Das „Internet der Dinge“ ist ein nicht mehr aufzuhaltender Technologiemegatrend, der auch das gesellschaftliche Zusammenleben in Zukunft erheblich beeinflussen wird. Die datenschutzrechtlichen Auswirkungen auf den Einzelnen sind dabei noch kaum absehbar, hängen sie doch stark mit der tatsächlichen Umsetzung dieser sich in der Entwicklung befindlichen Technologie zusammen. Dieser Beitrag, der auf einen Vortrag des Autors bei der DSRI-Herbstakademie 2015 zurückgeht und auch im entsprechenden Tagungsband veröffentlicht wurde, versucht darzustellen, was unter dem Begriff „Internet der Dinge“ zu verstehen ist und beschreibt, welche Gefahren für die Rechte der Betroffenen von einer immer weiter voranschreitenden Digitalisierung des Alltags ausgehen. Der Beitrag zeigt darüber hinaus Möglichkeiten auf, das „Internet der Dinge“ datensparsam zu „designen“ und als Unterstützung in bestimmten Lebenssituationen zu verstehen. Abschließend wird die Frage der Erforderlichkeit einer Anpassung aktueller Rechtsvorschriften gestellt.

1. Was ist das Internet der Dinge?

Betrachtet man aktuelle Prognosen aufstrebender Technologietrends, ist der Begriff „Internet der Dinge“ nicht mehr wegzudenken.[1] Auch weitere Themen, die eng mit dem „Internet der Dinge“ zusammenhängen, befinden sich im Aufschwung. Von Smart Cities und Industrie 4.0 über Smart Grids, Smart Homes und Connected Cars bis hin zum Ambient Assisted Living. Gleich in mehreren Lebensbereichen scheint sich eine technologische Revolution anzukündigen – doch was steckt dahinter?

Der Begriff „Internet der Dinge“ an sich ist nicht neu und wird bis in das Jahr 1999 zurückgeführt.[2] Hinter dem Begriff steht die Vision, Alltagsgegenstände der physischen Welt mit der digitalen Welt zu verknüpfen. Um dies zu erreichen, werden Gegenstände mit Kommunikationsmodulen ausgestattet, die es erlauben, Informationen, etwa per Funk, zu senden und/oder zu empfangen. Darüber hinaus können diese Gegenstände mit Sensoren bestückt und hierdurch in die Lage versetzt werden, Informationen über den Gegenstand selbst oder seine Umwelt zu ermitteln. Oftmals finden sich in den Gegenständen zudem Aktoren, die angesteuert werden können, um Veränderungen in der physischen Welt auszulösen. Schließlich gibt es noch eine Ebene, die für die Datenverarbeitung zuständig ist und die z.B. im Gegenstand selbst eingebettet sein kann, in einer lokalen Instanz, in der Cloud oder über mehrere dieser Instanzen verteilt. Das „Internet der Dinge“ wird insofern nicht selten als Begriff für die Infrastruktur verwendet, in welcher diese Gegenstände unmerklich miteinander kommunizieren und Daten direkt verarbeiten. Die Zwecke, die hiermit verfolgt werden, sind unterschiedlich und sollen etwa bisherige Prozesse effizienter, sicherer, situationsspezifischer, individueller oder reaktionsfähiger ausgestalten bzw. diese besser mess- und steuerbar machen. Ein weiterer Zweck besteht häufig auch darin, die Lebensqualität zu erhöhen. Welche Sensoren, welche Kommunikationsmodule und welche Aktoren machen das „Internet der Dinge“ aus? Wo befindet sich die datenverarbeitende Instanz? Zu welchen Zwecken werden Daten künftig wie und wo verarbeitet? Was genau ist das „Internet der Dinge“? Eine allgemeingültige Antwort auf diese Fragen gibt es nicht und wird es wohl in Zukunft, aus mehreren Gründen, nicht geben:

1.1 Sensoren

So werden die nutzbaren Sensoren künftig ausschließlich durch die technischen Möglichkeiten beschränkt. Kevin Ashton, Pionier des „Internet der Dinge“, formulierte bereits im Jahr 2009: “We need to empower computers with their own means of gathering information, so they can see, hear and smell the world for themselves, in all its random glory.[3] Tatsächlich können an dieser Stelle kaum Grenzen gezogen werden. „Smarte“ Dinge werden über alle möglichen Sensoren für physikalische, chemische, biologische oder sonstige Messgrößen verfügen, die Daten mehrerer Sensoren ggf. zusammenführen (Sensordatenfusion) und aus den gemessenen Daten weitere Informationen ableiten.

1.2 Kommunikationsmodule und -architektur

Auch die verwendeten Kommunikationsmodule und die Architektur der Kommunikation lassen sich nicht allgemeingültig beschreiben. Derzeit sind hier insbesondere zwei Ausprägungen zu erkennen:

Zum einen existieren „smarte“ Dinge, die sich tatsächlich direkt mit einem TCP/IP-basierten Netzwerk, etwa per W-Lan, verbinden können, eine eigene IP-Adresse beziehen und über das Internet kommunizieren. Beispiele hierfür sind Googles Rauchmelder Nest Protect oder die smarte Personenwaage Withings Wireless Scale. Selbst diese Geräte verfügen dabei aber gelegentlich noch über weitere Kommunikationsmöglichkeiten. So weisen z.B. sowohl Nest Protect als auch die Wireless Scale neben einem Kommunikationsmodul für W-Lan jeweils noch ein Kommunikationsmodul für Bluetooth Low Energy auf. Hierbei handelt es sich um eine Technologie, mit der die Geräte ganz ohne TCP/IP-Netzwerkverbindung und ohne Internetverbindung direkt mit sich in der Nähe befindlichen Smartphones per Funk kommunizieren können.

