Inhalt
IoT und Datenschutz
„Smarte Alltagserleichterungen“ finden immer mehr Einzug in den Alltag vieler Menschen, sei es aus Technologieaffinität, Praktikabilität oder Bequemlichkeit.
Im Rahmen des Internet of Things (IoT – zu Deutsch: Internet der Dinge) und Industrial Internet of Things (IIoT) nimmt die Vernetzung unterschiedlichster Geräte stetig zu. Die damit potenziell verbundenen Risiken sind vielen Nutzern indes nicht unbedingt bewusst. Abgesehen davon, dass der Nutzen einiger Produkte zumindest fragwürdig ist, vergrößert sich jedenfalls die Angriffsfläche für Kriminelle.
Auch wenn solche Technologien unser Leben erleichtern, sollten wir uns bewusst sein, dass jedes dieser Geräte Daten über uns sammelt. IoT ist ein automatisierter Informationsaustausch zwischen der physischen und digitalen Welt sowie zwischen Geräten untereinander und ihren Herstellern. Grundprinzip ist dabei die Datenübertragung zwischen zahlreichen unterschiedlichen Systemen mit Hilfe von Netzwerktechnologien. Die smarten, vernetzten Geräte können immer mehr Aufgaben automatisiert für ihre Anwender durchführen und Informationen für weitere Geräte liefern. Immer mehr Daten werden elektronisch erfasst und verarbeitet. Produkte werden hierfür mit einer Vielzahl von Sensoren ausgestattet, um verschiedenste Dinge, wie z.B. Temperatur zu messen und an andere Systeme zu melden, die darauf basierend Entscheidungen treffen.
Die DSGVO findet ausschließlich dann Anwendung, wenn personenbezogene Daten verarbeitet werden. Folgende Aspekte sind dann zu beachten:
Personenbezug bei IoT-Anwendungen
Ein solcher Personenbezug kann auf mehreren Ebenen zu Stande kommen:
- Akustische, optische oder biometrische Sensoren, die personenbezogene Daten verarbeiten, kommen zur Anwendung.
- Der Einsatzort eines Sensors ermöglicht es, Rückschlüsse auf die Lebensgewohnheiten einer Person abzuleiten (z. B. Bewegungssensoren).
- Kommuniziert ein Nutzer mit einer IoT-Anwendung, können beispielsweise die Verarbeitung von IP-Adressen oder die Auswertung von MAC-Adressen zur Anwesenheitserkennung und zur Personenbeziehbarkeit führen.
- Schließlich kann ein Personenbezug dadurch entstehen, dass sich Nutzer mit Namen oder sonstigen Identifikationsmerkmalen anmelden, um die IoT-Anwendung in Anspruch zu nehmen.
Haushaltsprivileg für Privatpersonen
Selbst wenn personenbezogene Daten verarbeitet werden, findet die DSGVO nicht immer Anwendung. Eine Ausnahme besteht nach Art. 2 Abs. 2 lit. c DSGVO bei natürlichen Personen, die IoT ausschließlich im persönlichen oder familiären Bereich anwenden.
Bestimmung des datenschutzrechtlich Verantwortlichen
Verantwortlich für den Datenschutz könnten z.B. der Hersteller, Geräteverleiher oder dritte Dienstanbieter sein. Wird ein Dritter involviert, ist eine Einwilligung des Nutzers in die Weitergabe seiner Daten oder eine andere Rechtsgrundlage unabdingbar. Nach Art. 4 Nr. 7 DSGVO ist datenschutzrechtlich die Stelle verantwortlich, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Sofern IoT-Anwendungen von einer klar definierten Stelle betrieben werden, ist diese somit Verantwortlicher. Betreiben mehrere Stellen gemeinsam eine IoT-Anwendung, müssen diese gem. Art. 26 DSGVO ggf. ein sog. Joint-Controller-Agreement abschließen, in dem die Rechte der Betroffenen normiert sind.
