IoT Software und die DSGVO – Datenschutzgrundsatzverordnung

Nahezu jede Software ist in irgendeiner Art und Weise von der DSGVO (Datenschutzgrundsatzverordnung) betroffen. Hersteller und Unternehmen die „Internet Of Things„ – IoT Anwendungen einsetzen, müssen ab 25. Mai 2018 die Verordnung erfüllen. Diese definiert den rechtlichen Rahmen hinsichtlich der Verarbeitung von personenbezogenen Daten und entsprechende Pflichten der Verantwortlichen bzw. Betreiber von IoT-Anwendungen.

Die DSGVO in Kurzform:

  •  Betrifft die Verarbeitung von personenbezogenen Daten
    (z.B.: Name, Adresse, Geburtsdatum etc.)
  •  Regelt den Schutz der betroffenen Person
  • Die Verarbeitung personenbezogener Daten ist grundsätzlich verboten – ist nur erlaubt, wenn eine Ausnahme (Rechtsgrundlage z.B.: Kaufvertrag, Bestellung) besteht.
  • Ab 25. Mai 2018, unmittelbar anwendbar in allen EU-Mitgliedstaaten
  • Strafen bis zu 20 Mio. Euro oder 4% des letztjährigen weltweiten Jahresumsatzes bei schweren Fällen

Was heißt das konkret für Internet der Dinge Anwendungen?

Eine typische „Internet Of Things„ – IoT Anwendung zeichnet im Regelfall viele Prozessdaten und Sensordaten ohne direkten Personenbezug auf. Jedoch jedes System hat zumindest einen Personenbezug. Benutzer melden sich im System über das Login an. Ein Login wird in der Verordnung als personenbezogene Daten definiert.

Was sind die Auswirkungen?

  • Die Anwendung ist ins Verfahrensverzeichnis des Unternehmens einzutragen.
  • Die Anwendung muss nicht im DVR registriert werden.
  • Löschzeiten der Daten müssen eingehalten werden.
  • Datensicherheit (Verschlüsselung personenbezogener Daten oder Passwortsicherung)
  • Datenschutz durch Technik – Bewertung gemäß Eintrittswahrscheinlichkeiten
  • privacy by design/privacy by default d.h. Schutz über Standardeinstellungen

Eine IoT Anwendung, wie RevoConnect die in der Cloud über AWS oder Google Clouds betrieben wird, erfüllt diese Pflichten. Gibt es im Zuge der Prozessdaten einen Personenbezug wird dieser anonymisiert.

Logindaten

Logindaten im Detail:

Benutzer melden sich natürlich im System über das Login an. Ein Login wird in der Verordnung als personenbezogene Daten definiert. Die Verordnung spricht von: „SA007 Verwaltung von Benutzerkennzeichen“. Abhängig von der Verarbeitung gibt es verschiedene Pflichten wie Eintragung ins DVR, Datenaufbewahrungsdauer, Eintragung ins Verfahrensverzeichnis.

Vertiefende Informationen dazu auf der RIS-Website: RIS

Allgemeine Pflichten

Was ist allgemein für Unternehmen in Zukunft umzusetzen:

  • Fokus auf mehr Datenschutz in Unternehmen
    • Datensicherheitsmaßnahmen
    • Kein Zugriff durch unbefugte Personen
  • Pflichten wie das Verfahrensverzeichnis (Dokumentations-Aufwand über Datenanwendungen z.B.: Marketingsoftware)
  • Meldepflicht DVR – Datenverarbeitungsregister (hier gibt es Erleichterungen)
  • Datenschutzbeauftragter: Relevant für Unternehmen mit regelmäßiger und systematischer Überwachung; Verarbeitung sensibler Daten z.B.: Krankenanstalten
  • Informationspflichten d.h. Auskunftspflicht über personenbezogene Daten