Werden „intelligente“ Geräte benötigt, um den Import und Export von Daten gemäß der DSGVO zu ermöglichen?

Im Mai 2018 tritt die Allgemeine Datenschutzverordnung der Europäischen Union in Kraft, und den EU-Bürgern werden zusätzliche Rechte in Bezug auf ihre Daten eingeräumt. Darüber hinaus haben Datenverantwortliche (Organisationen, die Daten über Benutzer sammeln ) zusätzliche Verpflichtungen.

Interessanterweise ist eines der neuen Rechte für Benutzer das Recht auf Datenportabilität . Wikipedia definiert es so:

Eine Person muss in der Lage sein, ihre personenbezogenen Daten von einem elektronischen Verarbeitungssystem zu einem anderen zu übertragen, ohne dass dies vom für die Verarbeitung Verantwortlichen verhindert wird. Darüber hinaus müssen die Daten von der Steuerung in einem strukturierten und allgemein verwendeten elektronischen Format bereitgestellt werden. Das Recht auf Datenübertragbarkeit ist in Artikel 18 der DSGVO vorgesehen. Rechtsexperten sehen in der endgültigen Fassung dieser Maßnahme ein "neues Recht", das "über den in Artikel 18 festgelegten Rahmen der Datenübertragbarkeit zwischen zwei für die Verarbeitung Verantwortlichen hinausgeht".

Nehmen Sie für diese Frage das Beispiel eines intelligenten Gesundheits-Trackers (z. B. eines FitBit). Kann ich Daten aus meinem FitBit-Tracker exportieren und dann in den Tracker eines Mitbewerbers importieren?

Wie soll ich diese Vorschrift einhalten, wenn ich mein eigenes IoT-Gerät entwerfe, das mit dem Internet synchronisiert wird?

Ich denke, das wird schwer zu beantworten sein. Fragen Sie drei Anwälte nach vier Antworten, ganz zu schweigen davon, dass es etwas in der Zukunft ist. Ich würde jedoch argumentieren, dass nicht jedes Gerät (im technischen Sinne) verpflichtet wäre, diese Regel einzuhalten.

Stellen Sie sich einen Anwendungsfall vor, in dem Smart-Geräte ohne externen oder Cloud-basierten Datendienst funktionieren, z. B. ein Smart-Home-System, bei dem IoT-Geräte an einen zentralen Knoten in diesem Heim berichten, aber nichts hochladen. In diesem Fall gibt es einfach keinen Datencontroller .

Wenn ein System andererseits die Datendienste eines Datenverarbeiters verwendet, um Benutzerdaten (z. B. das erwähnte FitBit) zu sammeln, zu verarbeiten und zu speichern, müssen diese es Ihnen ermöglichen, diese Daten zu erfassen und bei einem anderen Anbieter zu verwenden. Ich behaupte, dass das elektronische Verarbeitungssystem nicht unbedingt Ihr Gerät (der Tracker selbst) ist, sondern der externe Datendienst, den dieser Anbieter anbietet. Dies (für mich) bedeutet auch, dass Ihr Recht, diese Daten in einem strukturierten und häufig verwendeten elektronischen Format zu erhalten , nicht erfordert, dass der erste Anbieter Ihnen die Daten im Dateiformat des zweiten Anbieters zur Verfügung stellt, wenn deren Format proprietär ist und nicht häufig verwendet wird. Aus technischer Sicht würden wir erwarten, dass eine gemeinsame API diesen Datenaustausch ermöglicht, aber ich wage zu sagen, dass wir einige Zeit darauf warten müssen und eine ganze Reihe umstrittener Gerichtsentscheidungen treffen müssen.

Wie soll ich diese Vorschrift einhalten, wenn ich mein eigenes IoT-Gerät entwerfe, das mit dem Internet synchronisiert wird?

Wenn es DIY ist und nur Sie es verwenden, wird es Ihnen höchstwahrscheinlich gut gehen. Wenn Sie anfangen, daraus ein Geschäft zu machen, werden Sie viele Vorschriften treffen, einschließlich dieser.