Wie das IoT den Datenschutz herausfordert

Das IoT: Datengetrieben, datenhungrig, datenbedürftig

Das Internet der Dinge (IoT) beschreibt das Konzept der gezielten Vernetzung von physischen Gegenständen mit dem Internet. Die Geräte kommunizieren miteinander und mit ihren Nutzern, arbeiten selbstständig und bedürfen keiner regelmäßigen Kontrolle durch die Nutzer. Präzise Daten in großen Mengen werden erhoben und in Echtzeit analysiert. Kombiniert mit KI-Anwendungen ergeben sich breite und mächtige Anwendungsfelder für Unternehmen nahezu jeder Größe und Branche.

Längst hat das IoT nahezu all unsere Lebensbereiche durchdrungen, ist weder aus der Welt der Industrie 4.0 noch aus unserem persönlichen Alltag in Privathaushalten mehr wegzudenken. Um die typischerweise zur Veranschaulichung der Möglichkeiten des IoT herangezogenen Paradebeispiele des autonomen Fahrens, der Smart City oder der Personalisierung und Optimierung der Gesundheitsversorgung zu realisieren, ist das IoT auf riesige Mengen an Daten angewiesen.

Sind Sicherheitsrisiken IoT-immanent?

Da es sich bei diesen Daten zu weiten Teilen um personenbezogene Daten handelt, stellen das IoT und seine Anwendungen gänzlich neue Herausforderungen an den Datenschutz und das informationelle Selbstbestimmungsrecht von Personen. In dieser Hinsicht sei an die breite öffentliche Diskussion erinnert, die darüber geführt wurde, dass Wearables wie Smart Watches und Fitnesstracker Gesundheitsdaten erheben. Intensiv diskutiert wurde auch die Notwendigkeit zur flächendeckenden Ausstattung des öffentlichen Raums mit bewegungssensitiven Sensoren, um autonomes Fahren zu ermöglichen.

Als Skandal ging der Fall des Datenlecks in WLAN-Glühbirnen, den Smart Lights, Anfang des letzten Jahres durch die Presse. Dieser machte darauf aufmerksam, dass Kriminelle die Sicherheitslücken in IoT-Geräten leicht ausnutzen können, um sensible Daten zu stehlen und Lösegeldforderungen zu stellen. Im Falle des Verlusts von sensiblen Unternehmens- und Kundendaten ein Horrorszenario! Um dem vorzubeugen braucht es verbindliche Sicherheitsstandards, Best Practices und allgemein anerkannte Zertifikate. Ein datenschutzkonformer Einsatz ist möglich, bedarf aber klarer Regeln und Rahmenwerke.

Das IoT und die DSGVO

Die DSGVO greift natürlich auch im Bereich des Internets der Dinge. Seit Mai 2018 regelt die Datenschutzgrundverordnung die Grundregeln im Umgang mit der Verarbeitung personenbezogener Daten auf europäischer Ebene. Die DSGVO greift im Zusammenhang mit IoT-Anwendungen aber selbst verständlich nur dann, wenn diese Anwendung überhaupt personenbezogene Daten verarbeitet. In folgenden Fällen liegt eine solche Personenbeziehbarkeit bei Anwendungen des Internet of Things vor:

• Akustische, optische oder biometrische Sensoren, die personenbezogene Daten verarbeiten, kommen zur Anwendung.
• Der Einsatzort eines Sensors ermöglicht es, Rückschlüsse auf die Gewohnheiten einer Person abzuleiten (z. B. Bewegungssensoren).
• Ein Personenbezug entsteht, sobald sich ein Nutzer mit Namen oder anderen Identifikationsmerkmalen anmeldet, um die IoT-Anwendung nutzen oder steuern zu können.
• Kommuniziert ein Nutzer mit einer IoT-Anwendung, können beispielsweise die Verarbeitung von IP-Adressen oder die Auswertung von MAC-Adressen zur Anwesenheitserkennung zur Personenbeziehbarkeit führen.

