Das Internet of Things – neue Herausforderungen im Datenschutz
Das Internet of Things (IoT) breitet sich immer weiter aus und erobert verschiedenste Arbeits- und Lebensbereiche. Die denkbaren Ausgestaltungsformen und Einsatzmöglichkeiten sind vielfältig; sie alle verbindet aber, dass Geräte des IoT untereinander vernetzt sind und miteinander kommunizieren, indem sie kontinuierlich Daten austauschen und verarbeiten. Das IoT ist per Definition datengetrieben und datenbedürftig. Dies bringt neue rechtliche Herausforderungen, bei deren Lösung es jeweils auf den konkreten Anwendungsfall ankommt. Handelt es sich bei den genutzten Daten allerdings um personenbezogene Daten, gelten natürlich stets die Regelungen der Datenschutz-Grundverordnung (DSGVO). Unabhängig von der Frage des Personenbezugs müssen auch die im Einzelfall bestehenden Anforderungen an die Datensicherheit untersucht und ein sachgerechtes Datensicherheitskonzept entwickelt und implementiert werden.
Wie das genau gelingt, was Entwickler und Anwender beachten sollten und wo typische Stolperfallen lauern können, verrät Ihnen dieser Beitrag.
Was steckt hinter dem IoT?
Kurzum beschreibt IoT den automatisierten Informationsaustausch zwischen physischen und virtuellen Dingen. Grundprinzip ist dabei die Datenübertragung zwischen zahlreichen unterschiedlichen Systemen mit Hilfe von Netzwerktechnologien. Die smarten, vernetzen Geräte können immer mehr Aufgaben automatisiert für ihre Anwender durchführen und Informationen für andere Geräte bereitstellen. Wesentliche Grundlage dafür ist die Kommunikation zwischen den Geräten, die sogenannte Machine-to-Machine-Kommunikation.
Das bringt einen breiten Anwendungsbereich und viele Vorteile: Prozesse können automatisiert, optimiert, wirtschaftlicher und energieeffizienter ausgestaltet werden. Unternehmen können, durch die mit IoT gewonnenen Daten ihre Abläufe verbessern, Reibungsverluste verringern und viele Aufgaben automatisieren. So steigt die Zufriedenheit von Mitarbeiter:innen sowie Kunden und es können Kosten gesenkt werden. Einer der größten Vorteile des IoT ist die Erhebung sehr präziser Daten in großen Mengen und deren Analyse in Echtzeit. In Kombination mit Anwendungen der Künstlichen Intelligenz (KI) sind die genannten Vorteile bereits jetzt vielen Unternehmen auch ohne große IT-Budgets über Dienstleister wie zum Beispiel SAP, Salesforce oder IBM zugänglich.
Dieses Potenzial sorgt dafür, dass viele Branchen und Sektoren IoT-Technologien integrieren; von der Produktion in der Industrie 4.0 über die Digitalisierung des öffentlichen Sektors, neue Mobilitäts- und Logistiklösungen bis hin zu Assistenzsystemen für die Pflege oder der Vernetzung der städtischen Infrastrukturen (Energie, Umwelt, Verkehr).
IoT und die DSGVO
Soweit im Zusammenhang mit den Anwendungen von IoT-Geräten personenbezogene Daten verarbeitet werden, sind die datenschutzrechtlichen Regelwerke auf unionsrechtlicher und teilweise auch nationaler Ebene einschlägig. Dies ist hauptsächlich die DSGVO; daneben sind aber auch die Regelungen zu beachten, die sich aus der RL 2002/58/EG (ePrivacy-RL) ergeben. Die ePrivacy-RL wurde in Deutschland hauptsächlich durch die Datenschutzregelungen des TKG und des TTDSG umgesetzt. Die Anwendbarkeit dieser Regelungen kann für solche IoT-Anwender wichtig werden, die die Übertragungsleitung für ihre IoT-Anwendung nicht von einem Netzbetreiber beziehen, sondern diese selbst erbringen. In der Zukunft könnte auch die geplante ePrivacy-VO neue Regelungen bringen – es bleibt jedoch abzuwarten ob und wann diese Verordnung verabschiedet wird.
Das könnte Sie auch interessieren:
- Orientierungshilfe zum TTDSG – Was gibt uns die Datenschutzkonferenz mit auf den Weg?
