XXX
Datenschutz und Datensicherheit für die Immobilie
XXX
Ab Mai 2018 stellt die neue Datenschutzgrundverordnung (EU-DSGVO) den Datenschutz auf eine neue Grundlage. Sowohl Smart Home-Produkte als auch Smart Building-Produkte sind davon betroffen und Hersteller sollten ihr IoT-Angebot so gestalten, dass sie - unabhängig vom Einsatzzweck ihrer Geräte - generell alle Aspekte der Verordnung einhalten. Unser Bericht klärt auf, was die neuen Regelungen bringen.
Bild: Oliver TjadenSmarte Geräte und Installationen erobern den Markt. Gemeint sind Geräte, die am Internet angeschlossen sind, also IoT-Geräte (Internet of Things). Sie sollen dem Anwender zusätzliche Dienste anbieten: Das Licht wird über eine App gesteuert und mit der Webcam wird die Immobilie überwacht. Hinzu kommen Rauchmelder, Bewegungssensoren, Klimatisierung und Rolladen-Steuerungen sowie viele Geräte mehr, die bei Smart Home und Smart Building verbaut werden. Die Geräte helfen, Energie zu sparen, erhöhen die Sicherheit und den Komfort für die Bewohner und Nutzer. Marktforscher erwarten, dass es allein in Smart Homes und Smart Buildings zwölf Milliarden dieser Geräte bis 2021 geben wird. Trotz ihrer zahlreichen Vorteile gibt es auf Verbraucherseite starke Vorbehalte gegen IoT-Produkte, denn sie beobachten Nutzer und ihre Umgebung permanent und senden entsprechende Daten an Anbieter oder Serviceprovider. Die Angst vor Datenkraken und Hackern, also die Sorge um Datenschutz und Datensicherheit, hält Käufer davon ab, verstärkt zu investieren und ist daher für Hersteller und Systemanbieter ein wesentliches Markthemmnis. Die Sorgen der Verbraucher um den Datenschutz erscheinen berechtigt. So hat die OECD-Datenschutzvereinigung GPEN im September 2016 immerhin 314 vernetzte Geräte von Fitnesstrackern über Blutzuckermessgeräte bis zu Smart-TVs geprüft und ist auf große Lücken beim Datenschutz gestoßen. Selbst sensible Informationen würden kaum verschlüsselt. Auch der Politik sind die smarten Geräte nicht ganz Geheuer. Neben dem Datenschutz stehen dabei IoT-Botnets im Mittelpunkt: Dabei handelt es sich um eine Gruppe von IoT-Geräten, die mit einer Schadsoftware infiziert wurden und dadurch zentral gesteuert werden können und die die öffentliche Infrastruktur angreifen können.
Bild: Oliver TjadenNeue gesetzliche Anforderungen
Die Beispiele zeigen, wie wichtig sowohl für den Verbraucher als auch für die Gemeinschaft ein hohes Niveau an Datenschutz und Datensicherheit ist. Auch der Gesetzgeber hat dies erkannt und in der EU in 2016 die 'Europäische Datenschutzgrundverordnung' (EU-DSGVO) oder, in Englisch, die 'General Data Protection Regulation (GDPR)' beschlossen. Diese stellt den Datenschutz auf eine neue Grundlage und enthält nicht nur deutlich mehr und strengere Anforderungen als das bisherige Bundesdatenschutzgesetz, sondern auch drastischere Sanktionen: Während bisher maximal 130.000? bei Verstößen fällig werden, sind es künftig 20Mio.? oder vier Prozent des weltweiten Jahresumsatzes des Unternehmens. Zum Tragen kommt dabei immer der vergleichsweise höhere Betrag. Wichtig: Die DSGVO kommt ab dem 25. Mai 2018 zur Anwendung. Der deutsche Gesetzgeber hat bereits das Bundesdatenschutzgesetz neu formuliert und hundert weitere Gesetze angepasst. Anbieter von Geräten sowie diejenigen, die sie in Smart Buildings einsetzen, sollten sich daher zeitnah mit den neuen gesetzlichen Bestimmungen auseinandersetzen. Dabei sind Smart Home und Smart Building aus rechtlicher Sicht grundsätzlich wie folgt zu unterscheiden:
- • Beim Smart Home ist es offensichtlich: Die Wohnung des Nutzers ist ohne Zweifel seine Privatsphäre. Alles was von dort an Daten nach außen dringt, sind persönliche Daten. Das gilt beispielsweise bereits für die ausgewählte Raumtemperatur. Sie lässt Rückschlüsse auf die Lebensgewohnheiten, über An- und Abwesenheit zu. Das heißt nicht, dass der Heizungshersteller diese Daten nicht erhalten darf, um eine App für die externe Steuerung bereitzustellen. Er muss jedoch sorgsam mit den Daten umgehen und dabei einige Regeln beachten. Zu diesen Regeln gehören auch Maßnahmen, die sein System so gut wie möglich vor Hackern schützen. Beispielsweise wenn diese beabsichtigen, die Heizung abzuschalten, so dass sie kaum wieder in Betrieb zu nehmen ist.
