Computerwelt: Aktuelle IT-News Österreich


04.08.2017 Carlo Piltz *

Datenschutz: Welche Daten darf das Smart Home sammeln?

Die Geräte im Smart Home werden immer intelligenter und sammeln immer mehr Daten. Doch was darf der Hersteller mit ihnen machen? An Dritte weitergeben, wie es iRobot praktizieren will? Wir zeigen, wie es um Privatsphäre und Datenschutz im Smart Home bestellt ist.

Stein des Anstosses: Mit der Ankündigung, die von seinen Saugrobotern gewonnenen Daten an Dritte weiterzugeben, trat iRobot eine Diskussion um den Datenschutz im Smart Home los.

Stein des Anstosses: Mit der Ankündigung, die von seinen Saugrobotern gewonnenen Daten an Dritte weiterzugeben, trat iRobot eine Diskussion um den Datenschutz im Smart Home los.

© Cineberg - shutterstock.com

Das Medienecho war groß, als der Chef des US-amerikanischen Staubsaugerherstellers iRobot Corporation, ankündigte, Raumpläne von Wohnungen und Häusern an Dritte weitergeben zu wollen. Raumpläne, die von den Saugrobotern des Unternehmens während der Reinigung erstellt werden, um dem Roboter die Orientierung zu ermöglichen. Die Weitergabe der Daten solle mit Einwilligung der Kunden geschehen. iRobot begründet den Vorschlag unter anderem mit dem Nutzen der Karten für Anbieter von Smart Home-Anwendungen.

Schnell formierte sich Kritik, insbesondere zu Fragen des Datenschutzes. Doch wie steht es grundsätzlich um den Datenschutz im intelligenten und vernetzten Zuhause? Was sind die Vorgaben, an die sich die Anbieter der smarten Haushaltsgegenstände halten müssen, und darf iRobot wirklich die Kartendaten an Dritte weitergeben?

Personenbezug ist entscheidend
Zunächst muss beachtet werden, dass das geltende Datenschutzrecht überhaupt nur dann Anwendung findet, wenn es um einen Sachverhalt geht, in dem "personenbezogene" Daten verarbeitet werden sollen. Dieser Begriff wird in der Praxis sehr weit ausgelegt. Natürlich fallen hierunter etwa der Name oder die E-Mail-Adresse eines Nutzers. Aber auch die IP- oder die MAC-Adresse eines Gerätes können solch personenbezogene Daten darstellen. Anonymisierte Daten hingegen sind vom Anwendungsbereich des Datenschutzrechts ausgenommen. Im konkreten Fall, also der von iRobot erstellten Karte, müsste man sich die gesammelten Informationen anschauen, um dann entscheiden zu können, ob es sich um Informationen handelt, die sich auf eine bestimmte oder zumindest bestimmbare natürliche Person - so die gesetzliche Definition - beziehen. Oft wird dies aber der Fall sein, insbesondere dann, wenn iRobot die Kartendaten etwa mit den Nutzerkonten oder Registrierungsdaten der Kunden aus der App verbindet.

Das erlaubt der Datenschutz
Das in Europa existierende Grundprinzip im Datenschutzrecht lautet: personenbezogene Daten dürfen nicht verarbeitet werden, es sei denn, dass eine Einwilligung vorliegt oder eine gesetzliche Vorschrift den Datenumgang erlaubt. Dieses Prinzip gilt auch für die Datenverarbeitung durch Geräte im Smart Home. So ist es dem Gerätehersteller beispielsweise gesetzlich gestattet, jene personenbezogenen Daten des Kunden zu verarbeiten, die für die richtige Durchführung des Kaufvertrages oder aber für die Erbringung von Dienstleistungen notwendig sind. Wenn es, beispielsweise um die Fernwartung oder -diagnose des smarten Haushaltshelfers geht, kann der Hersteller die hierfür erforderlichen Daten verwenden.

Daran knüpft sich ein weiteres wichtiges Prinzip: der Zweckbindungs- und Datenminimierungsgrundsatz. Personenbezogene Daten dürfen zum einen grundsätzlich nur für jene Zwecke verwendet werden, für die sie ursprünglich erhoben wurden. Zum anderen muss der Umfang der erhobenen Daten nur auf den jeweils erforderlichen Zweck beschränkt bleiben. Oder anders ausgedrückt: es dürfen keine Daten "ins Blaue hinein" erhoben werden.

Informationspflicht
Möchte der Hersteller eines vernetzten Kühlschranks oder eines intelligenten Rauchmelders personenbezogene Daten sammeln, dann ist er zudem verpflichtet, die Nutzer über diese Datensammlung und -verarbeitung zu informieren. Im täglichen Leben begegnet uns dies in Form der Datenschutzerklärungen. Und gerade hier wird es im Smart Home heikel. Denn oft besitzen die intelligenten Gegenstände kein Display, auf dem man eine Datenschutzerklärung anzeigen könnte. Die Hersteller wären also verpflichtet, einen Medienbruch in Kauf zu nehmen und etwa die Informationen zum Datenschutz der Verpackung beizulegen. Alternativ wäre auch denkbar, dass die Datenschutzerklärung über die App abrufbar ist, die der Nutzer zur Steuerung der smarten Helferlein nutzt.

