Stellen Sie sicher, dass Ihr Projekt mit dem Datenschutzrahmen vereinbar ist
Home » IoT » Projekt-Verständnis » Stellen Sie sicher, dass Ihr Projekt mit dem Datenschutzrahmen vereinbar ist

Bevor die Entwickler mit der Entwicklung eines IoT-Systems beginnen, sollten sie sich über dessen primäre Ziele und mögliche sekundäre Ziele und Anwendungen im Klaren sein. Es kann vorkommen, dass ein solches Ziel nicht mit den ethischen und rechtlichen Standards der EU (wie z. B. der Charta der Grundrechte der Europäischen Union) vereinbar ist. Wenn das System den betroffenen Personen die Möglichkeit nimmt oder einschränkt, freie Entscheidungen über ihr Leben zu treffen, wenn es Entscheidungen über Grundfreiheiten und Freiheiten ohne jegliche Form menschlicher Kontrolle oder Möglichkeiten des Rechtsbehelfs trifft, wenn das System auf der Notwendigkeit beruht, eine Art von Abhängigkeit zu schaffen, usw., sollte das Projekt nicht unterstützt werden.

Es kann aber auch vorkommen, dass das Ziel des IoT-Systems eine unverhältnismäßige Nutzung personenbezogener Daten beinhaltet, die dem Minimierungsprinzip widerspricht, so dass es schwierig ist, den geltenden Rechtsrahmen einzuhalten. Darüber hinaus sollten die Entwickler auch bedenken, dass die Verarbeitung von Daten im IoT auch Personen betreffen kann, die keine Abonnenten oder Nutzer ihrer Technologie[1] sind. Dieses Szenario birgt Risiken in sich, da einige betroffene Personen möglicherweise nicht wissen, dass ihre Daten verarbeitet werden. Wenn der für die Verarbeitung Verantwortliche ein “Modell” ins Auge fasst, bei dem er ausschließlich automatisierte Entscheidungen trifft, die eine große Auswirkung auf Einzelpersonen haben und auf Profilen basieren, die über sie erstellt wurden, und er sich nicht auf die Zustimmung der Einzelperson, auf einen Vertrag mit der Einzelperson oder auf ein Gesetz, das dies erlaubt, stützen kann, sollte der für die Verarbeitung Verantwortliche nicht fortfahren.”[2] Schließlich müssen die Entwickler prüfen, ob das Projekt nach ethischen Maßstäben akzeptabel ist, auch wenn es mit den rechtlichen Verpflichtungen im Einklang steht.

Zusammenfassend lässt sich sagen, dass die Entwickler die möglichen Auswirkungen der Technologie und die geeigneten Maßnahmen zur Gewährleistung des Datenschutzes, des Schutzes der Privatsphäre und anderer Rechte, wie sie in der Charta der Grundrechte der Europäischen Union und dem entsprechenden Rechtsrahmen festgelegt sind, sorgfältig analysieren müssen. Wenn die Analyse ergibt, dass die Verarbeitung auf der Grundlage der Charta der Grundrechte der Europäischen Union, der Datenschutz-Grundverordnung und des Datenschutzrahmens für elektronische Kommunikation nicht akzeptabel ist, sollte das Projekt nicht unterstützt werden.

Kasten 1: Intelligente Brillen

Die Art. 29 WP lenkt die Aufmerksamkeit auf dieses Problem mit dem folgenden Beispiel: “Tragbare Geräte wie intelligente Brillen sammeln wahrscheinlich Daten über andere betroffene Personen als den Besitzer des Geräts. Es ist wichtig zu betonen, dass dieser Faktor nicht ausschließt, dass das EU-Recht auf solche Situationen Anwendung findet. Die Anwendung der EU-Datenschutzvorschriften hängt nicht vom Eigentum an einem Gerät oder Endgerät ab, sondern von der Verarbeitung der personenbezogenen Daten selbst.”

Wenn Entwickler bereit sind, ein solches Gerät zu entwickeln, sollten sie sich der Tatsache bewusst sein, dass die DSGVO die faire und rechtmäßige Verarbeitung aller erhobenen personenbezogenen Daten vorschreibt. Dazu gehören unter anderem die Bedingung einer gültigen Rechtsgrundlage für eine Verarbeitung, Zweckbindung, Datenminimierung, Begrenzung der Datenspeicherung, Datenqualität und -sicherheit, Rechte der betroffenen Personen und unabhängige Kontrolle. Die Datenschutz-Grundverordnung führt auch den Grundsatz der Rechenschaftspflicht als übergreifende Verpflichtung ein, sich um die Einhaltung nicht nur des Wortlauts des Gesetzes zu bemühen. Sie bietet auch konkrete Instrumente und Werkzeuge, um die Rechenschaftspflicht zu erreichen, mit einem risikobasierten Ansatz, der unter anderem in Datenschutz-Folgenabschätzungen (DPIA), Datenschutz durch Technik und durch Voreinstellungen, die Ernennung eines Datenschutzbeauftragten sowie die Einhaltung bestehender Verhaltenskodizes und Zertifizierungsmechanismen umgesetzt wird.

Die Entwickler sollten all diese wesentlichen Fragen in den ersten Phasen ihrer Projektentwicklung berücksichtigen, um unnötigen Aufwand zu vermeiden, wenn die Einhaltung des rechtlichen Rahmens für den Datenschutz nicht gewährleistet werden kann.

Darüber hinaus wird eine klare Vorstellung von dem Projekt dazu beitragen, in einem frühen Stadium der Entwicklung andere rechtliche Fragen im Zusammenhang mit dem Datenschutzrecht zu klären, wie z. B. die mögliche Notwendigkeit internationaler Datenübermittlungen, das Vorhandensein von gemeinsam für die Verarbeitung Verantwortlichen oder Auftragsverarbeitern, die sorgfältig ausgewählt werden müssen, oder die Sicherheits- und Organisationsmaßnahmen zur Minimierung von Risiken.

In diesem Dokument werden die wichtigsten Datenschutzverpflichtungen ausführlicher analysiert.

 

Quellenangaben

1Art. 29 Op. cit. S. 13.

2Ebd., S. 30.

 

Skip to content