Mit DSGVO wird Privacy by Design und by Default zur Pflicht

Datenschutz: Was darf das Smart Home sammeln?

Carlo Piltz ist Rechtsanwalt und Experte für IT- und Datenschutzrecht in der auf Produkthaftung spezialisierten Wirtschaftssozietät reuschlaw Legal Consultants.
Die Geräte im Smart Home werden immer intelligenter und sammeln immer mehr Daten. Doch was darf der Hersteller mit ihnen machen? An Dritte weitergeben, wie es iRobot praktizieren will? Wir zeigen, wie es um Privatsphäre und Datenschutz im Smart Home bestellt ist.
Stein des Anstosses: Mit der Ankündigung, die von seinen Saugrobotern gewonnenen Daten an Dritte weiterzugeben, trat iRobot eine Diskussion um den Datenschutz im Smart Home los.
Stein des Anstosses: Mit der Ankündigung, die von seinen Saugrobotern gewonnenen Daten an Dritte weiterzugeben, trat iRobot eine Diskussion um den Datenschutz im Smart Home los.
Foto: Cineberg - shutterstock.com

Das Medienecho war groß, als der Chef des US-amerikanischen Staubsaugerherstellers iRobot Corporation, ankündigte, Raumpläne von Wohnungen und Häusern an Dritte weitergeben zu wollen. Raumpläne, die von den Saugrobotern des Unternehmens während der Reinigung erstellt werden, um dem Roboter die Orientierung zu ermöglichen. Die Weitergabe der Daten solle mit Einwilligung der Kunden geschehen. iRobot begründet den Vorschlag unter anderem mit dem Nutzen der Karten für Anbieter von Smart Home-Anwendungen.

Datenschutz im Smart Home

Schnell formierte sich Kritik, insbesondere zu Fragen des Datenschutzes. Doch wie steht es grundsätzlich um den Datenschutz im intelligenten und vernetzten Zuhause? Was sind die Vorgaben, an die sich die Anbieter der smarten Haushaltsgegenstände halten müssen, und darf iRobot wirklich die Kartendaten an Dritte weitergeben?

Personenbezug ist entscheidend

Zunächst muss beachtet werden, dass das geltende Datenschutzrecht überhaupt nur dann Anwendung findet, wenn es um einen Sachverhalt geht, in dem "personenbezogene" Daten verarbeitet werden sollen. Dieser Begriff wird in der Praxis sehr weit ausgelegt. Natürlich fallen hierunter etwa der Name oder die E-Mail-Adresse eines Nutzers. Aber auch die IP- oder die MAC-Adresse eines Gerätes können solch personenbezogene Daten darstellen. Anonymisierte Daten hingegen sind vom Anwendungsbereich des Datenschutzrechts ausgenommen. Im konkreten Fall, also der von iRobot erstellten Karte, müsste man sich die gesammelten Informationen anschauen, um dann entscheiden zu können, ob es sich um Informationen handelt, die sich auf eine bestimmte oder zumindest bestimmbare natürliche Person - so die gesetzliche Definition - beziehen. Oft wird dies aber der Fall sein, insbesondere dann, wenn iRobot die Kartendaten etwa mit den Nutzerkonten oder Registrierungsdaten der Kunden aus der App verbindet.

Das erlaubt der Datenschutz

Die DSGVO schreibt Prinzipien wie Privacy by Design und by Default verbindloich vor - auch im Smart Home.
Die DSGVO schreibt Prinzipien wie Privacy by Design und by Default verbindloich vor - auch im Smart Home.
Foto: Daniel Krason - shutterstock.com

Das, sowohl in Deutschland als auch in Europa existierende Grundprinzip im Datenschutzrecht lautet: personenbezogene Daten dürfen nicht verarbeitet werden, es sei denn, dass eine Einwilligung vorliegt oder eine gesetzliche Vorschrift den Datenumgang erlaubt. Dieses Prinzip gilt auch für die Datenverarbeitung durch Geräte im Smart Home. So ist es dem Gerätehersteller beispielsweise gesetzlich gestattet, jene personenbezogenen Daten des Kunden zu verarbeiten, die für die richtige Durchführung des Kaufvertrages oder aber für die Erbringung von Dienstleistungen notwendig sind. Wenn es, beispielsweise um die Fernwartung oder -diagnose des smarten Haushaltshelfers geht, kann der Hersteller die hierfür erforderlichen Daten verwenden.

