23.12.2015

Smart Home und Smart Office

Sie müssen überraschend ein Meeting organisieren? Kein Problem. Anhand der über Sensoren erfassten Vorräte stellen Sie die Verköstigung der Teilnehmer sicher. Zeitgleich weiß die Steuerzentrale, welcher Raum frei ist und wann eine behagliche Temperatur vorhanden sein soll. Über den Hightech-Fernseher im Konferenzraum schalten sich externe Teilnehmer zu. Daneben überwacht ein intelligenter Zähler den Verbrauch von Strom, Wasser oder Gas, um verbrauchssenkende Maßnahmen vorzuschlagen. Soweit ein Szenario, das laut Herstellern und Anbietern von „smarten“ Produkten nicht mehr fern sein soll. Was heißt das für den Datenschutz?

Smart Home und Smart Office: datenschutzrechtlich problematisch

„Smart“ sind Produkte, deren Grundfunktionen so angereichert sind, dass sie weitere Fähigkeiten, v.a. die zur Interaktion mit Dritten (Menschen und Maschinen), gewinnen. So soll unter dem Schlagwort „Smart Home“ das intelligente Haus mit einer Vielzahl positiver technischer Entwicklungen aufwarten. In deren Mittelpunkt stehen eine höhere Wohn- und Lebensqualität, mehr Sicherheit und bessere Energienutzung auf Basis vernetzter und fernsteuerbarer Geräte und Installationen sowie automatisierbarer Abläufe.

Potenzielle Dauerkontrolle von Arbeitnehmern

Der Berliner Datenschutzbeauftragte Alexander Dix warnte schon in seinem Jahresbericht 2013 vor gravierenden Risiken: Die zunehmende Vernetzung des Heimbereichs beschere dem Nutzer zwar viele Vorteile. Im „Smart Home“ würden aber auch immer mehr persönliche Daten erfasst, was große Gefahren für die informationelle Selbstbestimmung mit sich bringe. Ein technisch optimiertes Leben, etwa durch eine smarte Hausregulierung, bedeute potenziell Dauerkontrolle.

Smart Homes bzw. smarte Büros werden z.B. in der Lage sein, die Vorzüge der Bewohner und Arbeitnehmer zu lernen, zu übernehmen und damit auch vorherzusagen. Die Möglichkeit der allumfassenden Profilbildung und Leistungskontrolle ist nicht zu unterschätzen, auch im Unternehmen. So lassen sich z.B. Maschinenleistungsdaten zur Leistungsoptimierung erfassen und mit der Arbeitszeiterfassung von Mitarbeitern verbinden, die an der Maschine arbeiten.

„Embedded privacy“ und „embedded security

Programmierer und Hersteller müssen ihre smarten Produkte daher in einer Weise auslegen, dass sie sich nicht nur smart, sondern auch datenschutzkonform verhalten. Doch das ist bisher noch weitgehend Zukunftsmusik. Konzerne mit großer Marktmacht können ihre smarten Produkte als geschlossenes System designen. Ob die Daten im Einzelfall dann auch tatsächlich erhoben und verarbeitet werden, ist für den durchschnittlichen Kunden oder Mitarbeiter nicht erkennbar. Die wichtigsten Datenschutzforderungen zielen daher auf „embedded privacy“ und „embedded security“.

Der Einzelne muss grundsätzlich selbst entscheiden können, welche Daten er von sich preisgibt. Er bestimmt über Art und Maß der Erhebung und Nutzung bzw. darüber, ob er anderen Verfügungsrechte an seinen Daten einräumt. Das gilt auch im Smart Home. Wenn und soweit die dort erzeugten Daten personenbezogen oder personenbeziehbar sind, ist der Schutzbereich des Rechts auf informationelle Selbstbestimmung eröffnet.

Warum geht es eigentlich um personenbezogene Daten?

In der Regel werden die Daten und Profile der Geräte gespeichert, die der Anwender selbst einstellt. Dazu gehören u.a. Benutzerzugangsdaten, Geräte-IDs sowie konfigurierte Steuerungsparameter. Auch wenn die Zentrale keine Namen-, Adress- oder Kontodaten speichert, gelten die gespeicherten Daten als personenbezogene Daten, da sie dem Nutzer zugeordnet sind. Der Anbieter kann eine solche Zuordnung allein schon deshalb vornehmen, weil er die Statusinformationen der einzelnen Geräte auf seinen Servern für den Fall des Fernzugriffs durch den Nutzer mit dessen Account verknüpfen muss.

