Internet der Dinge (IoT) Warum es bei IoT die Einwilligung der Nutzer künftig braucht

Autor / Redakteur: Jana Krahforst, Sibel Bayrak / Sarah Gandorfer

Die rechtskonforme Einwilligung zur Erfassung, Speicherung und Nutzung personenbezogener Daten steht beim Internet der Dinge (IoT) noch am Anfang. Dabei ist Datenschutz nicht nur für das Vertrauen der Nutzer und die Marktdurchdringung entscheidend, sondern schlicht Gesetz.

Firmen zum Thema

Alle smarten Geräte veraten etwas über ihren Besitzer. Doch wer darf auf dieses Wissen zugreifen?
Alle smarten Geräte veraten etwas über ihren Besitzer. Doch wer darf auf dieses Wissen zugreifen?
(Bild: © lukesw - stock.adobe.com)

Je weiter die Digitalisierung voranschreitet, desto mehr personenbezogene Daten entstehen. Sie werden nicht mehr nur, wie früher, mittels ausgefüllter Formulare oder Social-Media-Accounts erzeugt, sondern auch durch vernetzte Geräte. Ihre Kommunikation untereinander und mit der Außenwelt generiert große Datenmengen, also Big Data. Diese Vernetzung von Geräten ist die Grundlage für das „Internet der Dinge” (IoT) sowie die Industrie 4.0 (IIoT).

Laut einer Studie von Eco und ADL wächst der deutsche Smart-Home-Markt in den letzten Jahren rasant. Die Marktdurchdringung wird sich demnach bis 2022 von zwei Millionen auf rund acht Millionen deutsche Haushalte vervierfachen. Bis 2030 erwarten Marktforscher sogar bis zu 50 Milliarden vernetzte IoT-Geräte sowohl in Haushalten als auch in Unternehmen und der Industrie.

Während die verbraucherzentrierten IoT-Technologien wie Wearables, Health-Devices, intelligente Sprachassistenten, Smart Home, Smart Cities oder Smart Mobility jeweils neue Lifestyle-Erlebnisse ermöglichen, fallen unter den Industriellen Einsatz von IoT (IIoT) Schlagwörter wie Smart Grids, Smart Logistik, Smart Transport, Smart Factory oder Smart Health. Längst sind die Grenzen zwischen Verbraucher- und Industrie-IoT teils fließend.

Internet of Things und Datenschutz

Die Veränderungen durch das Internet der Dinge sind tiefgreifend – und bringen zahlreiche Herausforderungen mit sich. Ein wichtiges Thema dabei: der Datenschutz. Um die Entwicklung dieser Technologien weiter voranzutreiben und den vollen Nutzen aus ihnen zu ziehen, gilt es jedoch, die Bedenken vieler Nutzer in Sachen personenbezogener Daten dringend aufzulösen.

Die zunehmende Vernetzung von Geräten und Anlagen, vor allem im Bereich des Verbraucher-IoT rückt insbesondere den Schutz personenbezogener Daten in den Vordergrund. Denn die meisten intelligenten Geräte und Anwendungen führen durch die Verarbeitung von genau diesen Informationen unweigerlich zu einer eindeutigen Identifizierung. Besonders wenn Nutzer diese Devices in Smart Homes oder als Wearables einsetzen, hat dies starken Einfluss auf deren Privatsphäre. Denn die Technologien verarbeiten auch sensible Daten wie Schlafgewohnheiten, Schlafqualität, GPS-Daten, Routen und Lauf- oder Fahrgeschwindigkeiten.

Eine Verarbeitung von personenbezogenen Daten ist im Industrie-IoT denkbar, sobald durch die Verknüpfung der maschinengenerierten Sachdaten mit den Informationen einer natürlichen Person deren Identifizierung stattfindet.

Viele Hersteller halten Datenschutzrichtlinien nicht ein

Eine internationale Prüfaktion des Bayrischen Landesamts für Datenschutzaufsicht BayLDA auf 314 IoT-Geräten deckte im Jahr 2016 auf, wie wenig Nutzer über ihre Daten wissen, die intelligente Geräte und Anwendungen von ihnen sammeln.

Auch heutzutage beachten viele Hersteller und Diensteanbieter die notwendigen datenschutzrechtlichen Vorgaben größtenteils nicht. Stattdessen vernachlässigen sie den Einbau des Datenschutzes gemäß Art. 25 DSGVO wie „Privacy by Design“ und „Privacy by Default“. Als Grund geben sie fehlende Rechenkapazitäten an.