Rechtsgrundlage für die Datenverarbeitung
Mit Anwendung der DSGVO gilt, dass die Erhebung, Verarbeitung und Speicherung personenbezogener Daten grundsätzlich verboten ist, wenn es dafür keine gesetzliche Grundlage gibt bzw. die betroffene Person nicht eingewilligt hat (sog. Verbot mit Erlaubnisvorbehalt). Sofern eine Datenverarbeitung in den Anwendungsbereich der DSGVO fällt, kommen mehrere Rechtsgrundlagen für diese Datenverarbeitung in Betracht. Dabei kann sich gerade für IoT-Anwendungen das rechtssichere Einholen von Einwilligungen schwierig gestalten. Dazu gehört insbesondere, dass die Hersteller über Funktionen und Datenflüsse in verständlicher Form aufklären. Bei vielen IoT-Lösungen ist es indes technisch schon gar nicht möglich, eine Einwilligung anzufordern oder zu erteilen. Zudem muss der Betroffene diese jederzeit widerrufen können. Es ist oft aber gar nicht möglich, der Datenverarbeitung als Nutzer der IoT zu widersprechen.
Daneben gibt es die Möglichkeit der Rechtmäßigkeit der Datenverarbeitung, wenn die Datenverarbeitung für die Durchführung eines Vertragsverhältnisses notwendig ist oder der Verarbeiter ein berechtigtes Interesse an der Nutzung der Sensoren hat. Das sollte vor der Anwendung geprüft und diese Prüfung dokumentiert werden. Jede Anwendung muss hier im konkreten Kontext genau betrachtet werden.
Informationspflichten und Datenschutzrechte
Unabhängig von der Rechtsgrundlage der Datenverarbeitung sind unbedingt die Informationsrechte der betroffenen Personen zu beachten. So bestimmt die DSGVO in Art. 13 und 14, dass einer betroffenen Person eine Vielzahl an Informationen bei der Datenerhebung mitgeteilt werden muss. Ausnahmsweise besteht keine Informationspflicht, wenn die Erteilung der Information einen unverhältnismäßigen Aufwand bedeuten würde. Dies aber nur, wenn die Daten nicht direkt bei der betroffenen Person erhoben wurden (Art. 14 Abs. 5 lit. b DSGVO). IoT-Anbieter benötigen also zwingend ein Konzept zur Umsetzung der Informationspflichten aus Art. 12 ff. DSGVO.
Privacy by Design und by Default
Die DSGVO enthält in Art. 25 Vorschriften zum Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen (privacy by design und by default).
Betreiber von IoT-Anwendungen sind somit dazu verpflichtet ein datenschutzkompatibles und datenschutzfreundliches IoT-Design zu entwickeln. Oft fallen die Hersteller einzelner Komponenten jedoch nicht unter die DSGVO, da sie die Komponenten nicht selbst betreiben. In Praxis erhalten dann die letztendlichen Betreiber von IoT-Anwendungen häufig unsichere oder schlecht konfigurierbare Komponenten, für deren Einsatz sie datenschutzrechtlich einzustehen haben.
Datenschutzfolgenabschätzung (DSFA) nach Art. 35 DSGVO
IoT kann zudem die Voraussetzungen für die von Art. 35 DSGVO geforderte Datenschutzfolgenabschätzung (DSFA) erfüllen. Hat eine Verarbeitung von personenbezogenen Daten aufgrund der Art, des Umfangs, der Umstände und des Zwecks der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, muss der Verantwortliche eine DSFA durchführen. Eine DSFA bietet die Möglichkeit, Sicherheitslücken frühzeitig zu erkennen und adäquate Maßnahmen zur Erhöhung der Datensicherheit zu implementieren. Hierbei handelt es sich allerdings nicht um ein einmaliges Verfahren, sondern um einen kontinuierlichen Prozess. Ändern sich Details eines Datenverarbeitungsvorganges, kann eine erneute Prüfung erforderlich sein.