- Rechtsfragen im Metaverse – Eine neue virtuelle Welt aus Sicht des Datenschutzes
- Künstliche Intelligenz: Überblick und Ausblick auf die KI-Verordnung
Mit Anwendung der DSGVO gilt die allgemeine Regelung, dass die Erhebung, Verarbeitung und Speicherung personenbezogener Daten grundsätzlich verboten ist, wenn es dafür keine gesetzliche Grundlage gibt bzw. die betroffene nicht Person eingewilligt hat. Dabei kann sich gerade für IoT-Anwendungen das rechtssichere Einholen von Einwilligungen als anspruchsvoll erweisen; auch kann diese vom Betroffenen jederzeit widerrufen werden und ist daher wenig praktikabel. Gerade im Beschäftigungsverhältnis ist eine Einwilligung grundsätzlich schwierig. Daneben gibt es die Möglichkeit der Rechtmäßigkeit der Datenverarbeitung, wenn die Datenverarbeitung für die Durchführung eines Vertragsverhältnisses notwendig ist oder der Verarbeiter ein berechtigtes Interesse an der Nutzung der Sensoren hat. Natürlich sollte das vor der Anwendung von Spezialisten ausführlich geprüft und diese Prüfung dokumentiert werden.
Mit der DSGVO sind auch die in ihr verankerten Grundsätze für die Verarbeitung einzuhalten. Diese finden sich in Art. 5 DSGVO. Namentlich sind dies die Rechtmäßigkeit, die Verarbeitung nach Treu und Glauben und die Transparenz (Abs. 1 lit. a), der Grundsatz der Zweckbindung mit Ausnahme für Forschungszwecke (Abs. 1 lit. b), die Datenminimierung (Abs. 1 lit. c), die Datenrichtigkeit (Abs. 1 lit. d), die Speicherbegrenzung (Abs. 1 lit. e) sowie die Integrität und Vertraulichkeit (Abs. 1 lit. f).
Nach den Prinzipien der Datensparsamkeit und der Zweckbindung ist die Verwendung anonymisierter Daten insbesondere nur dann statthaft, wenn es sich um eine echte Anonymisierung handelt. Häufig werden Daten vorschnell als „anonym“ bezeichnet, sind es aus DSGVO-Sicht aber nicht, da auch unscheinbare Information zu einer Identifizierung führen können. Daten sind erst dann anonym, wenn aus der Kombination verschiedener anonymisierter Datensätze keinerlei Rückschlüsse auf einzelne Personen mehr möglich sind. In der Forschung spricht man deshalb erst von einer Anonymisierung, wenn jegliche mögliche Datenkombination zu mindestens zwei Treffern führt. Je höher die Anzahl der Treffer (Personen, auf die die Daten zutreffen), desto sicherer ist der Datensatz.
Hat eine Verarbeitung von personenbezogenen Daten aufgrund der Art, des Umfangs, der Umstände und dem Zweck der Verarbeitung und „insbesondere bei Verwendung neuer Technologien“ voraussichtlich ein hohes Risiko für die Rechte und Pflichten natürlicher Personen zur Folge, muss der Verantwortliche eine Datenschutz-Folgenabschätzung (DSFA) durchführen, Art. 35 DSGVO. Das ist bei IoT-Anwendungen erfahrungsgemäß zwar nicht immer, aber doch überdurchschnittlich häufig der Fall. Eine DSFA bietet die Möglichkeit, Sicherheitslücken frühzeitig zu erkennen und adäquate Maßnahmen zur Erhöhung der Datensicherheit umzusetzen. Dabei handelt es sich allerdings nicht um ein einmaliges Verfahren, sondern um einen kontinuierlichen Prozess: Ändern sich Details eines entsprechenden Datenverarbeitungsvorganges, kann eine erneute Prüfung erforderlich werden.
Handlungsempfehlungen
Aufgrund der Diversität möglicher Ausgestaltungen und Einsatzbereichen lassen sich keine generellen Handlungsformulierungen empfehlen; es ist eine individuelle ganzheitliche Beratung geboten.
Grundsätzlich immer müssen aber die (geltenden und zukünftigen) datenschutzrechtlichen und IT-Sicherheitstechnischen Anforderungen frühestmöglich identifiziert und auf Grundlage eines sachgerechten Sicherheits- und Datenschutzkonzepts berücksichtigt werden. Dabei müssen insbesondere bei IoT-Projekten die gesetzlich verankerten Grundsätze des Datenschutzes durch Technikgestaltung (Privacy by Design) und im Fall von nutzer-gerichteten Anwendungen der datenschutzfreundlichen Voreinstellungen (Privacy by Default) beachtet werden.
Wir beraten Sie gern zu sämtlichen Fragen rund um um das IoT!