facebook_pixel

Datenschutz und LPWA: Das sollten Sie beachten

Thorsten-Jordan

Wie wichtig Low Power Wide Area-Technologien bald werden oder zum Teil schon sind, haben wir Ihnen in den letzten Wochen bereits verdeutlicht. Doch wie sehen die rechtlichen und vor allem datenschutztechnischen Aspekte bei einem LPWA-Einsatz aus: Gibt es Unterschiede bei den unterschiedlichen Technologien, LoRaWAN™,  Sigfox, NB-IoT, MIOTY™, LTE-M1? Wir haben Datenschutzberater Thorsten Jordan dazu befragt. Er verrät Ihnen, was sich mit der neuen EU-Datenschutz-Grundverordnung 2018 verändern wird.

Thorsten Jordan ist seit 2009 Datenschutzberater/-auditor (DSB) und berät Geschäftsleitungen bei der Auswahl des geeigneten Dienstleisters für die Auslagerung von Prozessen und/oder Systemen. Zur Vorbereitung auf die neue EU DS-GVO unterstützt er als externer DSB aktiv beim Aufbau einer Datenschutzorganisation und eines ISMS.

Warum Datenschutz bei LPWA-Technologien?

Nutzer der Low Power Wide Area-Technologien müssen sich mit dem Thema Datenschutz beschäftigen, wenn beim Einsatz einer dieser Technologien auch personenbezogene beziehungsweise personenbeziehbare Daten erhoben, verarbeitet oder genutzt werden. Dies ist unabhängig von den unterschiedlichen Ausgestaltungen (LoRaWAN™,  Sigfox, NB-IoT, MIOTY™, LTE-M1) zu betrachten, da die Beurteilung eines datenschutzkonformen Einsatzes von dieser vorwiegend technischen Unterscheidung unabhängig ist.

Anbieter von Dienstleistungen zu LPWA-Technologien müssen daher beurteilen, inwieweit sie eine rechtmäßige Datenverarbeitung gewährleisten. Insbesondere im Auftragsverhältnis zwischen Dienstleister und weiteren damit beauftragten Stellen (zum Beispiel Rechenzentren) sind einige Datenschutzaspekte zu betrachten, da hier der Fragestellung nachzugehen ist, wer verantwortlich agiert, und wer im Falle eines Datenschutzverstoßes haftbar gemacht werden kann.

Noch gilt in Deutschland das Bundesdatenschutzgesetz. Aber bereits in wenigen Monaten tritt die neue EU-Datenschutz-Grundverordnung (EU-DSGVO) an seine Stelle. Es wird also höchste Zeit, sich mit den neuen Bestimmungen vertraut zu machen.

 

Ab wann gelten die neuen Bestimmungen?

Am 25. Mai 2018 löst die neue EU-DSGVO das bisher gültige Bundesdatenschutzgesetz ab. In Kraft getreten, ist sie zwar schon im Mai 2016, den Mitgliedsstaaten bleibt jedoch eine Zwei-Jahres-Frist, die Anforderungen der EU-DSGVO und die nationalen Besonderheiten durch Öffnungsklauseln zu regeln.

Was ist neu?

Neu ist vor allem die gemeinsame Haftungsregel. Im jetzt noch gültigen Bundesdatenschutzgesetz haftet bei einer Auftragsdatenverarbeitung immer der Auftraggeber. Ab Mai 2018 gilt jedoch verbindlich eine gemeinsame Haftungsregelung – also sowohl Auftraggeber als auch Dienstleister werden bei datenschutzrechtlichen Verfehlungen belangt. Das bedeutet für beide Parteien: Augen auf bei der Partnerwahl – denn gleichzeitig wird auch die Bußgeldobergrenze von bisher 300.000 Euro angehoben. Zukünftig drohen Unternehmen damit Strafzahlungen von bis zu 20 Millionen Euro oder vier Prozent des Vorjahresumsatzes, je nachdem welcher Betrag höher ist.

 

Arbeitsrecht

Was bedeutet das für die Auswahl eines geeigneten Dienstleisters bei Auslagerung der EDV?

Im Hinblick auf die zukünftige gemeinsame Haftung sollten Dienstleister und Unternehmen spätestens jetzt beginnen, entsprechende Vorkehrungen zu treffen. Lagert ein Unternehmen personenbezogene Daten zur Verarbeitung an einen Dienstleister aus (zum Beispiel an ein externes Rechenzentrum), muss es sich im Vorfeld davon überzeugen, dass diese dort genauso sicher sind wie im eigenen Unternehmen.

Am besten ist es, den Dienstleister bereits im Auswahlverfahren nach einem Nachweis für die getroffenen technisch-organisatorischen Datenschutz-Maßnahmen und einer Vorlage für eine Vereinbarung zur Auftragsdatenverarbeitung zu fragen. Ist der Dienstleister auf diese Frage vorbereitet und stellt die entsprechenden Dokumente schnell und unkompliziert zur Verfügung, ist er mit hoher Wahrscheinlichkeit vertrauenswürdig. Halten die Dokumente dann auch der Prüfung des Datenschutzbeauftragten stand und werden eventuell noch durch Datenschutz-Zertifikate von externen Stellen ergänzt, ist das eine gute Basis für eine langfristige Zusammenarbeit. Zeigt sich der Dienstleister hingegen von der Frage überrumpelt, sollte man eher von der Auftragsvergabe absehen.

Low Power Wide Area Netzwerke: Definition Und Anwendungen

Low Power Wide Area Netzwerke: Definition und Anwendungen

Erfahren Sie, was es mit Low Power Wide Area auf sich hat, welche verschiedenen Technologien es bereits gibt und welche Branchen von diesen Netzwerken profitieren werden. Denn LPWA wird das Internet of Things revolutionieren!
Jetzt kostenlos herunterladen!

Marina Vogt

Bei Management Circle bin ich für die Digitalisierungs- und Immobilien-Themen sowie die Assistenz-Veranstaltungen zuständig. In den drei Blogs informiere ich Sie über neue Entwicklungen in diesen Bereichen. Vor meiner Tätigkeit bei Management Circle habe ich Germanistik in Frankfurt und Paderborn studiert. Ich freue mich über Fragen, Anregungen und einen
regen Wissensaustausch!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Profitieren Sie von dem ungenutzten Potenzial Ihres Kundenservice

Erfahren Sie, wie der Kundenservice in der digitalen Welt nicht nur überleben, sondern sogar florieren kann.

Jetzt mehr erfahren!

Profitieren Sie von dem ungenutzten Potenzial Ihres Kundenservice