Weiterbilden in China - Foto: IDG Business Media GmbH

Weiterbilden in China

Daran knüpft sich ein weiteres wichtiges Prinzip: der Zweckbindungs- und Datenminimierungsgrundsatz. Personenbezogene Daten dürfen zum einen grundsätzlich nur für jene Zwecke verwendet werden, für die sie ursprünglich erhoben wurden. Zum anderen muss der Umfang der erhobenen Daten nur auf den jeweils erforderlichen Zweck beschränkt bleiben. Oder anders ausgedrückt: es dürfen keine Daten "ins Blaue hinein" erhoben werden.

Informationspflicht

Wem gehören die Daten, die ein Smart Home mit unterschiedlichsten IoT-Devices erzeugt? Und wer hat wie darauf Zugriff?
Wem gehören die Daten, die ein Smart Home mit unterschiedlichsten IoT-Devices erzeugt? Und wer hat wie darauf Zugriff?
Foto: Daniel Krason - shutterstock.com

Möchte der Hersteller eines vernetzten Kühlschranks oder eines intelligenten Rauchmelders personenbezogene Daten sammeln, dann ist er zudem verpflichtet, die Nutzer über diese Datensammlung und -verarbeitung zu informieren. Im täglichen Leben begegnet uns dies in Form der Datenschutzerklärungen. Und gerade hier wird es im Smart Home heikel. Denn oft besitzen die intelligenten Gegenstände kein Display, auf dem man eine Datenschutzerklärung anzeigen könnte. Die Hersteller wären also verpflichtet, einen Medienbruch in Kauf zu nehmen und etwa die Informationen zum Datenschutz der Verpackung beizulegen. Alternativ wäre auch denkbar, dass die Datenschutzerklärung über die App abrufbar ist, die der Nutzer zur Steuerung der smarten Helferlein nutzt.

Die Information der Kunden spielt im Beispiel iRobot eine entscheidende Rolle. Denn nur wenn die Kunden verständlich und umfassend über die Datenverarbeitung informiert wurden, können sie eine wirksame Einwilligung in die Weitergabe ihrer Daten an Dritte erteilen. Ob iRobot momentan diese Anforderungen in seiner "Privacy Policy" erfüllt, kann man zumindest diskutieren. So hat der Datenschutzbeauftragte für Hamburg, Johannes Caspar, im Gespräch mit dem Handelsblatt bereits Zweifel angemeldet, ob die aktuellen Datenschutzbestimmungen des Unternehmens diese Weitergabe decken würden. Insbesondere informiert der Anbieter momentan in seiner Privacy-Policy nicht konkret darüber, welche Daten an welche Unternehmen weitergegeben werden sollen.

Rechte der User

Möchten Kunden eine solche Weitergabe der Daten ihrer kartierten Wohnung unterbinden, so haben sie zunächst die Möglichkeit, die Einwilligung nicht zu erteilen. Denn es ist eine gesetzliche Anforderung an eine Einwilligung, dass diese freiwillig erfolgen muss. Bestünde keine Wahlmöglichkeit, wäre diese Voraussetzung nicht erfüllt. iRobot selbst weist in seinen Datenschutzbestimmungen noch auf eine andere Möglichkeit hin: Möchte der Kunde die Vernetzung seines Saugroboters und eine Weitergabe von Daten an Dritte unterbinden, so rät der Hersteller dazu, das Gerät nicht im WLAN anzumelden oder per Bluetooth zu verbinden.

Diese Strafen drohen

Verstößt ein Gerätehersteller gegen die gesetzlichen Vorgaben, so besteht für die Datenschutzbehörden die Möglichkeit, Bußgelder zu verhängen oder, was oft viel gravierender ist, die Datenverarbeitung durch das Unternehmen zu untersagen. Ab dem 25. Mai 2018 wird in der Europäischen Union ein neues Datenschutzgesetz, die EU Datenschutz-Grundverordnung (DSGVO, GDPR), anwendbar sein. Diese sieht, im Gegensatz zur aktuellen Rechtslage, gravierende Bußgelder von bis zu vier Prozent des weltweiten Jahresumsatzes eines Unternehmens oder 20 Millionen Euro für Verstöße gegen das Gesetz vor. Hersteller von intelligenten und vernetzten Haushaltsgeräten sind also gut beraten, ihre Produkte datenschutzkonform auszugestalten, und dies nicht zuletzt auch deshalb, weil die DSGVO den Unternehmen die Beachtung der Prinzipien von "Privacy by Design" und "Privacy by Default" verbindlich vorschreibt.