- • Beim Smart Building geht es um die Gebäudesteuerung, in aller Regel im Zusammenhang mit Funktionsgebäuden wie Büros, aber auch Flughäfen. Die Klimasteuerung zählt dabei zwar nicht zur Privatsphäre. Im Gegenzug ist der Schutz vor Hackern oft noch wichtiger. Mit der Privatsphäre kommt man in Funktionsgebäuden in Berührung, wenn ein "hohes Risiko für die Rechte und Freiheiten natürlicher Personen" besteht, wie es die Datenschutzgrundverordnung formuliert. Als konkretes Merkmal ist die "systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche" genannt. Wer also etwa WebCams produziert, die dort eingesetzt werden, sie installiert oder betreibt, sollte wissen, was die Verordnung verlangt.
Grundsätzlich gilt: Die DSGVO gilt für die Verarbeitung personenbezogener Daten. Personenbezogen bedeutet, die Person kann direkt oder indirekt identifiziert werden. Damit ist zum Beispiel schon eine dynamische IP-Adresse personenbezogen, denn über die Daten des Providers könnte die Person identifiziert werden. Bezogen auf IoT-Geräte ist offensichtlich, dass die Wohnung zur Privatsphäre gehört. Die DSGVO schützt natürlich nicht nur private Nutzer (consumer), sondern generell alle Personen, von denen Daten erfasst werden. Das gilt im gewerblichen Umfeld auch für die Bedienererkennung durch Logins, Aktivierung eines Einrichtungsmodes und Wartungsbetrieb, sobald technisch zugeordnet werden könnte, welche Person dies ausführt. Die meisten Regeln sind nicht grundsätzlich neu. Deutsche Unternehmen kennen sie bereits aus dem Bundesdatenschutzgesetz, sie wurden konkretisiert und verschärft. Neu sind die Forderungen nach 'Privacy by Design' und 'Privacy by Default'.
Bild: TÜV Rheinland AGPrivacy by Design
Privacy by Design bedeutet 'eingebauter Datenschutz'. Bereits bei der Entwicklung soll der Datenschutz berücksichtigt und nicht erst nachträglich aufgesetzt werden. Datenschutzrisiken sollen von Anfang an vermieden werden. In Bezug auf IoT-Geräte empfiehlt sich dabei eine Unterscheidung zwischen dem Gerät selbst und den mit dem Gerät verbundenen IoT-Service, zum Beispiel die Steuerung über eine App. Das Gerät muss technische Merkmale besitzen, die einen Datenschutz-konformen Betrieb ermöglichen. Ein Beispiel: Jedes IoT-Gerät sendet und empfängt Daten. Diese Datenübertragung soll verschlüsselt erfolgen. Verschlüsselung benötigt Rechenleistung. Der Prozessor im Gerät muss dafür von Anfang an ausreichend groß gewählt werden oder dieses Merkmal möglicherweise schon eingebaut haben. Beim IT-Service für das IoT-Gerät geht es vorrangig um den Geschäftsprozess und die Infomations-Architektur. Das muss im Sinne von Privacy by Design so gestaltet sein, dass die erfassten Daten nur für den Zweck genutzt werden können, der mit dem Nutzer vertraglich vereinbart ist. Um diese 'Datennutzungskontrolle' direkt in die Informationsarchitektur zu integrieren, betritt die Informatik Neuland. Eine bereits einsatzfähige Lösung gibt es zum Beispiel beim Fraunhofer-Institut [Ochs, Michael: Datenschutztechnologie für das 21. Jahrhundert. Herausforderung Privacy und Data Security. Präsentation beim Bitkom AK Smart City/Smart Region. München 27.9.2017.]. Vor allem muss jedoch die Zweckbindung der Daten in den Geschäftsprozessen festgeschrieben sein. Eine Vorratsdatenspeicherung für heute noch nicht bekannte Zwecke im Sinne von Big Data Analyse ist damit ausgeschlossen, solange die Daten personenbezogen sind. Für anonymisierte oder pseudonymisierte Daten ist dies unkritisch. An dieser Stelle müssen auch die Verbraucher umdenken. Ein Update bedeutet nicht, dass etwa das gerade frisch gekaufte Gerät schon einen Fehler hatte. Es bedeutet vielmehr, dass der Hersteller verantwortungsvoll handelt.
