Bericht : Datenschutz im Internet der Dinge LfDI Mecklenburg-Vorpommern : aus der RDV 4/2018, Seite 236 bis 237
LfDI Mecklenburg-Vorpommern, 13. TB (2016/2017, Ziffer 5.13)
Im Zeitalter der Digitalisierung taucht immer häufiger das Schlagwort „Internet der Dinge“, kurz IoT, engl. „Internet of Things“,auf. Während in der Vergangenheit der klassische Personalcomputer immer mehr von „smarten“ portablen Geräten ersetzt wurde, beispielsweise dem Smartphone oder Tablet, zeichnet sich nunmehr der Trend ab, dass auch klassische Gegenstände des Alltags „zum Leben erwachen“. So werden beispielsweise Kühlschränke, Fernseher, Brillen oder selbst Zahnbürsten mit Prozessoren, Sensoren und Netzwerktechnik ausgestattet. Sie sind in der Lage, andere vernetzte Geräte zu erkennen und nicht mehr nur mit ihren Nutzerinnen und Nutzern, sondern auch untereinander – ggf. sogar weltweit – zu kommunizieren und Aufgaben eigenständig durchzuführen.
Ein recht bekanntes Beispiel für typische Produkte des Internet der Dinge, inzwischen soll es über 8 Milliarden von ihnen geben, sind die sogenannten Wearables. Hierbei handelt es sich im einfachsten Fall um schmale Fitnessarmbänder, aber inzwischen auch um funktionell umfangreich ausgestattete digitale Uhren, sogenannte Smartwatches. Diese Geräte haben einen beeindruckenden Funktionsumfang. Schon die einfachsten Geräte können mehr als nur die Uhrzeit anzuzeigen, unter anderem den Fitnesszustand überwachen, Details über den Schlaf aufzeichnen und Daten über den Herzschlag sammeln. Sie zeigen den Nutzerinnen und Nutzern ihre Hochs und Tiefs, neue sportliche Rekorde und sollen die Nutzerinnen und Nutzer dadurch motivieren, dass sie die Rekorde dann auch noch über soziale Netzwerke mit anderen teilen können. Einige Modelle können zudem Musik abspielen, Nachrichten vom Handy anzeigen, den Standort anzeigen oder sogar die Umgebung mit einer kleinen Kamera mehr oder weniger heimlich filmen.
Im Zusammenhang mit dem Internet der Dinge fällt in der letzten Zeit auch immer öfter der Begriff des sogenannten Smart Home. Auch die internetfähigen Geräte im Haushaltsbereich können inzwischen miteinander kommunizieren, sei es der Rasenmäher im Garten, die Jalousien am Fenster oder die Heizungsanlage im Keller. Sie alle können zudem zentral von der Nutzerin oder dem Nutzer, beispielsweise über eine Appauf dem Smartphone, gesteuert werden. Es scheint praktisch und effizient, wenn die Heizung erst dann richtig aufdreht, wenn die Bewohner nach Hause kommen, oder der Rasenmäher vom Urlaubsort bedient werden kann. Auch die Möglichkeit, das Haustier zu Hause über angebrachte Kameras zu beobachten, wird von einigen geschätzt.
Ungleich umfassender sind die Vorstellungen zu den sogenannten Smart Cities, der Vernetzung und Interaktion von städtischen Bereichen wie beispielsweise dem Verkehr, der Infrastruktur, der Elektrizität und der Wasserversorgung oder der Abfallentsorgung. Auch hier sind viele hilfreiche Anwendungen denkbar, etwa das Dirigieren des Autos zum nächsten freien Parkplatz oder die Meldung des städtischen Mülleimers, dass er von der Stadtreinigung geleert werden muss.
Letzten Endes aber haben alle smarten Gegenstände eines gemeinsam: Sie sammeln Daten. Daten über sich, die Umgebung und über den Menschen. Und diese Daten sind in der Regel recht vielfältig, denn die meisten IoTGeräte sind nicht gerade für ihre Datensparsamkeit bekannt.
Entgegen dem in der Europäischen Datenschutz-Grundverordnung (DS-GVO) verankerten Prinzip der Datenminimierung, vgl. Art. 5 Abs. 1 c, agieren die Geräte eher nach dem Motto „lieber zu viel als zu wenig“, schließlich könnten sich noch andere Verarbeitungszwecke ergeben. Entsprechend intransparent sind auch die meisten Datenschutzbestimmungen der Produkte und der dazugehörigen Apps gestaltet.
