Kapitel III der Datenschutz-Grundverordnung sieht eine Reihe von Rechten vor, die die betroffenen Personen zum Schutz ihrer personenbezogenen Daten ausüben können. Obwohl jedes Recht spezifische Details und Probleme aufweist, die sich auf die IKT-Forschung und -Entwicklung auswirken können (siehe den Abschnitt “Verarbeitung für die wissenschaftliche Forschung” in “Wichtigste Instrumente und Maßnahmen”, Teil II dieser Leitlinien), haben sie alle einige allgemeine Merkmale in Bezug auf ihre transparente Information, Kommunikation und Modalitäten der Ausübung (Artikel 12 DSGVO). In diesem Abschnitt analysieren wir jedes spezifische Recht im Hinblick auf die Entwicklung eines IoT-Systems. Das Recht auf Information haben wir bereits analysiert (siehe Abschnitt “Transparenz” in diesem Teil der Leitlinien), und das Recht, keiner automatisierten Entscheidungsfindung unterworfen zu werden, wurde im Abschnitt “Human Agency” in diesem Teil der Leitlinien eingehend behandelt.

Im Allgemeinen sind die meisten dieser Rechte im Fall des IoT schwer umzusetzen, da die Technologie auf der Hochgeschwindigkeit der von verschiedenen Systemen und Geräten gelieferten Daten basiert. Fortgesetzte Aggregations- und Profiling-Techniken sowie die fortgesetzte Erstellung von abgeleiteten Daten tragen dazu bei, Rechte wie Zugang, Übertragbarkeit oder Löschung zu behindern. Darüber hinaus ist es im IoT-Rahmen durchaus üblich, dass verschiedene für die Verarbeitung Verantwortliche und Verarbeiter aggregierte Datensätze verarbeiten, die über Cloud Computing unter der Leitung einer Aufsichtsbehörde gespeichert werden, die die Rolle der gemeinsamen für die Verarbeitung Verantwortlichen oder Verarbeiter übernimmt.

Die Verträge, die solche Interaktionen regeln, sind komplex und vielschichtig. Folglich wird die Verteilung der Rollen und Verantwortlichkeiten in der Praxis schwierig. Auch wenn Verträge theoretisch all diese Fragen klären sollten, “sind es in der Realität die Auftragsverarbeiter, die Standardvertragsbedingungen und Verarbeitungsanweisungen entwerfen, weil sie Daten im Auftrag vieler für die Verarbeitung Verantwortlicher verarbeiten und nicht über separate Verarbeitungsanweisungen für jeden für die Verarbeitung Verantwortlichen verfügen. Dies macht es für die für die Verarbeitung Verantwortlichen schwierig, die vertraglichen Anforderungen und den Grundsatz der Rechenschaftspflicht gemäß der DSGVO zu erfüllen, da sie nicht alle beteiligten Auftragsverarbeiter und Unterauftragsverarbeiter kennen. Darüber hinaus erschweren die komplexen, vielschichtigen vertraglichen Beziehungen zwischen den IoT-Akteuren die Geltendmachung der Verantwortung für einen Schaden, der betroffenen Personen durch IoT-Geräte oder Analysealgorithmen zugefügt wurde”^[1]. Außerdem können einige Parteien Verträge abfassen, in denen sie sich selbst in einer anderen Rolle sehen, als dies tatsächlich auf sie zutrifft (siehe “Definition der Datenschutzrollen aller an der Verarbeitung Beteiligten: Bestimmung der für die Verarbeitung Verantwortlichen und der Auftragsverarbeiter” in diesem Teil über das IoT)

Zur Bewältigung dieser Probleme wurden verschiedene Instrumente vorgeschlagen, und der Europäische Datenschutzbeauftragte hat den Ansatz des “Personal Information Management System” (“PIMS”) gefördert.^[2] Die Verwendung von Blockchain-Techniken zur Gestaltung von datenschutzfreundlichen intelligenten Verträgen auf der Grundlage der DSGVO zur Verbesserung der Rechenschaftspflicht von IoT-Geräten, die für die Verarbeitung von Nutzerdaten verantwortlich sind oder diese verarbeiten, könnte eine geeignete Alternative sein, da sie keinen allgemeinen Datenschutzbeauftragten oder -verantwortlichen benötigen. Allerdings könnte die Blockchain Nachteile in Bezug auf die Rechte und Freiheiten der betroffenen Personen mit sich bringen, da sie als Eigentümer des Knotens “für die Verarbeitung Verantwortliche” wären und folglich Verpflichtungen und Haftungen gemäß der Datenschutz-Grundverordnung hätten.^[3]

Auch wenn es keine endgültigen technischen Lösungen für diese komplexen Fragen gibt, sollten IoT-Entwickler ihr Bestes tun, um sicherzustellen, dass die Systeme in der Lage sind, die Rechte und Freiheiten der Betroffenen zu respektieren. Bereiche des IT-Designs wie Technologien zur Verbesserung des Datenschutzes (PETS), Privacy Engineering, nutzbarer Datenschutz und menschliche Dateninteraktion haben alle Methoden und Rahmenwerke zu bieten.^[4]

1. El-Gazzar, R., & Stendal, K. (2020). Untersuchung der Herausforderungen, die die Datenschutzgrundverordnung für neue Technologien mit sich bringt. Journal of Information Policy, 10, 237-275. doi:10.5325/jinfopoli.10.2020.0237. ↑
2. Europäischer Datenschutzbeauftragter (2016) Stellungnahme zu Systemen für das Management personenbezogener Daten – für mehr Eigenverantwortung der Nutzer bei der Verwaltung und Verarbeitung personenbezogener Daten. Brüssel. Unter: https://edps.europa.eu/sites/default/files/publication/16-10-20_pims_opinion_en.pdf ↑
3. Nicola Fabiano, Internet of Things and the Legal Issues related to the Data Protection Law, Athens Journal of Law – Volume 3, Issue 3, 2018, Pages 201-214 https://doi.org/10.30958/ajl.3-3-2 doi=10.30958/ajl.3-3-2 according to the new European General Data Protection Regulation By ↑
4. Urquhart, L., Sailaja, N. & McAuley, D. Realising the right to data portability for the domestic Internet of things. Pers Ubiquit Comput 22, 317-332 (2018). ↑