Nach der Datenschutz-Grundverordnung ist für eine rechtmäßige Verarbeitung eine Rechtsgrundlage erforderlich. Wenn die Verarbeitung die Art von Tätigkeiten umfasst, die in der Datenschutzrichtlinie für elektronische Kommunikation (und in der künftigen Datenschutzverordnung für elektronische Kommunikation) enthalten sind, gelten die Bestimmungen dieses neuen Instruments, sobald es verabschiedet ist. Ein IoT sollte in der Lage sein, zwischen verschiedenen Personen, die dasselbe System nutzen, zu unterscheiden, damit sie nicht ohne eine Rechtsgrundlage, die eine solche Verarbeitung rechtfertigt (höchstwahrscheinlich die Zustimmung), von den Aktivitäten der anderen erfahren. Das Vertrauen zwischen den Akteuren muss auf der Authentifizierung jedes IoT-Tools vor der Kommunikation und dem Datenzugriff beruhen. Die Verhinderung des Zugriffs unbefugter Objekte und Nutzer auf ein System kann die Vertraulichkeit und damit das Vertrauen der Nutzer erhöhen. Die Festlegung der Rechtsgrundlage, die für eine solche Verarbeitung gilt, ist daher von entscheidender Bedeutung, um die Rechtmäßigkeit der Verarbeitung zu gewährleisten. Gegenwärtig gibt es mehrere Rechtsgrundlagen für die Datenverarbeitung, die auf das IoT zutreffen könnten. Diese sind: Einwilligung, Erfüllung eines Vertrags, berechtigtes Interesse und natürlich das öffentliche Interesse, wenn es um wissenschaftliche Forschung und Innovation geht.
Der Entwurf der Datenschutzverordnung für elektronische Kommunikation [1]sieht die Einwilligung als Hauptgrundlage für die rechtmäßige Datenverarbeitung im Zusammenhang mit der elektronischen Kommunikation vor, was zum Beispiel für IoT-Geräte gilt, die mit dem Internet verbunden sind. Will ein für die Verarbeitung Verantwortlicher jedoch personenbezogene Daten verarbeiten, die tatsächlich für die Erfüllung eines Vertrags erforderlich sind, dann ist die Einwilligung nicht die empfehlenswerteste Rechtsgrundlage, und die Verarbeitung sollte auf Artikel 6 Absatz 1 Buchstabe b beruhen.
Das berechtigte Interesse hingegen ist die flexibelste Rechtsgrundlage für die Verarbeitung, aber man kann nicht davon ausgehen, dass sie immer die geeignetste ist. Das ICO vertrat die Auffassung, dass sie wahrscheinlich am besten geeignet ist, wenn die für die Verarbeitung Verantwortlichen die Daten von Personen in einer Weise verwenden, die sie vernünftigerweise erwarten würden und die nur minimale Auswirkungen auf die Privatsphäre hat, oder wenn es eine zwingende Rechtfertigung für die Verarbeitung gibt.[2] Es kann jedoch vorkommen, dass die von den Datenschutzbehörden der EU-Mitgliedstaaten verwendeten Kriterien recht unterschiedlich sind. Daher sollten Sie Ihren Datenschutzbeauftragten zu diesem Thema befragen.
Eine Vorbemerkung: Vergessen Sie nicht, dass die Verarbeitung von Daten besonderer Kategorien verboten ist! Bevor sie Daten verarbeiten, sollten sich die für die Verarbeitung Verantwortlichen vergewissern, dass es sich nicht um Daten besonderer Kategorien handelt. Ist dies nicht der Fall, sollten sie daran denken, dass Artikel 9 Absatz 1 der Datenschutz-Grundverordnung eine solche Verarbeitung verbietet, es sei denn, es liegt einer der in Artikel 9 Absatz 2 beschriebenen Umstände vor. Darüber hinaus sollten die für die Verarbeitung Verantwortlichen bedenken, dass die meisten dieser Umstände (die Einwilligung ist eine Ausnahme) voraussetzen, dass eine solche Verarbeitung auf der Grundlage von Rechtsvorschriften der Union oder der Mitgliedstaaten erfolgt, die geeignete und spezifische Maßnahmen zum Schutz der Rechte und Freiheiten der betroffenen Person vorsehen. Diese Schutzmaßnahmen können Pseudonymisierung, Berufsgeheimnis oder noch komplexere Mechanismen sein, wenn die Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation vorgesehen ist (siehe Artikel 46 der DSGVO). |
- https://data.consilium.europa.eu/doc/document/ST-6087-2021-INIT/en/pdf ↑
- ICO: Berechtigte Interessen, unter: https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/lawful-basis-for-processing/legitimate-interests/ ↑