IoT-Daten & DSGVO: Was Unternehmen bei vernetzten Geräten beachten müssen
IoT-Daten & DSGVO: Welche Pflichten Unternehmen in Kärnten bei vernetzten Geräten treffen – Speicherort, AVV und Praxis-Tipps. Jetzt beraten lassen!
Ein Temperatursensor im Lager, eine Kamera am Firmentor, ein Zutrittssensor an der Werkstatt – klingt harmlos, ist aber nicht automatisch DSGVO-frei. Viele Kärntner Unternehmen unterschätzen, ab welchem Punkt aus reinen Messwerten plötzlich personenbezogene Daten werden.
Was Sie in diesem Artikel erfahren:
- Ob und wann IoT-Daten unter die DSGVO fallen
- Wann aus Sensordaten personenbezogene Daten werden
- Warum der Speicherort (Cloud vs. lokal) entscheidend ist
- Eine praktische Checkliste für DSGVO-konforme IoT-Projekte
Fallen IoT-Daten überhaupt unter die DSGVO?
Nicht automatisch. Reine Messwerte wie Raumtemperatur oder Luftfeuchte sind meist keine personenbezogenen Daten. Sobald IoT-Systeme aber Personen zuordenbare Informationen erfassen – etwa über Kameras, Zutrittskontrollen oder Standortdaten von Mitarbeitenden – greift die DSGVO vollständig.
Die Frage ist selten, ob IoT grundsätzlich DSGVO-relevant ist, sondern welche konkreten Sensoren und Datenpunkte in Ihrem Projekt tatsächlich personenbezogen sind. Ein Feuchtesensor in der Dämmebene eines Flachdachs ist unkritisch. Ein Zutrittssensor, der protokolliert, wer wann eine Tür öffnet, ist es nicht.
Wann werden IoT-Daten zu personenbezogenen Daten?
Dabei wird deutlich: Der entscheidende Punkt ist nicht die Sensortechnik selbst, sondern ob sich aus den Daten eine Person identifizieren lässt.
Typische Grenzfälle in der Praxis:
- Kameras und Bewegungsmelder: Erfassen fast immer Personen, sobald sie in belebten Bereichen installiert sind
- Zutrittskontrollen: Protokollieren, welche Person wann welchen Bereich betritt
- Fahrzeug- oder Werkzeug-Tracking: Wird personenbezogen, sobald sich Nutzung einer bestimmten Person zuordnen lässt
- Energiemonitoring pro Arbeitsplatz: Kann indirekt Rückschlüsse auf Arbeitszeiten einzelner Personen zulassen
Wenn Sie unsicher sind, ob Ihr geplantes IoT-Projekt DSGVO-relevante Daten erfasst, helfen wir weiter: IT-Sicherheit für Unternehmen in Kärnten
Cloud oder lokaler Server: Warum der Speicherort für die DSGVO entscheidend ist
Genau hier setzt eine der wichtigsten Weichenstellungen an: Werden Daten in der Cloud eines Drittanbieters gespeichert oder lokal im eigenen Netzwerk? Bei Cloud-Lösungen braucht es zwingend einen Auftragsverarbeitungsvertrag (AVV) mit dem Anbieter – er regelt, wie personenbezogene Daten verarbeitet werden und wo sie liegen.
Ein gutes Beispiel aus der eigenen Projektpraxis zeigt der Artikel Flachdach-Monitoring mit roofanalytics.at: Das System erlaubt bewusst die Wahl zwischen Cloud- und lokaler Speicherung, je nach Datenschutzanforderung des Gebäudebetreibers. Lokale Speicherung reduziert das Risiko deutlich, ersetzt aber nicht die übrigen DSGVO-Pflichten wie Informationspflicht oder Datenminimierung.
Offizielle Informationen und Beschwerdestellen bietet die österreichische Datenschutzbehörde für Unternehmen, die ihre Pflichten im Detail prüfen möchten.
Praktische DSGVO-Checkliste für IoT-Projekte
Genau hier lohnt sich eine kurze, konkrete Checkliste statt langer Rechtstheorie.
- Datentyp klären: Welche Sensoren erfassen möglicherweise personenbezogene Daten (Kameras, Zutritt, Standort)?
- Speicherort festlegen: Cloud-Anbieter mit AVV oder lokale Speicherung im eigenen Netz?
- Datenminimierung prüfen: Werden nur die tatsächlich benötigten Daten erfasst und gespeichert?
- Aufbewahrungsfristen definieren: Wie lange werden Daten gespeichert, bevor sie automatisch gelöscht werden?
- Betriebsrat einbinden: Bei Mitarbeiterüberwachung (z. B. Zutritt, Fahrzeug-Tracking) frühzeitig Mitbestimmung klären
- Informationspflicht erfüllen: Betroffene Personen über die Datenerfassung informieren
Fazit: DSGVO bei IoT ist lösbar, wenn früh mitgedacht
Die Frage ist selten, ob sich IoT und DSGVO miteinander vereinbaren lassen, sondern ob die Datenschutz-Fragen von Anfang an mitgeplant werden statt erst im Nachhinein. Wer Datentyp, Speicherort und Aufbewahrungsfristen früh klärt, spart sich spätere Nacharbeit – und schützt gleichzeitig das Vertrauen von Mitarbeitenden und Kunden.
Einen Überblick über weitere IoT-Anwendungen für Kärntner Unternehmen bietet die IoT-Übersichtsseite von Basic4web.
Dieser Beitrag richtet sich an Geschäftsführer:innen und IT-Verantwortliche in Kärnten, die ein IoT-Projekt planen und dabei von Beginn an DSGVO-konform aufgestellt sein wollen. Jetzt unverbindlich zu Ihrem IoT-Projekt beraten lassen
Häufige Fragen
Fallen IoT-Sensordaten überhaupt unter die DSGVO?
Nicht automatisch. Reine Messwerte wie Raumtemperatur oder Luftfeuchte sind meist keine personenbezogenen Daten. Sobald IoT-Systeme aber Personen zuordenbare Informationen erfassen – etwa über Kameras, Zutrittskontrollen oder Standortdaten von Mitarbeitenden – greift die DSGVO vollständig.
Muss ich für Cloud-basierte IoT-Systeme einen Auftragsverarbeitungsvertrag abschließen?
Ja, sobald ein externer Anbieter personenbezogene Daten in Ihrem Auftrag verarbeitet oder speichert. Der Auftragsverarbeitungsvertrag (AVV) regelt Pflichten, Datenstandort und Sicherheitsmaßnahmen. Basic4web prüft bei IoT-Projekten in Kärnten, welche Anbieter diese Anforderung erfüllen.
Sind IoT-Kameras oder Bewegungssensoren am Betriebsgelände DSGVO-relevant?
In der Regel ja, sobald Personen erfasst oder identifizierbar werden – etwa Mitarbeitende, Kunden oder Passanten. Hier gelten zusätzlich Informationspflichten und häufig eine Mitbestimmungspflicht des Betriebsrats, falls vorhanden.
Reicht lokale Datenspeicherung, um DSGVO-Probleme zu vermeiden?
Lokale Speicherung reduziert das Risiko deutlich, da keine Datenübermittlung an Drittanbieter oder außerhalb der EU stattfindet. Sie befreit aber nicht automatisch von allen DSGVO-Pflichten wie Informationspflicht oder Datenminimierung – diese gelten unabhängig vom Speicherort.
Thomas Kohlweiss
Dipl.-Ing. Ing. · Basic4web Kärnten
IT-Experte für KMU – Internet, IT-Sicherheit, KI & Smart Home. 20+ Jahre Erfahrung.