Smarte Geräte, die ohne Unterstützung eines PCs oder eines Tablets Verbindungen ins Internet herstellen und dabei Daten sammeln, sind längst Realität. Diesen Teil der digitalen Revolution bezeichnet man als Internet of Things (IoT) - das Internet der Dinge. Das IoT verspricht immense Arbeitserleichterungen, Energieeinsparungen und wachsenden Komfort im Alltag des Nutzers. Je mehr der intelligenten, internetfähigen Gerätschaften den Markt erobern, desto aufmerksamer werden Datenschützer. Schließlich sammelt bereits ein simples Fitnessarmband hoch sensible personenbezogene Daten und lädt diese auf Plattformen sowie in Clouds unklarer Herkunft. Außerdem kann die Mehrzahl der Geräte zukünftig Vernetzungen und Verbindungen zwischen Daten herstellen, die in dieser Intensität anderweitig kaum zu finden sind. Andererseits ist die Entwicklung noch so neu, dass bisher weder technische, noch datenschutzrechtliche Standards für das IoT festgelegt werden konnten.
Internet of Things und Datenschutzrecht : (datenschutz-)rechtliche Probleme 4.0
Wenn sich innovative Technologien noch in einer Entwicklungsphase befinden, ringen die Beteiligten Hersteller und Wirtschaftsteilnehmer zunächst um die entsprechenden technischen Standards. Dies ist im Bereich IoT nicht anders. Zurzeit existiert keine Vereinheitlichung, wenn es um die technische Seite der Datenverarbeitung im Bereich Internet of Things geht. Ein weiterer Faktor, der das IoT rechtlich schwer greifbar macht, ist die hohe Internationalität dieses Geschäftsfeldes. Wenn ein in China oder USA hergestelltes Fitnessarmband in Deutschland eingesetzt wird, lädt es die Daten auch in Clouds, die auf Servern in den Herstellerländern angeboten werden. Ähnliches gilt für jeden smarten Fernseher, für jedes kommende smarte Auto und auch für den smarten Kühlschrank, der zukünftig selbstständig Lebensmittel über Amazon einkauft. Fehlen bereits die technischen Standards, ist eine rechtliche Standardisierung umso schwieriger zu erreichen. Schließlich muss der nationale und europäische Datenschutz ähnlich wie im Bereich Social Media auf globaler Ebene denken, wenn es um smarte Dinge geht. Ein weiterer Aspekt im Zusammenhang mit dem IoT ist die Frage der Sicherheit. Selbst wenn sich die Hersteller von datensammelnden smarten Geräten datenschutzrechtlichen Vorschriften unterwerfen, kann aufgrund noch fehlender Sicherheitsstandards in diesem Bereich verhältnismäßig leicht der illegale Zugriff von Dritten auf die Geräte erfolgen. Betrachtet man allein die dauerhaft kritische Sicherheitsproblematik bei Smartphones und PCs, ist kaum zu erwarten, dass ohne weitere Anstrengung aller Beteiligter im Bereich IoT mehr Sicherheit zu gewährleisten ist.
Internet of Things und Datenschutzrecht - erste Schritte zu einer Regulation
Allgemein sollte für das IoT im Hinblick auf personenbezogene Daten genau das gelten, was in allen anderen Bereichen auch gilt: Die Erhebung, Verarbeitung und Speicherung personenbezogener Daten ist grundsätzlich verboten, wenn es dafür nicht eine explizite gesetzliche Grundlage gibt oder der Nutzer entsprechend eingewilligt hat. Außerdem ist sparsam mit Datenerhebungen zu verfahren.
Hersteller von entsprechenden smarten Gerätschaften werden an dieser Stelle einwenden, dass der Verbraucher bereits mit dem Einsatz smarter Geräte in eine entsprechende Datenverarbeitung einwilligt. Außerdem sei es gerade Sinn und Zweck der Geräte, Daten zu sammeln. So einfach kann man sich die Sache allerdings nicht machen. Aufgrund der beschriebenen fehlenden technischen und auch regulatorischen Standards, fällt die Information über die Datennutzung gegenüber dem Verbraucher durch die internationalen Herstellerfirmen vielfach mager aus. Häufig machen sich Verbraucher überhaupt nicht klar, dass sie personenbezogene Daten in großem Umfang über ihr Fitnessarmband in das Nirvana des Internets schicken. Dabei handelt es sich auch noch um hochsensible Daten - nämlich Gesundheitsdaten.
Selbst wenn sich der Verbraucher seiner Einwilligung in die Datennutzung bewusst wird, ergeben sich im Zusammenhang mit dem IoT regulatorische Fragen über Fragen. Wie beispielsweise können persönliche Nutzerdaten von einem Hersteller zum anderen übertragen werden? Was geschieht mit den Daten, wenn der Nutzer das Gerät nicht mehr einsetzt? Gibt es überhaupt eine Möglichkeit, die entsprechenden Datenverarbeitungen bei den Herstellern zu kontrollieren? Wie kann die Anwendung des IoT technisch datenschutzrechtlich sicher werden?
Die seit Mai 2018 bindende EU-Datenschutzgrundverordnung reagiert in einzelnen Abschnitten auf das IoT. Beispielsweise sieht die DSGVO das Recht auf Datenübertragbarkeit für Betroffene vor. Auch können sich internationale Hersteller formal nicht mit einem Sitz außerhalb der EU den datenschutzrechtlichen Vorschriften entziehen, weil es darauf ankommt, wo sich die entsprechenden Geräte zur Datenverarbeitung befinden.
Internet of Things und Datenschutzrecht - Dranbleiben zählt
Die Integration datenschutzrechtlicher Standards in das IoT wird sowohl den Gesetzgeber, die Behörden als auch die Unternehmen in den nächsten Jahren, eventuell auch in den nächsten Jahrzehnten noch beschäftigen. Für in diesem Bereich tätige Unternehmen bietet die derzeitige Übergangssituation neben entsprechenden Herausforderungen große Chancen. Datenschutzkonformität wird immer mehr zu einem harten Wettbewerbsfaktor. Wer als Hersteller im Bereich IoT von Anfang an eine hohe Datenschutzsicherheit gewährleistet, dürfte gute Chancen haben, sich zukünftig entsprechend am Markt zu positionieren. Das Bewusstsein der Verbraucher für den Schutz ihrer persönlichen Daten wächst. Hier liegt also eine Möglichkeit für Hersteller im europäischen Raum, sich nicht nur technisch, sondern auch datenschutzrechtlich im Bereich IoT von internationaler Billig-Konkurrenz abzusetzen. Es wäre deshalb ein großer Fehler, industrieseitig das Thema Datenschutz bei der Gestaltung einer smarten Umwelt zu ignorieren. Das Thema Internet of Things und Datenschutzrecht bleibt spannend.
Artikel veröffentlicht am: 31. Januar 2018
