Wann ist ein IoT-Gerät datenschutzrelevant?

Zusammenfassung

Ein vernetzter Kühlschrank, ein vernetztes Pulsmessgerät, ein Smart-Meter, ein vernetztes Auto und auch andere vernetzte Geräte sind zunächst nur Sachen. Auch die durch sie erhobenen oder durch sie erzeugten Daten sind damit nur Sachdaten und zunächst nicht per se personenbezogen. Das Eingreifen der Datenschutzbestimmungen setzt den Personenbezug von Daten voraus. Erst dann, aber dann entsteht das Schutzbedürfnis, welchem das Datenschutzrecht Rechnung trägt. Die Festlegung, ob Sach- bzw. Gerätedaten oder (schon bzw. noch) personenbezogene Daten verarbeitet werden, ist von grundlegender Bedeutung. Eine Fehleinschätzung führt dazu, dass entweder die komplexen Anforderungen unnötigerweise umgesetzt oder der betroffenen Person nicht der gebotene Schutz gewährt wird. Beide Fehleinschätzungen sind auf ihre Art mit Kosten verbunden – unnötige Compliance-Kosten oder drohende Bußgelder und Schadensersatzforderungen.