Privacy by Default
Privacy by Default steht für datenschutzfreundliche Voreinstellungen. Das betrifft bei IoT-Geräten besonders die Registrierung, die der Nutzer durchführen soll, und insgesamt die App. Es dürfen keine Daten vom Nutzer abgefragt oder Einwilligungen verlangt werden, die nicht für den Service erforderlich sind. Sofern verwendet, müssen folgende Einwilligungen per Default abgeschaltet sein. Sie dürfen nur verwendet werden, wenn der Nutzer explizit zustimmt:
- • Nutzen der Daten für oder Senden von personalisierter Werbung.
- • Übertragung Diagnosedaten an den Hersteller, z.B. zur Softwareverbesserung.
- • Übertragung des Standorts.
- • Teilen von Daten, d.h. Daten sind für andere Nutzer sichtbar.
- • Weitergabe von personalisierten Daten an Dritte (Nicht-Nutzer).
Aus Privacy by Default und anderen gesetzlichen Regelungen leitet sich ab, dass das IoT-Gerät keine Sprache (z.B. zur Spracherkennung) und kein Bild übertragen darf, sofern es dem Nutzer nicht offensichtlich sein muss, dass diese Übertragung eine Kernfunktion des Gerätes ist.
Daten sind das neue Öl
Hinter allen Regelungen steckt die Erkenntnis: "Daten sind das neue Öl", die "neue Währung" oder "der vierte Produktionsfaktor". Daten haben einen hohen Wert, den es zu schützen gilt. Gleichzeitig treiben Daten die Wirtschaft voran, und ihre Sabotage kann erhebliche wirtschaftliche und soziale Auswirkungen haben. Dass es dafür jetzt neue gesetzliche Vorschriften gibt, erscheint absolut konsequent. Unternehmer sollten das nicht nur als Zwang, sondern als Chance sehen. Da - wenn auch in unterschiedlichen Ausprägungen - sowohl Smart Home-Produkte als auch Smart Building-Produkte von der Datenschutzgrundverordnung betroffen sind, und Hersteller ihre IoT-Geräte regelmäßig sowohl für Smart Homes als auch für den Einsatz in Smart Buildings anbieten, sollten sie ihr IoT-Angebot so gestalten, dass sie - unabhängig vom Einsatzzweck ihrer Geräte - generell alle Aspekte der Verordnung einhalten. So können sie sich durch vorbildlichen Datenschutz profilieren und eine große Zahl potenzieller Kunden ansprechen. Der TÜV Rheinland hilft dabei. Er hat auf Basis der DSGVO technische Anforderungskataloge und Prüfprogramme entwickelt, mit denen IoT-Geräte und die zugehörigen Services getestet werden. Dabei gehen die Anforderungen im Sinne des Verbraucherschutzes in einigen Punkten über die heutige DSGVO hinaus. Bei erfolgreicher Prüfung wird ein Zertifikat erteilt. Damit zeigt der Anbieter den Aufsichtsbehörden, seinen Händlern bzw. Systemanbietern sowie den Konsumenten, dass er ein hohes Niveau an Datenschutz und Datensicherheit einhält.