Zum anderen finden sich eine ganze Reihe „smarter“ Dinge, die selbst gar nicht unmittelbarer Teil eines TCP/IP-basierten Netzwerkes sind. Statt dessen kommunizieren diese Geräte allein mittels standardisierter Funkprotokolle, wie z.B. ZigBee, Bluetooth, Bluetooth Low Energy oder mittels proprietärer Funkprotokolle, wie FS20, eQ3, Z-Wave bzw. mittels drahtgebundener Bussysteme, wie Modbus, CAN oder FlexRay mit einer eigenen Empfangs- und Sendeeinheit, die sich in der Nähe befindet.[4] Erst diese Empfangs- und Sendeeinheit (auch als Bridge bezeichnet) verfügt dann über die Fähigkeit, sich mit einem TCP/IP-basierten Netzwerk zu verbinden, eine eigene IP-Adresse zu beziehen und ggf. ein Internetgateway anzusprechen. Ein Beispiel hierfür ist das Lichtsystem Philips Hue. Hier kommunizieren verschiedene Lichtquellen mittels Zigbee-Funk­pro­to­koll mit der sog. Hue-Bridge, welche wiederum über einen gewöhnlichen Netzwerkanschluss verfügt. Ein System mit bis zu 50 individuell steuerbaren Lichtquellen kommt auf diese Weise mit einer einzigen IP-Adresse aus.

Ob die für das Jahr 2020 prognostizierten 25 Milliarden[5] verbundenen Dinge tatsächlich alle zwingend über eine eigene IP(v6)-Adresse verfügen werden, steht also noch gar nicht fest. Der Begriff „Internet der Dinge“ könnte an dieser Stelle – würde man ihn ausschließlich technisch auslegen und nicht eher als die metaphorische Bezeichnung einer Vision verstehen – irreführend sein. Insgesamt bleibt festzustellen, dass die Geräte im „Internet der Dinge“ vermutlich verschiedene Sprachen sprechen werden, die in vielen Fällen erst über Bridges in eine TCP/IP-basierte Kommunikation übersetzt werden müssen. Selbst wenn sich künftig weitere TCP/IP-basierte Protokolle durchsetzen, die speziell für das „Internet der Dinge“ gedacht sind, etwa ZigBee IP oder 6LoWPAN, bedeutet dies nicht zwangsläufig, dass alle anderen Protokolle verdrängt werden. Denn je nach Anwendungsszenario können Kommunikationsmodule mit unterschiedlichen Übertragungswegen und unterschiedlichen Protokollen sinnvoll sein. Insbesondere sicherheits- und echtzeitkritische Systeme werden möglicherweise noch lange Zeit auf drahtgebundene Übertragungswege sowie Busprotokolle wie CAN oder FlexRay setzen und die Teilnahme an TCP/IP-Netzwerken erst über Bridges realisieren. Andere Systeme sind möglichweise auf besonders stromsparende oder durchsatzstarke Kommunikationsmodule angewiesen. Wieder andere benötigen Protokolle, die ein Ad-hoc-Netzwerk oder ein Mesh-Netzwerk aufbauen können. Oftmals wird es wichtig sein, dass die (Funk-) Reichweite der Geräte hoch ist. Gelegentlich ist es aber von Vorteil, wenn Funksignale von Wänden gedämpft werden (z.B. bei Anwendungen zur Innenraumlokalisierung) oder die Reichweite auch ohne Hindernisse sehr gering ist (z.B. beim kontaktlosen Bezahlen mittels NFC-Technologie). Das einfachste Gerät im „Internet der Dinge“ besteht ausschließlich aus einem Kommunikationsmodul, welches eine immer gleiche Information sendet, keine Daten empfängt und auch keine Daten verarbeitet. Von „smarten“ Dingen kann insofern kaum noch die Rede sein. Im Zusammenspiel mit anderen Dingen, ergeben sich jedoch unheimlich „smarte“ Anwendungsszenarien – etwa eine Innenraumlokalisierung durch Geofencing mittels iBeacon-Technologie.[6]

1.3 Aktoren

Neben Kommunikationsmodulen und Sensoren spielen darüber hinaus auch Aktoren eine wichtige Rolle im „Internet der Dinge“. Geräte, die mit Aktoren ausgestattet sind, können zielgerichtete Umweltveränderungen auslösen – z.B. Licht einschalten, Türen öffnen, Sonnenrollos steuern, die Zufuhr von Medikamenten dosieren, Werbetafeln verändern etc. Oftmals kommt einem Aktor dabei gleichzeitig auch eine sensorähnliche Rolle zu. Dies ist etwa dann der Fall, wenn ein Aktor seinen aktuellen Zustand zurückmeldet – z.B. ob das Licht angeschaltet bzw. der Steuerbefehl ausgeführt wurde.

1.4 Datenverarbeitungsinstanzen

Das „Internet der Dinge“ erhält eine weitere Unschärfe, da unklar ist, wo sich in Zukunft die steuernde Instanz befinden wird, welche die Dinge erst „smart“ macht und entscheidet, welche Daten von welchen Sensoren Auswirkungen auf welche Aktoren haben bzw. welche weiteren Internetdienste, Datenquellen, Applikationen etc. in die Verarbeitung einbezogen werden.

Je nach Anwendungsfeld ist es durchaus denkbar, dass eine solche Instanz direkt im Gerät selbst eingebettet ist. Dieses könnte Informationen von anderen Geräten über Kommunikationsmodule entgegennehmen sowie „eigene“ Sensordaten auswerten. Die Entscheidung, wie mit den Informationen umgegangen wird bzw. was diese auslösen sollen, würde dann im Gerät selbst stattfinden. Dies könnte z.B. nach einer vorgegebenen Logik entscheiden, Informationen über Kommunikationsmodule wiederum an andere Geräte oder Netzwerke weiterzugeben, Steuerbefehle an die „eigenen“ Aktoren zu senden etc.

Es ist aber auch denkbar, dass die Entscheidungsprozesse auf eine Instanz ausgelagert werden, die nicht im Gerät selbst eingebettet ist. Eine solche Instanz könnte etwa ein zentraleres System sein, welches die Informationen der „smarten“ Dinge entgegennimmt, ggf. weitere Informationen aus anderen Datenquellen zusammenführt und dann zentral die Entscheidungen trifft. Ein solches System kann z.B. in einem lokalen Netzwerk (z.B. als smarter Router oder Gateway) oder als Internetdienst bzw. als Cloudlösung betrieben werden.

