Risikofaktor IoT: Schützenswert sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.

von Dr. Ralf Magagnoli

Am 25. Mai 2016 trat die EU-Datenschutzgrundverordnung (EU-DSGVO) in Kraft, ab dem 25. Mai 2018 müssen die EU-Mitgliedstaaten die Verordnung anwenden. Obwohl das Bewusstsein in den Chefetagen der Unternehmen gestiegen ist, sind nicht alle Unternehmen gut aufgestellt.
Mit der EU-DSGVO gibt es erstmals eine Verordnung, die das Datenschutzrecht EU-weit vereinheitlicht und die Unternehmen zum Nachweis verpflichtet, die Prinzipien des EU-Datenschutzes einzuhalten. Sie gilt für in der EU ansässige Unternehmen, aber auch für ausländische Unternehmen, wenn diese eine Niederlassung in der EU haben oder Daten von EU-Bürgern verarbeiten. Also de facto für alle größeren internationalen Unternehmen, aber auch für viele Mittelständler und KMU.
Die Strafen bei Verletzung der EU-DSGVO sind saftig: Bis zu 20 Millionen oder vier Prozent des Jahresumsatzes – im Zweifelsfall gilt der höhere Wert.

DSGVO und IoT

Als Daten gelten dabei nicht nur Kontakdaten wie Name, Adresse, E-Mail-Adresse, Telefonnummer. Damit betrifft sie auch das IoT, sammeln seine Geräte doch zuhauf vielfältige Nutzerdaten. Je nach Funktion reichen diese von Blutgruppe, über das bevorzugte TV-Programm bis hin zum Aufenthaltsort des Hundes. Hier sollte ein Privacy-by-Design-Ansatz verfolgt werden, damit schon bei der Entwicklung die Datenschutzrisiken gering gehalten werden können und Datensicherheit gewährleistet ist. Schließlich ist auch zu klären, wo im Unternehmen die Daten überhaupt gespeichert sind und wer Zugriff darauf hat.

Was ist neu?

Ganz wichtig: Unternehmen haben eine Rechenschaftspflicht. Im Fall einer Klage gilt die Beweislastumkehr: Nicht der Kläger muss nachweisen, dass die EU-DSGVO verletzt worden ist. Das Unternehmen muss beweisen, dass es die strengen Kriterien der Verordnung erfüllt. Hier könnte sich unter Umständen für Unternehmen ein Betätigungsfeld eröffnen, um unliebsamen Konkurrenten zu schaden. Außerdem muss in bestimmten Fällen ein Datenschutzbeauftragter ernannt werden…

Den kompletten Beitrag finden Sie in der zweiten Auflage des Open-Content-Buchprojekts „Handbuch Digitalisierung“ veröffentlicht.
Lesen Sie hier mehr…