Unternehmen sollten beim Einsatz von IoT-Anwendungen ihr Augenmerk darauf richten, dass ihre Sensoren nicht mehr Daten erheben als zur Erfüllung des Zwecks der Komponente unbedingt notwendig sind.
DSGVO-Grundsätze der Datensparsamkeit und der Zweckbindung
Nach der DSGVO sind die Prinzipien der Datensparsamkeit und der Zweckbindung einzuhalten. Nach den Prinzipien der Datensparsamkeit und der Zweckbindung ist die Verwendung anonymisierter Daten insbesondere nur dann erlaubt, wenn es sich um eine echte Anonymisierung handelt. Oft werden Daten als „anonym“ bezeichnet, sind es aus DSGVO-Sicht aber keineswegs, weil andere miterhobene Informationen eine Identifikation weiterhin ermöglichen. Daten sind nur dann anonym, wenn aus der Kombination verschiedener anonymisierter Datensätze keinerlei Rückschlüsse auf einzelne Personen möglich sind.
Datenkontrolle für die Nutzer
Die Hoheit über die verarbeiteten Daten sollte bei den Nutzern liegen. Es muss ihnen ermöglicht werden, einzelne Funktionen der Datenverarbeitung zu erkennen und ggf. abschalten zu können. Bei vielen IoT-Lösungen sind solche Optionen jedoch gar nicht vorgesehen bzw. nur sehr eingeschränkt.
Technisch-organisatorische Schutzmaßnahmen, insbesondere Verschlüsselung
Laut Gemalto, einem weltweit führenden Unternehmen für digitale Sicherheit, verschlüsseln ungefähr zwei Drittel der IoT-Unternehmen alle Daten, die durch ihre Geräte erfasst und zur Analyse genutzt werden. Bei allen andern Geräten können Klardaten einfach ausgelesen und ggf. missbraucht werden.
Schutz vor Profiling
Die Nutzer können vielfach direkt oder indirekt identifiziert werden, sei es z.B. durch die Gerätekennzeichnung oder eine Registrierung der Nutzer für ein bestimmtes Gerät. Die IoT-Daten können so zu Nutzerprofilen und zum sog. Tracking (deutsch: Verfolgung) führen. Oftmals werden so Standortdaten der Geräte und ihrer Nutzer erhoben, gespeichert und ausgewertet, die Rückschlüsse auf Personen und ihr Verhalten zulassen. IoT-Anbieter müssen hierfür eine entsprechende Rechtsgrundlage haben (z.B. eine Einwilligung der Nutzer).
Schutz sensibler Daten
IoT-Lösungen verarbeiten oftmals Daten, die unter die besonderen Kategorien personenbezogener Daten nach Art. 9 DSGVO fallen, z.B. Gesundheitsdaten. Im Hinblick auf die Rechtsgrundlage sind hier die besonderen Anforderungen von Art. 9 DSGVO zu beachten.
Fazit
Abschließend muss festgehalten werden, dass in Bezug auf IoT-Datenschutz großer Handlungsbedarf besteht. Allgemeine Handlungsempfehlungen sind aufgrund der Mannigfaltigkeit an Ausgestaltungen und Einsatzbereichen von IoT kaum möglich. Mithin ist eine ganzheitliche Betrachtung der konkreten IoT-Anwendung erforderlich. Die oben aufgezählten datenschutzrechtlichen Aspekte sind hier ein zu beachtender Anhaltspunkt. Insbesondere sollten die Grundsätze des Datenschutzes durch Technikgestaltung (Privacy by Design) und durch datenschutzfreundliche Voreinstellungen (Privacy by Default) Beachtung finden.
Nora Lynn Rodiek, Dipl.-Jur. & B.Sc. (Univ.), Senior Consultant & Legal Counsel bei der mip Consult GmbH, Studium: Jura & Wirtschaftswissenschaften. Datenschutzbeauftragte (DEKRA), Fachkraft für Datenschutz (DEKRA), Betrieblicher Gesundheitsmanager (TÜV).
