Datenschutz und Datensicherheit für die Immobilie

Bei der Nutzung von vernetzen Produkten und Systemen haben Verbraucher insbesondere Sorgen um die Privatsphäre. (Bild: TÜV Rheinland AG)

Bei der Nutzung von vernetzen Produkten und Systemen haben
Verbraucher insbesondere Sorgen um die Privatsphäre. (Bild: TÜV Rheinland AG)

Privacy by Design

Privacy by Design bedeutet ‚eingebauter Datenschutz‘. Bereits bei der Entwicklung soll der Datenschutz berücksichtigt und nicht erst nachträglich aufgesetzt werden. Datenschutzrisiken sollen von Anfang an vermieden werden. In Bezug auf IoT-Geräte empfiehlt sich dabei eine Unterscheidung zwischen dem Gerät selbst und den mit dem Gerät verbundenen IoT-Service, zum Beispiel die Steuerung über eine App. Das Gerät muss technische Merkmale besitzen, die einen Datenschutz-konformen Betrieb ermöglichen. Ein Beispiel: Jedes IoT-Gerät sendet und empfängt Daten. Diese Datenübertragung soll verschlüsselt erfolgen. Verschlüsselung benötigt Rechenleistung. Der Prozessor im Gerät muss dafür von Anfang an ausreichend groß gewählt werden oder dieses Merkmal möglicherweise schon eingebaut haben. Beim IT-Service für das IoT-Gerät geht es vorrangig um den Geschäftsprozess und die Infomations-Architektur. Das muss im Sinne von Privacy by Design so gestaltet sein, dass die erfassten Daten nur für den Zweck genutzt werden können, der mit dem Nutzer vertraglich vereinbart ist. Um diese ‚Datennutzungskontrolle‘ direkt in die Informationsarchitektur zu integrieren, betritt die Informatik Neuland. Eine bereits einsatzfähige Lösung gibt es zum Beispiel beim Fraunhofer-Institut [Ochs, Michael: Datenschutztechnologie für das 21. Jahrhundert. Herausforderung Privacy und Data Security. Präsentation beim Bitkom AK Smart City/Smart Region. München 27.9.2017.]. Vor allem muss jedoch die Zweckbindung der Daten in den Geschäftsprozessen festgeschrieben sein. Eine Vorratsdatenspeicherung für heute noch nicht bekannte Zwecke im Sinne von Big Data Analyse ist damit ausgeschlossen, solange die Daten personenbezogen sind. Für anonymisierte oder pseudonymisierte Daten ist dies unkritisch. An dieser Stelle müssen auch die Verbraucher umdenken. Ein Update bedeutet nicht, dass etwa das gerade frisch gekaufte Gerät schon einen Fehler hatte. Es bedeutet vielmehr, dass der Hersteller verantwortungsvoll handelt.

Privacy by Default

Privacy by Default steht für datenschutzfreundliche Voreinstellungen. Das betrifft bei IoT-Geräten besonders die Registrierung, die der Nutzer durchführen soll, und insgesamt die App. Es dürfen keine Daten vom Nutzer abgefragt oder Einwilligungen verlangt werden, die nicht für den Service erforderlich sind. Sofern verwendet, müssen folgende Einwilligungen per Default abgeschaltet sein. Sie dürfen nur verwendet werden, wenn der Nutzer explizit zustimmt: @Aufzählung:Nutzen der Daten für oder Senden von personalisierter Werbung. @Aufzählung:Übertragung Diagnosedaten an den Hersteller, z.B. zur Softwareverbesserung. @Aufzählung:Übertragung des Standorts. @Aufzählung:Teilen von Daten, d.h. Daten sind für andere Nutzer sichtbar. @Aufzählung:Weitergabe von personalisierten Daten an Dritte (Nicht-Nutzer).

Aus Privacy by Default und anderen gesetzlichen Regelungen leitet sich ab, dass das IoT-Gerät keine Sprache (z.B. zur Spracherkennung) und kein Bild übertragen darf, sofern es dem Nutzer nicht offensichtlich sein muss, dass diese Übertragung eine Kernfunktion des Gerätes ist.

Daten sind das neue Öl

Hinter allen Regelungen steckt die Erkenntnis: „Daten sind das neue Öl“, die „neue Währung“ oder „der vierte Produktionsfaktor“. Daten haben einen hohen Wert, den es zu schützen gilt. Gleichzeitig treiben Daten die Wirtschaft voran, und ihre Sabotage kann erhebliche wirtschaftliche und soziale Auswirkungen haben. Dass es dafür jetzt neue gesetzliche Vorschriften gibt, erscheint absolut konsequent. Unternehmer sollten das nicht nur als Zwang, sondern als Chance sehen. Da – wenn auch in unterschiedlichen Ausprägungen – sowohl Smart Home-Produkte als auch Smart Building-Produkte von der Datenschutzgrundverordnung betroffen sind, und Hersteller ihre IoT-Geräte regelmäßig sowohl für Smart Homes als auch für den Einsatz in Smart Buildings anbieten, sollten sie ihr IoT-Angebot so gestalten, dass sie – unabhängig vom Einsatzzweck ihrer Geräte – generell alle Aspekte der Verordnung einhalten. So können sie sich durch vorbildlichen Datenschutz profilieren und eine große Zahl potenzieller Kunden ansprechen. Der TÜV Rheinland hilft dabei. Er hat auf Basis der DSGVO technische Anforderungskataloge und Prüfprogramme entwickelt, mit denen IoT-Geräte und die zugehörigen Services getestet werden. Dabei gehen die Anforderungen im Sinne des Verbraucherschutzes in einigen Punkten über die heutige DSGVO hinaus. Bei erfolgreicher Prüfung wird ein Zertifikat erteilt. Damit zeigt der Anbieter den Aufsichtsbehörden, seinen Händlern bzw. Systemanbietern sowie den Konsumenten, dass er ein hohes Niveau an Datenschutz und Datensicherheit einhält.

Autor | Dipl.-Inform. Günter Martin,
Solutions Director im Global Competence Center für IoT-Privacy,
TÜV Rheinland AG

Seiten: 1 2Auf einer Seite lesen

TÜV Rheinland AG
www.tuv.com/de/iot-privacy

Das könnte Sie auch Interessieren