Erfahren Sie schon heute, worüber die Rechtswelt morgen redet.
Alle News & Events anzeigen
31.03.2017
Praxisorientierter Datenschutz bei der Gestaltung von M2M-Produkten
Das Internet der Dinge bringt Herausforderungen für den datenschutzkonformen Austausch von Daten zwischen Maschinen. Doch M2M-Produkte können von den gesetzlichen Anforderungen durchaus profitieren.
Für einige Branchen wie z. B. Automotive und Maschinenbau bringt das Internet der Dinge vielversprechende Möglichkeiten für die Gestaltung neuer Produkte und Dienste. Dabei werden häufig Daten zwischen Maschinen („Machine to Machine“ oder kurz „M2M“) ausgetauscht.
Die Herausforderung beginnt mit der wichtigen Erkenntnis, dass ein rechtlich relevanter Personenbezug der Daten bei M2M-Produkten und -Diensten (zusammenfassend „M2M-Produkte“) nicht immer auf der Hand liegt. Soweit lediglich Daten ohne Bezug zu natürlichen Personen (sog. Maschinendaten) übertragen und verarbeitet werden, ist das rechtlich überwiegend unproblematisch. Allerdings stellt sich bei einer sorgfältigen Prüfung nicht selten doch ein rechtsrelevanter Personenbezug mancher M2M-Daten heraus. So lassen sich z. B. aus dem beim PKW-Betrieb anfallenden Orts-, Bewegungs- oder Betriebszustandsdaten des Kraftfahrzeugs zumeist konkrete Erkenntnisse über den Aufenthaltsort oder das Fahrverhalten des Fahrers gewinnen. Auch Protokolldaten der Maschinennutzung sind häufig personenbezogen.
In solchen Fällen kommen die gesetzlichen Anforderungen an den Schutz personenbezogener Daten ins Spiel. Dieser gesetzliche Datenschutz wird in der Wirtschaft mitunter als Hemmnis wahrgenommen. Allerdings zeigt die Erfahrung häufig, dass sich die datenschutzgesetzlichen Anforderungen in ein umsichtig gestaltetes (M2M-) Produktkonzept so einbeziehen lassen, dass das Produkt in seiner Marktfähigkeit und Attraktivität nicht verringert wird. Im Gegenteil kann die Berücksichtigung des Datenschutzes insofern gar einen qualitativen Mehrwert des betreffenden M2M-Produktes darstellen – und damit u.a. zu einem Wettbewerbsvorteil des Herstellers beitragen. Auf der anderen Seite zeigt sich zunehmend, dass ohne ausreichenden Blick auf die datenschutzgesetzlichen Belange gestaltete (M2M-) Produkte nicht oder nur eingeschränkt marktfähig sind.
Unter diesen Prämissen empfiehlt sich bereits frühzeitig zu Beginn der Produktkonzeption dringend eine sorgfältige rechtliche Betrachtung der geplanten Datenflüsse. Steht hiernach die Erhebung, Verarbeitung oder Übermittlung von Personendaten in Rede, so stellt sich ggf. die Frage, inwieweit der Personenbezug bei der Datenerhebung wirklich erforderlich ist, oder ob er sich innerhalb der produktbezogenen Datenverarbeitung mittels adäquater Verfahren wie Anonymisierung oder Pseudonymisierung ohne Nachteil für das M2M-Produkt vermeiden lässt. Im letzteren Fall wird ein besonderer rechtlicher Schutz der Daten in der Regel nicht mehr erforderlich sein.
Soweit der Personenbezug konkret benötigt wird, lässt sich für die rechtliche Legitimierung der Datenverarbeitung ggf. eine gesetzliche Ermächtigungsgrundlage identifizieren. Sodann wird die Datenverarbeitung im Rahmen dieser gesetzlichen Legitimation gestaltet. Als Alternative wird im Bereich M2M zunehmend die Gestaltung von Einwilligungskonzepten relevant, mittels derer die Personendatenverarbeitung in einem ausreichenden Rahmen legitimiert werden kann.
Insgesamt spielen in dieser Phase die Datenschutzgrundsätze des „Privacy by Design“ und „Privacy by Default“ ebenso eine wichtige Rolle, wie kreative juristische Lösungsansätze beispielsweise in Bezug auf die Erhebung und Verarbeitung von Standortdaten im Einklang mit den hierzu einschlägigen gesetzlichen Anforderungen.
