Smart Home Device

Datenschutzrisiken im Internet of Things

Unter dem „Internet der Dinge“ wird eine Infrastruktur zwischen physischen und virtuellen Gegenständen verstanden, die sowohl mit dem Menschen als auch untereinander kommunizieren. Ein prominentes Beispiel für einen Gegenstand des IoT ist Alexa von Amazon. Lesen Sie hier, was diese Technologien für den Datenschutz bedeuten.

2020-01-07

Logo

Das Internet der Dinge (engl. Internet of Things, kurz: IoT) ist eine Entwicklung weg vom klassischen Personal Computer hin zu einer „smarten“ gegenständlichen Umgebung mit Geräten, die untereinander vernetzt sind und durch Künstliche Intelligenz immer weiter lernen und eigenständig Aufgaben erfüllen können. Während solche Technologien zwar das Potenzial haben unser Leben angeblich zu erleichtern, weil wir z.B. auf dem Heimweg per Smartphone schon mal die Wohnung einheizen oder per Sprachbefehl unsere Musik-Playlist starten können, sollten wir uns bewusst machen, dass jedes dieser Geräte Daten über uns sammelt (wie im extremen Beispiel vom Amazons Alexa). Außerdem verschmilzt unser privater Raum damit mehr und mehr mit dem Internet – bis eine klare Trennung wahrscheinlich nicht länger möglich sein wird.

 

Datenschutzrisiken im Internet der Dinge

Welche datenschutzrechtlichen Fragestellungen und Probleme wirft das Internet of Things zurzeit konkret auf?

  • Bestimmung des datenschutzrechtlich Verantwortlichen: Verantwortlich für den Datenschutz könnten z.B. der Hersteller, Geräteverleiher oder dritte Dienstanbieter sein. Sobald eine dritte Partei ins Spiel kommt, ist eine Einwilligung des Nutzers in die Weitergabe seiner Daten oder eine andere Rechtsgrundlage unverzichtbar.

  • IT-Sicherheitszertifizierung von IoT-Geräten: Das zentrale Problem ist hier, dass auch bei IoT-Geräten laufend Updates installiert werden müssen. Der Stand der IT-Sicherheit kann sich aber mit jedem Update wieder ändern, darum ist eine dauerhafte Aussage zur Sicherheit eines Geräts nur schwer möglich.

  • Intransparenter Datenfluss und unzureichende Aufklärung der User: Bisher werden Nutzer nicht ausreichend darüber informiert, welche Daten erfasst werden, wer Zugriff auf sie hat und wo bzw. wie lange sie gespeichert werden.

  • Fehlende Möglichkeit des Widerspruchs: Es ist bisher außerdem nicht möglich, der Datenverarbeitung zu widersprechen. Ganz ohne Datenerfassung werden die Geräte technisch nicht funktionieren können.  IoT-Geräte bieten bisher jedoch gar keine Optionen, mit denen man das Datensammeln zumindest einschränken könnte.

  • Unzureichende Verschlüsselung: In einer Umfrage von Gemalto gaben nur 59% der IoT-Unternehmen an, alle Daten zu verschlüsseln, die durch ihre Geräte erfasst und zur Analyse genutzt werden. Klardaten können, wenn sie in unbefugte Hände geraten, sehr einfach ausgelesen werden.

  • Sicherheitsrisiken für Unternehmen: Eine Infoblox-Studie zeigte, dass neben privaten Endgeräten vor allem die drastische Zunahme von IoT-Devices in Unternehmensnetzwerken für enorme Sicherheitsrisiken sorgt. Unternehmen sollten deshalb unbedingt den Überblick behalten, welche technischen Geräte bei ihnen genutzt werden und die Verwendung des Internets der Dinge kritisch analysieren.

Das Internet der Dinge könnte außerdem die Voraussetzungen für die von Artikel 35 DSGVO geforderte Datenschutzfolgenabschätzung (DSFA) erfüllen. Hat eine Verarbeitung von personenbezogenen Daten aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, muss der Verantwortliche eine DSFA durchführen. Inwieweit das bereits umgesetzt wird, ist als Außenstehender schwer zu beurteilen.

 

Sicherheitsstandards für IoT-Geräte

Aufgrund dieser Herausforderungen haben das Europäischen Komitee für Normung, die britische Regierung sowie der Digital Guardian nun erstmalig Sicherheitsstandards für IoT-Devices formuliert, nach denen sich sowohl Hersteller als auch Nutzer richten sollten. Diese lauten:

  • Keine Standardpasswörter verwenden
  • Individuelle Identität für jedes Gerät (z.B. durch eine Nummer) zur Authentifizierung festlegen
  • Richtlinien für das Verhalten im Falle eines Datenlecks implementieren
  • Software auf dem aktuellen Stand halten
  • Zugangsdaten und sicherheitsrelevante Daten sicher speichern
  • Verschlüsselte Kommunikation
  • Netzwerksegmentierung (dadurch können kompromittierte Geräte vom Rest des Netzwerks isoliert werden)
  • Personenbezogenen Daten schützen
  • System-Telemetriedaten (geben Auskunft darüber, wie eine Software genutzt wird und wie gut sie funktioniert) überwachen
  • Verbrauchern die einfache Löschung personenbezogener Daten ermöglichen
  • Installation und Wartung von Geräten vereinfachen
  • Eingabedaten überprüfen

Am 27.6.19 trat außerdem der „EU Cybersecurity Act“ in Kraft. Dieser schaffte u.a. ein EU-weites Rahmenwerk für die IT-Sicherheitszertifizierung von Produkten, Dienstleistungen und Prozessen. Frank Rieger, Sprecher des Chaos Computer Clubs, äußerte sich zu gesetzlich vorgeschriebenen Sicherheitsstandards wie folgt:

„Minimalstandards für die IT-Sicherheit auch hier in Deutschland gesetzlich festzulegen, ist definitiv ein erster kleiner Schritt in die richtige Richtung. Dass solche Selbstverständlichkeiten wie individualisierte Passwörter in ein Gesetz geschrieben werden müssen, ist ein klarer Hinweis darauf, dass vielen Herstellern die Sicherheit ihrer Kunden immer noch egal ist.“

Autorinnen: Maike Weiß und Kathrin Strauß
Artikel veröffentlicht am: 07. Januar 2020

Bitte beachten Sie: Allgemeine Beiträge können eine datenschutzrechtliche Beratung im Einzelfall nicht ersetzen. Für die Richtigkeit und Vollständigkeit unsere Blogbeiträge können wir keine Gewähr übernehmen. Inhalte beziehen sich immer auf die Rechts- und Faktenlage zum Zeitpunkt der Veröffentlichung und sind deshalb zum Zeitpunkt des Aufrufs möglicherweise nicht mehr aktuell.

In den von uns erstellten Artikeln, Leitfäden, Checklisten, Whitepaper und anderen Beiträgen wird aus Gründen der besseren Lesbarkeit das generische Maskulinum verwendet. Wir möchten betonen, dass sowohl weibliche als auch anderweitige Geschlechteridentitäten dabei ausdrücklich mitgemeint sind, soweit es für die Aussage erforderlich ist.

Aktuelle Beiträge zum Thema Datenschutz

Wir freuen uns auf Ihre Anfrage!

Telefon:

+49 89 / 250 039 220

Öffnungszeiten:

Mo. - Fr.: 09:00 - 18:00 Uhr