Eine Datenschutz-Folgenabschätzung ist im Falle einer IoT-Entwicklung nicht immer obligatorisch (siehe Unterabschnitt “In welchen Fällen muss ich eine Datenschutz-Folgenabschätzung durchführen” unter “Datenschutz-Folgenabschätzung”, “Hauptinstrumente und Maßnahmen”, Teil II dieser Leitlinien). Es hängt davon ab, ob die mit der Verarbeitung verbundenen Risiken gemäß Artikel 35 Absatz 3 der Datenschutz-Grundverordnung hoch sind oder nicht. Sie wird jedoch dringend empfohlen, da sie die Rechenschaftspflicht unterstützt. Eine Datenschutzfolgenabschätzung ist zum Beispiel obligatorisch, wenn die Verarbeitung eine systematische Überwachung eines öffentlich zugänglichen Bereichs in großem Umfang beinhaltet oder wenn sie dazu dient, schutzbedürftige Bevölkerungsgruppen zu bewerten oder zu erfassen. In jedem Fall hat die WP29 in ihren Leitlinien zur Datenschutz-Folgenabschätzung (DPIA) und zur Bestimmung, ob die Verarbeitung im Sinne der Verordnung 2016/679^[1] “wahrscheinlich zu einem hohen Risiko führt”, einige grundlegende Kriterien aufgenommen.

Im Zweifelsfall wird dringend empfohlen, vor der Verarbeitung die zuständige Aufsichtsbehörde zu konsultieren (siehe den Abschnitt “Datenschutz-Folgenabschätzung” in den “wichtigsten Instrumenten und Maßnahmen”, Teil II dieser Leitlinien).

Die CNIL hat ein hervorragendes Instrument geschaffen, das Ratschläge zur Durchführung einer Datenschutz-Folgenabschätzung^[2] gibt und gut gestaltete und praktische Hinweise enthält. Es wird dringend empfohlen, es zu konsultieren: https://www.cnil.fr/sites/default/files/atoms/files/cnil-pia-piaf-connectedobjects-en.pdf

Checkliste

Prüfen Sie, ob Sie für Ihre Verarbeitungstätigkeit eine Datenschutzfolgenabschätzung durchführen müssen. Dokumentieren Sie diese Überprüfung (unabhängig davon, ob sie positiv ausgefallen ist oder nicht). Wenn eine DPIA erforderlich ist: Beginnen Sie so früh wie möglich (nach dem Prinzip des “Data Protection by Design”). Verschaffen Sie sich einen Überblick darüber, was eine DPIA ist. Verwenden Sie nach Möglichkeit die von der zuständigen Datenschutzaufsichtsbehörde (DPA) bereitgestellten Leitlinien und Vorlagen. Wenn dies nicht der Fall ist (Ihre Datenschutzbehörde stellt kein solches Material zur Verfügung oder Sie müssen viele Zuständigkeitsbereiche verschiedener Datenschutzbehörden abdecken), folgen Sie den Leitlinien der Artikel-29-Datenschutzgruppe in wp248rev.01. Stellen Sie das für die Durchführung der DPIA erforderliche Team zusammen. Überlegen Sie, wie Sie sich Ihre Arbeit erleichtern können.

1. A29WP, Guidelines on Data Protection Impact Assessment (DPIA) and determining whether processing is “likely to result in a high risk” for the purposes of Regulation 2016/679, Angenommen am 4. April 2017 In der zuletzt überarbeiteten und angenommenen Fassung vom 4. Oktober 2017, unter: https://ec.europa.eu/newsroom/article29/items/611236/en. ↑
2. CNIL, Datenschutz-Folgenabschätzung. Application to IoT devices. February 2019. Unter: https://www.cnil.fr/sites/default/files/atoms/files/cnil-pia-piaf-connectedobjects-en.pdf ↑