Daneben sind auch Mischformen möglich. Ein Teil der Entscheidungen kann direkt im „smarten“ Ding selbst, bzw. den dort eingebetteten Systemen, getroffen werden. Ein weiterer Teil der Entscheidungen kann gleichzeitig aber auch an eine oder sogar mehrere andere Instanzen ausgelagert werden. Von lokalen über zentralen bis hin zu verteilten Entscheidungsprozessen ist hier alles, auch nebeneinander, denkbar.

Je nach Anwendungsszenario können dabei die unterschiedlichsten Entscheidungs- bzw. Datenverarbeitungsstrukturen sinnvoll sein. Der Trend, Entscheidungsprozesse in die Cloud zu verlagern, wird dabei nicht zuletzt aus datenschutzrechtlichen Gründen hinterfragt werden müssen. Häufig ist es auch aus anderen Gründen sinnvoll, die Entscheidungen bereits in lokalen Netzwerken zu treffen – z.B. weil keine zuverlässigen Verbindungen zur Entscheidungszentrale in der Cloud existieren oder eine Cloudlösung Performanceeinbußen bei zeitkritischen Entscheidungen bedeutet. Die ersten Unternehmen scheinen dies bereits zu erkennen. Cisco nennt die außerhalb der Cloud getroffenen lokalen Entscheidungen „Fog Computing“ und verweist auf die Vorteile einer solchen Architektur in kritischen IoT-Anwendungen, wie dem Connected Car, Smart Grids und Smart Cities.[7]

Ein solches „Fog Computing“ kann als Chance für datensparsamere Verarbeitungsformen im „Internet der Dinge“ verstanden werden. Es ist nämlich nur selten zwingend erforderlich, alle Entscheidungsinstanzen in die Cloud zu verschieben. Oftmals reicht es aus, einen Großteil der Datenverarbeitung lokal stattfinden zu lassen und nur für den unbedingt notwendigen Teil auf höhere Verarbeitungsinstanzen bzw. Cloudlösungen zurückzugreifen. Auch das zu Samsung gehörende Unternehmen SmartThings, welches Smart Home-Anwendungen bereitstellt, scheint dies erkannt zu haben und hat z.B. angekündigt, einen Rückzug der Entscheidungsprozesse aus der Cloud vorzunehmen sowie verstärkt auf die Verarbeitung auf lokaler Hardware zu setzen.[8] Ein solches Konzept bietet langfristig die Chance, dass die von Sensoren, Aktoren und der Datenverarbeitungsinstanz erfassten bzw. generierten Daten nicht das eigene Netz verlassen bzw. dem Nutzer weitgehende Steuerungsmöglichkeiten eingeräumt werden. Insbesondere in Smart Home-, Ambient Assisted Living- und Connected Car-Anwendungen wäre ein solcher Ansatz die Grundlage, damit der Nutzer selbst entscheiden kann, welche Daten extern verarbeitet, anderen mitgeteilt oder sogar öffentlich verfügbar gemacht werden. Festzustellen bleibt, dass auch an dieser Stelle der Begriff des „Internet of Things“ irreführend sein kann. Häufig reicht nämlich auch ein „Intranet of Things“ aus.

1.5 Datenverarbeitungszwecke und Anwendungsszenarien

Wie bereits festgestellt, lässt sich das „Internet der Dinge“ schon Hardware- und Infrastrukturseitig kaum fassen. Hinzu kommen die unterschiedlichsten Anwendungsszenarien, in denen das „Internet der Dinge“ eine Rolle spielen kann. Auch die Datenverarbeitungszwecke, die erreicht werden sollen, variieren stark. Versteht man den Begriff „Internet der Dinge“ weit, umfasst dieser große Teile dessen, was unter weiteren Begriffen wie etwa Industrie 4.o, Connected Car, Smart Home etc. verstanden wird. Grenzen sind hier kaum gesetzt. Hinzukommt, dass sich mittlerweile auch klassische Internetanwendungen auf das „Internet der Dinge“ einstellen. So beschränkt sich z.B. Google Analytics schon seit einiger Zeit nicht mehr nur darauf, Websitebesuche zu erfassen, sondern hat mit dem sog. „Measurement Protokoll“ eine Schnittstelle geschaffen, mit der es möglich ist, frei definierte Daten in die Analyse einfließen zu lassen.[9] Klassische Analysetools sind somit bereit zur Aufnahme von Daten aus der physischen Welt. Insgesamt verschmelzen an dieser Stelle die physische und die digitale Welt immer weiter und gehen jeweils aufeinander zu.[10] Smartphones, Smart Watches und sonstige Wearables werden in Zukunft vermutlich häufig ein Teil der Geräte sein, die im „Internet der Dinge“ eine Rolle spielen – so kann das Smartphone etwa als Sensor, Kommunikationsmodul, Bridge, Gateway, Aktor und/oder Datenverarbeitungsinstanz verwendet werden. Darüber hinaus werden in vielen Anwendungsszenarien auch noch User-Interfaces und Softwareapplikationen hinzukommen und einen zentralen Baustein darstellen, damit aus dem „Internet der Dinge“ weitere Dienste für den Nutzer entstehen.

1.6 Zwischenfazit

Das „Internet der Dinge“ und auch die damit zusammenhängenden Unterthemen werden oftmals als unkonturiert bezeichnet.[11] Dies trifft auch tatsächlich zu, liegt jedoch zum Teil daran, dass die Komponenten des „Internet der Dinge“ in zahlreichen Varianten auftreten können und die Anwendungsmöglichkeiten eine enorme Reichweite aufweisen. Zudem kann die Begriffsbezeichnung an sich gleich an mehreren Stellen zu Missverständnissen führen. Eins wird jedoch deutlich: Die Digitalisierung des Alltags hat begonnen und die Ausmaße, die diese in den nächsten fünf bis zehn Jahren einnehmen wird, sind derzeit kaum abzusehen.

