, dass das IoT häufig die Verknüpfung von Datensätzen aus verschiedenen Geräten erfordert, um detaillierte Einblicke in das Privatleben der Nutzer zu erhalten und Annahmen und Vorhersagen über ihr Verhalten zu treffen. Diese Praktiken stehen nicht im Widerspruch zum Datenschutz, vorausgesetzt, sie halten sich streng an die geltenden Vorschriften. Allerdings ist es oft schwierig, diese Einhaltung zu gewährleisten.

Darüber hinaus ermöglicht dieses Szenario die Kombination mehrerer Daten, die für sich genommen nur wenig Informationen über die betroffene Person liefern können. Einige der Daten können sogar anonymisiert sein. Ihre Kombination führt jedoch oft zu einem neuen Szenario, in dem personenbezogene Daten und insbesondere besondere Kategorien personenbezogener Daten entstehen. Diese werden in der Regel als abgeleitete Daten bezeichnet, d. h. “alle personenbezogenen Daten, die von dem für die Datenverarbeitung Verantwortlichen im Rahmen der Datenverarbeitung erstellt wurden, z. B. durch einen Personalisierungs- oder Empfehlungsprozess, durch eine Benutzerkategorisierung oder ein Profiling, das auf der Grundlage der von der betroffenen Person bereitgestellten personenbezogenen Daten (Beobachtungs- oder Rohdaten)^[2] erstellt wurde. Es handelt sich auch um personenbezogene Daten, was bedeutet, dass sie der DSGVO und den geltenden Datenschutzbestimmungen unterliegen.

1. Art. 29 Datenschutzgruppe (2014) Stellungnahme 8/2014 zu den jüngsten Entwicklungen im Internet der Dinge (SEP 16, 2014) https://www.dataprotection.ro/servlet/ViewDocument?id=1088 ↑
2. A29WP, Leitlinien zum Recht auf Datenübertragbarkeit, unter: https://edpb.europa.eu/our-work-tools/our-documents/guidelines/right-data-portability_en ↑