Ab Mai 2018 stellt die neue Datenschutzgrundverordnung (EU-DSGVO) den Datenschutz auf eine neue Grundlage. Sowohl Smart Home-Produkte als auch Smart Building-Produkte sind davon betroffen und Hersteller sollten ihr IoT-Angebot so gestalten, dass sie - unabhängig vom Einsatzzweck ihrer Geräte - generell alle Aspekte der Verordnung einhalten. Unser Bericht klärt auf, was die neuen Regelungen bringen.
Bild: Oliver TjadenSmarte Geräte und Installationen erobern den Markt. Gemeint sind Geräte, die am Internet angeschlossen sind, also IoT-Geräte (Internet of Things). Sie sollen dem Anwender zusätzliche Dienste anbieten: Das Licht wird über eine App gesteuert und mit der Webcam wird die Immobilie überwacht. Hinzu kommen Rauchmelder, Bewegungssensoren, Klimatisierung und Rolladen-Steuerungen sowie viele Geräte mehr, die bei Smart Home und Smart Building verbaut werden. Die Geräte helfen, Energie zu sparen, erhöhen die Sicherheit und den Komfort für die Bewohner und Nutzer. Marktforscher erwarten, dass es allein in Smart Homes und Smart Buildings zwölf Milliarden dieser Geräte bis 2021 geben wird. Trotz ihrer zahlreichen Vorteile gibt es auf Verbraucherseite starke Vorbehalte gegen IoT-Produkte, denn sie beobachten Nutzer und ihre Umgebung permanent und senden entsprechende Daten an Anbieter oder Serviceprovider. Die Angst vor Datenkraken und Hackern, also die Sorge um Datenschutz und Datensicherheit, hält Käufer davon ab, verstärkt zu investieren und ist daher für Hersteller und Systemanbieter ein wesentliches Markthemmnis. Die Sorgen der Verbraucher um den Datenschutz erscheinen berechtigt. So hat die OECD-Datenschutzvereinigung GPEN im September 2016 immerhin 314 vernetzte Geräte von Fitnesstrackern über Blutzuckermessgeräte bis zu Smart-TVs geprüft und ist auf große Lücken beim Datenschutz gestoßen. Selbst sensible Informationen würden kaum verschlüsselt. Auch der Politik sind die smarten Geräte nicht ganz Geheuer. Neben dem Datenschutz stehen dabei IoT-Botnets im Mittelpunkt: Dabei handelt es sich um eine Gruppe von IoT-Geräten, die mit einer Schadsoftware infiziert wurden und dadurch zentral gesteuert werden können und die die öffentliche Infrastruktur angreifen können.
Bild: Oliver TjadenNeue gesetzliche Anforderungen
Die Beispiele zeigen, wie wichtig sowohl für den Verbraucher als auch für die Gemeinschaft ein hohes Niveau an Datenschutz und Datensicherheit ist. Auch der Gesetzgeber hat dies erkannt und in der EU in 2016 die 'Europäische Datenschutzgrundverordnung' (EU-DSGVO) oder, in Englisch, die 'General Data Protection Regulation (GDPR)' beschlossen. Diese stellt den Datenschutz auf eine neue Grundlage und enthält nicht nur deutlich mehr und strengere Anforderungen als das bisherige Bundesdatenschutzgesetz, sondern auch drastischere Sanktionen: Während bisher maximal 130.000? bei Verstößen fällig werden, sind es künftig 20Mio.? oder vier Prozent des weltweiten Jahresumsatzes des Unternehmens. Zum Tragen kommt dabei immer der vergleichsweise höhere Betrag. Wichtig: Die DSGVO kommt ab dem 25. Mai 2018 zur Anwendung. Der deutsche Gesetzgeber hat bereits das Bundesdatenschutzgesetz neu formuliert und hundert weitere Gesetze angepasst. Anbieter von Geräten sowie diejenigen, die sie in Smart Buildings einsetzen, sollten sich daher zeitnah mit den neuen gesetzlichen Bestimmungen auseinandersetzen. Dabei sind Smart Home und Smart Building aus rechtlicher Sicht grundsätzlich wie folgt zu unterscheiden:
- • Beim Smart Home ist es offensichtlich: Die Wohnung des Nutzers ist ohne Zweifel seine Privatsphäre. Alles was von dort an Daten nach außen dringt, sind persönliche Daten. Das gilt beispielsweise bereits für die ausgewählte Raumtemperatur. Sie lässt Rückschlüsse auf die Lebensgewohnheiten, über An- und Abwesenheit zu. Das heißt nicht, dass der Heizungshersteller diese Daten nicht erhalten darf, um eine App für die externe Steuerung bereitzustellen. Er muss jedoch sorgsam mit den Daten umgehen und dabei einige Regeln beachten. Zu diesen Regeln gehören auch Maßnahmen, die sein System so gut wie möglich vor Hackern schützen. Beispielsweise wenn diese beabsichtigen, die Heizung abzuschalten, so dass sie kaum wieder in Betrieb zu nehmen ist.
