Smarte Geräte und Installationen erobern den Markt. Gemeint sind Geräte, die am Internet angeschlossen sind, also IoT-Geräte, und dem Nutzer damit zusätzliche Dienste bieten. Der Zustand einer Pumpe wird überwacht; hinzukommen Verbrauchsdaten, aktive Nutzungszeiten und durchaus vieles mehr. Die Geräte helfen, Energie zu sparen, erhöhen die Sicherheit und den Komfort für den Nutzer. Zahlreiche erfolgreiche IIoT Lösungen bestätigen den großen Nutzen und Mehrwert, der sich letztendlich auch in den Prognosen für das Wachstum in diesem Segment wiederspiegelt.
Trotz ihrer zahlreichen Vorteile gibt es auf Nutzerseite starke Vorbehalte gegen IoT-Produkte. Denn sie beobachten Nutzer und ihre Umgebung permanent und senden entsprechende Daten an einen Host oder Service Provider. Die Sorge um Datenschutz und -sicherheit hält Käufer davon ab, verstärkt zu investieren und ist daher für Hersteller und Systemanbieter ein wesentliches Markthemmnis.
Neue gesetzliche Anforderungen
Die Europäische Datenschutzgrundverordnung (EU-DSGVO) bzw. General Data Protection Regulation (GDPR) stellt den Datenschutz auf eine neue Grundlage und enthält nicht nur deutlich mehr und strengere Anforderungen als das bisherige Bundesdatenschutzgesetz, sondern auch drastischere Sanktionen: Künftig sind 20 Mio. € oder 4 % des weltweiten Jahresumsatzes eines Unternehmens bei Verstößen fällig. Zum Tragen kommt dabei immer der vergleichsweise höhere Betrag.
Die DSGVO kommt seit dem 25. Mai 2018 zur Anwendung. Der deutsche Gesetzgeber hat bereits das Bundesdatenschutzgesetz neu formuliert und hundert weitere Gesetze angepasst. Anbieter von Geräten sowie diejenigen, die sie in IoT Lösungen einsetzen, sollten sich daher kontinuierlich mit ggf. neuen gesetzlichen Bestimmungen auseinandersetzen. Wenn es um smartifizierte Maschinen und Anlagen geht, sind dabei die wichtigsten neuen Regelungen folgende:
Werden Daten personenbezogen erfasst, etwa bei der Eingangskontrolle im Unternehmen, dann sollten diese so schnell wie möglich entpersonalisiert werden, zum Beispiel durch Anonymisierung. Damit fallen sie aus dem Geltungsbereich des BDSG und können ohne Auflagen verwendet werden.
Die beiden wichtigsten Auflagen sind die Zweckbindung und die Einwilligung. Es muss fest definiert sein, zu welchem Zweck die Daten erhoben werden, und der Betroffene muss zustimmen. Statt das individuell auszuhandeln, wird es im gewerblichen Umfeld durch Vereinbarungen, z.B. mit Arbeitnehmervertretern, geregelt. Dabei ist zu beachten, dass eine Einwilligung immer an den Zweck gebunden sein muss. Der kann sich später ändern, so dass dann eine entsprechende Information darüber zwingend ebenso notwendig ist wie eine erneute Einwilligung.
Eng mit der Zweckbindung verbunden ist die Minimierung und Befristung personenbezogener Daten. Es sollen nur die Daten erhoben werden, die für den vereinbarten Zweck benötigt werden, und die Daten sollen sobald wie möglich wieder gelöscht oder entpersonalisiert werden. Dies hat spätestens zu erfolgen, wenn sie für den vereinbarten Zweck nicht mehr gebraucht werden.
Das BDSG behandelt nicht nur den Schutz der Daten, sondern auch die Sicherheit der Verarbeitung. Speziell im betrieblichen Umfeld soll hier auf die Verschlüsselung hingewiesen werden. Es wird kaum möglich sein, Datenleitungen zu smarten Geräten gegen unberechtigten Zugriff zu schützen. Bei der Funkübertragung gilt dies noch mehr. Daher soll die Datenübertragung immer verschlüsselt erfolgen.
Personenbezogene Erkenntnisse Grundsätzlich gilt: Solange sich aus den gewonnen Daten keine personenbezogenen Erkenntnisse gewinnen lassen, ist das im Sinne des BDSG unkritisch. Falls doch, ist Zurückhaltung angesagt. Die Verkettung von Datensätzen aus unterschiedlichen Quellen macht aus harmlosen Daten plötzlich sensible.
Dazu ein Beispiel: Ein smarte Maschinensteuerung eines Bearbeitungszentrums muss wird durch einen Mitarbeiter über einen Berechtigungschip aktiviert. Werden die Daten gespeichert und mit dem Produktionsplan verkettet, lassen sich Mitarbeiterlisten erstellen, wer wann wie oft und wie lange an einer Maschine gearbeitet hat.
Die Verkettung von Daten ist nach dem BDSG untersagt, vor allem um Profilbildung zu verhindern. Es darf nicht sein, dass zusätzlich zur offiziellen Personalakte eine Datenbank entsteht, die umfassend Auskunft über das individuelle Verhalten gibt. Vor allem muss die Zweckbindung der Daten in den Geschäftsprozessen festgeschrieben sein. Eine Vorratsdatenspeicherung für heute noch nicht bekannte Zwecke im Sinne einer Big-Data-Analyse ist damit praktisch ausgeschlossen, solange die Daten personenbezogen sind. Für anonymisierte oder pseudonymisierte Daten ist dies unkritisch. Ein gutes Verfahren zur Pseudonymisierung findet sich in der in [1] genannten Quelle.