2. Datenschutzrechtliche Auswirkungen

Das „Internet der Dinge“ kann einerseits als Chance verstanden werden, den künftigen Alltag in positiver Weise zu verändern und z.B. durch die Schaffung von Ambient Assisted Living-Anwendungen unterstützungsbedürftigen Menschen eine enorme Steigerung des Lebenskomforts bieten. Andererseits wirft das „Internet der Dinge“ eine ganze Reihe datenschutzrechtlicher Fragen auf. Von zentraler Bedeutung ist insofern, was das „Internet der Dinge“ über den Einzelnen als Person auszusagen vermag und wie informationelle Selbstbestimmung und Privatsphäre trotz einer immer weitergehenden Verschmelzung der physischen und der digitalen Welt in Zukunft Bestand haben können.

2.1 Rechtliche Rahmenbedingungen

Der allgemeine datenschutzrechtliche Rahmen für IoT-Anwendungen kann mit dem Wortlaut des § 4 Abs. 1 BDSG bereits grob abgesteckt werden. Demnach ist die Erhebung, Verarbeitung und Nutzung personenbezogener Daten nur zulässig, soweit eine Rechtsvorschrift dies erlaubt oder der Betroffene eingewilligt hat. Sofern die für die IoT-An­wen­dung verantwortliche Stelle und die betroffenen Personen im Vorfeld bereits feststehen, kommen als Rechtsgrundlagen etwa Befugnisse aus § 28 Abs. 1 Satz Nr. 1 BDSG im Zusammenhang mit rechtsgeschäftlichen oder rechtsgeschäftsähnlichen Schuldverhältnissen oder die Einwilligung der Betroffenen in Betracht. Auch in IoT-Szenarien ist eine Legitimation der Datenverarbeitung über § 28 Abs. 1 Satz 1 Nr. 2 BDSG denkbar, soweit die Datenverarbeitung zur Wahrung berechtigter Interessen der verantwortlichen Stelle erforderlich ist und kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse der Betroffenen an dem Ausschluss der Verarbeitung oder Nutzung überwiegt.[12] Sofern öffentliche Stellen IoT-Anwendungen betreiben und personenbezogene Daten berührt sind, müssen die entsprechenden Erlaubnisnormen des BDSG oder des LDSG herangezogen werden – die Datenverarbeitung also regelmäßig zur Aufgabenerfüllung erforderlich sein. Darüber hinaus existieren eine Reihe von spezialgesetzlichen Vorschriften, die sich etwa im StGB, TKG, TMG, SGB und im UWG finden lassen.[13] Die Anwendung des gegebenen Rechtsrahmens ist in IoT-Szenarien jedoch nicht immer einfach.

Schwierig ist insbesondere die Frage, ob Betroffene bei Vertragsschluss bzw. bei Abgabe einer Einwilligung die Tragweite ihrer Entscheidung überblicken können. Denn im „Internet der Dinge“ findet ggf. eine Vielzahl von komplexen Datenverarbeitungen unter Beteiligung verschiedener Akteure statt. Es wird insofern bezweifelt, ob Betroffene vor diesem Hintergrund verstehen, in welche Datenverarbeitung sie einwilligen und welche Risiken mit der Datenverarbeitung verbunden sind.[14] Zudem erlaubt die Kombination zahlreicher Einzeldaten möglicherweise umfangreiche Rückschlüsse auf einzelne Personen bis hin zu Profilbildungen. Teilweise wird daher vertreten, dass die Grenzen des hergebrachten Datenschutzes erreicht seien.[15]

Wie ist in Zukunft mit einer Welt umzugehen, in der eine Vielzahl von Sensoren alle möglichen Daten erheben und in der Lage sind, diese über Kommunikationsmodule an vernetzte Datenverarbeitungsinstanzen weiterzugeben? Datenschutzrechtlich betrachtet wird diese Frage immer dann relevant, wenn personenbezogene Daten berührt sind.

2.2 Personenbezogene Daten im „Internet der Dinge“

Personenbezogene Daten können im „Internet der Dinge“ gleich an mehreren Stellen entstehen.

2.2.1 Sensordaten

Personenbezogene Daten können im Rahmen von IoT-Anwendungen insbesondere dann berührt sein, wenn Personen in den Erfassungsbereich von Sensoren gelangen.

2.2.1.1 Unmittelbare Personenbeziehbarkeit der gemessenen Daten

Eine Personenbeziehbarkeit liegt immer dann vor, wenn bereits die Sensoren personenbeziehbare Daten erheben. Dies ist z.B. der Fall, wenn Sensoren direkt biometrische Daten erfassen. Auch der Einsatz von Videokameras oder Mikrophonen wird insofern in der Regel bereits aufgrund der gemessenen bzw. erfassten Daten direkt zu einer Personenbeziehbarkeit führen. Darüber hinaus ist aber auch die Erfassung weiterer Identifikationsmerkmale durch Sensoren möglich, etwa wenn ausgesendete ID-Num­mern oder sonstige Identifikationsmerkmale empfangen werden, die einer bestimmbaren Person zugeordnet werden können.

2.2.1.2 Personenbeziehbarkeit durch den Kontext der Erhebung

Sofern die erfassten Sensordaten nicht bereits eine unmittelbare Personenbeziehbarkeit aufweisen, ist eine differenzierte Betrachtung erforderlich.

Ein „smarter“ Bewegungsmelder etwa, der im Eingangsbereich eines Einkaufszentrums angebracht ist und die auf klassische Weise gemessenen Informationen über eine Bewegung an eine vernetzte Datenverarbeitungsinstanz weitergibt, welche innerhalb der Öffnungszeiten die Aktoren der Eingangstür ansteuert und diese öffnet, verarbeitet z.B. keine personenbezogene Daten.