- • Beim Smart Building geht es um die Gebäudesteuerung, in aller Regel im Zusammenhang mit Funktionsgebäuden wie Büros, aber auch Flughäfen. Die Klimasteuerung zählt dabei zwar nicht zur Privatsphäre. Im Gegenzug ist der Schutz vor Hackern oft noch wichtiger. Mit der Privatsphäre kommt man in Funktionsgebäuden in Berührung, wenn ein "hohes Risiko für die Rechte und Freiheiten natürlicher Personen" besteht, wie es die Datenschutzgrundverordnung formuliert. Als konkretes Merkmal ist die "systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche" genannt. Wer also etwa WebCams produziert, die dort eingesetzt werden, sie installiert oder betreibt, sollte wissen, was die Verordnung verlangt.
Grundsätzlich gilt: Die DSGVO gilt für die Verarbeitung personenbezogener Daten. Personenbezogen bedeutet, die Person kann direkt oder indirekt identifiziert werden. Damit ist zum Beispiel schon eine dynamische IP-Adresse personenbezogen, denn über die Daten des Providers könnte die Person identifiziert werden. Bezogen auf IoT-Geräte ist offensichtlich, dass die Wohnung zur Privatsphäre gehört. Die DSGVO schützt natürlich nicht nur private Nutzer (consumer), sondern generell alle Personen, von denen Daten erfasst werden. Das gilt im gewerblichen Umfeld auch für die Bedienererkennung durch Logins, Aktivierung eines Einrichtungsmodes und Wartungsbetrieb, sobald technisch zugeordnet werden könnte, welche Person dies ausführt. Die meisten Regeln sind nicht grundsätzlich neu. Deutsche Unternehmen kennen sie bereits aus dem Bundesdatenschutzgesetz, sie wurden konkretisiert und verschärft. Neu sind die Forderungen nach 'Privacy by Design' und 'Privacy by Default'.
Bild: TÜV Rheinland AGPrivacy by Design
Privacy by Design bedeutet 'eingebauter Datenschutz'. Bereits bei der Entwicklung soll der Datenschutz berücksichtigt und nicht erst nachträglich aufgesetzt werden. Datenschutzrisiken sollen von Anfang an vermieden werden. In Bezug auf IoT-Geräte empfiehlt sich dabei eine Unterscheidung zwischen dem Gerät selbst und den mit dem Gerät verbundenen IoT-Service, zum Beispiel die Steuerung über eine App. Das Gerät muss technische Merkmale besitzen, die einen Datenschutz-konformen Betrieb ermöglichen. Ein Beispiel: Jedes IoT-Gerät sendet und empfängt Daten. Diese Datenübertragung soll verschlüsselt erfolgen. Verschlüsselung benötigt Rechenleistung. Der Prozessor im Gerät muss dafür von Anfang an ausreichend groß gewählt werden oder dieses Merkmal möglicherweise schon eingebaut haben. Beim IT-Service für das IoT-Gerät geht es vorrangig um den Geschäftsprozess und die Infomations-Architektur. Das muss im Sinne von Privacy by Design so gestaltet sein, dass die erfassten Daten nur für den Zweck genutzt werden können, der mit dem Nutzer vertraglich vereinbart ist. Um diese 'Datennutzungskontrolle' direkt in die Informationsarchitektur zu integrieren, betritt die Informatik Neuland. Eine bereits einsatzfähige Lösung gibt es zum Beispiel beim Fraunhofer-Institut [Ochs, Michael: Datenschutztechnologie für das 21. Jahrhundert. Herausforderung Privacy und Data Security. Präsentation beim Bitkom AK Smart City/Smart Region. München 27.9.2017.]. Vor allem muss jedoch die Zweckbindung der Daten in den Geschäftsprozessen festgeschrieben sein. Eine Vorratsdatenspeicherung für heute noch nicht bekannte Zwecke im Sinne von Big Data Analyse ist damit ausgeschlossen, solange die Daten personenbezogen sind. Für anonymisierte oder pseudonymisierte Daten ist dies unkritisch. An dieser Stelle müssen auch die Verbraucher umdenken. Ein Update bedeutet nicht, dass etwa das gerade frisch gekaufte Gerät schon einen Fehler hatte. Es bedeutet vielmehr, dass der Hersteller verantwortungsvoll handelt.