Was die smarten Geräte ebenfalls gemeinsam haben, ist deren „Kommunikationsfreudigkeit“, denn sie alle sind mit dem Internet verbunden und verfügen somit prinzipiell über die Fähigkeit, die Daten an Hersteller und an Dritte zu verschicken. Und davon machen die meisten auch rege Gebrauch. Daten sind im Zeitalter der Digitalisierung wertvoll, insbesondere personenbezogene Daten. Solche Daten – etwa die der Wearables – können vieles über die Nutzerin oder den Nutzer aussagen, zum Beispiel über Gewohnheiten, den Gemüts- oder Gesundheitszustand, wann man ins Bett geht oder aufsteht, wann man die Wohnung verlässt und wohin man geht. Damit lässt sich ein ziemlich umfassendes Profil über die Nutzerin oder den Nutzer bilden, siehe hierzu auch Zwölfter Tätigkeitsbericht, Punkt 4.1.3. Die Begehrlichkeiten bei Dritten werden in zunehmendem Maße geweckt. So bieten Krankenkassen bereits Tarife an, die einen Bonus versprechen, wenn sich Kundinnen oder Kunden gesundheitsbewusst verhalten. Autoversicherer bieten inzwischen Tarife an, die vom Fahrverhalten abhängen. Was für den einen gut ist, muss aber nicht für jeden gelten, denn die Gefahr von Diskriminierungen und Stigmatisierungen steigt kontinuierlich, besonders dann, wenn sich eine Nutzerin oder ein Nutzer der Offenlegung der Daten zu entziehen versucht oder schlicht nicht mehr in ein vorgesehenes Raster passt. Solch eine Entwicklung führt zwangsläufig zu einer entsolidarisierten Gesellschaft, in der genau diejenigen mit teuren Tarifen bestraft werden, die sich nicht „normgerecht“ verhalten oder aber einfach nur schlechte Werte liefern.
Mit Blick auf die kommende Datenschutz-Grundverordnung und die darin enthaltenen Grundsätze „Data Protection by Design“ und „Data Protection by Default“ werden Hersteller bei neuen Anwendungen jedoch umdenken müssen. Denn künftig dürfen auf den Geräten und den dazugehörigen Anwendungen nur noch so wenige Daten wie nötig erfasst und verarbeitet werden, zudem müssen die Voreinstellungen so datenschutzfreundlich wie möglich ausfallen. Das bedeutet, dass auch nur die Daten erfasst und verarbeitet werden dürfen, die für den jeweilig angedachten Zweck auch wirklich erforderlich sind. Dies betrifft neben der Dauer ihrer Speicherung, die so kurz wie nötig ausfallen muss, auch deren Zugänglichkeit. Es dürfen nur so viele wie wirklich nötig auf die Daten zugreifen.
Neben der Problematik der zügellosen Datensammelei muss in vielen Fällen auch die Datensicherheit kritisch betrachtet werden. So sollen die Geräte möglichst preiswert und nach möglichst kurzer Entwicklungszeit auf dem Markt angeboten werden. Eine angemessene Informationssicherheit etwa durch technische Schutzmaßnahmen oder gar Tests auf Schwachstellen mit dem Ziel einer späteren Nachbesserung, sofern neue Bedrohungen im Gerät entdeckt werden, bleiben dabei oft auf der Strecke. Entsprechend geben die Geräte, die als portable Mini-Computer angesehen werden müssen, ein attraktives Ziel für Hacker ab. Durch ihre Schwachstellen und angesichts der Tatsache, dass diese oftmals nur unzureichend oder gar nicht behoben werden, dienen diese Geräte vielfach als Basis für sogenannte Botnetze. Diese Botnetze, ein Zusammenschluss von kompromittierten Geräten, die ein Angreifer aus der Ferne kontrollieren kann, dienen dann als Ausgangspunkt für Angriffe auf Dritte.
Auf diese Weise können beispielsweise zeitgleich Daten oder Anfragen an bestimmte Webseiten oder Server geleitet werden, damit diese dann unter der Last zusammenbrechen. Derartige Angriffe sind bekannt als verteilte (engl. distributed) Denial of Service (DDoS) Attacken.
Wir empfehlen daher, sich genau zu überlegen, welche IoT-Geräte die Anschaffung wert sind, und zu prüfen, ob sowohl die Einstellungen als auch die Produktsicherheit den eigenen Vorstellungen entsprechen. Gefordert sind aber auch die Hersteller der Geräte, die verschärften Grundsätze der DSGVO insbesondere zur Datenminimierung und zu den Grundsätzen „Data Protection by Design“ und „Data Protection by Default“ einzuhalten. Wir fordern die Hersteller daher auf, bereits bei der Projektplanung und -entwicklung die datenschutzrechtlichen Vorgaben zu berücksichtigen und einen nachhaltigen Produktzyklus zu etablieren, der das Erkennen und Schließen von Sicherheitslücken gewährleistet.