Die Datenschutzgrundverordnung: Bereit für das Internet der Dinge?

Die im Internet der Dinge vernetzten Geräte generieren nicht nur reine Sachdaten, sondern auch eine Vielzahl personenbezogener Daten. Die DSGVO findet Anwendung, wenn die datenverarbeitende Stelle zumindest eine natürliche Person identifiziert oder mit zumutbarem Aufwand identifizieren könnte, auf die sich die Daten beziehen. Dies hängt einerseits davon ab, ob sich die Nutzer für die Nutzung des Geräts registrieren. Andererseits können gerätebezogene Nutzerprofile auch über andere Wege mit der Identität einer natürlichen Person verknüpft werden (z. B. über vernetzte Smartphones, eingegebene Zahlungsinformationen, Identitätsangaben im Zuge einer Wartung des Geräts oder - bei vernetzten Fahrzeugen - über die Fahrzeughalter-Datenbank). Als Legitimation für die Verarbeitung von Daten aus vernetzten Geräten stoßen die Erlaubnistatbestände der Einwilligung und der Verarbeitung zum Zwecke der Erfüllung eines Vertrags an ihre Grenzen, weil hier regelmäßig nur der Ersterwerber bzw. Erstnutzer erreicht wird.