Handlungsbedarf bei Umsetzung der EU-DSGVO

Seit dem 25. Mai 2018 muss die europäische Datenschutz-Grundverordnung umgesetzt werden. Die Regelung betrifft auch Hersteller und Anbieter von IoT-Produkten, die mit dem Internet verbunden sind und selbstständig darüber kommunizieren, und gibt Nutzern dieser Produkte die Möglichkeiten, gegen Missbrauch im Umgang mit ihren personenbezogenen Daten vorzugehen. Für die Experten des „Center of Excellence (CoE) IoT Privacy“ von TÜV Rheinland besteht bei der Umsetzung der DSGVO weiterer Handlungsbedarf. 

„Während in punkto Datensicherheit Anbieter und Nutzer naturgemäß an einem Strang ziehen und beide Seiten Hackerangriffe vermeiden wollen, gibt es beim Datenschutz einen Interessensgegensatz. Anbieter möchten möglichst viel über ihre Kunden wissen, Nutzer ihre Privatsphäre schützen“, erklärt Günter Martin, Chief Technology Officer im CoE IoT Privacy bei TÜV Rheinland. So sieht die EU-DSGVO unter anderem eine Datenminimierung vor: Personenbezogene Daten müssen auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein.

Datenminimierung bei Produktentwurf berücksichtigen

„Diese Forderung nach Datenminimierung sollte bereits beim Produktentwurf berücksichtigt werden. Das Gerät sollte technisch nur die Daten liefern können, die für den vereinbarten Zweck gebraucht werden und andere Daten erst gar nicht erfassen können. Unsere Praxis zeigt, dass es in diesem Punkt noch Nachholbedarf auf Seiten der Hersteller gibt“, so TÜV Rheinland-Experte Martin weiter. Gleiches gilt unter anderem auch in punkto Passwort-Sicherheit, Verschlüsselung sowie für Update-Prozesse.

Besonders kritisch mit Blick auf die EU-DSGVO sieht Günter Martin die teils verwendeten Datenschutzerklärungen. „Die Bearbeitung personenbezogener Daten unterliegt laut EU-DSGVO immer einer Zweckbindung. Häufig sind Einwilligungen aber zu umfassend formuliert und erlauben die Daten-Nutzung zu Zwecken, die mit der eigentlichen Anwendung nichts zu tun haben“, so Günter Martin. 

„Trust IoT – from Start zu Finish“ als End-to End-Lösung 

Datenschutz und Vertrauenswürdigkeit digitaler Systeme und smarter Produkte sind entscheidend für Innovationen und das Vertrauen in Hersteller und Anbieter. „Unsere Leistungen als unabhängige qualifizierte Stelle können dazu beitragen, digitale Dienstleistungen und smarte Produkte sicherer zu machen und mit dem von uns geprüften Datenschutz für Verbraucher eine Vergleichsmöglichkeit im Markt schaffen, die auch das Vertrauen in die Hersteller stärkt und gleichzeitig für Sicherheit in der digitalen Welt steht“, so TÜV Rheinland-Experte Günter Martin.

Seit Sommer 2017 bietet das CoE IoT Privacy von TÜV Rheinland weltweit ein Leistungspaket an, das den Anforderungen an den End-to-End-Datenschutz im stark wachsenden Markt des Internets der Dinge Rechnung trägt. Das Portfolio des Prüfdienstleisters beinhaltet unter anderem zwei innovative Datenschutzzertifikate. Zusätzlich können Hersteller und Systemanbieter mit der End-to-End-Lösung „Trust IoT – from Start to Finish“ von TÜV Rheinland auch allen professionellen Anforderungen in Bezug auf Compliance, Interoperabilität, funktionaler Sicherheit und IT-Sicherheit gerecht werden.  (sg)