Datenschutzerklärung für das Internet der Dinge (IoT)

Internet der Dinge: Keine Privatsache

Im Gegensatz zu Industrie 4.0 scheint das Internet der Dinge (Internet of Things, IoT) Privathaushalte und einzelne Verbraucher zu betreffen, nicht Unternehmen.

Doch weit gefehlt: Das Internet der Dinge ist in den Unternehmen ebenso angekommen wie das Industrial Internet of Things (IIoT):

• Jedes dritte Unternehmen nutzt das Internet der Dinge, wie das aktuelle Vodafone IoT-Barometer ergab.
• 95 Prozent aller Anwender gaben an, durch IoT unmittelbar positive Ergebnisse erzielt zu haben.
• Den Fokus legen 55 Prozent der Nutzer darauf, die betrieblichen Prozesse effizienter zu gestalten.
• 71 Prozent aller Befragten rechnen damit, dass IoT in den kommenden fünf Jahren fest zum Geschäftsalltag gehören wird.

Was bedeutet das für den betrieblichen Datenschutz?

Beispiel: Vernetzung in Firmen-Fahrzeugen

Die häufig diskutierten vernetzten Fahrzeuge (Connected Cars) sind ein Teil des IoT. Im Fall von vernetzten Firmenfahrzeugen oder anderen betrieblich genutzten Fahrzeugen sind diese ein Teil des betrieblichen IoT. Das macht die Konsequenzen für den Datenschutz schnell deutlich.

Die Aufsichtsbehörden haben in der jüngeren Vergangenheit mehrfach auf die Datenschutz-Aspekte bei vernetzten Fahrzeugen hingewiesen.

Grundsätzlich gelten diese Hinweise, Empfehlungen und Forderungen zum Datenschutz in Fahrzeugen für alle IoT-Geräte im Unternehmen. Also auch für vernetzte Maschinen in Produktionshallen oder für vernetzte Kassensysteme.

Datenschutzerklärung nicht auf Online-Datenschutz beschränkt

Ende April 2018 haben die Aufsichtsbehörden einen Mustertext für eine Hersteller-Information über die Datenverarbeitung in Autos veröffentlicht.

Eine solche Information ist nicht nur für den Käufer eines Privatwagens nützlich, sondern auch für den Nutzer eines Firmenfahrzeugs. Somit empfiehlt es sich für Arbeitgeber, die Hersteller-Informationen zum Datenschutz auch an die Nutzer der betrieblichen Fahrzeuge weiterzugeben.

Vernetzte Fahrzeuge müssen ebenso wie Webseiten eine eigene Datenschutzerklärung erhalten. Aber nicht nur die Fahrzeuge, auch die vernetzten Maschinen oder Kassen, um nur zwei Beispiele zu nennen.

Immer wenn Unternehmen IoT-Lösungen einsetzen, gilt es, die betroffenen Nutzer über den Datenschutz zu informieren.

Übergabeprozess und Einweisung inklusive Datenschutzerklärung

Verwendet ein Mitarbeiter ein neues, vernetztes Kassensystem, hat die Schulung auch eine Erklärung zum Datenschutz zu beinhalten.

Idealerweise liefern die Anbieter der IoT-Systeme wie etwa Fahrzeug-Hersteller einen Datenschutztext, den der Arbeitgeber bei der Schulung einsetzt.

Dabei sind die Erläuterungen und Angaben des Herstellers zum Datenschutz um die eigenen Angaben des Unternehmens zu ergänzen.

Konkret:

• Welche Daten erhebt, verarbeitet, speichert der Verantwortliche zu welchem Zweck?
• An wen gibt er die Daten zu welchem Zweck gegebenenfalls weiter?
• Wie sind die Daten des Nutzers geschützt?
• Welche Betroffenenrechte hat der Nutzer, und wie kann er sie ausüben?

Letztlich sind alle Punkte aus der Datenschutz-Grundverordnung (DSGVO) wie Artikel 12 ff. DSGVO zu berücksichtigen.

Transparente und zugängliche Informationen

Denken Sie daran, dass im Gegensatz zu einer Webseite eine IoT-Lösung keinen „Link“ besitzt, unter dem sich die Datenschutzerklärung aufrufen lässt.

Selbst wenn es einen solchen Link im Intranet des Unternehmens gibt, wo die Datenschutzhinweise zur vernetzten Kasse langfristig hinterlegt sind: Der betroffene Nutzer ist ausdrücklich über diesen Link und die Inhalte zu informieren.

Und zwar „in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache“, wie die DSGVO klarstellt.

Mit der Einführung des IoT sind Unternehmen in der Pflicht, neue Prozesse und Abläufe zu implementieren, die die Datenschutzvorgaben umsetzen. Nicht nur, aber auch bei Firmenfahrzeugen.