Datenschutzrechtliche Herausforderungen des IoT
Der kryptische Begriff des Internets der Dinge („Internet of Things“ – „IoT“) steht in engem Zusammenhang mit dem Ausdruck „Internet der Zukunft“. Was futuristisch klingt, ist tatsächlich nichts anderes als eine Vernetzung von alltäglichen Geräten, welche sich in einem konstanten gegenseitigen Datenaustausch befinden. Tatsächlich sind solche Geräte bereits seit Jahren im Umlauf – man denke nur an Smartphones oder an Fitness-Armbänder. „Smarte“ Geräte greifen in immer mehr Lebensbereiche über. Dadurch ergeben sich neue (und teils ungeahnte) Möglichkeiten, welche allerdings auch zu neuen Herausforderungen im Zusammenhang mit Regulierung und Datenschutz führen.
Smart objects, smart homes – smart everything
Im Zentrum der Vernetzung stehen sogenannte IoT-Geräte: diese erfassen, speichern und verarbeiten Informationen über Sensoren und werden prinzipiell vernetzt, indem ihnen eine Kennung zur Anbindung an andere Geräte bzw ein Netzwerk zugewiesen wird. Die Steuerung derartiger Geräte kann auf verschiedene Art und Weise erfolgen – bekannte Beispiele sind etwa Handy-Apps oder das Amazon-Produkt „Echo“, welches mittels „Alexa“ sogenannte Smart Homes vollends etabliert hat. Sogar smarte Kühlschränke haben mittlerweile ihren Weg auf den Markt gefunden. Manche von ihnen ermöglichen die Bestellung von Lebensmitteln via Alexa und können mit Herd und Geschirrspüler kommunizieren, um den gesamten Kochprozess möglichst effizient zu gestalten.
Auch intelligente Systeme im Bereich der Energiewirtschaft sind bereits im Einsatz, wie zB bei der Fernüberwachung elektrischer Geräte durch den Stromversorger oder die Stromverbrauchsmessung. Im Zuge des 3. EU-Binnenmarktpakets wurde dem Digitalisierungsbestreben bereits dadurch Rechnung getragen, dass mindestens 80% aller Stromkunden bis 2020 auf einen „smart meter“ , welcher die Daten digital übermittelt, umgestellt werden müssen.
Die DSGVO – Datenschutz auf neuem Level
Die bei diesen Vorgängen verarbeiteten Daten sind idR geeignet, Aufschluss über höchstpersönliche Umstände des IoT-Users, wie zB dessen Gesundheit oder seine persönlichen Vorlieben zu geben. Es ist daher Aufgabe des Datenschutzrechts, bei der Verarbeitung von solcherart „personenbezogenen Daten“ ein entsprechendes Sicherheitsniveau für den Schutz der Daten der Betroffenen zu gewährleisten. Ab 25. Mai 2018 gilt dafür die Datenschutz-Grundverordnung (DSGVO), welche den neuen technischen Herausforderungen gerecht zu werden versucht.
Wann eine Datenverarbeitung rechtmäßig ist, legt Art 6 DSGVO fest. Diese ist etwa gestattet, wenn dafür eine gesetzliche Verpflichtung besteht, wie bspw eine Verpflichtung des Netzbetreibers „smart meter“ zu installieren, zu betreiben und somit zuordenbare Messwerte zu erheben. Darüber hinaus ist die Verarbeitung auch zulässig, wenn sie zur Vertragserfüllung selbst erforderlich ist. Darunter könnte womöglich sogar die konstante Ermittlung des Bestands von Verbrauchsgegenständen, die automatisch nachbestellt werden sollen, wenn sie aufgebraucht wurden, fallen. Zudem dürfen Daten verarbeitet werden, wenn dies im berechtigten Interesse etwa desjenigen, der über Zweck und Mittel der Datenverarbeitung entscheidet (der „Verantwortliche“), liegt. Dieses berechtigte Interesse ist überraschend weit zu verstehen und umfasst etwa auch die Verarbeitung für Direktwerbezwecke, was zB zu spezifischen Kaufempfehlungen führen kann.