Der Gesetzgeber versuchte in den vergangenen Jahren, datenschutzrechtliche Regelungen in Bezug auf IoT-Technologien einzuführen. Dabei erschweren eine Vielzahl von Gründen, wie unterschiedliche Plattformbetreiber, Geräte- und Sensorhersteller, eine einheitliche Rechtsgrundlage sowie eine DSGVO-konforme Umsetzung.

Der Trend geht in Richtung Einwilligung

Aktuell sind Regelungen im Telekommunikations-Telemedien-Datenschutz-Gesetz (TTDSG), in der Warenverkauf-Richtlinie 2019/771 auf nationaler Ebene und in der ePrivacy-Verordnung auf europäischer Ebene in Sicht. So wird es in Zukunft gemäß dem § 25 TTDSG bei IoT-Technologien eine wichtige Rolle spielen, dass die Einwilligung der Nutzer eingeholt ist. Auch in der ePrivacy-Verordnung, die derzeit ausgehandelt wird, sind Einwilligungen vorgesehen – mit Hinweis darauf, dass in den letzten Jahren der Einsatz von Machine2Machine und IoT sehr stark gewachsen sei. Durch die Einführung eines Einwilligungsmanagements in den Interfaces der Geräte oder Apps könnten Hersteller die Vorgaben der DSGVO erfüllen. Dies ließe sich mit der Implementierung einer Consent Management Plattform in den IoT-Geräten und -Anwendungen automatisiert umsetzen. Außerdem wären die Nutzer so in der Lage, ihre Datenflüsse einzusehen und zu kontrollieren.

Das Internet of Things in der Zukunft

In absehbarer Zeit wird der Einfluss des Internets der Dinge auf den Alltag der Menschen deutlich zunehmen. Stellt sich die Frage: Wie können Privatpersonen und Unternehmen diese Technologie bestmöglich für sich nutzen? Was gilt es für Hersteller und beteiligte Akteure zu beachten?

Die Hersteller sollten das Vertrauen der Nutzer in die Geräte und Anwendungen stärken – und zwar indem sie die datenschutzrechtlichen Vorgaben in Zukunft einhalten und umsetzen. Wenn diese die Bedenken der Nutzer in Bezug auf ihre Daten in der Entwicklungsphase beachten und beseitigen können, werden sich auch in Zukunft die Anwendungsfälle dieser Technologien rasanter verbreiten. Denn sowohl die Nutzer als auch die Unternehmen haben davon zahlreiche Vorteile: Dazu gehören die Verbesserung der Abläufe, Verringerung der Reibungsverluste durch Automatisierung der Aufgaben, Kostensenkung oder Steigerung der Mitarbeiter- und Kundenzufriedenheit.

Wie kann es gelingen, die vielen verschiedenen Beteiligten unter einen Hut zu bringen und allen Bedürfnissen gerecht zu werden? Der Gesetzgeber, die Rechtsprechung, die Wissenschaft, die Verbraucherzentralen, die Aufsichtsbehörden, die Hersteller und alle weiteren beteiligten Akteure sollten an der Schaffung von Rechtsgrundlagen dieser Technologien zusammenarbeiten und dabei die Umsetzung der rechtlichen Vorgaben wie die DSGVO im Auge behalten. Eine einfache datenschutzkonforme Lösung würde aus technischer Sicht ein Einwilligungsmanagement in diesen Geräten und Anwendungen ermöglichen und so den Nutzern die Kontrolle über ihre Daten gewährleisten.

Jana Krahforst und Sibel Bayrak
Jana Krahforst studierte bis 2018 Rechtswissenschaften an der Universität Passau. Während ihres Studiums arbeitete sie im Bereich des öffentlichen Auftragswesens und im Bereich Medizinrecht bei der Ärztekammer Brandenburg in Potsdam. Zudem war sie als wissenschaftliche Mitarbeiterin für die Münchner Bank- und Kapitalmarktrecht Kanzlei Mattil & Kollegen tätig. Seit 2019 ist sie Head of Legal bei Usercentrics. Sibel Bayrak arbeitet derzeit als Legal Associate bei Usercentrics. Sie ist in der Anwaltskammer Istanbul als Rechtsanwältin eingetragen und arbeitete dort zwei Jahre lang für eine international tätige Rechtsanwaltskanzlei. Ihren Abschluss hat sie an der Istanbul Bilgi Universität erlangt und erhält bald ihren Mastertitel von der Ludwig-Maximilians-Universität München mit der Masterarbeit „IoT-Geräte und -Anwendungen: Spezifische Probleme hinsichtlich des Datenschutzes und der Datensicherheit“.

(ID:47541419)