Der Datenschutz und das Internet of Things
Datensicherheit bei IoT-Geräten nicht zufriedenstellend
Datenschutz und das Internet of Things (IoT; zu Deutsch: Internet der Dinge) lassen sich scheinbar nur schwer miteinander vereinbaren. Was den Datenschutz beim IoT so schwierig macht und was Anwender tun können, um sich und ihre Daten zu schützen, erklären wir in diesem Artikel.
IoT-Datenschutz so gut wie nicht existent
IoT-Geräte gibt es immer mehr. Mit der wachsenden Zahl der Anwendungen steigt aber auch die Unsicherheit gegenüber Datenschutz und Datensicherheit. Mehrere Untersuchungen und Studien, die bestätigen, dass es um die Datensicherheit bei IoT-Geräten nicht gut bestellt ist, machen das leider nicht besser.
Laut einer Umfrage von Gemalto sind nur 48 Prozent aller Unternehmen in der Lage, eine Sicherheitsverletzung bei einem ihrer IoT-Geräte zu erkennen. Immerhin sind die Ausgaben für den Schutz von elf Prozent des IoT-Budgets im Jahr 2017 auf nun 13 Prozent gestiegen. Dennoch: Der Datenschutz von IoT-Geräten erfordert besondere Maßnahmen.
Gesetzliche Regelungen für den Datenschutzes
Für einheitliche Datenschutzvorgaben sorgt die Datenschutz-Grundverordnung (DSGVO). Das bedeutet aber nicht, dass in allen Bereichen die gleichen Datenschutz-Maßnahmen erforderlich sind. Geht es um die Sicherheit der Verarbeitung (Artikel 32 DSGVO) werden die Maßnahmen „unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen“ ausgewählt.
Kurzum: Gibt es besondere Risiken für den Datenschutz, müssen spezielle Schutzmaßnahmen ergriffen werden. Zudem ist eine Datenschutzfolgenabschätzung (DSFA) nötig, die im Falle eines zu umsetzenden IoT-Projekts die konkreten Folgen für den Datenschutz analysiert und Maßnahmen benennt.
IoT-Verantwortliche in der Pflicht
Generell erfüllt das IoT die Voraussetzungen für die geforderte DSFA (Artikel 35 DSGVO): Besteht eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen, muss der Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durchführen.
Darauf sollte beim IoT-Datenschutz besonders geachtet werden:
a) Information und Einwilligung
Die Verarbeitung personenbezogener Daten im IoT ist nur dann zulässig, wenn sie auf einer informierten Einwilligung der Nutzer oder einer gesetzlichen Verpflichtung beruht. Die Hersteller sind verpflichtet, über Funktionen und Datenflüsse verständlich aufzuklären. Die Krux: Bei vielen IoT-Lösungen ist es technisch gar nicht möglich, eine Einwilligung anzufordern oder zu erteilen. Funktionen und Datenflüsse sind so nicht transparent für den Nutzer.
b) Datenkontrolle
Die Hoheit über die erhobenen beziehungsweise gespeicherten Daten liegt bei den Nutzern. Ihnen muss es ermöglicht werden, einzelne Funktionen der Datenverarbeitung zu erkennen und auch abzuschalten. Aber: Bei vielen IoT-Lösungen sind solche Optionen weder vorgesehen noch technisch umsetzbar.
c) Schutz vor Profiling
Es ist möglich, Nutzer direkt oder indirekt zu identifizieren – zum Beispiel durch die Gerätekennzeichen oder eine Registrierung der Nutzer für ein bestimmtes Gerät. Diese IoT-Daten können dazu genutzt werden, um Nutzerprofile zu erstellen. Nicht selten werden Standortdaten der Geräte und ihrer Nutzer erhoben, gespeichert und ausgewertet – und das ohne Einwilligung und Wissen der Betroffenen.
d) Schutz sensibler Daten
IoT-Lösungen verarbeiten oftmals Daten, die den besonderen Kategorien personenbezogener Daten zuzuordnen sind. Eine entsprechende Verschlüsselung der Daten erfolgt dennoch nicht. Beispiele für solche Daten sind unter anderem Gesundheitsdaten, die alle IoT-Geräte mit entsprechenden Apps auswerten. Auch die Verarbeitung von Standortdaten, die Rückschlüsse auf Personen und ihr Verhalten zulassen, ist weit verbreitet.
Fazit über die Datenschutzsituation im IoT-Bereich
Die oben genannten Beispiele machen die Datenschutz-Probleme im IoT deutlich. Werden diese Probleme nicht behoben, muss mit erhöhten Risiken für die betroffenen Personen gerechnet werden. Werden keine Gegenmaßnahmen eingeleitet, handelt es sich um eine Datenschutzverletzung. Es muss also leider festgehalten werden, dass es im IoT-Datenschutz noch eine Menge zu tun gibt.