“Internet der Dinge” im Einklang mit Datenschutz?

international 05
Fachbeitrag

Das Internet der Dinge (Internet of Things, kurz IoT) ist auf dem Vormarsch und bereits in unserem Alltag angekommen. Die Verbindung von bekannten Objekten mit einem Netzwerk bzw. dem Internet nimmt drastisch zu. Ein kurzer Einblick zur „Vernetzung der Welt“.

Hintergrund und Idee

Die Idee hinter dem Internet of Things ist die teilweise Ablösung des Desktop Computers, des Smartphones oder des Tablets, also der klassischen Personal Computer in seiner bisherigen Erscheinung. An dessen Stelle treten Geräte, die selbst „mitdenken“, dank Vernetzung kommunizieren können und eigenständig Aufgaben erfüllen. Durch die Herstellung eines Informationsflusses zwischen der realen und virtuellen Welt, also der Zurverfügungstellung von Zustandsinformationen der einzelnen Dinge im Netzwerk, kann eine „smarte“ gegenständliche Umgebung geschaffen werden.

Diese Idee ist natürlich an sich nichts Neues. Schon jetzt funktionieren etliche Systeme (Atomkraftwerke, ESP im Auto) auf einer computergestützten Kontrolle und Steuerung. Jedoch wird dieses Fundament durch die erhöhte Rechenkraft der miniaturisierten integrierten Computer in den jeweiligen Objekten, der ansteigenden Ausstattung der Umgebung mit eben solchen Systemen und vor allem der Vernetzung mit dem Internet erheblich potenziert. Das Konzept des Internets der Dinge verfolgt also vor allem den Ansatz Informationen der physischen Umwelt so umfassend wie möglich zur Verfügung zu stellen und automatisierte Prozesse zu ermöglichen. Dabei funktioniert die Kommunikation der Dinge mit dem Internet vom Prinzip her wie hier beschrieben, wobei jedoch Technologieunternehmen schon an neuen Standards und speziellen Netzwerkprotokollen arbeiten.

Die EU äußert sich zum Thema folgendermaßen:

“Internet of Things (IoT) represents the next step towards the digitisation of our society and economy, where objects and people are interconnected through communication networks and report about their status and/or the surrounding environment.”

Smart Car, Smart Home, Smart Everything

Die neue vernetzte greifbare Infrastruktur bedeutet auch, dass der (geschützte) räumliche Privatbereich zu einem Teil des Internets wird. Dinge aus unserem Alltag sammeln Daten über uns, verschicken diese und werten sie aus. Das Auto, der Kühlschrank, das TV-Gerät, die Uhr, die Kleidung, das ganze Haus kennt unsere Gewohnheiten und „Zustände“. Auch die Verschmelzung von Körper und Informationstechnologie ist bereits Realität. Das „Internet of Everything“ ist also eine Frage der Zeit.

Selbstverständlich birgt diese Industrieinnovation eine erhebliche Wirtschaftskraft in sich. Nach einer aktuellen Studie der EU Kommission wird der gesamte Marktwert des IoT bereits bis 2020 nicht weniger als eine Billion Euro erreichen.

Auch die Global Player haben dies längst erkannt. So kaufte Google bereits Anfang 2014 für über drei Milliarden Dollar Nest, einen Hersteller von „smarten“ also vernetzten Thermostaten und Rauchmeldern. Dabei ging es nicht (nur) um den Kauf der hübschen Technologie, vor allem die Daten aus Millionen von Haushalten waren wohl für Google kaufentscheidend.

IoT und Datenschutz

Selbstverständlich drängt sich das Thema Datenschutz(-recht) bei der Vernetzung unserer Alltagsgegenstände geradezu auf, wenn man von den gesammelten – rein anonymen – Nutzungsdaten mal absieht.

Gerade für Versicherungen und Werbetreibende bedeutet das IoT eine unermessliche Chance noch gezielter wertvolle Informationen über den Betroffenen zu sammeln. Die Datenerhebung greift aber selbstverständlich auch in das informationelle Selbstbestimmungsrecht des Einzelnen ein, umso mehr wenn es sich um besonders sensible Daten wie Gesundheitsdaten handelt. Ein Ausgleich dieser Interessen, der bereits im deutschen Datenschutzrecht bzw. in der europäischen DS-Richtlinie angelegt ist, muss daher auch im Internet der Dinge vorgenommen werden.

Die Artikel-29-Datenschutzgruppe, das unabhängige Beratungsgremium der Europäischen Kommission in Fragen des Datenschutzes, hat sich bereits in einer ersten Stellungnahme über das IoT geäußert.

Welches Recht ist anwendbar?

Die (noch aktuelle) europäische Datenschutzrichtlinie, sei auch für die Verarbeitung von personenbezogenen Daten durch „smarte“ Gegenständen anwendbar, wenn die Datenverarbeitung „im Rahmen der Tätigkeiten“ einer Niederlassung ausgeführt werden und die verantwortliche Stelle innerhalb der EU sitzt. Des Weiteren sei die Richtlinie anwendbar, wenn auf Mittel zurückgegriffen werde, die in einem Mitgliedstaat „belegen sind“, die verantwortliche Stelle aber außerhalb der EU sitzt. Damit wären alle vernetzten Geräte, die zur Erhebung oder weiteren Verarbeitung von personenbezogenen Daten eingesetzt werden, Mittel im Sinne der Vorschrift.

Bei einem Kühlschrank also, der in einer deutschen Küche steht und Daten über das Konsumverhalten des Nutzers erhebt, müsste das deutsche Datenschutzrecht eingehalten werden, auch wenn die verantwortliche Stelle im EU-Ausland sitzt.

