Eine Datenschutz-Folgenabschätzung ist im Falle einer IoT-Entwicklung nicht immer obligatorisch (siehe Unterabschnitt “In welchen Fällen muss ich eine Datenschutz-Folgenabschätzung durchführen” unter “Datenschutz-Folgenabschätzung”, “Hauptinstrumente und Maßnahmen”, Teil II dieser Leitlinien). Es hängt davon ab, ob die mit der Verarbeitung verbundenen Risiken gemäß Artikel 35 Absatz 3 der Datenschutz-Grundverordnung hoch sind oder nicht. Sie wird jedoch dringend empfohlen, da sie die Rechenschaftspflicht unterstützt. Eine Datenschutzfolgenabschätzung ist zum Beispiel obligatorisch, wenn die Verarbeitung eine systematische Überwachung eines öffentlich zugänglichen Bereichs in großem Umfang beinhaltet oder wenn sie dazu dient, schutzbedürftige Bevölkerungsgruppen zu bewerten oder zu erfassen. In jedem Fall hat die WP29 in ihren Leitlinien zur Datenschutz-Folgenabschätzung (DPIA) und zur Bestimmung, ob die Verarbeitung im Sinne der Verordnung 2016/679[1] “wahrscheinlich zu einem hohen Risiko führt”, einige grundlegende Kriterien aufgenommen.
Im Zweifelsfall wird dringend empfohlen, vor der Verarbeitung die zuständige Aufsichtsbehörde zu konsultieren (siehe den Abschnitt “Datenschutz-Folgenabschätzung” in den “wichtigsten Instrumenten und Maßnahmen”, Teil II dieser Leitlinien).
Die CNIL hat ein hervorragendes Instrument geschaffen, das Ratschläge zur Durchführung einer Datenschutz-Folgenabschätzung[2] gibt und gut gestaltete und praktische Hinweise enthält. Es wird dringend empfohlen, es zu konsultieren: https://www.cnil.fr/sites/default/files/atoms/files/cnil-pia-piaf-connectedobjects-en.pdf
Checkliste |
Wenn eine DPIA erforderlich ist:
|
- A29WP, Guidelines on Data Protection Impact Assessment (DPIA) and determining whether processing is “likely to result in a high risk” for the purposes of Regulation 2016/679, Angenommen am 4. April 2017 In der zuletzt überarbeiteten und angenommenen Fassung vom 4. Oktober 2017, unter: https://ec.europa.eu/newsroom/article29/items/611236/en. ↑
- CNIL, Datenschutz-Folgenabschätzung. Application to IoT devices. February 2019. Unter: https://www.cnil.fr/sites/default/files/atoms/files/cnil-pia-piaf-connectedobjects-en.pdf ↑