Privacy by Default
Privacy by Default steht für datenschutzfreundliche Voreinstellungen. Das betrifft bei IoT-Geräten besonders die Registrierung, die der Nutzer durchführen soll, und insgesamt die App. Es dürfen keine Daten vom Nutzer abgefragt oder Einwilligungen verlangt werden, die nicht für den Service erforderlich sind. Sofern verwendet, müssen folgende Einwilligungen per Default abgeschaltet sein. Sie dürfen nur verwendet werden, wenn der Nutzer explizit zustimmt:
- • Nutzen der Daten für oder Senden von personalisierter Werbung.
- • Übertragung Diagnosedaten an den Hersteller, z.B. zur Softwareverbesserung.
- • Übertragung des Standorts.
- • Teilen von Daten, d.h. Daten sind für andere Nutzer sichtbar.
- • Weitergabe von personalisierten Daten an Dritte (Nicht-Nutzer).
Aus Privacy by Default und anderen gesetzlichen Regelungen leitet sich ab, dass das IoT-Gerät keine Sprache (z.B. zur Spracherkennung) und kein Bild übertragen darf, sofern es dem Nutzer nicht offensichtlich sein muss, dass diese Übertragung eine Kernfunktion des Gerätes ist.
Daten sind das neue Öl
Hinter allen Regelungen steckt die Erkenntnis: "Daten sind das neue Öl", die "neue Währung" oder "der vierte Produktionsfaktor". Daten haben einen hohen Wert, den es zu schützen gilt. Gleichzeitig treiben Daten die Wirtschaft voran, und ihre Sabotage kann erhebliche wirtschaftliche und soziale Auswirkungen haben. Dass es dafür jetzt neue gesetzliche Vorschriften gibt, erscheint absolut konsequent. Unternehmer sollten das nicht nur als Zwang, sondern als Chance sehen. Da - wenn auch in unterschiedlichen Ausprägungen - sowohl Smart Home-Produkte als auch Smart Building-Produkte von der Datenschutzgrundverordnung betroffen sind, und Hersteller ihre IoT-Geräte regelmäßig sowohl für Smart Homes als auch für den Einsatz in Smart Buildings anbieten, sollten sie ihr IoT-Angebot so gestalten, dass sie - unabhängig vom Einsatzzweck ihrer Geräte - generell alle Aspekte der Verordnung einhalten. So können sie sich durch vorbildlichen Datenschutz profilieren und eine große Zahl potenzieller Kunden ansprechen. Der TÜV Rheinland hilft dabei. Er hat auf Basis der DSGVO technische Anforderungskataloge und Prüfprogramme entwickelt, mit denen IoT-Geräte und die zugehörigen Services getestet werden. Dabei gehen die Anforderungen im Sinne des Verbraucherschutzes in einigen Punkten über die heutige DSGVO hinaus. Bei erfolgreicher Prüfung wird ein Zertifikat erteilt. Damit zeigt der Anbieter den Aufsichtsbehörden, seinen Händlern bzw. Systemanbietern sowie den Konsumenten, dass er ein hohes Niveau an Datenschutz und Datensicherheit einhält.
TÜV Rheinland AG
Dieser Artikel erschien in GEBÄUDEDIGITAL 1 2018 - 06.02.18.Für weitere Artikel besuchen Sie www.gebaeudedigital.de
