IoT Datenschutz TÜV Rheinland

Daten sind das smarte Öl – und deshalb zu schützen!

20.02.2018

Wenn der Backofen mit der Heizung spricht, stellen für die Anbieter vernetzter Gerätschaften und Dienste nicht selten die Nutzungsdaten den größten Wert dar. Günter Martin von TÜV Rheinland erklärt, welche gesetzlichen Bestimmungen für den Datenschutz im IoT gelten und worauf Verbraucher achten sollten.

Wir leben im Digitalzeitalter. Immer mehr Geräte sind vernetzt, das so genannten „Internet of Things“ (IoT) wird allgegenwärtig. Damit entsteht eine neue Erkenntnis: Daten sind das neue Öl. Informationen von Nutzern und deren Gerätschaften geben Aufschluss über Gewohnheiten, Vorlieben und Konsumverhalten. Umso wichtiger ist es, dass der Umgang mit diesen Daten streng kontrolliert und damit die Privatsphäre jedes einzelnen Menschen geschützt wird. Dafür tritt demnächst die neue Europäische Datenschutzgrundverordnung“ (EU-DSGVO) in Kraft. In diesem Gastbeitrag erläutert Diplom Informatiker Günther Martin vom TÜV Rheinland, was sich hinter den neuen Datenschutzgesetzen verbirgt, welchem Prinzipien sie folgen und wer sie überwacht. 

Smarte Geräte vernetzen unser Leben

„Smart“ – der Begriff steht hier für Geräte, die am Internet angeschlossen sind. Wir Fachleute sprechen von IoT- (Internet of Things)-Geräte, für Kunden sind es eben Apparate und Geräte, die ihnen dank der Vernetzung zusätzliche Dienste anbieten: Der smarte Fernseher hört aufs Wort, das Licht kann über eine App oder nach Zeitplan gesteuert werden, die Waschmaschine zeigt per App ihre Restlaufzeit, und mit der Webcam kann man auch auf Reisen das Haus im Visier behalten. Fitness-Armbändern messen im Internet unsere Trainings-Erfolge und vergleichen sie mit Anderen. Im Kinderzimmer sitzt gar der „intelligente“ Teddy, während im Badezimmer Zahn- und Haarbürsten mit Internet-Anschluss über unser Wohlbefinden wachen. 

Vernetzte Geräte
Beispiele für vernetzte Produkte im Alltag. Grafik: TÜV Rheinland

Der Markt für viele Haushaltsgeräte ist praktisch gesättigt. Innovationen sollen den Verbraucher zu Neuanschaffungen motivieren. Die alte Geschirrspülmaschine zum Beispiel wird durch eine Smarte ersetzt. Dabei eröffnen sich auch für die Hersteller neue Geschäftsmodelle. So kann etwa die App für die Geschirrspülmaschine auf Knopfdruck Reinigungs-Tabs nachbestellen. Es geht dabei für die Unternehmen auch um kontinuierliche Einnahmequellen und eine stärkere Kundenbindung. Für Verbraucher ist von Vorteil, dass die Geräte Energie sparen, die Sicherheit oder den Komfort erhöhen. 


Lesetipps zur Sicherheit im Smarthome:


Neue gesetzliche Anforderungen für den Datenschutz

Viele Menschen sehen die smarte Technik mit Blick auf Datenschutz und -sicherheit skeptisch. Wie wichtig ein hohes Niveau an Datenschutz und Datensicherheit ist, hat der Gesetzgeber erkannt und im Jahr 2016 für die EU in der „Europäischen Datenschutzgrundverordnung“ (EU-DSGVO) bzw. - auf Englisch – in der „General Data Protection Regulation (GDPR)“ beschlossen. Diese stellt den Datenschutz auf eine neue Grundlage. Nach Ablauf einer zweijährigen Übergangsfrist kommt sie ab dem 25. Mai 2018 in EU-Ländern zur Anwendung. Der deutsche Gesetzgeber hat bereits das Bundesdatenschutzgesetz neu formuliert und hundert weitere Gesetze angepasst. 

