Du planst ein IoT-Projekt oder bist bereits in der Umsetzung? Hast du dabei auch and den Datenschutz gedacht? Geht dich das etwas an? Ja sehr wohl sogar! Bei der Datenschutz-Grundverordnung der EU (DSGVO), oder General Data Protection Regulation (GDPR) in englisch, dreht sich alles um personenbezogene Daten von EU-Bürgern und Personen die sich in der Union befinden. Und zwar unabhängig davon, ob die betroffene Person innerhalb oder ausserhalb der EU wohnt. Auch wenn du dein Projekt nur in der Schweiz ausrollst, kannst du davon ausgehen, dass das Gesetz für dein Projekt relevant ist.
Achtung bei Verstössen gegen die DSGVO. Das kann ins Geld gehen!
Je nach Art und Schwere des Verstosses, dem Umfang der betroffenen Daten und die Anzahl der betroffenen Personen können Bussen bis zu 20 Millionen Euro oder 4% des gesamten weltweit erzielten Jahresumsatzes des Vorjahres ausgesprochen werden je nachdem, welcher Wert der höhere ist.
Beachte diese wichtigen Punkte bei der Planung deines IoT-Projektes. So vermeidest du hohe Bussen:
- Berücksichtige die Datenverarbeitungsprinzipien:
- Rechtmässigkeit, Fairness und Transparenz: Verarbeite die Daten nur rechtmässig und nach Treu und Glauben. Die betroffene Person muss über die Verarbeitung und Speicherung der Daten transparent informiert werden (zum Beispiel durch eine Datenschutzerklärung). Die rechtmässige Verarbeitung erlangst du unter anderem durch einen Vertrag, Einwilligung oder ein berechtigtes Interesse. Du darfst sie nicht unrechtmässig verarbeiten.
- Akkurat: Achte darauf, dass die Daten korrekt und auf dem neuesten Stand sind und nie länger aufbewahrt werden als nötig.
- Integrität und Vertraulichkeit: Stelle sicher, dass die Daten gut gegen unbefugten Zugriff geschützt sind. Sichere sie gegen Verlust und Beschädigung.
- Privacy by Design (Art. 25 DSGVO): Plane bereits beim Design der Lösung nur so viele Daten zu verwenden wie unbedingt notwendig sind und sammle keine Daten auf Vorrat. Verschlüssle und anonymisiere die Daten wenn immer möglich.
- Denke bei den Anforderungen der IoT-Lösung auch an technische Funktionen zur Gewährleistung der Rechte der Betroffenen und nicht nur an die Features der Lösung selbst: Recht auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung oder Widerspruch zum Beispiel. Wenn du eine grosse Nutzerzahl anstrebst, automatisiere diese Funktionen (in einen separaten Bereich im Useraccount zum Datenschutz).
- Ein Privacy Impact Assessment (PIA) zeigt dir auf, ob weitere Massnahmen nötig sind um den Datenschutz zu gewährleisten und hilft dir den Grundsatz von Privacy by Design umzusetzen. In diesem Beitrag werden die Unterschiede zwischen PIA und DPIA gut erklärt.
- Ein Data Protection Impact Assessment (DPIA), eine Datenschutzfolgeabschätzung ist dem PIA ähnlich und brauchst du, sobald du besonders schützenswerte personenbezogene Daten speicherst oder verarbeitest (Als besonders schützenswerte Daten gelten Standort-Tracking von Personen, Daten von Kindern, Überwachung auf öffentlichen Plätzen mittels Gesichtserkennung, persönliche Daten zu politischen Meinungen, religiöse Ansichten, Daten zur Ethnie, biometrische Daten, Identifikationsdaten, Gesundheitsdaten, Daten zur sexuellen Orientierung und Benutzung ganz neuer Technologien wie automatische Entscheidungsfindung durch Algorithmen) Ein gutes DPIA Template findest du hier. Auf dieser Webseite wird erklärt, wann ein DPIA notwendig ist.
- Auftragsverarbeitung-Vertrag (AVV, im englischen Data Processing Agreement, DPA): Sobald dass personenbezogene Daten im IoT-Projekt von einem Datendienstleister in deinem Auftrag verarbeitet werden, erstelle unbedingt mit dem Datenverarbeiter (Processor) ein Data Processing Agreement für dich als Verantwortlicher (Controller) für die Daten. Weitere Informationen dazu findest du hier.
Und spätestens vor Go-Live solltest du weitere Dokumente erstellen und die Verantwortlichkeiten klären:
- Data breach policy: Beschreibe die Prozesse die eingehalten werden müssen, wenn Datenpannen passieren oder wenn Daten gestohlen werden und in die falschen Hände geraten. Hier steht was du machen musst, wenn eine Panne passiert.
- Datenverarbeitungsverzeichnis (Records of Processing Activities): Beschreibe zu welchem Zweck du die Daten verarbeitest, um welche personenbezogenen Daten es sich dabei handelt und wo diese verarbeitet werden. Falls wie im DPA erwähnt ein Dienstleister involviert ist, führe das im Verzeichnis auf.
- Verantwortlichkeit und Awareness: Bestimme eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten in deinem Unternehmen und schule deine Kolleginnen und Kollegen über die Prozesse und die Konsequenzen im Bereich Datenschutz und -sicherheit. Bringe das Thema immer wieder aufs Tapet. Es ist wichtig, dass du das Bewusstsein im Unternehmen dazu stärkst.
Diese hilfreichen Links empfehle ich dir wenn du dich zum Thema weiter vertiefen möchtest:
- David Rosenthal ist ein Experte auf dem Gebiet Datenschutz. Auf seiner Webseite findest du weitere hilfreiche Checklisten, Tools und Papers
- Die offizielle Webseite der DSGVO zum Nachlesen der einzelnen Artikel. Zudem bietet die Webseite einige Vorlagen und Beispiele
- Podcasts und Blog zum Thema: Datenschutzplaudereien (von datenschutzpartner.ch), Datenschutz Deluxe (von dr-dsgvo.de)
- Wikipedia-Artikel zum Thema DSGVO
Und nun wünsche ich dir ein spannendes IoT Projekt! Nimm dir meine Tipps zu Herzen, dann steht dem erfolgreichen Projekt nichts mehr im Weg. 😉