Anders zu beurteilen wäre dies, wenn der Bewegungsmelder in einem Bereich installiert werden würde, der einer bestimmten Person oder einer kleineren Personengruppe zugeordnet ist – etwa in dem Büro eines Arbeitnehmers, welches sich in einem Smart Building befindet. Hier ließen sich die gemessenen Bewegungen dieser Person bzw. Personengruppe zuordnen und wären somit personenbeziehbar. An der Qualifikation als personenbeziehbares Datum würde sich selbst dann nichts ändern, wenn der Schutzbedarf für diese Daten als sehr gering qualifiziert werden würde. Denn auch bei sehr geringem Schutzbedarf unterfallen personenbezogene Daten weiterhin dem Anwendungsbereich des Datenschutzes, allerdings gelten ggf. weniger hohe Hürden für die Datenverarbeitung. Gleichwohl können auch vermeintlich sehr gering schutzbedürftige Daten in Abhängigkeit des Kontextes einen höheren Schutzbedarf erlangen. Eine längere Protokollierung der gemessen Bewegungsdaten, kann z.B. bereits umfangreichere Rückschlüsse auf die Verhaltensweisen einer Person zulassen. Weitere Beispiele, in denen sich ein Personenbezug der Daten bereits aus dem Kontext ihrer Erhebung bzw. Speicherung ergibt, sind das Connected Car[16] und das Ambient Assisted Living[17]. Hier wird selbst im Hinblick auf Besucher bzw. Mitfahrer die Ansicht vertreten, dass eine kontextbezogene Personenbeziehbarkeit nicht auszuschließen ist, jedoch Datenverarbeitungen durchaus über § 28 Abs. 1 Satz 1 Nr. 2 BDSG legitimiert werden können.[18]

2.2.2 Nutzungsdaten

Über die von den Sensoren erfassten Daten hinaus kann auch die Nutzung einer IoT-Anwendung zu einer Personenbeziehbarkeit führen. So werden in Zukunft vermutlich viele IoT-Anwendungen darauf ausgelegt sein, Nutzer zu erkennen – etwa weil die IoT-Anwendung bzw. ein damit zusammenhängender Dienst personenbezogen erbracht werden soll oder eine personenbezogene Authentisierung erfordert. Um eine smarte Personenwaage zu nutzen, kann es z.B. erforderlich sein, ein Benutzerkonto beim Anbieter der Waage anzulegen, damit die Messdaten fortan in die Cloud des Anbieters synchronisiert werden. Um mit dem Smartphone per NFC-Technologie kontaktlos bezahlen zu können, ist eine Authentisierung im Hintergrund unter Verwendung personenbezogener Daten erforderlich. Die Möglichkeiten personenbezogener IoT-Dienste sind enorm.

Aber auch im Hinblick auf IoT-Anwendungen, mit denen Personen künftig ohne vorherige Anmeldung oder Authentisierung in Berührung kommen können, ist eine Personenbeziehbarkeit nicht ausgeschlossen. So können z.B. Daten, die im Zusammenhang mit den verwendeten Kommunikationsmodulen entstehen, geeignet sein, eine Personenbeziehbarkeit in IoT-Anwendungen herzustellen. Dies ist z.B. dann der Fall, wenn Betroffene eine „fremde“ IoT-Anwendung nutzen wollen oder mit dieser in Berührung kommen und in diesem Rahmen IP-Adressen oder sonstige personenbeziehbare Daten übertragen werden. Es ist auch möglich, dass Anbieter von IoT-Anwendungen darüber hinaus versuchen werden, Wiedererkennungsmerkmale bzgl. der Nutzer zu schaffen, etwa um Profile zu erstellen. Möglich wird dies insbesondere dann, wenn Smartphones oder Wearables die Funktion einer Bridge bzw. eines Gateways übernehmen oder der Nutzer Softwareapplikationen des IoT-Anbieters nutzt.

2.2.3 Umgang mit Sensor- und Nutzungsdaten

Der Umgang mit personenbeziehbaren Sensor- und Nutzungsdaten wird nicht nur die Zulässigkeit der Datenverarbeitung, sondern auch die Nutzerakzeptanz maßgeblich beeinflussen. Ein sorgsamer Umgang mit Daten und eine schon in der Entwicklung datenschutzrechtlich durchdachte IoT-Infra­struktur, können ein ent­scheidender Baustein sein, der derzeitigen Kritik entgegenzuwirken. Im Detail ist hier – rechtlich und technisch – zwar noch Forschungsarbeit notwendig; die Eckpfeiler zeichnen sich jedoch bereits ab:

2.2.3.1 Datensparsamkeit

Um die informationelle Selbstbestimmung sowie die Privatsphäre der Betroffenen auch in IoT-Umgebungen zu wahren, kommt einer datensparsamen Verarbeitung auf allen Ebenen höchster Stellenwert zu. Die Komplexität der Datenverarbeitung sowie die Risiken der Betroffen müssen solange minimiert werden, bis die bekannten Rechtsinstitute – etwa die Einwilligung – wieder greifen. Dies kann z.B. dadurch erreicht werden, dass die erhobenen personenbeziehbaren Sensormesswerte möglichst frühzeitig gelöscht und nicht auf Vorrat in der IoT-Umgebung gespeichert werden. Gleiches gilt für die angefallenen Nutzungsdaten. Es ist in der Regel zudem von Vorteil, die personenbeziehbaren Daten lokal zu verarbeiten. Hier könnte das in Ziffer 1.4 vorgestellte Fog Computing eine entscheidende datenschutzrechtliche Rolle spielen, wenn eine Cloudverarbeitung andernfalls zu Kontroll- oder Datenschutzverlusten führen würde. Bevor Daten an Dritte oder auch an eine Vielzahl von Auftragsdatenverarbeitern übermittelt werden, sollte geprüft werden, ob eine vorherige Datenaggregation den Schutzbedarf verringern kann oder ob die Daten pseudonymisiert bzw. anonymisiert werden können. Privacy by Default und Privacy by Design sind die zentralen Stichwörter, die beachtet werden müssen. Problematisch ist an dieser Stelle jedoch, dass gerade das Prinzip der Datensparsamkeit lediglich eine unverbindliche Zielvorstellung des BDSG darstellt. Auch die Entwurfsfassung der EU-DSGVO geht leider nicht über diesen Grad der Unverbindlichkeit hinaus.

