Objekte im Internet der Dinge (IoT) sind oft mit Sensoren ausgestattet, die es ihnen ermöglichen, Informationen aus ihrer Umgebung zu sammeln und diese mithilfe sogenannter Machine-to-Machine-Transmitter weiterzuleiten. Wann immer personenbezogene Daten verarbeitet werden, d.h. alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen, sollte man die DSGVO im Hinterkopf haben.
Was ist IoT und warum ist die DSGVO hier relevant?
IoT ist ein weit gefasster Begriff, der sich auf internetfähige Objekte bezieht, die direkt mit anderen internetfähigen Objekten kommunizieren können, indem sie elektronische Kommunikationsnetzwerke ohne menschliche Zwischenschaltung nutzen. Bei IoT-Objekten kann es sich um Babyphone, Fitness- und Gesundheits-Wearables, intelligente Medikamentenspender, Hausautomatisierungstechnologien, Autosysteme und sogar Kinderspielzeug handeln.
Die beiden wichtigsten IoT-Datenschutzbedenken…
1. Verarbeitung sensibler Daten & Einwilligung betroffener Personen
Für die Verarbeitung von sensiblen Daten, wie z. B. Gesundheitsdaten, ist eine Einwilligung erforderlich. Darüber hinaus ist jede automatisierte Entscheidungsfindung ohne Einwilligung (was wohl eines der Kernmerkmale von IoT ist) durch die DSGVO verboten, wenn sie “erhebliche Auswirkungen” auf eine Person hat, d. h. wenn sie das Potenzial hat, die Lebensumstände der betroffenen Personen erheblich zu beeinflussen. Ausgenommen davon ist die Datenverarbeitung , die zur Erfüllung eines Vertrags mit der betroffenen Person erforderlich ist.
Der Kern des IoT beruht auf dem Fehlen menschlicher Vermittlung bei der Machine-to-Machine-Kommunikation. Das erschwert den Erhalt der Einwilligung der betroffenen Person. Darüber hinaus verfügen IoT-Geräte in der Regel über keine Schnittstelle für die Anzeige der erforderlichen Datenschutzinformationen und der Einwilligungserklärung.
2. Einhaltung der Rechte der betroffenen Personen
Die DSGVO gibt Einzelpersonen umfangreiche Rechte in Bezug auf ihre persönlichen Daten, wie z. B. das “Recht auf Vergessenwerden”. IoT-Entwickler sehen sich bei der Entwicklung von IoT-Geräten oft mit Hindernissen konfrontiert, wenn es darum geht, die Fähigkeit zur Einhaltung dieser neuen Rechte einzubauen, wie z. B. die Interoperabilität. Da an der Datenverarbeitung und -analyse in der Cloud in der Regel mehrere Parteien beteiligt sind, und die Beziehungen zwischen den verschiedenen Parteien kompliziert sind, sollten Datenverarbeitungsverträge sorgfältig formuliert werden, damit die Unterstützung bei Anfragen der Betroffenen jederzeit sichergestellt ist.
Wie die Artikel-29 Datenschutzgruppe andeutet, findet die Kommunikation zwischen IoT-Geräten oft statt, ohne dass der Einzelne sich dessen bewusst ist. Das macht die Kontrolle der erzeugten Datenströme nahezu unmöglich.
… und die Schritte, um die Risiken für DSGVO Verstösse zu minimieren
1. Einwilligung erzielen
- Unternehmen sollten Einwilligungsmechanismen in ihre Geräte einbinden, wo immer möglich.
- Dort, wo die Einbettung technisch nicht möglich ist, sollten die notwendigen Datenschutzinformationen an mobile Geräte in der Nähe der IoT-Objekte gesendet werden, z. B. über eine spezielle App.
2. Den Benutzern die Kontrolle über den Datenfluss geben
Granulare Auswahl zur Datenerfassung ermöglichen
- Die Granularität sollte nicht nur die Kategorie der persönlichen Daten betreffen, sondern auch den Zeitpunkt und die Häufigkeit der Datenerfassung.
- Der Benutzer sollte informiert werden, wenn sein Gerät aktiv ist, z. B. über eine physische Schnittstelle oder durch Senden auf einem drahtlosen Kanal
- Die Option “keine persönlichen Daten sammeln” sollte ebenfalls angeboten werden, ähnlich wie beim Flugzeugmodus. In einem idealen “Privacy by Design”-Set-up muss der Benutzer eine Option aktivieren, damit das Gerät mit der Übertragung von Daten beginnt. Wenn diese nicht aktiviert wird, hat das Gerät immer noch zumindest eine eingeschränkte Funktionalität.
Datenweitergabe einschränken
- Rohdaten sollten in aggregierte Daten umgewandelt werden, bevor sie das Smart Device verlassen, und Rohdaten selbst sollten sofort gelöscht werden
Lokale Kontrolle
- Lokale Speicherung und Verarbeitung sollte ermöglicht werden, ohne dass die Daten übertragen werden müssen.
- Es könnten z.B. Tools bereitgestellt werden, mit denen Benutzer die Daten lokal lesen, bearbeiten und ändern können, bevor diese das Gerät verlassen.
Angemessene Sicherheitsmassnahmen implementieren
- Angriffsfläche reduzieren.
- Auf Schwachstellen testen und häufig Sicherheitsupdates versenden.
- Persönliche Daten verschlüsseln (sowohl im Ruhezustand als auch bei der Übertragung).
- M2M-Kommunikation über sichere Kanäle ermöglichen.
Datensammeln minimieren
- Die Datenerfassung sollte von vorneherein begrenzt werden, damit das Unternehmen sich nicht unnötigerweise um die Anonymisierung von zu vielen Daten kümmern muss.
- Folgende Punkte sollten insbesondere diskutiert werden:
- Ist die Datenerhebung DSGVO konform?
- Werden die Daten benötigt?
- Werden die Daten ein Hindernis für die Compliance darstellen?
Die wichtigsten Erkenntnisse zu IoT in Zeiten der DSGVO
Kurz gesagt, stellt der Datenschutz eine Herausforderung für IoT-Entwickler dar: Die Sicherstellung einer frei erteilten Einwilligung und die Gewährung von Betroffenenrechten sind nur einige der Hindernisse, denen sich Entwickler stellen müssen. Die Implementierung von Einwilligungsmechanismen, die Bereitstellung granularer Wahlmöglichkeiten bei der Datenerfassung, die Begrenzung der Datenweitergabe, die Durchsetzung lokaler Kontrolle und die Implementierung von Sicherheitsmassnahmen sind ein guter Anfang auf dem Weg zur vollständigen Einhaltung der DSGVO.