Ebenfalls nicht zulässig sind die Vorratsdatenspeicherung und auch die Täuschung. Es muss transparent sein, wo welche Daten und zu welchem Zweck erhoben werden. Die Weitergabe oder gar der Verkauf personenbezogener Daten ist ebenfalls nicht zulässig, abgesehen von eng definierten Ausnahmen. Das ist vor allem im privaten Bereich kritisch. Mancher Anbieter smarter Geräte lässt sich über einen Absatz in der Datenschutzerklärung vom Nutzer pauschal genehmigen, aufbereitete Sensordaten an die Werbewirtschaft oder an Finanzdienstleister weiterzugeben. Die Nutzung des Gerätes wird an vertragliche Vereinbarungen gekoppelt, die nicht für den Nutzungszweck erforderlich wären. Mit dem neuen BDSG ist mit solchen Vereinbarungen Schluss.
Diensteanbieter
Auch für Diensteanbieter gilt es, einiges im Zusammenhang mit den neuen Regeln zu beachten: Die smarten Geräte sind über das Internet mit dem Server eines Diensteanbieters verbunden. Üblicherweise stellen die Diensteanbieter dem Nutzer eine App zur Verfügung, mit deren Hilfe er über den Server auf seine Geräte zugreifen und sie steuern kann. Dieser Service muss selbstverständlich die DSGVO einhalten. Denn alle Daten, die aus der Privatsphäre des Nutzers kommen, sind persönlich und können durch die erforderliche Registrierung oder zumindest durch die IP-Adresse dem Nutzer zugeordnet werden. Damit ist kann sich letzendlich auch ein Personenbezug ergeben.
In der Folge müssen Diensteanbieter jetzt ebenfalls strengere Regeln als vorher in Bezug auf die Datenverarbeitung beachten. Dafür gelten in jedem Fall folgende Empfehlungen:
Passwortgeschützter Zugang mit individuellem Passwort;
Datenübertragung muss verschlüsselt erfolgen (z.B. https);
Webapplikation mit Sicherheitsmechanismen gegen Schwachstellen der OWASP-Top-10 (Open Web Application Security Project);
Datenbrüche erkennen können und innerhalb von 72 h den Aufsichtsbehörden und betroffenen Nutzern melden;
Patch- und Vulnerability-Management, Einspielen von (Sicherheits-) Updates ermöglichen;
Zweckbindung und Einwilligung mit Kopplungsverbot; der Nutzer muss nur dem zustimmen, was für den Service tatsächlich benötigt wird;
Nutzer hat das Recht auf Vergessenwerden, d.h. Löschen seiner Daten; hat der Anbieter Daten an Dritte weitergegeben, hat er diese zu benachrichtigen; diese Daten sind ebenfalls zu löschen;
Ton- oder Bildmitschnitte sollen vom Nutzer kontrolliert und gelöscht werden können;
Nutzer hat das Recht auf Datenübertragbarkeit (Portabilität) in einem „allgemein üblichen Format”;
Physische Sicherheit für den Zugriff auf Hardwareressourcen.
Für Diensteanbieter sind dabei nicht einzelne technische Maßnahmen entscheidend, sondern auch, dass sie bestimmte organisatorische Anforderungen erfüllen. Dazu zählt insbesondere das Installieren eines Patch- und Vulnerability-Managements, also das rechtzeitige Erkennen und Behandeln von Angriffen und das zeitnahe Bereitstellen von Sicherheits-Updates. Auch die Benachrichtigung der Aufsichtsbehörden und aller betroffenen Nutzer innerhalb von 72 h funktioniert nur, wenn die Prozesse dafür im Vorfeld eingerichtet sind.
Wichtig: Die IT-Architektur sollte so gestaltet sein, dass die erfassten Daten nur für den Zweck genutzt werden können, der mit dem Nutzer vertraglich vereinbart ist. Um diese „Datennutzungskontrolle“ direkt in die Informationsarchitektur zu integrieren, betritt die Informatik Neuland. Eine bereits einsatzfähige Lösung gibt es zum Beispiel von DIODE.io, einem Partnerunternehmen von Exosite [2].
Zuständigkeiten
Auf die Einhaltung der GDPR-Regeln (General Data Protection Regulation) achten die Datenschutzbehörden des Bundes und der Länder, bei denen auch jede Privatperson vermutete Verstöße melden kann. Aktiv sind auch die Verbraucherschutzorganisationen, die Bundesnetzagentur und das Bundeskartellamt. Seit Juni 2016 hat das Bundeskartellamt die Möglichkeit, Sektoruntersuchungen durchzuführen, um möglichen Verbraucherschutzverstößen auf die Spur zu kommen. Basierend auf dieser Kompetenz soll der Umgang der Hersteller von sog. Smart-Devices mit den Nutzerdaten näher beleuchtet werden. Dabei wird das Bundeskartellamt insbesondere die von den Herstellern verwendeten vertraglichen Bestimmungen unter die Lupe nehmen.
Literatur
[1] Zimmermann, M., u.a.: Differential Privacy. c’t, Heft 23/2016
[2] DIODE.io - Reclaim your digital sovereignty: Share and manage confidential files and connected assets.
Comments