2.2.3.2 Zweckänderung und Profilbildung

Situationen, die bisher eher in der Online-Welt möglich waren, wie z.B. geräteübergreifende Profilbildungen, personalisierte Werbung, umgehende Personalisierung der (Internet-)Umgebung, können plötzlich auch an ganz anderer Stelle in der physischen Welt vorkommen. Es ist nicht ausgeschlossen, dass das „Internet der Dinge“ technisch in der Lage ist, Personen in der physischen Welt zu erkennen und unbemerkt Profile zu erstellen. Es ist sogar möglich, dass nach dem Erkennen einer Person in der physischen Welt auf bestehende Datenbanken zurückzugreifen wird, um mittels Aktoren Umweltveränderungen in der physischen Welt durchzuführen. Je digitaler der Alltag wird und je weiter die physische Welt mit Aktoren und reaktionsfähigen Dingen ausgestattet wird, desto wahrscheinlicher ist es, dass ab einem gewissen Punkt auch die physische Welt an den „Nutzer“ angepasst wird – etwa wenn im Rahmen des Besuchs eines Retail-Stores elektronische Displays im Geschäft individuelle Werbung im Vorbeigehen anzeigen[19] oder sich auf Grundlage des vergangenen Einkaufsverhaltens individuell zusammengestellte Warenauslagen präsentieren. Insbesondere im Hinblick auf die Nutzung von Daten für Werbezwecke bzw. zur Profilbildung müssen die Grenzen jetzt rechtlich eindeutig und restriktiv formuliert werden. Andernfalls riskiert die Gesellschaft einen ähnlichen Status Quo, wie ihn die jetzige Online-Welt bereits erreicht hat: Unklare Regelungen zur Bildung von Nutzungsprofilen (EU-Cookie­richtlinie), diensteanbieterübergreifender Datenaustausch (Third Party Cookies), unmerkliches Tracking (Fingerprinting), geräteübergreifendes Tracking (Remarketing, Conversion Tracking) – um nur einige Problemfelder zu nennen. Zweckänderungen und Profilbildungen sollten daher klar unter den Vorbehalt einer ausdrücklichen Einwilligung gestellt werden. Die derzeitige Entwurfsfassung der EU-DSGVO bleibt insofern jedoch weit hinter diesen Anforderungen zurück.[20]

2.2.3.3 Anonymisierung

Auch die Nutzung anonymisierter Daten ist in IoT-Umgebungen zu hinterfragen. Wirksames Anonymisieren – insbesondere großer Datenmengen – ist technisch nicht trivial. Wenn allerdings die Stelle, die an (möglichst präzisen) Daten interessiert ist, über die Wirksamkeit der Anonymisierung entscheidet, können hier Risiken für Betroffene entstehen. Es bedarf daher akzeptierter Anonymisierungsstandards, deren Anwendung z.B. auch eine unabhängige Zertifizierungsinstanz feststellen könnte.

Darüber hinaus setzt jede Anonymisierung voraus, dass im Vorfeld personenbezogene Daten erhoben und gespeichert wurden. Für die Datenerhebung und die anschließende Speicherung vor der Anonymisierung muss jedoch eine datenschutzrechtliche Erlaubnisnorm vorliegen. Eine Datenspeicherung auf Vorrat, alleine um im Nachhinein einen verknüpften Datenbestand – und nicht nur punktuelle Einzeldaten – anonymisieren zu können, ist regelmäßig unzulässig.

Weitere Probleme können dadurch entstehen, dass die an einer Profilbildung interessierten Parteien bewusst einen engen Begriff der Personenbeziehbarkeit vertreten und ggf. sogar unter Einschaltung von Datentreuhändern Modelle entwickeln, vermeintlich anonyme Daten auszutauschen und über Datenpools hinweg anzureichern. Insofern muss die Frage, ob die Personenbeziehbarkeit absolut oder relativ zu betrachten ist, gesetzlich klar geregelt werden.

2.2.4 Besondere Arten personenbezogener Daten

Zwar geht das Datenschutzrecht davon aus, dass keine harmlosen personenbezogenen Daten existieren, sondern auch vermeintlich harmlose Daten je nach Verarbeitungszusammenhang besonders sensibel werden können. Dennoch definiert § 3 Abs. 9 BDSG einen Katalog von besonderen Arten personenbezogener Daten, die teilweise nur unter erschwerten Bedingungen verarbeitet werden dürfen – etwa Gesundheitsdaten.

Um das informationelle Selbstbestimmungsrecht und die Privatsphäre des Einzelnen in IoT-Umgebungen wirksam zu schützen, kann es angebracht sein, den Katalog der besonderen Arten personenbezogener Daten zu erweitern. Die Art. 29 Gruppe empfiehlt z.B. die Einholung einer Einwilligung zur Verarbeitung von mobilen Standortdaten, selbst wenn diese vom Gesetz und auch von der Entwurfsfassung der EU-DSGVO derzeit nicht zwingend vorgeschrieben ist.[21] Selbst die Amerikanische Alliance of Automobile Manufacturers erkennt in branchenspezifischen „Consumer Privacy Protection Principles“ verbind­liche datenschutzrechtliche Verhaltensregeln bzw. Selbstverpflichtungen an und hebt bestimmte Daten als besonders schützenswert hervor. Hierzu gehören biometrische Daten, Verhaltensdaten und Geolokationsdaten.[22] Obwohl die Selbstverpflichtung insofern grundsätzlich die richtigen Daten trifft und deren Verwendung unter Einwilligungsvorbehalt stellt, ist bezeichnend, dass die Daten ohne Einwilligung z.B. für interne Forschungszwecke, Produktenwicklung, Gewährleistungsfragen und Compliance genutzt werden können.[23] Dieses Vorgehen zeigt exemplarisch auf, mit welchen Datenerarbeitungen selbst höher schutzbedürftiger Daten in Zukunft durch IoT-Provider zu rechnen ist, solange klare gesetzliche Regelungen fehlen.