Speicherung der Daten – was ist erforderlich?

Ein Smart Home oder Smart Office begründet sich nicht nur durch den einmaligen Kauf von intelligenten Produkten. Denn es soll ja gerade davon leben, dass der Nutzer jederzeit zugreifen und steuern kann. Somit besteht zwar ein über den Kauf hinausgehendes Rechtsverhältnis zwischen Kunde und Anbieter. Allerdings ist nicht ersichtlich, inwiefern die dauerhafte Speicherung von Bewegungsdaten hierfür erforderlich wäre. Denn die Bereitstellung des Dienstes – anders als etwa bei einem volumengebundenen Internet-Tarif – erfolgt unabhängig von der tatsächlichen Nutzung.

Eine Speicherung der Daten hat daher nur so lange zu erfolgen, wie der Nutzer darauf zugreifen möchte:

  • Im Fall der Fernregulierung einer Heizung ist die aktuelle Temperatur in einem Zimmer nur bis zu ihrer Änderung relevant. Die Daten sind anschließend zu überschreiben.
  • Die Information, wann die Temperatur wie viel Grad betrug, würde Bewegungsprofile ermöglichen und über den Zweckbindungsgrundsatz hinausgehen. Die dauerhafte Erfassung der über die aktuellen Bestandsdaten hinausgehenden Informationen über den Nutzer findet daher keine gesetzliche Grundlage in § 28 Abs. 1 S. 1 Nr. 1 BDSG.

Wichtige Fragen an den Anbieter

Gerade weil Smart-Home- und Smart-Office-Produkte zunehmend an Attraktivität gewinnen, sollte sich ein Datenschutzbeauftragter im Unternehmen vergewissern, wer auf die erhobenen Daten Zugriff haben wird, wo sie gespeichert werden und ob vom Anbieter bzw. Betreiber ein Höchstmaß an Datenschutz und Datensicherheit zu erwarten ist.

Smart-Home-Lösungen, die einen Fernzugriff etwa über Smart-Home-Apps zulassen, sind angesichts ihrer Internet-Anbindung besonders gefährdet. Hier sind Angriffe auf Cloud-Daten ebenso denkbar wie ein Abfangen und Missbrauch der Login-Daten. Achten Sie bei der Auswahl von Sensoren und Systemen darauf, dass ausschließlich Sie selbst Zugriff auf die erhobenen und gespeicherten Daten haben, und fragen Sie den Diensteanbieter:

  • Wie verhindert er unberechtigte Zugriffe?
  • Werden die Daten für die Steuerimpulse lediglich transportiert, nicht gespeichert?
  • Funktionieren alle erstellten Profile, Komponenten etc. auch ohne Internetverbindung zum Dienstleister?
  • Kann der Nutzer entscheiden, ob und wann eine Sicherheitskopie erstellt wird?
  • Kann er auch selbst Konfigurationsänderungen vornehmen?

Fazit: Viele Vorteile – aber zu welchem Preis?

Wie viele moderne Technologien bietet auch das Smart Home bzw. das Smart Office Vorteile in Hinblick auf Komfort und Sicherheit. Es birgt aber Risiken bezüglich der unberechtigten Weiterverwertung der erhobenen Daten. Außerdem kann es in nie dagewesener Weise in den höchstpersönlichen Lebensbereich der Bewohner und Mitarbeiter eindringen.

Die Schwächen des Datenschutzrechts treten angesichts neuer technischer Entwicklungen besonders offensichtlich zutage. Der Schutz der Daten Dritter sollte Hersteller zur stärkeren Anonymisierung der erhobenen Daten zwingen. Außerdem müssen Verstöße gegen datenschutzrechtliche Vorschriften generell stärker sanktioniert werden.

Bis derartige Lösungen gefunden sind, liegt es im Verantwortungsbereich der Kunden, genau abzuwägen, welchen „Preis“ sie für das vernetzte Eigenheim oder das smarte Büro zu zahlen bereit sind. Letztlich wird es maßgeblich darauf ankommen, durch eine angemessene vertragliche Gestaltung und eine entsprechende technische Umsetzung innovative Technologien, Dienste und Geschäftsmodelle zu ermöglichen, ohne die Persönlichkeitsrechte der Verbraucher zu gefährden.

Autor: