Smart Business: Unaufhaltbarer Trend oder unkalkulierbares Risiko?

Fachbeitrag

Das Smart Home hat nach und nach alle Bereiche der eigenen Wohnung erobert. Wir unterhalten uns mit Alexa und optimieren unsere Heizungen auf Sparsamkeit. Auch im unternehmerischen Umfeld gewinnen „Smart Business“-Lösungen immer mehr an Attraktivität. Sie vereinfachen Abläufe und Organisation und geben ein Gefühl der Kontrolle. Wir geben einen Überblick über mögliche Einsatzgebiete und datenschutzrechtliche Problemfelder.

Big Brother war erst der Anfang

Die zentralen Motive eines Smart Homes sind Komfort und Effizienz. Eine zentrale Verwaltung aller Funktionen und haargenaue Abstimmung des eigenen Zuhauses ist nicht nur bequem, sondern kann beispielsweise auch signifikante Auswirkung auf Strom- und Heizkosten haben. Doch je mehr Komfort wir nutzen, desto mehr geben wir dabei aus der Hand. Dass dies nicht nur ärgerlich ist, sondern handfeste Gefahren mit sich bringt, zeigt ein kürzlich erkanntes Datenleck des chinesischen Smart Home-Herstellers Orvibo.

Sicherheitsexperten deckten hier unlängst eine ungesicherte Datenbank mit über zwei Milliarden Datensätzen auf. Die Datenbank enthielt neben persönlichen Daten wie E-Mail-Adressen, Benutzernamen, Passwörtern und Account-Reset-Codes auch Zugangsdaten für einzelne Smart Home-Geräte des Herstellers. Damit hätten Angreifer potenziell Zugriff auf Videokameras, Standortdaten und Mikrofone. Zudem konnten mit den enthaltenen Daten auch smarte Türschlösser kontrolliert werden.

Welche Folgen ein solches Leck haben kann, liegt auf der Hand. Angreifer hätten potenziell nicht nur die Möglichkeit, Türschlösser per Tastendruck zu öffnen, sondern könnten im Vorfeld anhand der Videodaten auch gleich prüfen, wann die Bewohner außer Haus sind.

Die Behörden schießen immer schärfer

Auch wenn es sich hierbei um einen extremen und in diesem Ausmaß wohl seltenen Fall handeln dürfte, hat sich der Ton auch bei den europäischen Aufsichtsbehörden merklich verschärft. Hohe Bußgelder im zweistelligen Millionenbereich sind kein Tabu mehr. Die letzte Meldung dieser Art kam aus England und betraf British Airways. Infolge eines Datenlecks muss das Unternehmen nun mit einem Bußgeld in Höhe von 183,39 Millionen Pfund (rund 204,68 Millionen Euro) seitens des britischen Information Commissioner’s Office rechnen. Aus datenschutzrechtlicher Sicht fast noch beeindruckender als die Summe an sich ist, dass es sich hierbei um umgerechnet ca. 1,4 % des Konzernjahresumsatzes handeln dürfte.

Die Tatsache, dass dieses stattliche Bußgeld trotz der Meldung durch British Airways selbst und Kooperation mit der Behörde verhängt wurde zeigt, dass nicht nur das Verhalten des Verantwortlichen nach einem Datenschutzvorfall, sondern bereits die ergriffenen Schutzmaßnahmen im Vorfeld enorm an Relevanz gewonnen haben.

Smart Home im gewerblichen Einsatz: „Smart Business“

Mit diesem Gedanken im Hinterkopf sollte der Einsatz von Smart Home-Produkten im unternehmerischen Umfeld klar durchdacht und abgewogen werden. Die Vorteile einer zentralen Steuerungsmöglichkeit liegen für ein modernes Unternehmen auf der Hand. Nicht nur Attraktivität, sondern auch Betriebsabläufe können durch ein vernetztes Business verbessert werden.

Vernetzung bietet viele Vorteile

Unbestritten stellt die Vernetzung der eingesetzten Tools und technischen Lösungen der nächste Schritt auf dem Weg zur vollständigen digitalisierung der internen Prozesse dar. Auch die Außendarstellung kann von smarten Lösungen immens profitieren.

  • Die Systeme, die uns zuhause Musik auf Zuruf oder stimmungsabhängige Beleuchtung liefern, können ähnliche Effekte auch im gewerblichen Kontext erzeugen. So können Verkaufsräume je nach Themengebiet und Tageszeit optimal ausgeleuchtet werden. Hintergrundmusik kann dynamisch verändert und an die jeweilige Zielgruppe und das Produkt per Knopfdruck zentral angepasst werden. Auch bieten viele Sprachassistenzsysteme die Möglichkeit, grundlegenden Kundensupport ohne Personaleinsatz zu bieten.
  • Auch die internen Abläufe können von digitalen Lösungen enorm profitieren. Wenn Lieferanten durch elektronische Schließvorrichtungen per App Zutritt gewährt werden kann, gestaltet dies den Betriebsablauf deutlich flexibler und senkt gleichzeitig den Personalaufwand. Auch kann die Überwachung durch vernetzte Videosysteme deutlich effektiver gestaltet werden.
  • Die Vorteile einer smarten Licht- und Heizungssteuerung können in Büro- oder Verkaufsräumen für Einsparungen bei den Energiekosten sorgen, insbesondere durch die Möglichkeit, flexibel auf Anwesenheitszeiten der Mitarbeiter zu reagieren.