Datenschutz Umfrage TÜV Rheinland
Bei der Nutzung von vernetzen Produkten und Systemen haben Verbraucher insbesondere Sorgen um die Privatsphäre. Grafik: TÜV Rheinland

Die Europäische Datenschutzgrundverordnung DSGVO gilt für die Verarbeitung personenbezogener Daten. Während es bei Funktionsgebäuden offensichtlich ist, dass bei der Erhebung personenbezogener Daten der Datenschutz gilt, gibt es beim privaten Wohnen ein verbreitetes Missverständnis. Ursache dafür ist eine Einschränkung im neuen Bundesdatenschutzgesetz (BDSG neu). In §1 heißt es: Das Gesetz findet keine Anwendung, wenn „die Verarbeitung durch natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten“ erfolgt. 

Personenbezogene Daten im Internet sind Datenschutz-relevant

Sofern smarte Geräte in der Privatwohnung genutzt werden und deren Daten ausschließlich in den eigenen vier Wänden bleiben, ist das tatsächlich kein Thema für den gesetzlichen Datenschutz. Wenn die Geräte Daten drahtlos übertragen und die Daten auch außerhalb der Wohnung empfangen werden können, ist das schon kritischer. Eindeutig Datenschutz-relevant wird es, wenn die Übertragung ins Internet erfolgt und die Daten Personenbezug haben. „Personenbezug“ bedeutet, eine Person kann direkt oder indirekt identifiziert werden. Damit ist schon die dynamische IP-Adresse eines mit dem Internet verbundenen Gerätes personenbezogen, denn über die Daten des Providers könnte die Person identifiziert werden. Bezogen auf IoT-Geräte ist offensichtlich, dass die Wohnung zur Privatsphäre gehört. Alles was von dort nach außen dringt, sind schützenswerte Daten. Das gilt  selbst dann, wenn es nur um die ausgewählte Raumtemperatur geht.. Die im Garten gemessene Außentemperatur ist dagegen öffentlich und unterliegt nicht dem Datenschutz.

Die DSGVO schützt natürlich nicht nur private Nutzer, sondern generell alle Personen, deren Daten erfasst werden. Das gilt im gewerblichen Umfeld auch für die Bediener-Erkennung durch Logins, Aktivierung eines Einrichtungsmodes oder den Wartungsbetrieb, sobald technisch zugeordnet werden könnte, welche Person dies ausführt. 

Die meisten Regeln sind – mit Blick auf das bisherige Bundesdatenschutzgesetz – nicht grundsätzlich neu. Sie wurden aber konkretisiert und verschärft. Neu sind etwa die beiden Kern-Forderungen nach „Privacy by Design“ und „Privacy by Default“. Wer diese Punkte versteht, für den erschließen sich die anderen Regeln weitgehend von selbst.  

Das Prinzip „Privacy by Design“

„Privacy by Design“ bedeutet „eingebauter Datenschutz“. Bereits bei der Entwicklung von Produkten und Diensten soll der Datenschutz berücksichtigt und nicht erst nachträglich aufgesetzt werden. Datenschutzrisiken sollen von Anfang an vermieden werden. In Bezug auf vernetzte Geräte empfiehlt sich dabei eine Unterscheidung zwischen dem Gerät selbst und den mit dem Gerät verbundenen Online-Services, zum Beispiel die Steuerung über eine App. 

Das Gerät muss technische Merkmale besitzen, die einen Datenschutz-konformen Betrieb ermöglichen. Ein Beispiel: Jedes IoT-Gerät sendet und empfängt Daten. Diese Datenübertragung soll verschlüsselt erfolgen. Verschlüsselung benötigt Rechenleistung. Der Prozessor im Gerät muss dafür von Anfang an ausreichend groß gewählt werden oder dieses Merkmal möglicherweise schon eingebaut haben. 

Beim IT-Service für das IoT-Gerät geht es vorrangig um den Geschäftsprozess und die Infomations-Architektur. Das muss im Sinne von „Privacy by Design“ so gestaltet sein, dass die erfassten Daten nur für den Zweck genutzt werden können, der mit dem Nutzer vertraglich vereinbart ist. Um diese „Datennutzungskontrolle“ direkt in die Informationsarchitektur zu integrieren, betritt die Informatik Neuland. Vor allem muss jedoch die Zweckbindung der Daten in den Geschäftsprozessen festgeschrieben sein. Eine Vorratsdatenspeicherung für heute noch nicht bekannte Zwecke im Sinne von Big Data Analyse ist damit ausgeschlossen, solange die Daten personenbezogen sind. Für anonymisierte oder pseudonymisierte Daten ist dies unkritisch.

