Der Grundsatz der Rechenschaftspflicht in der Datenschutz-Grundverordnung ist risikobasiert: Je höher das Risiko der Datenverarbeitung für die Grundrechte und -freiheiten der betroffenen Personen ist, desto größer sind die Maßnahmen, die zur Minderung dieser Risiken erforderlich sind.[1] (Siehe den Abschnitt “Grundsatz der Rechenschaftspflicht” unter “Grundsätze” in Teil II dieser Leitlinien). Der Grundsatz der Rechenschaftspflicht beruht auf allen Pflichten, die die für die Verarbeitung Verantwortlichen zu erfüllen haben, darunter: Transparenzpflichten (Artikel 12-14); Gewährleistung der Ausübung der Datenschutzrechte (Artikel 15-22); Führung von Aufzeichnungen über die Datenverarbeitungsvorgänge (Artikel 30); Meldung etwaiger Datenschutzverletzungen an eine nationale Aufsichtsbehörde (Artikel 33) und an die betroffenen Personen (Artikel 34); und, in Fällen mit höherem Risiko, Bestellung eines DSB und Durchführung einer Datenschutzfolgenabschätzung (Artikel 35).
Da die Verarbeitung personenbezogener Daten in IoT-Systemen oft als risikoreich angesehen werden kann,[2] müssen die Entwickler von KI oft einen Datenschutzbeauftragten haben und eine Datenschutzfolgenabschätzung durchführen. Außerdem sollten die für die Verarbeitung Verantwortlichen eine Datenschutzrichtlinie erstellen, die die Rückverfolgbarkeit von Informationen ermöglicht. Schließlich könnten auch genehmigte Verhaltenskodizes umgesetzt werden (siehe den Unterabschnitt “Skaleneffekte für die Einhaltung der Vorschriften und deren Nachweis” im Abschnitt “Rechenschaftspflicht” der “Grundsätze” in Teil II dieser Leitlinien).
Kasten 8: Die Schwierigkeit der Rechenschaftspflicht bei der IoT-Entwicklung Die Rechenschaftspflicht ist eine wesentliche Voraussetzung angesichts der mit dem Internet der Dinge verbundenen Risiken, wie z. B. die undurchsichtige Natur der verteilten Datenströme, unzureichende Zustimmungsmechanismen und das Fehlen von Schnittstellen, die dem Endnutzer die Kontrolle über das Verhalten internetfähiger Geräte ermöglichen”[3]. Ein weiteres, besonders komplexes Problem ist die Tatsache, dass das IoT viele Werkzeuge und Technologien ermöglicht, die ihre eigenen Datenschutzrisiken mit sich bringen. Insbesondere KI, maschinelles Lernen, Big Data, Cloud Computing, “wobei die von IoT-Geräten gesammelten personenbezogenen Daten in der Regel zur Verarbeitung und Analyse in die Cloud übertragen werden”[4]. Es gibt Normen, die von CEN und CENELEC entwickelt werden Die Liste finden Sie hier: |
- Siehe Artikel 24, 25 und 32 der Datenschutz-Grundverordnung, die von den für die Verarbeitung Verantwortlichen verlangen, bei der Annahme spezifischer Datenschutzmaßnahmen die “Risiken unterschiedlicher Wahrscheinlichkeit und Schwere für die Rechte und Freiheiten natürlicher Personen” zu berücksichtigen. ↑
- Siehe insbesondere Artikel 35 Absatz 3 Buchstabe a, wonach die Datenverarbeitung unter anderem dann als risikoreich gilt, “wenn sie eine systematische und umfassende Auswertung personenbezogener Aspekte natürlicher Personen umfasst, die auf einer automatisierten Verarbeitung, einschließlich Profiling, beruht und auf der Grundlage derer Entscheidungen getroffen werden, die gegenüber der natürlichen Person rechtliche Wirkung entfalten oder sie in ähnlicher Weise erheblich beeinträchtigen”. ↑
- Urquhartet L. et al, Nachweisbare Rechenschaftspflicht im Internet der Dinge, International Journal of Law and Information Technology, 2019, 27, 1-27 ↑
- Ebd. ↑