Datenschutz im Smart Home

Privacy by Default

Privacy by Default steht für datenschutzfreundliche Voreinstellungen. Das betrifft bei IoT-Geräten besonders die Registrierung, die der Nutzer durchführen soll, und insgesamt die App. Es dürfen keine Daten vom Nutzer abgefragt oder Einwilligungen verlangt werden, die nicht für den Service erforderlich sind. Sofern verwendet müssen folgende Einwilligungen per Default abgeschaltet sein. Sie dürfen nur verwendet werden, wenn der Nutzer explizit zustimmt:

• Nutzen der Daten für oder Senden von

personalisierter Werbung.

• Übertragung Diagnosedaten an den Hersteller,

z.B. zur Softwareverbesserung.

• Übertragung des Standorts.

• Teilen von Daten, d.h. Daten sind für

andere Nutzer sichtbar.

• Weitergabe von personalisierten Daten

an Dritte (Nicht-Nutzer).

Aus Privacy by Default und anderen gesetzlichen Regelungen leitet sich ab, dass das IoT-Gerät keine Sprache (z.B. zur Spracherkennung) und kein Bild übertragen darf, sofern es dem Nutzer nicht offensichtlich sein muss, dass diese Übertragung eine Kernfunktion des Gerätes ist.

Darauf kommt es im Umgang mit personenbezogenen Daten an. (Bild: TÜV Rheinland AG)

Die No-Gos

Die Verkettung von Datensätzen aus unterschiedlichen Quellen macht aus harmlosen Daten plötzlich sensible. Dazu ein Beispiel: Ein smarter Anwesenheitssensor im Büro steuert das Licht. Werden die Daten gespeichert und mit dem Raumverzeichnis verkettet, lassen sich Mitarbeiter-Listen erstellen, wer wann wie oft und wie lange sein Büro verlässt. Zumindest ist dies bei Einzelbüros möglich. Die Verkettung von Daten ist nach dem BDSG untersagt, vor allem um Profilbildung zu verhindern. Da Speicherplatz praktisch nichts kostet, hebt man Daten gern auf. Diese Vorratsdaten-Speicherung ist nicht zulässig. Unzulässig ist selbstverständlich auch die Täuschung. Es muss transparent sein, wo welche Daten und zu welchem Zweck erhoben werden. Versteckte Kameras oder Sensoren soll es nicht geben. Ebenso dürfen Sensoren nicht für Zwecke missbraucht werden, die man nicht erwartet.

Ein Beispiel sind Wagen, die in einigen Personenschleusen und vielen Aufzügen eingebaut sind. Der Nutzer würde getäuscht, wenn damit sein Gewicht protokolliert werden würde. Die Weitergabe oder gar der Verkauf personenbezogener Daten ist nicht zulässig, abgesehen von eng definierten Ausnahmen. Das ist vor allem im privaten Bereich, also bei Wohngebäuden, ein kritischer Punkt. Mancher Anbieter smarter Geräte lässt sich über einen Absatz in der Datenschutzerklärung vom Nutzer pauschal genehmigen, aufbereitete Sensor-Daten an die Werbewirtschaft oder sogar an Finanzdienstleister weiterzugeben. Die Nutzung des Gerätes wird an vertragliche Vereinbarungen gekoppelt, die nicht für den Nutzungs-Zweck erforderlich wären. Mit dem neuen BDSG ist mit solchen Vereinbarungen Schluss.

Daten sind das neue Öl

Hinter allen Regelungen steckt die Erkenntnis: ‚Daten sind das neue Öl‘, die ’neue Währung‘ oder ‚der vierte Produktionsfaktor‘. Daten haben einen hohen Wert, den es zu schützen gilt. Gleichzeitig treiben Daten die Wirtschaft voran und ihre Sabotage kann erhebliche wirtschaftliche und soziale Auswirkungen haben. Dass es dafür jetzt neue gesetzliche Vorschriften gibt, erscheint absolut konsequent. Die Unternehmen sollten das nicht nur als Zwang, sondern als Chance sehen. Sie können sich durch vorbildlichen Datenschutz profilieren und die große Zahl potenzieller Kunden ansprechen, die den IoT-Geräten kritisch gegenüberstehen, weil sie sich Sorgen um ihre Privatsphäre machen. TÜV Rheinland hilft dabei. Er hat auf Basis der DSGVO technische Anforderungskataloge und Prüfprogramme entwickelt, mit denen IoT-Geräte und die zugehörigen Services getestet werden. Bei erfolgreicher Prüfung wird ein Zertifikat erteilt. Damit zeigt der Anbieter den Aufsichtsbehörden, seinen Händlern und den Verbrauchern, dass er ein hohes Niveau an Datenschutz und Datensicherheit einhält.

Autor: Dipl.Inform. Günter Martin,
Solutions Director im Global Competence Center für IoT-Privacy,
TÜV Rheinland,
www.tuv.com

Seiten: 1 2Auf einer Seite lesen

TÜV Rheinland AG
www.tuv.com

Das könnte Sie auch Interessieren