2.2.5 Besondere Sensortypen

Besonders beachtet werden müssen auch die gesetzlichen Anforderungen an bestimmte Sensortypen, sofern diese sensorspezifisch geregelt sind. So regelt § 6b BDSG die Beobachtung öffentlich zugänglicher Räume mit optisch-elektronischen Einrichtungen. Aber auch im StGB sind sensorspezifische Regelungen zu finden, z.B. in § 201a StGB, wonach die Verletzung des höchstpersönlichen Lebensbereichs durch Bildaufnahmen unter Strafe gestellt wird oder in § 201 StGB, wonach es strafbar ist, das nicht zu seiner Kenntnis bestimmte nichtöffentlich gesprochene Wort mit einem Abhörgerät abzuhören oder auf Tonträger aufzunehmen. Die Installation von Mikrofonarrays, z.B. in Smart Cities, Connected Cars oder zur Verwendung von Spracherkennungssystemen im Smart Home muss auch unter diesen Gesichtspunkten betrachtet werden. Insbesondere „smarte“ Dinge, die per Sprache gesteuert werden sollen, müssen daher eine bewusste Aktion des Nutzers vorsehen, bevor Sprachdaten dauerhaft gespeichert oder an den IoT-Pro­vi­der zur Spracherkennung übermittelt werden. Dies kann durch einen vorherigen Tastendruck oder durch lokal auf dem Gerät erkannte „Hotwords“, wie z.B. „Alexa“, „Hey Siri“, „Okay Google“ oder „Cortana“ geschehen.

2.2.6 Verwendung von Aktoren

Bislang wenig beachtet ist Frage, welche Auswirkungen die Nutzung von Aktoren auf das informationelle Selbstbestimmungsrecht und die Privatsphäre haben kann. So ist es möglich, dass durch Aktoren ausgelöste Umweltveränderungen dazu genutzt werden, um Informationen zu transportieren, die bestimmten Personen zugeordnet werden können.

Ein Beispiel hierfür ist das Ambient Assisted Living-Projekt „Contact“, welches die implizite Kommunikation zwischen räumlich getrennten Menschen unterstützen und insbesondere die soziale Eingebundenheit für alleinlebende Palliativpatienten mit Hilfe von IoT-Lösungen stärken soll.[24] Hier werden z.B. Lichtsysteme genutzt, deren Farbe und Helligkeit den Gemütszustand einer entfernt lebenden Person oder auch deren Aktivitäten anzeigen können. Je nach Kontext kann eine Umweltveränderung hier also als personenbezogenes Datum in Bezug auf eine entfernt lebende Person verstanden werden.

In anderen IoT-Umgebungen kann auch die Reaktion der Umwelt auf die Anwesenheit einer bestimmten Person Rückschlüsse über diese zulassen. Eine öffentlich installierte, motorgesteuerte Plakatwand, die bei der Anwesenheit einer bestimmten Person auf eines von mehreren möglichen Plakaten wechselt, kann bereits einen Rückschluss auf die Person zulassen. Noch deutlicher wird das Beispiel, wenn man auch elektronische Displays und Lautsprecher als Aktoren versteht. Hier könnten Passanten in der Öffentlichkeit mit Namen oder hochgradig personalisierten Botschaften angesprochen werden.

2.2.7 Datensicherheit

Auch der Sicherheit der im Rahmen von IoT-Anwendungen verwendeten Geräte, Infrastrukturen und Applikationen kommt eine hohe Bedeutung für die informationelle Selbstbestimmung und die Privatsphäre des Einzelnen zu. Die vermehrte Verwendung eingebetteter Systeme, verteilter Datenverarbeitungsinstanzen und Kommunikationsinfrastrukturen kann dabei eine Risikoerhöhung für die Sicherheit der Daten bedeuten. Gelegentlich wird bereits die Frage gestellt, ob sich angemessene Sicherheitsmechanismen überhaupt auf Komponenten mit beschränkten Ressourcen realisieren lassen, zumal diese von Anwendern mit geringem technischen Sachverstand genutzt werden sollen.[25] Teilweise wird auch festgestellt, dass die technischen und organisatorischen Maßnahmen in der Praxis oft nicht mehr realisierbar und nicht mehr prozessual darstellbar seien.[26] Gleichwohl bietet sich auch für IoT-Umgebungen der Rückgriff auf erprobte Vorgehensweisen an, z.B. eine Betrachtung nach ISO 27001 oder IT-Grund­schutz bzw. im Bereich von Industrie 4.0 nach IEC 62443. Darüber hinaus entwickeln sich derzeit auch IoT-spezifische Sicherheitsprojekte, wie das „OWASP Internet of Things Top Ten Project“.[27] Die Sicherheit von IoT-Anwendungen muss dabei vom ersten Entwicklungsschritt an auf allen Ebenen und Instanzen bedacht werden.

3. Fazit

Die Digitalisierung des Alltags bietet viele neue Möglichkeiten, stellt jedoch auch eine große Herausforderung für das gesellschaftliche Zusammenleben dar. Die Grundsteine für die Antwort auf die Frage, ob informationelle Selbstbestimmung sowie Privatsphäre künftig noch angemessen gewährleistet werden können, müssen jetzt gelegt werden. Neben Rechts­wissen­schaft und Informatik werden zudem noch zahlreiche andere Disziplinen eine detaillierte Betrachtung des „Internet der Dinge“ vornehmen müssen. Nicht zuletzt ist auch der Gesetzgeber gefragt, bereits heute in die Zukunft zu sehen und einen klaren Rechtsrahmen zu definieren.

Fußnoten

Anmerkung: Der Beitrag geht zurück auf einen Vortrag des Autors bei der 16. Herbstakademie 2015 der Deutschen Stiftung für Recht und Informatik (DSRI) und ist auch im entsprechenden Tagungsband Jürgen Taeger (Hrsg.), Internet der Dinge – Digitalisierung von Wirtschaft und Gesellschaft, Edewecht 2015, veröffentlicht. Sie können sich außerdem die Videoaufzeichnung des Vortrags inkl. der Folien hier ansehen.

