Das Internet der Dinge – Rechtliche Grenzen der Ideenwelt

Die Artikel-29-Datenschutzgruppe (Article 29 Working Party, WP29) hat eine “Opinion” zu den jüngsten Entwicklungen des “Internet der Dinge” veröffentlicht.

Eingerichtet aufgrund der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 über den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr ist es Aufgabe der Arbeitsgruppe Expertisen zu aktuellen Fragen des Datenschutzes in der Europäischen Union und den Mitgliedstaaten zu veröffentlichen und die Europäische Kommission zu beraten; sie ist dabei von der Kommission unabhängig, sodass ihre Stellungnahmen, vice versa, nicht unbedingt den Ansichten der Kommission entsprechen.

Als „Internet der Dinge“ (Internet of Things, IoT) wird eine Infrastruktur aus selbständig arbeitenden Technologien verstanden, die über Sensoren Daten von Personen oder auch Objekten erheben, speichern, verarbeiten, weiterleiten und untereinander austauschen (vgl. auch Wikipedia, Internet der Dinge).

Bei der Beurteilung der mit der IoT-Technologie einhergehenden datenschutzrechtlichen Fragestellungen hat sich die WP29 auf drei Bereiche beschränkt: „Wearable Computing“, „Quantified Self“ und „Home Automation (‚domotics‘)“. Wearables sind am Körper tragbare Computer, die über Sensoren Informationen aus ihrer Umwelt wahrnehmen und weiterverarbeiten (bspw. Brillen mit integrierter Kamera); als „Quantified Selfs“ können Wearables zur Selbstbeobachtung und Kontrolle des Anwenders dienen, insbesondere zur Überwachung des eigenen Gesundheitszustandes (bspw. Pulsuhren, Schrittzähler, Blutdruckmesser etc.); „Home Automation“ bezeichnet Systeme, die in Büros oder Wohnräumen installiert werden und auf die räumlichen Bedingungen reagieren und entsprechend einwirken (Bsp.: Lampen, die ihre Helligkeit den äußeren Lichteinflüssen anpassen oder auch Thermostate mit Außentemperatursensoren). Allen drei Technologien gemein ist die Aufnahme von Daten aus ihrer Umwelt, insbesondere von Personen, und deren Verarbeitung und Weiterverwendung über Datenverbindungen, vornehmlich via Internet.

Die WP29 führt aus, dass die IoT-Technologien eine Vielzahl signifikanter Herausforderungen an den Schutz von Daten und Privatsphäre stellen. Aus den Interaktionen zwischen Objekten und Personen, Objekten untereinander sowie Objekten und übergeordneten Systemen resultieren Datenströme, die mit den klassischen Werkzeugen zur Herstellung eines adäquaten Schutzes persönlicher Daten, Interessen und Rechte der involvierten Personen kaum bewältigt werden können. So ist es den Personen, die IoT-Technologien verwenden, in der Regel nicht möglich, vorab zu kontrollieren, welche Daten über sie erhoben und weitergegeben werden, so dass das Risiko eines individuellen Kontrollverlustes und ungewollter Selbstentblößung besteht, soweit den Nutzern die Erteilung einer qualifizierten, bewussten und umfassenden Zustimmung über die Verarbeitung ihrer Daten faktisch nicht möglich ist. Der stete, insbesondere automatisierte Datenaustausch zwischen miteinander vernetzten Objekten ist zudem kaum lückenlos zu überwachen.

Des Weiteren bestehen Bedenken hinsichtlich des Schutzes von Personen, die ohne ihr Wissen zu Objekten von IoT-Systemen anderer Personen werden, etwa wenn sie von integrierten Kameras, Mikrofonen und sonstigen Sensoren erfasst werden; in diesen Fällen werden Daten von Personen ohne deren Einwilligung und darüber hinaus ohne deren Kenntnis erhoben, gespeichert und gegebenenfalls auch weiter verbreitet.

Verschärft werden die Probleme des Daten- und Persönlichkeitsschutzes schließlich noch dann, wenn die von IoT-Systemen verarbeiteten Daten Dritten zugänglich sind bzw. sich Unbefugte Zugriff verschaffen und diese auswerten können. So können durch Data-Mining aus höchstpersönlichen Daten, die von IoT-Objekten aufgenommen und weitergeleitet werden, umfassende Persönlichkeitsprofile erstellt werden (vgl. ausf. Wikipedia, Data-Mining).

Um die Rechte der Nutzer von IoT-Systemen sowie sonstiger von diesen Betroffener zu schützen, hat die WP29 eine Vielzahl von Handlungsdirektiven aufgestellt, die im Wesentlichen verlangen, dass ein hinreichendes Einverständnis zur Erhebung persönlicher Daten und eine ausreichende individuelle Kontrolle ihrer Weiterverarbeitung sichergestellt wird. Dabei sind insbesondere die im europäischen wie mitgliedstaatlichen Recht niedergelegten Grundsätze der Datensparsamkeit und -transparenz zu achten. Die von der WP29 aufgezeigten Probleme des Datenschutzes werden sich beim Einsatz von IoT-Technologien im E-Health-Bereich mit noch größerer Dringlichkeit stellen, da es sich hier um höchst sensible, auf die körperliche sowie geistige und seelische Integrität von Personen gerichtete Daten handelt, die regelmäßig die Privatsphäre und darüber hinaus auch die Intimsphäre der Betroffenen berühren.

RA Dr. Martin Delhey, Berlin.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.