Datensicherheit im smarten Business

Doch wo sich der private Nutzer in den eigenen vier Wänden lediglich um die Gefahren für seine Daten und die Integrität des Eigenheims zu sorgen braucht, tritt bei gewerblichem Einsatz ein weiterer Faktor hinzu: Im Gegensatz zum Privatnutzer ist hier nämlich der Anwendungsbereich der DSGVO eröffnet. Die „Haushaltsausnahme“ des Art. 2 Abs. 2 lit. c DSGVO greift im unternehmerischen Umfeld nicht. Die Risiken des Smart Business werden hier evident, da durch die Anwendbarkeit der DSGVO die Anforderungen an die Datensicherheit im Vergleich zu den eigenen vier Wänden deutlich steigen.

Somit hat der Unternehmer als verantwortliche Stelle nicht nur für die Sicherheit der verarbeiteten Daten, sondern auch für die Rechtmäßigkeit der Verarbeitung sowie die Einhaltung der sonstigen, datenschutzrechtlichen Pflichten Sorge zu tragen. Beim Einsatz von Smart Home-Technologie werden umfassend Daten verschiedenster Kategorien verarbeitet, betroffen sind neben eigenen Mitarbeitern auch Kunden oder Lieferanten. Dieser Personenkreis ist im Vergleich zum privaten Umfeld deutlich größer, womit die Anforderungen an eine umfassende Prüfung deutlich ansteigen.

Letztlich ist darauf zu achten, dass der ganz überwiegende Teil intelligenter Produkte ihre Daten im Rahmen von Cloud-Lösungen versenden und speichern. Hier wird regelmäßig zu prüfen sein, welche Verträge gem. Art. 28 DSGVO (Auftragsverarbeitungsverträge) abzuschließen sind. Insbesondere bei Lösungen, deren Anbieter außerhalb des Europäischen Wirtschaftsraumes beheimatet sind, stellen sich diesbezüglich weitere Folgeprobleme.

Das Problem des „privacy by design“ bei der Wahl des Dienstleisters

Die besondere Herausforderung stellt sich hier allerdings oft weniger im Hinblick auf die Rechtmäßigkeit der Verarbeitung, sondern vielmehr in der Gewährleistung eines angemessenen Schutzniveaus. Hierzu gehört nicht nur die ordnungsgemäße Implementierung, die Sicherung durch Maßnahmen wie Virenscanner und Firewalls, sondern auch im ersten Schritt die sorgfältige Auswahl des jeweiligen Anbieters. Denn selbst wenn die eigentlichen Tools gut gesichert sind, gegen Datenlecks beim Anbieter selbst ist der jeweilige Verantwortliche selten gefeit.

Wenn im Vorfeld bekannt war, dass systematische Sicherheitsschwächen bei diesem Anbieter bestanden haben, kann bereits die fehlerhafte Auswahl des Dienstleisters zu einem potenziellen Haftungsrisiko führen. Insbesondere in Zeiten großen Konkurrenzdrucks, in welchen der Markt der smarten Produkte von vielen Billiganbietern geradezu überflutet wird, bestehen große Risiken im Hinblick auf unfertige oder gänzlich fehlende IT-Sicherheitsvorkehrungen. Ein großes Problem kann beispielsweise darin liegen, dass viele der in Asien produzierten Geräte lediglich mit Standard-Login-Daten versehen sind. Zudem wird selten transparent, woher Geräte unter einem bestimmten Label tatsächlich stammen.

Die unternehmerische Entscheidung

Die Einführung von Smart Home-Lösungen im unternehmerischen Umfeld sollte genau geplant werden. Dies beginnt bei der gewissenhaften Auswahl des Dienstleisters, setzt sich fort in der Einrichtung ausreichender technischer Sicherungsmaßnahmen im eigenen Hause und mündet schließlich in der datenschutzrechtlichen Prüfung der Zulässigkeit der einzelnen Verarbeitungstätigkeiten.

Es ist zudem darauf zu achten, welche Vereinbarungen zusätzlich abzuschließen sind, insbesondere die nötigen Auftragsverarbeitungsverträge und gegebenenfalls Standardvertragsklauseln für den Datentransfer in Drittstaaten außerhalb des EWR. Nicht zuletzt müssen sämtliche Betroffenen über die sie betreffenden Datenverarbeitungen informiert werden, was insbesondere bei Lieferanten und im Falle von Videoüberwachung und Sprachsteuerungen vor besondere Herausforderungen stellen kann.

Letzten Endes birgt die Vision des smarten Büros derzeit zahllose Möglichkeiten, jedoch ebenso viele Probleme. Die Risiken eines Smart Business, insbesondere einer Auslagerung einer Vielzahl von Verarbeitungsvorgängen in die Hände Dritter, müssen deshalb stets mit dem unternehmerischen Nutzen abgewogen werden.

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

Externer Datenschutzbeauftragter

2 Kommentare zu diesem Beitrag

  1. Kleine Korrektur: Im Abschnitt „Datensicherheit im smarten Business“ sollte der Bezug zum Gesetz sicher lauten – „Die „Haushaltsausnahme“ des Art. 2 Abs. 2 lit. c DSGVO greift im unternehmerischen Umfeld nicht.“

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.