[1]     Vgl. etwa Gartner Inc: Gartner’s 2014 Hype Cycle for Emerging Technologies, http://www.gartner.com/newsroom/id/2819918.

[2]    Eine umfassende Übersicht der Begriffsherkunft geben Floerkemeier, Christian/Mattern, Friedemann: From the Internet of Computers to the Internet of Things, in: Kai Sachs/Ilia Petrov/Pablo Guerrero (Hrsg.), From Active Data Management to Event-Based Systems and More, 2010, S. 243-244.

[3]    Kevin Ashton: That „Internet of Things“ Thing, http://www.rfidjournal.com/articles/view? 4986.

[4]    Einen guten Überblick über die verschiedenen Protokolle bietet die Deutsche Kommission Elektrotechnik Elektronik Informationstechnik im DIN VDE: Weißbuch zur Normungs-Roadmap Smart Home + Building, Vorstudie Smarthome V1, 2013, S. 50 ff.

[5]    Gartner Inc.: Press Release 11. November 2014, http://www.gartner.com/newsroom/id/ 2905717.

[6]    Hierzu im Detail: Venzke-Caprarese, Sven: Standortlokalisierung und personalisierte Nutzeransprache mittels Bluetooth Low Energy Beacons – Datenschutzrechtliche Rahmenbedingungen einer möglicherweise bald alltäglichen Datenverarbeitung, DUD 2014, S. 839-844.

[7]     Bonomi, Flavio/Milito, Rodolfo/Zhu, Jiang/Addepalli, Sateesh: Fog Computing and Its Role in the Internet of Things, http://conferences.sigcomm.org/sigcomm/2012/paper/mcc/ p13.pdf.

[8]    Meldung auf heise.de vom 1.4.2015, http://bit.ly/1BSTImc.

[9]     Ertel, Sebastian/Venzke-Caprarese, Sven: Google Universal Analytics – On- und Offline-Profilbildung anhand von User-IDs, DUD 2014, S. 181-185.

[10]   Hierzu im Detail: Venzke-Caprarese, Sven: Google Universal Analytics und iBeacons – Neue Möglichkeiten zur Verknüpfung von On- und Offlineaktivitäten, ITRB 2015, S. 97-99 (98, 99).

[11]    Bräutigam, Peter/Klindt, Thomas: Industrie 4.0, das Internet der Dinge und das Recht, NJW 2015, S. 1137-1142 (1137).

[12]    Im Hinblick auf Artikel 7f der Richtlinie 95/46/EG kommt auch die Art. 29 Gruppe zu einem entsprechenden Ergebnis: Article 29 Data Protection Working Party: Opinion 8/2014 on the Recent Developments on the Internet of Things, 14/EN WP 223 (2014), S. 15.

[13]    Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein (ULD): Vorstudie Juristische Fragen im Bereich altersgerechter Assistenzsysteme, Berlin 2010, Ziffer 3.

[14]   Eine gute Übersicht bieten: Article 29 Data Protection Working Party: Opinion 8/2014 on the Recent Developments on the Internet of Things, 14/EN WP 223 (2014); Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein (ULD): Vorstudie Juristische Fragen im Bereich altersgerechter Assistenzsysteme, Berlin 2010, Ziffer 10.

[15]    Bräutigam, Peter/Klindt, Thomas: Industrie 4.0, das Internet der Dinge und das Recht, NJW 2015, S. 1137-1142 (1140).

[16]   Vgl. Lüdemann, Volker: Connected Cars – Das Vernetzte Auto nimmt Fahrt auf, der Datenschutz bleibt zurück, ZD 2015, S. 247-254 (249, 250).

[17]    Vgl. Regnery, Christian: Datenschutzrechtliche Fragen beim Ambient Assisted Living, DSRITB 2012, S. 579-597 (583).

[18]   Vgl. Lüdemann, Volker/Sengstacken, Christin/Vogelpohl, Kerstin: Schlaue Schilder – Kommt das intelligente Autokennzeichen? Umfangreiche Einsatzfelder auch im privaten Bereich, ZD 2015, S. 55-61 (59).

[19]   Eine Beschreibung, wie dies technisch funktioniert findet sich in Venzke-Caprarese, Sven: Standortlokalisierung und personalisierte Nutzeransprache mittels Bluetooth Low Energy Beacons – Datenschutzrechtliche Rahmenbedingungen einer möglicherweise bald alltäglichen Datenverarbeitung, DUD 2014, S. 839-844 (Ziffer 2.2).

[20]   Hierzu im Detail: Venzke-Caprarese, Sven: Google Universal Analytics und iBeacons – Neue Möglichkeiten zur Verknüpfung von On- und Offlineaktivitäten, ITRB 2015, S. 97-99 (98, 99).

[21]    Article 29 Data Protection Working Party: Opinion 13/2011 on Geolocation services on smart mobile devices, 881/11/EN WP 185 (2011), Ziffer 5.2.1 und 6.3.

[22]   Alliance of Automobile Manufacturers, Inc/Association of Global Automakers, Inc: Consumer Privacy Protection Principles for Vehicle Technologies and Services, 2014, S. 8.

[23]   Alliance of Automobile Manufacturers, Inc/Association of Global Automakers, Inc: Consumer Privacy Protection Principles for Vehicle Technologies and Services, 2014, S. 8.

[24]   http://www.contact-projekt.de/

[25]   Margraf, Marian/Pfeiffer, Stefan: Benutzerzentrierte Entwicklung für das Internet der Dinge, DUD 2015, S. 246-249 (249).

[26]   Mühlich, Regina: Datenschutz und Industrie 4.0 – eine sensible Annäherung ist notwendig, ZD 2014, S. 381-382 (382).

[27]   https://www.owasp.org/index.php/OWASP_Internet_of_Things_Top_Ten_Project