Zum Inhalt springen

EU-Datenschutz-Grundverordnung

DSGVO-konforme IoT-Plattforminfrastruktur

IoT-Plattformen verarbeiten Daten im Auftrag Ihres Unternehmens — sammeln Sensordaten, leiten Gerätetelemetrie weiter, lösen automatisierte Reaktionen aus. Wenn diese Daten personenbezogene Informationen von verbundenen Geräten enthalten, ist Ihre IoT-Infrastruktur ein DSGVO-Auftragsverarbeiter. Wir sorgen dafür, dass Ihrer konform ist.

AVV anfordern Compliance-Übersicht ansehen

Was ist die DSGVO?

IoT-Plattformen befinden sich an der Schnittstelle von physischen Geräten und digitaler Datenverarbeitung. Jede gesammelte Sensormessung, jede weitergeleitete Telemetrienachricht, jeder ausgelöste Alarm kann personenbezogene Daten beinhalten. Die DSGVO gilt nicht nur für den Ort, wo Daten ruhen — sondern für jedes System, das sie verarbeitet, einschließlich Ihrer IoT-Plattform.

In Kraft seit

25. Mai 2018

Geltungsbereich

Jede Org., die EU-Personendaten verarbeitet

Höchststrafe

20 Mio. € oder 4 % des Jahresumsatzes

Meldepflicht

72 Stunden

Zentrale DSGVO-Pflichten für IoT-Plattformen

IoT-Plattformen sind Auftragsverarbeiter — sie behandeln Gerätetelemetrie und Betriebsdaten, die durch Ihre Infrastruktur fließen. Diese sechs Artikel regeln, welche Pflichten das erzeugt.

1

Art. 5 — Grundsätze der Verarbeitung

IoT-Plattformen dürfen Gerätedaten nur für die Zwecke verarbeiten, für die sie erhoben wurden. Die Aufbewahrung von Sensortelemetrie sollte minimiert und Aufbewahrungsgrenzen unterliegen. Wir unterstützen konfigurierbare Datenaufbewahrungszeiträume.

2

Art. 6 — Rechtmäßigkeit der Verarbeitung

Die Verarbeitung personenbezogener Daten über IoT-Geräte erfordert eine gültige Rechtsgrundlage — typischerweise Vertrag oder berechtigtes Interesse. IoT-Datenerfassung ist eine Verarbeitungstätigkeit und sollte im Verarbeitungsverzeichnis (Art. 30) erscheinen.

3

Art. 17 — Recht auf Löschung

Wenn eine betroffene Person Löschung beantragt, müssen Sie sicherstellen, dass personenbezogene Daten aus Geräteprotokollen, Telemetriehistorie und etwaigem Zwischenspeicher entfernt werden. Wir unterstützen konfigurierbare Aufbewahrungsfenster und Datenlöschung auf Anfrage.

4

Art. 28 — Auftragsverarbeiter

Wir handeln als Ihr Auftragsverarbeiter für personenbezogene Daten, die durch verwaltete IoT-Plattformen verarbeitet werden. Unser AVV deckt ThingsBoard, Node-RED und ChirpStack ab — sowie die beteiligten Infrastruktur-Unterauftragsverarbeiter.

5

Art. 32 — Sicherheit der Verarbeitung

IoT-Plattformen benötigen dieselbe Sicherheit wie jeder Auftragsverarbeiter. Unsere Deployments verwenden verschlüsselte Speicherung, isolierte Mandantenumgebungen, TLS für die gesamte Gerätekommunikation und Zugriffskontrollen.

6

Art. 33 — Meldung von Datenschutzverletzungen

Wenn unsere verwaltete IoT-Infrastruktur in eine Verletzung personenbezogener Daten verwickelt ist, benachrichtigen wir Sie innerhalb von 72 Stunden, damit Sie Ihrer Meldepflicht nachkommen können.

Art. 30 — IoT als dokumentierte Verarbeitungstätigkeit

Gemäß DSGVO Art. 30 müssen Verantwortliche ein Verarbeitungsverzeichnis (VVT) führen. Ihre IoT-Plattform ist wahrscheinlich eine davon — sie verarbeitet Daten von verbundenen Geräten, Sensoren und physischer Infrastruktur.

  • Dokumentieren Sie Ihre IoT-Datenflüsse im VVT: welche Telemetrie gesammelt wird, zu welchem Zweck, auf welcher Rechtsgrundlage und wie lange sie aufbewahrt wird
  • Datensparsamkeit: Sammeln Sie nur die Sensormessungen, die Sie benötigen — vermeiden Sie die Speicherung vollständiger Telemetrieströme, wenn nur aggregierte Werte erforderlich sind
  • Aufbewahrung: Konfigurieren Sie Datenaufbewahrungsgrenzen, damit historische Telemetrie nach Ihrer definierten Aufbewahrungsfrist gelöscht wird

Was wir für DSGVO-Compliance bereitstellen

  • Auftragsverarbeitungsvertrag (AVV) auf Anfrage
  • EU-Datenspeicherung — Nürnberg (primär) + Falkenstein (DR)
  • Audit-Logs aufbewahrt und exportierbar
  • Datenexport auf Anfrage (Art. 20 Übertragbarkeit)
  • Datenlöschung auf Anfrage (Art. 17 Löschrecht)
  • 72-Stunden-Benachrichtigung an Sie (Art. 33)
  • Verschlüsselte Backups innerhalb der EU gespeichert
  • Liste der Unterauftragsverarbeiter auf Anfrage

Ihr DSGVO-konformer IoT-Stack

Drei verwaltete IoT-Plattformen — auf EU-Infrastruktur mit AVV-Abdeckung für alle Gerätedaten, die durch Ihre Deployments verarbeitet werden.

IoT Platform

ThingsBoard

Full-stack IoT platform for device management and data visualization

ab €99 /Monat

IoT Flow Programming

Node-RED

Flow-based programming for IoT and integration

ab €19 /Monat

LoRaWAN Network Server

ChirpStack

Open-source LoRaWAN network server

ab €49 /Monat

IoT-Plattform verarbeitet personenbezogene Daten?

Fordern Sie unseren AVV für Ihre verwaltete IoT-Infrastruktur an und besprechen Sie, wie Sie Ihre Gerätedatenflüsse im Verarbeitungsverzeichnis dokumentieren.

AVV anfordern