Schützen von Daheim-Daten

Dossier

Smart Home - Die EU hat den Datenschutz auf eine neue Grundlage gestellt – mit Folgen für Anbieter und Nutzer von Smart-Home-Produkten und Smart-Building-Produkten.

27. Februar 2018

Smarte Geräte und Installationen erobern den Markt. Gemeint sind Geräte, die am Internet angeschlossen sind, also IoT(Internet of Things)-Geräte, und dem Verbraucher damit zusätzliche Dienste anbieten.

Das Licht wird über eine App gesteuert und mit der Webcam wird die Immobilie überwacht. Hinzu kommen Rauchmelder, Bewegungssensoren, Klimatisierung und Rolladen-Steuerungen sowie viele Geräte mehr, die bei Smarthome und Smart Building verbaut werden. Die Geräte helfen, Energie zu sparen, erhöhen die Sicherheit und den Komfort für die Bewohner und Nutzer.

Vorbehalte

Marktforscher erwarten, dass es allein in Smarthome und Smart Buildings 12 Milliarden dieser Geräte bis 2021 geben wird. Trotz ihrer zahlreichen Vorteile gibt es auf Verbraucherseite starke Vorbehalte gegen IoT-Produkte. Denn IoT-Geräte beobachten Nutzer und ihre Umgebung permanent und senden entsprechende Daten an Anbieter oder Service-Provider. Die Sorge um Datenschutz und Datensicherheit hält Käufer davon ab, verstärkt zu investieren und ist daher für Hersteller und Systemanbieter ein wesentliches Markthemmnis.

Neue Gesetze

Die Europäische Datenschutzgrundverordnung (EU-DSGVO) beziehungsweise General Data Protection Regulation (GDPR) stellt den Datenschutz auf eine neue Grundlage und enthält nicht nur deutlich mehr sowie strengere Anforderungen als das bisherige Bundesdatenschutzgesetz, sondern auch drastischere Sanktionen. Künftig sind 20 Millionen Euro oder vier Prozent des weltweiten Jahresumsatzes des Unternehmens bei Verstößen fällig.

Zum Tragen kommt dabei immer der vergleichsweise höhere Betrag. Wichtig: Die DSGVO kommt ab dem 25. Mai 2018 zur Anwendung. Der deutsche Gesetzgeber hat bereits das Bundes-datenschutzgesetz (BDSG) neu formuliert und hundert weitere Gesetze angepasst. Anbieter von Geräten sowie diejenigen, die sie in Smart Buildings einsetzen, sollten sich daher zeitnah mit den neuen gesetzlichen Bestimmungen auseinandersetzen.

Zweckbindung

Wenn es um smartifizierte Gebäude geht, sind dabei die wichtigsten neuen Regelungen folgende: Werden Daten personenbezogen erfasst, etwa bei der Eingangskontrolle an einer Immobilie, dann sollten diese so schnell wie möglich entpersonalisiert werden, zum Beispiel durch Anonymisierung. Damit fallen sie aus dem Geltungsbereich des BDSG und können ohne Auflagen verwendet werden.

Die beiden wichtigsten Auflagen sind die Zweckbindung und die Einwilligung. Es muss fest definiert sein, zu welchem Zweck die Daten erhoben werden und der Betroffene muss zustimmen. Statt das individuell auszuhandeln, wird es im gewerblichen Umfeld durch Vereinbarungen – beispielsweise mit Arbeitnehmervertretern – geregelt. Auf alle Beteiligten kommt bei smarten Gebäuden mehr Verantwortung zu. Sie müssen wissen, dass eine Einwilligung immer an den Zweck gebunden sein muss. Der kann sich zwar später ändern, aber dann ist eine entsprechende Information darüber zwingend nötig, ebenso wie eine erneute Einwilligung.

Personenbezogene Daten

Keine Einwilligung ist nötig, aber eine Zweckbindung muss vorliegen, bei Aufgaben im öffentlichen Interesse, der Ausübung öffentlicher Gewalt sowie bei lebenswichtigen oder anderen genau abzuwägenden Interessen. Eng mit der Zweckbindung verbunden ist die Minimierung und Befristung personenbezogener Daten. Es sollen nur die Daten erhoben werden, die für den vereinbarten Zweck benötigt werden, und die Daten sollen sobald wie möglich wieder gelöscht oder entpersonalisiert werden. Dies hat spätestens zu erfolgen, wenn sie für den vereinbarten Zweck nicht mehr gebraucht werden.

Das BDSG behandelt nicht nur den Schutz der Daten, sondern auch die Sicherheit der Verarbeitung. Speziell im baulichen Umfeld soll hier auf die Verschlüsselung hingewiesen werden. Es wird baulich kaum möglich sein, Datenleitungen zu smarten Geräten gegen unberechtigten Zugriff zu schützen. Bei der Funkübertragung gilt dies noch mehr. Daher soll die Datenübertragung immer verschlüsselt erfolgen.

Erkenntnisse

Grundsätzlich gilt: Solange sich aus den gewonnen Daten keine personenbezogenen Erkenntnisse gewinnen lassen, ist das im Sinne des BDSG unkritisch. Falls doch, ist Zurückhaltung angesagt: Die Verkettung von Datensätzen aus unterschiedlichen Quellen macht aus harmlosen Daten plötzlich sensible. Dazu ein Beispiel: Ein smarter Anwesenheitssensor im Büro steuert das Licht. Werden die Daten gespeichert und mit dem Raumverzeichnis verkettet, lassen sich Mitarbeiterlisten erstellen, wer wann, wie oft und wie lange sein Büro verlässt.

Die Verkettung von Daten ist nach dem BDSG untersagt, vor allem um Profilbildung zu verhindern. Es darf nicht sein, dass zusätzlich zur offiziellen Personalakte eine Datenbank entsteht, die umfassend Auskunft über das individuelle Verhalten gibt. Ebenfalls nicht zulässig ist die Vorratsdaten-Speicherung.

Unzulässig ist auch die Täuschung. Es muss transparent sein, wo welche Daten und zu welchem Zweck diese erhoben werden. Die Weitergabe oder gar der Verkauf personenbezogener Daten ist ebenfalls nicht zulässig, abgesehen von eng definierten Ausnahmen. Das ist vor allem im privaten Bereich, also bei Wohngebäuden, ein kritischer Punkt.

Mancher Anbieter smarter Geräte lässt sich über einen Absatz in der Datenschutzerklärung vom Nutzer pauschal genehmigen, aufbereitete Sensordaten an die Werbewirtschaft oder sogar an Finanzdienstleister weiterzugeben. Die Nutzung des Gerätes wird an vertragliche Vereinbarungen gekoppelt, die nicht für den Nutzungszweck erforderlich wären. Mit dem neuen BDSG ist mit solchen Vereinbarungen Schluss.

Günter Martin, TÜV Rheinland

Erschienen in Ausgabe: 02/2018

Schlagworte