„Companies are investing billions of dollars in this growing industry; they should also make appropriate investments in privacy and security”, lautet der Appell einer kürzlich gehaltenen Rede von Edith Ramirez auf der diesjährigen CES. Die Vorsitzende der US-Handelsaufsicht zielt hiermit auf den wachsenden Markt im Umfeld des sog. „Internet of Things“, kurz IoT, welches nach Ansicht von Technologieanalysten und Marktforschungsunternehmen immer mehr Einzug in unseren künftigen Alltag halten wird und bereits hält.
IT-Rechtler, Datenschützer und Sicherheitsexperten werden in diesem Rahmen noch viele Fragen zu beantworten haben. Ramirez fordert in Ihrer Rede z. B. „Security by Design“ und fasst unter diesen Begriff bei näherer Betrachtung auch das im europäischen Raum eher gebräuchliche Prinzip „Privacy by Design“. Datenschutz und Informationssicherheit müssen also Produkte und Anwendungen im IoT Umfeld von Beginn der Entwicklung an begleiten.
Neu ist diese Forderung nicht. So fordert etwa die Artikel 29 Gruppe in ihrer Stellungnahme 8/2014 zu den aktuellen Entwicklungen im Bereich des Internet of Things u.a. genau diesen Ansatz. Auch das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein kommt im Rahmen einer umfangreichen Vorstudie zu juristischen Fragen im Bereich Altersgerechter Assistenzsysteme (ein Bereich, der stark mit IoT-Entwicklungen verwoben ist) zu dem Ergebnis, dass sowohl rechtliche als auch technische Fragen aufgeworfen werden müssen und bereits während der Entwicklung zu berücksichtigen sind.
Dabei sind längst nicht alle rechtlichen Fragen beantwortet. Wie verhalten sich z. B. die im deutschen Strafrecht auffindbaren Normen, etwa die zur Verletzung der Vertraulichkeit des Wortes, mit IoT-Anwendungen, wie z. B. Softwareanwendungen oder Assistenzsystemen, die zur Spracherkennung „always on“ sein müssen? Wie können Nutzern die teilweise hochkomplexen Datenverarbeitungen transparent gemacht und belastbare Einwilligungs- und Steuerungsmöglichkeiten für die von der Datenverarbeitung betroffenen Personen gefunden werden? Wie wird das Prinzip der Datensparsamkeit umgesetzt und wer ist eigentlich für ein bestimmtes System datenschutzrechtlich verantwortlich? Welcher Aufwand ist erforderlich, um eine wirksame Anonymisierung zu erreichen? Um nur einige Fragen beim Namen zu nennen.
Aber auch im Bereich der Informationssicherheit werden noch viele Fragen beantwortet werden müssen. Erste Schritte in die richtige Richtung sind Projekte wie das OWASP Internet of Things Top Ten Project, welches die zehn häufigsten Risiken im Bereich IoT nennt oder Entwickler, die bereits bei Entwicklung von Anwendungen im IoT-Umfeld ISO 27001-Ansätze berücksichtigen.
Darüber hinaus wird es immer wichtiger, gerade die Technologien schnell zu bewerten, die künftig neue Datenverarbeitungen beeinflussen und wichtige Bestandteile des IoT werden können – etwa den Einsatz von Google Glas, iBeacons und Connected Cars. Dass es sich bei diesen Technologien nicht mehr nur um bloße Theorien handelt, zeigt sich von Tag zu Tag – nicht zuletzt auf der aktuellen CES – immer mehr.
Der Appell von Ramirez trifft somit genau den Punkt. Zu fordern ist eine professionelle Herangehensweise, die bereits während der Entwicklungs- und Konzeptionsphase von IoT-Anwendungen sowohl den rechtlichen als auch den technischen Datenschutz berücksichtigt.