Die Anwendung der EU-Datenschutzvorschriften seien dabei nicht abhängig von den Eigentumsverhältnissen an dem entsprechenden Gerät, es komme vielmehr
auf die Verarbeitung der Daten selbst an. Der Eigentümer des IoT-Geräts und die Person, deren Daten gesammelt werden können möglicherweise sogar verschieden sein.

Datenübertragbarkeit und “right to be disconnected”

Weiter erklären die europäischen Datenschützer, dass das in Art. 18 der geplanten Datenschutz-Grundverordnung bezeichnete Recht auf „Datenübertragbarkeit für Betroffene“ gewährleistet werden müsse. Es soll der betroffenen Person also möglich sein, „die von ihr zur Verfügung gestellten Daten von einer automatisierten Anwendung, auf eine andere Anwendung zu übertragen“. Es geht hierbei um eine bessere Kontrolle der Daten und einen erleichterten Wechsel zu einem anderen Anbieter.

Neben dem gewohnten Recht auf Widerruf der Einwilligung, wirft die Arbeitsgruppe auch die Frage nach dem „right to be disconnected” auf, also dem „Recht auf Abtrennung (des ioT-Dienstes)”. Eine Fragestellung die sich sicher erst aus der besonderen Ausprägung des IoT ergibt.

Wer ist verantworltiche Stelle?

Aus dem Papier wird auch deutlich, dass einer der heikelsten Fragen aus datenschutzrechtlicher Sicht die Aufteilung der Verantwortlichkeiten bzw. die Bestimmung der verantwortlichen Stelle(n) sein wird. Denn kommen der Gerätehersteller/-verleiher, soziale Plattformen und andere dritte Diensteanbieter, die u.U. Zugriff auf die Daten des jeweiligen Geräts haben, auch nebeneinander als verantwortliche Stelle(n) in Betracht. Insofern muss der Nutzer auch im Vorfeld wissen, zu welchem Zweck und von wem seine Daten verarbeitet werden. Sofern „Dritte“ Zugriff auf diese haben, müsste beim Betroffenen in jedem Fall eine Einwilligung eingeholt werden.

Daneben gelten die üblichen Prinzipien

Neben diesen speziellen Fragen, gelten nach der Art. 29 Gruppe die üblichen Prinzipien, die bei der Erhebung von personenbezogenen Daten stets zu beachten sind:

  • die Aufklärung über Datenverarbeitungsprozesse,
  • das informierte Einwilligungsprinzip,
  • das Transparenzgebot und
  • das Prinzip der Datensparsamkeit.

Im Einzelnen wird aber auch hier diskutierbar sein, wie eine informierte Einwilligung, abhängig vom konkreten Service, tatsächlich auszusehen hat. Eine entscheidende Rolle wird auch der technische Standard einnehmen.

Standards entscheidend

Lawrence Lessing, Professor für Cyberlaw an der Harvard Law School weiß: „Code is Law!“. Lessig ist der Meinung, dass Code, also der technische Standard, der Hardware- und Softwarecode, die „Verfassung des Cyberspace“ sei.

“Wir müssen über Regulation anders denken: Nicht jede Art von Regulation muss von der Regierung ausgehen. Regulationstheorien sagen: Gesetze regulieren dich ein wenig, der Markt reguliert dich ziemlich effizient und sozialen Normen regulieren dich natürlich auch. Mein Punkt ist, das Internet bringt einen vierten, sehr effizienten Regulator hervor – die Architektur des Cyberspace. Diese ermöglicht ein bestimmtes Verhalten, oder schränkt bestimmte Arten von Interaktionen ein”.

Für eine effektive Regulation und Durchsetzung des Datenschutzrechts ist daher vor allem auch der sich noch in der Entwicklung befindliche Standard für das Internet der Dinge entscheidend. Schon bei der Etablierung des Standards könnte das PRIVACY BY DESIGN Prinzip verfolgt werden, also die frühzeitige Einbeziehung des Datenschutzes in die Gesamtkonzeption. Momentan kochen hier aber noch alle Unternehmen mehr oder weniger ihre eigene Suppe. Der technologische Standard, der sich durchsetzt, wird also faktisch vorerst „die Kontrolle übernehmen“, nicht das Recht.

In Zeiten in denen ein Angriff auf die IT-Infrastruktur, einen Angriff auf ein fahrendes Auto bedeutet, sollte auch auf IT-Sicherheitsstandards für “smarte Gegenstände” ein besonderes Augenmerk gelegt werden.

Ausblick

Viele spannende Rechtsfragen, aber auch ein immensen Einfluss auf das tägliche Leben wird der Einzug des „Internet of Things“ mit sich bringen. Die hyper-connected Lebenswelt wird daher nicht nur rechtlich gesehen eine große Herausforderung, sondern auch gesellschaftlich. Nicht zu vergessen ist dabei, dass das IoT auch große Chancen bietet. So ist es etwa möglich, durch intelligente Energienetze (Smart Grids), eine wesentlich effizientere Energieversorgung zu gewährleisten.

Sie haben Fragen?

Eine Datenschutz Zertifizierung schafft Vertrauen, Sicherheit und langfristig Wettbewerbsvorteile. Unsere Berater unterstützen Sie dabei u.a. folgende Zertifikate zu erlangen:

  • De-Mail: Akkreditierung als Anbieter für eine vertrauliche und nachweisbare Onlinekommunikation
  • ULD-Gütesiegel: IT-Produktauszeichnung vom Landeszentrum für Datenschutz Schleswig-Holstein
  • EuroPriSe: Zertifizierung auf der Grundlage des europäischen Datenschutzrechts

Informieren Sie sich hier über unser Leistungsspektrum: Datenschutz Zertifizierung

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.