An dieser Stelle müssen auch die Verbraucher umdenken. Ein Update bedeutet nicht, dass etwa das gerade frisch gekaufte Gerät schon einen Fehler hatte. Es bedeutet vielmehr, dass der Hersteller verantwortungsvoll handelt.
 So konnte zum Beispiel einer der größten Angriffe auf IoT-Geräte in Deutschland nur dadurch gelöst werden, dass sehr schnell ein Software-Update durchgeführt wurde. Gemeint ist der „Mirai-Angrif“ auf Router der Deutschen Telekom. Fast eine Million Telekom-Kunden waren nach diesen Angriff ohne Telefon und Internet. Innerhalb von etwas mehr als einem Tag stand das Software-Update zur Verfügung, alle Router wurden zentral mit dem Update versorgt. Auf solche Situation muss ein Unternehmen auch vorbereitet sein und geeignete Technik und Verfahren vorhalten.  

Mirai ist übrigens eine Schadsoftware, die nicht vor Telekom-Routern haltmacht. Sie infiziert viele Arten von IoT-Geräten, die dann andere Systeme angreifen. So haben rund 500.000 infizierte IoT-Geräte, vor allem WebCams, Ende 2016 die großen Server an der Ostküste der USA attackiert. Dadurch waren die Server von Amazon, Spotify, Twitter, Netflix, PayPal und anderen Diensten über Stunden nicht erreichbar.

Das Prinzip „Privacy by Default“

Privacy by Default steht für datenschutzfreundliche Voreinstellungen. Das betrifft bei IoT-Geräten besonders die Registrierung, die der Nutzer durchführen soll, und insgesamt die App. Es dürfen keine Daten vom Nutzer abgefragt oder Einwilligungen verlangt werden, die für den Service nicht unmittelbar erforderlich sind. Sofern verwendet, müssen folgende Einwilligungen per Default abgeschaltet sein. Sie dürfen nur verwendet werden, wenn der Nutzer explizit zustimmt:

  • Nutzen der Daten für oder Senden von personalisierter Werbung. 
  • Übertragung von Diagnosedaten an den Hersteller, etwa zur Softwareverbesserung. 
  • Übertragung des Standorts des Nutzers. 
  • Teilen von Daten – also Daten sind für andere Nutzer sichtbar. 
  • Weitergabe von personalisierten Daten an Dritte (Nicht-Nutzer).

Aus „Privacy by Default“ und anderen gesetzlichen Regelungen leitet sich ab, dass das IoT-Gerät keine Sprache (z.B. zur Spracherkennung) und kein Bild übers Netz übertragen darf, sofern es dem Nutzer nicht offensichtlich ist, dass diese Übertragung eine Kernfunktion des Gerätes ist. 

Neuer Datenschutz ist längst noch nicht Standard

Um „Privacy by Default“ umzusetzen, müssen eine ganze Reihe von Anbietern ihre Apps anpassen. Neutrale Überprüfungen des TÜV Rheinland bei mehr als 500 Apps haben etwa gezeigt, dass etwa 40 Prozent der mobilen Apps als kritisch einzustufen sind und Daten auslesen, ohne dass der Nutzer bewusst zustimmt oder davon erfährt. Besonders gern ausgelesen wird das persönliche Adressbuch auf dem Smartphone, um die Daten an die Werbewirtschaft zu verkaufen. 

Smarte Technik
Diese smarte Technik zählt heute schon zur Standardausrüstung einer Immobilie. Foto: Oliver Tjaden

Kürzlich erst ist die Firma Apple mit ihrer Smartwatch (Series 3) aufgefallen. Etwa in der Mitte der langen Datenschutzerklärung steht: „Apple gibt personenbezogene Daten an Unternehmen weiter, die Dienstleistungen erbringen, wie zum Beispiel die Kreditgewährung." Der Nutzer stimmt der Datenschutzerklärung insgesamt pauschal zu, um das Gerät überhaupt nutzen zu können. Mit dem zwingend vorgeschriebenen Prinzip „Privacy by Default“ sind solche eingewobenen Datenfreigaben künftig nicht mehr möglich.

