Eines der größten Probleme bei IoT-Systemen besteht darin, dass häufig unterschiedliche Geräte mit ihren eigenen Merkmalen verwendet werden. Dies führt zu erheblichen Problemen bei der Rollenverteilung zwischen den verschiedenen beteiligten Steuereinheiten. Andererseits liegt es auf der Hand, dass eine Steuereinheit häufig einen Teil der technischen Aufgaben an einen Prozessor überträgt, der sogar einen Unterprozessor in die Aufgaben einbeziehen könnte. In der Praxis wird es jedoch manchmal schwierig sein, sicherzustellen, dass der Auftragsverarbeiter nicht tatsächlich als für die Verarbeitung Verantwortlicher oder Mitverantwortlicher agiert.
IoT-Entwickler sollten ihr Bestes tun, um solche Probleme zu vermeiden, da die Datenschutzverordnung eine klare Antwort auf die Frage “Wer ist für diese Verarbeitung verantwortlich?” verlangt, um einen wirksamen und vollständigen Schutz der Rechte und Freiheiten der betroffenen Personen zu gewährleisten. Eine wichtige Voraussetzung für eine angemessene Politik des “eingebauten Datenschutzes” besteht also darin, von Anfang an zu klären, wer die für die Datenverarbeitung Verantwortlichen und die Auftragsverarbeiter sind, um sicherzustellen, dass die rechtliche Verantwortlichkeit verstanden wird.
Um dieses Ziel zu erreichen, sollten schriftliche Vereinbarungen zwischen allen an der Entwicklung des Tools beteiligten Akteuren getroffen und dokumentiert werden. Diese sollten klare Angaben zu den von allen Beteiligten übernommenen Verantwortlichkeiten enthalten. Die Förderung einer kontinuierlichen Interaktion zwischen allen beteiligten behördlichen Datenschutzbeauftragten könnte eine ausgezeichnete Option sein. Ad-hoc-Aufsichtsgremien und -instrumente können eingesetzt werden, um eine reibungslose Überwachung der Verarbeitung durch die Teilnehmer zu gewährleisten. Siehe den nachstehenden Kasten.
Außerdem kann es vorkommen, dass einige Parteien Verträge abfassen, in denen sie sich selbst in einer anderen Rolle sehen, als sie tatsächlich ist. So kann ein Beteiligter beispielsweise behaupten, er sei ein Verarbeiter, um bestimmte Kontrollpflichten zu umgehen, und sogar einen Vertrag unterzeichnen. Doch hier regiert die Realität, und unabhängig davon, was die Parteien sagen, muss ihre Rolle entsprechend ihren Handlungen definiert werden. In diesem Sinne [1]tendiert die EU-Rechtsprechung dazu, das Konzept des für die Verarbeitung Verantwortlichen und des gemeinsam für die Verarbeitung Verantwortlichen zu erweitern und den Raum für reine Auftragsverarbeiter zu verringern. In diesem Zusammenhang wird es häufig vorkommen, dass alle beteiligten Parteien ein gewisses Maß an Verantwortung teilen und zu gemeinsam für die Verarbeitung Verantwortlichen für die Teile der Verarbeitung werden, die diese verschiedenen Parteien betreffen. Von da an hat jede Partei ihre eigene, unabhängige, separate Verantwortung.
| Kasten 2: Umgang mit komplexen Szenarien der Datenverantwortung
Das von der EU finanzierte Forschungsprojekt Synchronicity zielte darauf ab, ein harmonisiertes Ökosystem für IoT-fähige Smart-City-Lösungen zu schaffen, in dem IoT-Gerätehersteller, Systemintegratoren und Lösungsanbieter innovativ sein und offen miteinander konkurrieren können. Dazu wurden zahlreiche personenbezogene Daten aus verschiedenen Quellen verwendet. In diesem Zusammenhang “zeigte sich ganz klar, dass die Städte selbst de facto die Datenkontrolleure sind. Sie sind diejenigen, die kontrollieren, welche Daten zu welchem Zweck erhoben werden. Gleichzeitig trug das Projekt eine kollektive Verantwortung dafür, dass seine Forschungsaktivitäten ebenfalls mit der Verordnung übereinstimmen. Datenschutzkoordinierung – Mezzanin-Modell Auch wenn mehrere für die Datenverarbeitung Verantwortliche beteiligt sein können, muss die Koordinierung zwischen ihnen auf Projektebene sichergestellt und gewährleistet werden. Dies wurde bei Synchronicity durch die Einrichtung eines Datenschutzausschusses (DPC) erreicht, in dem die Datenschutzbeauftragten (DSB) der einzelnen Smart Cities unter dem Vorsitz eines Projektdatenschutzkoordinators (PDPC) auf Projektebene zusammenkommen. Nach dem Gesetz bleiben die Städte die formalen Datenverantwortlichen für die Datenverarbeitung unter ihrer Kontrolle, und sie sind direkt dafür verantwortlich. Die Einrichtung des Datenschutzkoordinators ermöglicht jedoch eine enge Koordinierung und den Austausch von Erfahrungen, um sicherzustellen, dass das Projekt als Ganzes mit der Verordnung übereinstimmt, und um potenzielle Risiken, die sich auf die Partner auswirken könnten, zu ermitteln und abzumildern.” Nach diesem Kriterium wurden die Rollen und Verantwortlichkeiten im Projekt wie folgt verteilt: Auf der Ebene des DSB der Stadt x Funktionen und Zuständigkeiten des DSB, einschließlich Überwachung des Datenschutzes und der Einhaltung der DSGVO x Identifizierung der Sammlung personenbezogener Daten, einschließlich der Identifizierung der für die Datenverarbeitung Verantwortlichen und der Auftragsverarbeiter x Datenschutz-Folgenabschätzung (DPIA) Auf Projektebene x Koordinierung der Datenschutzpolitik x Information der Öffentlichkeit und Kontakt x Berichterstattung und Datenschutz Issues Management (Siehe: https://www.monica-project.eu/wp-content/uploads/2020/06/Personal-DataProtection-for-IoT-Deployments-final-MI.pdf, S. 11) |
Quellenangaben
1Siehe: Urteil des Gerichtshofs (Große Kammer) vom 5. Juni 2018.
Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein gegen Wirtschaftsakademie Schleswig-Holstein GmbH.
Ersuchen um Vorabentscheidung durch das Bundesverwaltungsgericht. Rechtssache C210-16, unter: https://eur-lex.europa.eu/legal-content/en/TXT/?uri=CELEX:62016CJ0210 ↑