Die Information der Kunden spielt im Beispiel iRobot eine entscheidende Rolle. Denn nur wenn die Kunden verständlich und umfassend über die Datenverarbeitung informiert wurden, können sie eine wirksame Einwilligung in die Weitergabe ihrer Daten an Dritte erteilen. Ob iRobot momentan diese Anforderungen in seiner "Privacy Policy" erfüllt, kann man zumindest diskutieren. So hat der Datenschutzbeauftragte für Hamburg, Johannes Caspar, im Gespräch mit dem Handelsblatt bereits Zweifel angemeldet, ob die aktuellen Datenschutzbestimmungen des Unternehmens diese Weitergabe decken würden. Insbesondere informiert der Anbieter momentan in seiner Privacy-Policy nicht konkret darüber, welche Daten an welche Unternehmen weitergegeben werden sollen.

Rechte der User
Möchten Kunden eine solche Weitergabe der Daten ihrer kartierten Wohnung unterbinden, so haben sie zunächst die Möglichkeit, die Einwilligung nicht zu erteilen. Denn es ist eine gesetzliche Anforderung an eine Einwilligung, dass diese freiwillig erfolgen muss. Bestünde keine Wahlmöglichkeit, wäre diese Voraussetzung nicht erfüllt. iRobot selbst weist in seinen Datenschutzbestimmungen noch auf eine andere Möglichkeit hin: Möchte der Kunde die Vernetzung seines Saugroboters und eine Weitergabe von Daten an Dritte unterbinden, so rät der Hersteller dazu, das Gerät nicht im WLAN anzumelden oder per Bluetooth zu verbinden.

Diese Strafen drohen
Verstößt ein Gerätehersteller gegen die gesetzlichen Vorgaben, so besteht für die Datenschutzbehörden die Möglichkeit, Bußgelder zu verhängen oder, was oft viel gravierender ist, die Datenverarbeitung durch das Unternehmen zu untersagen. Ab dem 25. Mai 2018 wird in der Europäischen Union ein neues Datenschutzgesetz, die EU Datenschutz-Grundverordnung (DSGVO), anwendbar sein. Diese sieht, im Gegensatz zur aktuellen Rechtslage, gravierende Bußgelder von bis zu vier Prozent des weltweiten Jahresumsatzes eines Unternehmens oder 20 Millionen Euro für Verstöße gegen das Gesetz vor. Hersteller von intelligenten und vernetzten Haushaltsgeräten sind also gut beraten, ihre Produkte datenschutzkonform auszugestalten, und dies nicht zuletzt auch deshalb, weil die DSGVO den Unternehmen die Beachtung der Prinzipien von "Privacy by Design" und "Privacy by Default" verbindlich vorschreibt.


* Carlo Piltz ist Rechtsanwalt und Experte für IT- und Datenschutzrecht in der auf Produkthaftung spezialisierten Wirtschaftssozietät reuschlaw Legal Consultants.

Diesen Artikel

Bewertung:

Übermittlung Ihrer Stimme...
Noch nicht bewertet. Seien Sie der Erste, der diesen Artikel bewertet!
Klicken Sie auf den Bewertungsbalken, um diesen Artikel zu bewerten.
  Sponsored Links:

IT-News täglich per Newsletter

E-Mail:
Weitere CW-Newsletter

CW Premium Zugang

Whitepaper und Printausgabe lesen.  

kostenlos registrieren

Aktuelle Praxisreports

(c) FotoliaHunderte Berichte über IKT Projekte aus Österreich. Suchen Sie nach Unternehmen oder Lösungen.

Zum Thema

  • ectacom GmbH

    ectacom GmbH Aus- und Weiterbildung, IT-Asset- und Lizenzmanagement, Übernahme von Softwareprojekten, Datenschutz, Antiviren- und Virenscanner Software, Backup und Recovery Systeme, Firewalls,... mehr
  • Rittal GmbH

    Rittal GmbH Netzwerk-Management, Netzkomponenten, Zugangs- und Zutrittskontrolle, Unterbrechungsfreie Stromversorgung (USV), Überwachungssysteme, Notfalls-Rechenzentren, Netzwerk- und Systemüberwachung,... mehr
  • APC Business Services GmbH

    APC Business Services GmbH IT-Personalbereitstellung, Individual-Softwareentwicklung, IKT-Consulting mehr
  • catWorkX GmbH

    catWorkX GmbH mehr

Hosted by:    Security Monitoring by: