Datenschutz und Datensicherheit für IoT-Produkte

Smarte Geräte erobern den Markt. Gemeint sind Geräte, die am Internet angeschlossen sind, also IoT (Internet of Things)-Geräte, und dem Konsumenten damit zusätzliche Dienste anbieten. Der smarte Fernseher hört aufs Wort, das Licht lässt sich über eine App steuern oder die Waschmaschine zeigt über eine App die Restlaufzeit an.

Von Günter Martin, TÜV Rheinland

Der Markt für viele Haushaltsgeräte ist praktisch gesättigt und Innovationen sollen den Verbraucher für Neuanschaffungen motivieren. Die alte Geschirrspülmaschine beispielsweise wird durch eine smarte ersetzt. Zusätzlich eröffnen sich für die Hersteller neue Geschäftsmodelle. So kann etwa die App für die Geschirrspülmaschine auf Knopfdruck bei Bedarf Tabs nachbestellen. Es geht um kontinuierliche Einnahmequellen und stärkere Kundenbindung.
Aber viele Verbraucher sehen dies auch skeptisch. Und auch Politiker erkennen die Gefahren. Der stärkste Vorbehalt: Die Angst vor Datenkraken und Hackern, das heißt Datenschutz und Datensicherheit. Dies hält Käufer ab und ist damit ein wesentliches Markthemmnis.

Berechtigte Sorgen

Die Sorgen der Verbraucher um den Datenschutz erscheinen berechtigt. Im September 2016 hat die OECD-Datenschutzvereinigung GPEN 314 vernetzte Geräte von Fitness-Trackern über Blutzuckermessgeräte bis hin zu Smart-TVs geprüft und ist auf große Lücken beim Datenschutz gestoßen. Selbst sensible Informationen würden kaum verschlüsselt.
Auch der Politik sind die smarten Geräte nicht ganz Geheuer. Dabei ist der Verbraucherschutz, und damit auch der Datenschutz, bei weitem nicht der einzige Aspekt, auch wenn dieser am stärksten in der Öffentlichkeit steht. Es sind die Sorgen um IoT-Bonets, die die öffentliche Infrastruktur angreifen können. Ein IoT-Botnet ist eine Gruppe von IoT-Geräten, die zentral gesteuert werden können.

Neue gesetzliche Anforderungen

Die Beispiele zeigen, wie wichtig sowohl für den Verbraucher als auch für die Gemeinschaft ein hohes Niveau beim Datenschutz und bei der Datensicherheit ist. Auch der Gesetzgeber hat dies erkannt und in der EU in 2016 die „Europäische Datenschutzgrundverordnung“ (EU-DSGVO) oder in Englisch „General Data Protection Regulation (GDPR)“ beschlossen. Diese stellt den Datenschutz auf eine neue Grundlage. Für die DSGVO endet die Übergangsfrist am 25. Mai 2018. Der deutsche Gesetzgeber hat bereits das Bundesdatenschutzgesetz neu formuliert und hundert weitere Gesetze angepasst.
Die DSGVO gilt für die Verarbeitung personenbezogener Daten. Personenbezogen bedeutet, die Person kann direkt oder indirekt identifiziert werden. Damit ist zum Beispiel schon eine dynamische IP-Adresse personenbezogen, denn über die Daten des Providers lässt sich die Person identifizieren. Bezogen auf IoT-Geräte ist offensichtlich, dass die Wohnung zur Privatsphäre gehört.
Die DSGVO schützt natürlich nicht nur private Nutzer (Konsumenten), sondern generell alle Personen, von denen Daten erfasst werden. Das gilt im gewerblichen Umfeld auch für die Bediener-Erkennung durch Logins, Aktivierung eines Einrichtungsmodes und Wartungsbetrieb, sobald technisch zugeordnet werden könnte, welche Person dies ausführt.
Die meisten Regeln sind nicht grundsätzlich neu. Deutsche Unternehmen kennen sie bereits aus dem Bundesdatenschutzgesetz, sie wurden konkretisiert und verschärft. Neu sind die Forderungen nach „Privacy by Design“ und „Privacy by Default“. Wer diese beiden Punkte versteht, für den erschließen sich die anderen Regeln weitgehend von selbst.  

Privacy by Design

Privacy by Design bedeutet „eingebauter Datenschutz“. Dabei soll man den Datenschutz bereits bei der Entwicklung berücksichtigen und nicht erst nachträglich aufsetzen. Datenschutzrisiken sollen von Anfang an vermieden werden. In Bezug auf IoT-Geräte empfiehlt sich eine Unterscheidung zwischen dem Gerät selbst und den mit dem Gerät verbundenen IoT-Service, zum Beispiel die Steuerung über eine App.
Das Gerät muss technische Merkmale besitzen, die einen Datenschutz-konformen Betrieb ermöglichen. Ein Beispiel: Jedes IoT-Gerät sendet und empfängt Daten. Diese Datenübertragung soll verschlüsselt erfolgen. Verschlüsselung benötigt aber Rechenleistung. Der Prozessor im Gerät muss dafür von Anfang an ausreichend groß gewählt werden oder dieses Merkmal möglicherweise schon eingebaut haben.

Geschäftsprozess und Infomations-Architektur

Beim IT-Service für das IoT-Gerät geht es vorrangig um den Geschäftsprozess und die Infomations-Architektur. Das muss im Sinne von Privacy by Design so gestaltet sein, dass sich die erfassten Daten nur für den Zweck nutzen lassen, der mit dem Nutzer vertraglich vereinbart ist. Um diese „Datennutzungskontrolle“ direkt in die Informationsarchitektur zu integrieren, betritt die Informatik Neuland. Eine bereits einsatzfähige Lösung gibt es zum Beispiel beim Fraunhofer-Institut . Vor allem muss jedoch die Zweckbindung der Daten in den Geschäftsprozessen festgeschrieben sein. Eine Vorratsdatenspeicherung für heute noch nicht bekannte Zwecke im Sinne von Big-Data-Analyse ist damit ausgeschlossen, solange die Daten personenbezogen sind. Für anonymisierte oder pseudonymisierte Daten ist dies unkritisch.
An dieser Stelle müssen auch die Verbraucher umdenken. Ein Update bedeutet nicht, dass etwa das frisch gekaufte Gerät schon einen Fehler hatte. Es bedeutet vielmehr, dass der Hersteller verantwortungsvoll handelt.

Privacy by Default

Privacy by Default steht für datenschutzfreundliche Voreinstellungen. Das betrifft bei IoT-Geräten besonders die Registrierung, die der Nutzer durchführen soll, und insgesamt die App. Es dürfen keine Daten vom Nutzer abgefragt oder Einwilligungen verlangt werden, die nicht für den Service erforderlich sind. Sofern verwendet, müssen folgende Einwilligungen per Default abgeschaltet sein. Sie dürfen nur verwendet werden, wenn der Nutzer explizit zustimmt:

• Nutzen der Daten für oder Senden von personalisierter Werbung 
• Übertragung Diagnosedaten an den Hersteller, zum Beispiel zur Softwareverbesserung
• Übertragung des Standorts
• Teilen von Daten (Daten sind für andere Nutzer sichtbar)
• Weitergabe von personalisierten Daten an Dritte (Nicht-Nutzer)

Aus Privacy by Default und anderen gesetzlichen Regelungen leitet sich ab, dass das IoT-Gerät keine Sprache, beispielsweise  zur Spracherkennung, und kein Bild übertragen darf, sofern es dem Nutzer nicht offensichtlich ist, dass diese Übertragung eine Kernfunktion des Gerätes ist.

Daten sind das neue Öl

Hinter allen Regelungen steckt die Erkenntnis: „Daten sind das neue Öl“, die „neue Währung“ oder „der vierte Produktionsfaktor“. Daten haben einen hohen Wert, den es zu schützen gilt. Gleichzeitig treiben Daten die Wirtschaft voran und ihre Sabotage kann erhebliche wirtschaftliche und soziale Auswirkungen haben. Dass es dafür jetzt neue gesetzliche Vorschriften gibt, erscheint absolut konsequent.
Die Unternehmen sollten das nicht nur als Zwang, sondern als Chance sehen. Sie können sich durch vorbildlichen Datenschutz profilieren und die große Zahl potenzieller Kunden ansprechen, die den IoT-Geräten kritisch gegenüberstehen, weil sie sich Sorgen um ihre Privatsphäre machen.
Der TÜV Rheinland hilft dabei. Er hat auf Basis der DSGVO technische Anforderungskataloge und Prüfprogramme entwickelt, mit denen sich IoT-Geräte und die zugehörigen Services testen lassen. Dabei gehen die Anforderungen im Sinne des Verbraucherschutzes in einigen Punkten über die heutige DSGVO hinaus. Bei erfolgreicher Prüfung wird ein Zertifikat erteilt. Damit zeigt der Anbieter den Aufsichtsbehörden, seinen Händlern und den Konsumenten, dass er ein hohes Niveau an Datenschutz und Datensicherheit einhält.

Weitere Informationen dazu erhalten Sie über diesen Link.

Autoreninfo

Der Autor Dipl.-Inform. Günter Martin ist Solutions Director im Global Competence Center für IoT-Privacy beim TÜV Rheinland. In dieser Funktion verantwortet er die Entwicklung von Zertifikaten und weiteren Services im Umfeld von IoT-Datenschutz und -Datensicherheit.