Fazit:
Ausschlaggebend für die auch unter Datenschutzaspekten erfolgreiche Gestaltung von M2M-Produkten ist die juristisch präzise Fokussierung auf eine praxisorientierte Lösung. Auf der einen Seite werden M2M-Produkte ohne ausreichenden Blick auf die datenschutzgesetzlichen Belange zukünftig nicht oder nur eingeschränkt marktfähig sein. Auf der anderen Seite soll der gesetzliche Datenschutz die Entwicklung innovativer M2M-Produkte nicht behindern. SKW Schwarz begleitet führende Unternehmen diverser Branchen bei diesen anspruchsvollen Entwicklungen.
Die Herausforderung beginnt mit der wichtigen Erkenntnis, dass ein rechtlich relevanter Personenbezug der Daten bei M2M-Produkten und -Diensten (zusammenfassend „M2M-Produkte“) nicht immer auf der Hand liegt. Soweit lediglich Daten ohne Bezug zu natürlichen Personen (sog. Maschinendaten) übertragen und verarbeitet werden, ist das rechtlich überwiegend unproblematisch. Allerdings stellt sich bei einer sorgfältigen Prüfung nicht selten doch ein rechtsrelevanter Personenbezug mancher M2M-Daten heraus. So lassen sich z. B. aus dem beim PKW-Betrieb anfallenden Orts-, Bewegungs- oder Betriebszustandsdaten des Kraftfahrzeugs zumeist konkrete Erkenntnisse über den Aufenthaltsort oder das Fahrverhalten des Fahrers gewinnen. Auch Protokolldaten der Maschinennutzung sind häufig personenbezogen.
In solchen Fällen kommen die gesetzlichen Anforderungen an den Schutz personenbezogener Daten ins Spiel. Dieser gesetzliche Datenschutz wird in der Wirtschaft mitunter als Hemmnis wahrgenommen. Allerdings zeigt die Erfahrung häufig, dass sich die datenschutzgesetzlichen Anforderungen in ein umsichtig gestaltetes (M2M-) Produktkonzept so einbeziehen lassen, dass das Produkt in seiner Marktfähigkeit und Attraktivität nicht verringert wird. Im Gegenteil kann die Berücksichtigung des Datenschutzes insofern gar einen qualitativen Mehrwert des betreffenden M2M-Produktes darstellen – und damit u.a. zu einem Wettbewerbsvorteil des Herstellers beitragen. Auf der anderen Seite zeigt sich zunehmend, dass ohne ausreichenden Blick auf die datenschutzgesetzlichen Belange gestaltete (M2M-) Produkte nicht oder nur eingeschränkt marktfähig sind.
Unter diesen Prämissen empfiehlt sich bereits frühzeitig zu Beginn der Produktkonzeption dringend eine sorgfältige rechtliche Betrachtung der geplanten Datenflüsse. Steht hiernach die Erhebung, Verarbeitung oder Übermittlung von Personendaten in Rede, so stellt sich ggf. die Frage, inwieweit der Personenbezug bei der Datenerhebung wirklich erforderlich ist, oder ob er sich innerhalb der produktbezogenen Datenverarbeitung mittels adäquater Verfahren wie Anonymisierung oder Pseudonymisierung ohne Nachteil für das M2M-Produkt vermeiden lässt. Im letzteren Fall wird ein besonderer rechtlicher Schutz der Daten in der Regel nicht mehr erforderlich sein.
Soweit der Personenbezug konkret benötigt wird, lässt sich für die rechtliche Legitimierung der Datenverarbeitung ggf. eine gesetzliche Ermächtigungsgrundlage identifizieren. Sodann wird die Datenverarbeitung im Rahmen dieser gesetzlichen Legitimation gestaltet. Als Alternative wird im Bereich M2M zunehmend die Gestaltung von Einwilligungskonzepten relevant, mittels derer die Personendatenverarbeitung in einem ausreichenden Rahmen legitimiert werden kann.
Insgesamt spielen in dieser Phase die Datenschutzgrundsätze des „Privacy by Design“ und „Privacy by Default“ ebenso eine wichtige Rolle, wie kreative juristische Lösungsansätze beispielsweise in Bezug auf die Erhebung und Verarbeitung von Standortdaten im Einklang mit den hierzu einschlägigen gesetzlichen Anforderungen.
Fazit:
Ausschlaggebend für die auch unter Datenschutzaspekten erfolgreiche Gestaltung von M2M-Produkten ist die juristisch präzise Fokussierung auf eine praxisorientierte Lösung. Auf der einen Seite werden M2M-Produkte ohne ausreichenden Blick auf die datenschutzgesetzlichen Belange zukünftig nicht oder nur eingeschränkt marktfähig sein. Auf der anderen Seite soll der gesetzliche Datenschutz die Entwicklung innovativer M2M-Produkte nicht behindern. SKW Schwarz begleitet führende Unternehmen diverser Branchen bei diesen anspruchsvollen Entwicklungen.
Teilen