Es liegt in der Hand des Betreibers einer IoT-Anwendung, dafür zu sorgen, dass DSGVO konforme Datenschutz- und Datensicherheitskonzepte gelten. Anwenderunternehmen müssen hierzu eine Datenschutzfolgenabschätzung (DSFA) nach DSGVO erstellen. Unternehmen sollten beim Einsatz von IoT-Anwendungen darauf achten, dass die Sensoren nicht mehr Daten erheben als zur Erfüllung des wirtschaftlichen Zwecks unbedingt notwendig. Nach der DSGVO sind die Prinzipien der Datensparsamkeit und der Zweckbindung einzuhalten. Die Verwendung anonymisierter Daten ist nur dann statthaft, wenn es sich um eine echte Anonymisierung handelt, sprich, wenn aus der Kombination verschiedener anonymisierter Datensätze keinerlei Rückschlüsse auf einzelne Personen mehr möglich sind.

Gesetzliche Regelwerke wie die DSGVO sollen zwar Ordnung und Rechtssicherheit gewährleisten. Doch das IoT ist gekennzeichnet durch die folgenden Aspekte:

• eine enorme Diversität und Breite
• eine Fülle verschiedenster Erscheinungsformen und Anwendungsgebiete
• eine rasante Entwicklung mit immer neuen Technologien und Einsatzfeldern

Kurz: Das IoT ist nicht statisch und daher mit einmalig formulierten Regeln nicht fassbar. Mit dem neuen 5G-Standard ist das Spielfeld für die nächste technologische IoT-Revolution bereits ausgerollt. Entsprechend flexibel und schnell anpassbar müssten die datenschutzrechtlichen Bestimmungen gestaltet sein. Kann Gesetzgebung derartiges überhaupt leisten und kann sie den Anforderungen des IoT überhaupt gewachsen sein?

Bedroht das IoT den Datenschutz? Es ist eher umgekehrt!

Das IoT ist schon jetzt und wird zukünftig noch in weit größerem Ausmaß einen erheblichen Wirtschaftsfaktor darstellen. Das Internet of Things setzt schließlich voraus, dass die internetfähigen Produkte zunächst erworben und eingesetzt werden müssen. Privatanwender, Unternehmen und der öffentliche Sektor gleichermaßen müssen erhebliche Investitionen tätigen, um überhaupt von den technologischen Standards profitieren zu können.

Für Unternehmen lohnen sich die Investitionen in IoT-Projekte dadurch, dass Prozesse effizienter gestaltet und Kundenbedürfnisse zielgerichteter erfüllt werden können, was wiederum Kosten einspart. Das Interesse, dem Internet der Dinge zu noch flächendeckenderer Verbreitung zu verhelfen, liegt zum einen also bei den herstellenden Tech-Unternehmen, bei den Kundenunternehmen und letztendlich auch bei Staaten, die ebenfalls von den wirtschaftlichen Potenzialen der Nutzung von IoT-Anwendungen profitieren.

Verbindliche Sicherheitsstandards könnten das Markthemmnis Datenschutzbedenken beseitigen, zur breiteren Akzeptanz von IoT-Technologien beitragen und dem IoT-Markt einen Schub geben. Die meisten Unternehmen schöpfen nämlich die bereits jetzt bestehenden Möglichkeiten von IoT noch nicht aus und konzentrieren sich auf die Optimierung bestehender Prozesse und Produkte, um Kosten zu senken. Bisher weit weniger im Fokus ist es, neue Businessmodelle oder Dienstleistungen zu entwickeln. Die Unsicherheit aufgrund fehlender zuverlässig datenschutzkonform operierender IoT-Anwendungen dürfte dabei eine gewichtige Rolle spielen. Die Studie „Internet of Things 2020“ von Computerwoche und CIO machte Bedenken in puncto Datenschutz und Sicherheit sogar als Hauptgrund für die Zurückhaltung vieler Unternehmen aus.

Momentan stellt der Datenschutz also eher eine Bedrohung für das Internet of Things dar denn umgekehrt. Um verbindliche und der rasanten Entwicklung anpassbare Regularien zu erarbeiten, sind jedoch alle Beteiligten in der Verantwortung. Ohne entsprechende Anstrengungen der Entwickler von IoT-Anwendungen ist keine gangbare und verlässlich rechtssichere Lösung für Unternehmen zu erwarten. Diese ist aber unbedingt notwendig, um eine Vertrauensbasis für die Zukunft zu schaffen. Hier liegt auch eine gewaltige Chance für europäische Entwickler, sich gegen die marktdominierende Macht außereuropäischer Anbieter Marktanteile erobern zu können.