Künftig werden die Datenschutzbehörden des Bundes und der Länder verstärkt darauf achten, dass die Vorgaben der Datenschutzgrundverordnung auch tatsächlich eingehalten werden. Bei diesen Stellen kann jede Privatperson vermutete Verstöße melden. Aktiv sind auch die Verbraucherschutzorganisationen, die Bundesnetztagentur und – das ist neu – das Bundeskartellamt. Seit Juni 2016 hat es die Möglichkeit, Sektoruntersuchungen durchzuführen, um möglichen Verbraucherschutzverstößen auf die Spur zu kommen.

Basierend auf dieser Kompetenz soll nun etwa auch der Umgang der Hersteller von „Smart-TVs“ mit den Nutzerdaten näher beleuchtet werden. Dabei wird das Bundeskartellamt insbesondere die von den Herstellern verwendeten vertraglichen Bestimmungen unter die Lupe nehmen.

Daten als Wirtschaftsfaktor

Hinter all diesen Regelungen steckt die Erkenntnis: „Daten sind das neue Öl“, die „neue Währung“ oder „der vierte Produktionsfaktor“. Daten haben einen hohen Wert, den es zu schützen gilt. Gleichzeitig treiben Daten die Wirtschaft voran, ihre Sabotage kann umgekehrt erhebliche wirtschaftliche und soziale Auswirkungen haben. Dass es dafür jetzt neue gesetzliche Vorschriften gibt, erscheint absolut konsequent.

Unternehmen sollten den Datenschutz dabei nicht nur als Zwang, sondern vor allem als Chance sehen. Sie können sich durch vorbildlichen Datenschutz profilieren und die große Zahl potenzieller Kunden ansprechen, die IoT-Geräten kritisch gegenüberstehen, weil sie sich Sorgen um ihre Privatsphäre machen.

Der TÜV Rheinland hilft dabei. Er hat auf Basis der DSGVO technische Anforderungskataloge und Prüfprogramme entwickelt, mit denen IoT-Geräte und die zugehörigen Services getestet werden. Dabei gehen die Anforderungen im Sinne des Verbraucherschutzes in einigen Punkten über die heutige DSGVO hinaus. Bei erfolgreicher Prüfung wird ein Zertifikat erteilt. Damit zeigt der Anbieter den Aufsichtsbehörden, seinen Händlern und den Verbrauchern, dass er ein hohes Niveau an Datenschutz und Datensicherheit einhält. 


LesetippTÜV: Sicherheitskameras sollen selbst sicher sein


Das ist auch für Endverbraucher von Vorteil. Schließlich helfen ihnen all die WebCams, Rauchmelder, Bewegungssensoren sowie Beleuchtungs- oder Rollade-Steuerungen, die im Smart Home verbaut werden, Energie zu sparen und die Sicherheit ebenso wie den Komfort zu erhöhen.  
 

Systeme

Der Gastautor

Gunter Martin TÜV Rheinland

Diplom Informatiker Günter Martin ist Solutions Director im Global Competence Center für IoT-Privacy bei TÜV Rheinland. In dieser Funktion verantwortet er die Entwicklung von Zertifikaten und weiteren Services im Umfeld von IoT-Datenschutz und -Datensicherheit. Weitere Infos unter www.tuv.com/de/iot-privacy

Expertensuche

Fachbetriebe zum Thema in Ihrer Nähe

 

Das könnte Sie auch interessieren

Als digitaler Wächter für Eingangsbereich, Terrasse und Garten hält die neue Somfy Außenkamera potenzielle Einbrecher schon im Vorfeld auf Abstand. Einfach clever: Beim Verlassen der Wohnung oder des Hauses sendet sie eine Aktivierungs-Erinnerung ans Smartphone.
Das verbesserte elektronische Türschloss Nuki Smart Lock 2.0 unterstützt jetzt Apple HomeKit und Zigbee und informiert noch besser über den Status Ihres Türschlosses.
Die Gefahr eines Einbruches ist leider sehr real – unabhängig davon, ob Sie in einem Haus oder einer Wohnung leben. Die gute Nachricht: Durch die Investition in eine moderne Sicherheitstechnik kann dem vorgebeugt werden.