by franzfa

Das Internet der Dinge

Alles ist smart. Viele Menschen lassen sich unbewusst oder bewusst durch diese Technik überwachen. Wer sich in diesem smarten Lebensumfeld der Dauerüberwachung entziehen will, dem verbleibt der Märchenwald als Hoffnungsgeber. Die Technik des Alltags ist smart geworden. Heimlich haben sich die smarten Geräte mit ihren Funktionen in den Alltag und die Köpfe der Anwender geschlichen.  Mit gebucht ist neben dem Nutzen auch die Überwachung. Derzeit herrscht für die Überwacher und die Überwachten eine nahezu rechtsfreier Raum. Die Entwicklung des smarten Lebens ist nicht mehr aufzuhalten. Wichtig ist jetzt, dass das Recht des Einzelnen an seiner informationellen Selbstbestimmung nicht formatiert, sondern als Grundeinheit auch bei der smarten Technik durch Privacy by Design fest installiert wird.

Mit dem Internet der Dinge und den Gefahren für den Datenschutz befasst sich auch ein Artikel von Netzrecht-Blog.de in der aktuelle DANA Ausgabe der Deutschen Vereinigung für Datenschutz unter der Überschrift „Das Internet der Dinge ist eine Herkulesaufgabe für den Datenschutz“.

Keine technische und rechtliche Sicherheit für den Datenschutz

Weder für den Datenschutz noch für den normalen bürgerlich rechtlichen Vertrag im Zusammenhang mit intelligenten Geräten gibt es derzeit einen klaren gesetzlichen Rahmen in Deutschland. Mit der Frage, welche Rechte der Verbraucher hat, wenn intelligente Geräte mangelhaft sind, haben sich Christian Solmecke   und Simon-Elias Vondrlik in ihrem Beitrag: „Rechtliche Probleme bei Produkten mit serverbasierten Zusatzdiensten. Was passiert, „wenn der Kühlschrank keine Einkaufsliste mehr schreibt …” befasst. (MMR 2013, 755 ff.) Die Autoren kommen zu dem Ergebnis, dass es sich bei dem Vertrag über den Kauf eines intelligent vernetzten Kühlschranks nicht nur um einen reinen Kaufvertrag handelt, sondern in Bezug auf das Angebot von serverbasierten Zusatzdiensten ein dauerhafter Dienstvertrag vorliegt. In dem Fazit führen die Autoren zutreffend aus: „Insgesamt ist der Branche dringend zu empfehlen, die Rechtslage zu analysieren und die Rechte und Pflichten der Beteiligten vertraglich zu regeln“.

Weitere rechtliche Probleme ergeben sich aus der Nutzung der sog. Firmware. Bei Firmware handelt es sich um eine durch den Hersteller in die Geräte implementierte Software, ohne die das Gerät nicht betrieben werden kann. Die in die Geräte implementierte Software hat oft auch Open Source Komponenten. Oftmals ist nicht klar abzugrenzen, welcher Teil der Firmware die Sicherheitslücke verursacht, welche Gefahren durch diese drohen und welcher Schaden entstehen kann. Die Haftungsfragen bei mangelhafter Firmware sind äußerst facettenreich, rechtlich nicht abschließend geklärt und haben auch für den technischen Datenschutz eine große Bedeutung. Dass die Firmware oft mangelhaft ist und „Datenlecks“ hat, zeigt jüngst die Aufregung um Hintertüren in Routern. Wenn Hacker über einen gekaperten Router teure Telefonate abhalten können, dann ist es für denjenigen, der Daten sammeln will, ebenso möglich, diese direkt beim Erzeugen illegal zu erheben, ohne dass dies bemerkt wird. Die Gefahr einer solchen Datensammlung besteht grundsätzlich bei allen intelligent vernetzten Geräten, da auch diese nur mit einer sog. Firmware funktionieren.

Technische Standards und rechtlicher Rahmen müssen schnellsten geschaffen werden

Derzeit gibt es keine einheitlichen technischen Standards für intelligent vernetzte Geräte. Die Hersteller haben auch für die Umsetzung des technischen Datenschutzes keine Vorgaben. Viele Hersteller blenden den Datenschutz aus. Datenhändler und Cyberkriminelle werden bereits Wege gefunden haben, vernetzte Geräte für sich auszunutzen. Oft werden die Angriffe auf die intelligenten Geräte sogar verborgen bleiben, da der Verbraucher keine Möglichkeiten hat, eigene Sicherheitsvorkehrungen zu treffen und sich blind auf die Firmware verlassen muss. Dass vernetzte Geräte sich aufgrund dieser Umstände auch bei Spam-Mail Attacken als schweigsame Helfer erweisen können, beweist eine erste nachgewiesene Spam-Mail Attacke Ende 2013 und eine weitere Anfang 2014. Die Mehrheit der an dieser Attacke beteiligten Geräte waren vernetzte Geräte wie beispielsweise Multimedia Center, Fernseher und sogar ein Kühlschrank. Die bestehenden nationalen und europäischen Datenschutznormen sind unzureichend für eine Anwendung auf das Internet der Dinge. Die Datenschutz-Grundverordnung der EU wird erst in weiter Zukunft in Kraft treten. Die Besonderheiten für den Datenschutz bestehen beispielweise in der Vielzahl der Nutzer eines intelligenten Gerätes in einem Haushalt. Die Einwilligung muss von jeder dieser Personen vorliegen. Es ist nicht geklärt, wie der Nutzer seine Einwilligung zur Datenerhebung durch ein intelligent vernetztes Gerät wirksam abgibt und welche Anforderungen notwendig sind, wenn eine dauernde Datenüberwachung durch das Gerät erfolgt. Ein weiteres Problem liegt bei den Geräten selbst, da die überwiegende Zahl der intelligenten Geräte unterschiedliche Daten weltweit an  verschiedene Stellen verschickt.

Der Gesetzgeber muss dringend handeln

Der Gesetzgeber hat die Zeichen der Zeit erkannt, aber die Umsetzung fehlt.  So zeigt die Arbeit der EU Kommission und die eingesetzte Expertengruppe, dass ein Handlungswille besteht. Leider wird die Technik den Markt schon längst für sich erobert haben, bevor überhaupt nur eine Richtlinie in dieser Hinsicht auf EU-Ebene besprochen wird. Dann wird es schwer, wenn nicht unmöglich sein, die Standards verbindlich und allumfassend nachzurüsten. Das ist ein beträchtlicher Verzugsschaden für Datenschutz und Persönlichkeitsrecht.