Der praktisch bedeutsamste aller Gründe für die Zulässigkeit einer Datenverarbeitung ist jedoch die Einwilligung der betroffenen Person. In Zeiten der Vernetzung intelligenter Geräte ist diese Einwilligung von besonderer Bedeutung hinsichtlich der Frage, wer von welchen Geräten welche Daten zur Verfügung gestellt bekommt. Dies zeigt sich etwa am Beispiel intelligenter Staubsaugroboter, welche die Wohnung vermessen um ihre „Arbeit“ effizienter zu gestalten. Willigt man in diesem Fall ein, dass die dadurch aufgezeichneten Wohnungspläne in der Cloud gespeichert und auf diesem Wege mit anderen Unternehmen geteilt werden sollen, so könnten damit die Smart-Home-Produkte dieser Person (wie zB intelligente Beleuchtungs- oder Heizsysteme) verbessert werden. Die Einwilligung zu einer vermeintlichen Optimierung des Smart Homes eröffnet dann allerdings nicht nur Anbietern ein weites Spielfeld zur Erkundung zahlreicher personenbezogener Daten (zB Arbeitszeiten, Lebensstil, Familie etc), sondern birgt auch hohe Risiken im Fall von Datenlecks oder Missbrauch in sich.
In der Vergangenheit wurden derartige „Einwilligungen“ häufig verhältnismäßig uninformiert und vorschnell eingeholt, zumal entsprechende Vereinbarungen oftmals an wenig prominenter Stelle in einem umfangreichen Vertragswerk festgelegt wurden. Um solchen Entwicklungen Rechnung zu tragen, stellt die DSGVO strikte Anforderungen an die Einwilligung zur Datenverarbeitung. So muss diese freiwillig, informiert und bezogen auf einen oder mehrere bestimmte(n) Zweck(e) erfolgen und unmissverständlich abgegeben werden (Art 4 Z 11 iVm Art 7 DSGVO). Im Falle schriftlicher Einwilligungen, die noch andere Sachverhalte einbeziehen – man denke nur an seitenlange, kleingedruckte AGBs – hat die Einwilligungsklausel verständlich, leicht zugänglich, klar und einfach formuliert zu sein.
Am besten aber lässt sich Datenschutz sicherstellen, wenn er bereits bei Erarbeitung eines Datenverarbeitungsvorgangs technisch integriert ist. Darum normiert die DSGVO im zentralen Art 25 den Grundsatz des Datenschutzes durch Technikgestaltung (Privacy by Design). Durch die Ergreifung technischer und organisatorischer Maßnahmen sowohl bei der Festlegung der Verarbeitungsmittel als auch bei der Datenverarbeitung selbst soll eine nicht intendierte Datenverwendung auf faktischer Ebene von vornherein ausgeschlossen werden. Als Beispiel hierfür wird die „Pseudonymisierung“ genannt, welche verhindern soll, dass personenbezogene Daten ohne Weiteres einer spezifischen Person zugeordnet werden können.
Ferner soll bereits durch geeignete Voreinstellungen sichergestellt werden, dass lediglich das erforderliche Ausmaß an personenbezogenen Daten erhoben, verarbeitet, gespeichert und zugänglich gemacht wird (Privacy by Default).
Diese Regeln stellen dann kein Problem dar, wenn der Hersteller des IoT-Geräts auch gleichzeitig der Verantwortliche ist (was oftmals der Fall sein wird). Ist dies aber nicht der Fall und handelt es sich bei dem Verantwortlichen und dem Hersteller um verschiedene Personen, so finden die Bestimmungen der DSGVO nur auf den Verantwortlichen Anwendung. Eine Pflicht zur verordnungsgemäßen Produktion oder eine Rechenschaftspflicht des Herstellers besteht hingegen nicht. Die bereits anfängliche technische Berücksichtigung von Sicherheitsaspekten bei der Produktion von IoT-Geräten (Security by Design) und die Einrichtung eines Systems mehrschichtiger Sicherheitsmechanismen, welche vor Angriffen schützen (Defense in Depth), ist in der DSGVO somit nicht durchgehend verpflichtend vorgesehen.
Potentielle Abhilfe könnten in der Zukunft jedoch EU-weite Sicherheitszertifikate schaffen, welche im Rahmen der Einrichtung einer EU-Agentur für Cybersicherheit auf Vorschlag der Europäischen Kommission eingeführt werden sollen.
Ausblick: Smart Cities
Die Entwicklung des IoT bringt sowohl kaum vorhersehbare Möglichkeiten als auch neue Herausforderungen – unter anderem im Bereich des Datenschutzes – mit sich. Die Gewährleistung des ausreichenden Datenschutzes kann weder rein rechtlich noch rein technisch erfolgen, sondern erfordert vielmehr ein enges Zusammenspiel beider Bereiche. Die nächsten großen Aufgaben in dieser Hinsicht wird wohl der Ausbau ganzer Smart Cities bringen – so dürfen die Ergebnisse und die Regulierung des preisgekrönten, österreichischen Forschungsprojekts Aspern Smart City Research mit Spannung verfolgt werden.
Haben Sie Fragen zum Thema?
Zum Absenden des Formulars muss Google reCAPTCHA geladen werden.
Weitere Informationen finden Sie in unserer Datenschutzerklärung.