#DNP12: Datenschutz im Internet der Dinge

Das Internet der Dinge verbindet immer mehr Kommunikations- und Informationssysteme miteinander – dass dabei auch sehr sensible Daten in Umlauf gebracht werden, ist vielen gar nicht bewusst. Und die Kontrolle über die eigenen Daten ist schneller verloren als man denkt.

Das Internet der Dinge (Internet of Things, IoT) macht es möglich, alltägliche Gegenstände mit dem Internet oder einem beliebigen anderen Netzwerk zu verbinden und damit Objekte beziehungsweise "Dinge", wie einen Tisch, eine Uhr oder ein T-Shirt zu "computerisieren". So versucht Andreas Krisch beim #DNP12 die elektronische Vernetzung von Alltagsgegenständen mittels RFID-Chips und anderer IoT-bezogener Technologien zu verdeutlichen.

Objekte können miteinander kommunizieren ...

Nachdem einmal festgelegt ist, was das Objekt können und mit wem es kommunizieren soll, verfügen es über ein hohes Maß an Autonomie; es kann "selbständig" Dinge tun, man kann es "sich selbst überlassen" und die Objekte können auch untereinander kommunizieren, wie der Datenschutzexperte der mksult GmbH erklärt.

Anwendungen für derartige Systeme sind etwa Smart Metering oder intelligente Transportsysteme. Mit Hilfe letzterer können Verkehrsströme gesteuert werden, um beispielsweise den Verkehr bei Staubildung schneller und effizienter umleiten zu können oder um eine bessere Information der Fahrgäste zu ermöglichen ("der Bus kommt in drei Minuten").

Problematisch ist Krisch zufolge, dass beim Einsatz solch intelligenter Systeme eine Unzahl an Informationen gesammelt wird, die einer eindeutigen Zuordnung bedürfen. In dem Moment aber, wo Objekten eine eindeutige Identifikationsnummer zugewiesen wird, sind die gesammelten Daten bereits als personenbezogenes Datum anzusehen. Denn die automatische Objektidentifikation kann leicht zur Identifikation von Personen führen.

... und zur eindeutigen Identifikation von Personen führen

Die Informationen sind automatisch erfassbar und ermöglichen also eine eindeutige Zuordnung, wie sie im normalen Leben gar nicht möglich wäre. Befindet sich etwa ein RFID-Chip in einem Kleidungsstück – was bereits häufig der Fall ist – dann kann das nächste Lesegerät beispielsweise feststellen, wann jemand einen Raum betritt oder wieder verlässt.

Die Datensammlungen können – oftmals mit weiteren Daten verknüpft – genaue Informationen über Personen aufdecken und über deren Gewohnheiten, Interessen und Standorte Auskunft geben. Nachverfolgbarkeit, Profilbildung und Data Mining sowie weitere unrechtmäßige Verarbeitung personenbezogener Daten können die Folge sein.

Bestehende Datenschutzprobleme werden verschärft

Das Internet der Dinge kann somit ohnehin schon bestehende Datenschutzprobleme noch weiter verstärken. Für einen effektiven Schutz personenbezogener Daten müsste sichergestellt werden, dass

• die Kontrolle über die eigenen Daten bestehen bleibt
• Betroffenenrechte ausgeübt werden können
• Informationen für die "breite Masse" verständlich gemacht werden und
• eine klare und diskriminierungsfreie Wahl besteht, wenn eine Datenverarbeitung auf der Zustimmung der Nutzer beruht

Lösungsmöglichkeiten sind vorhanden, aber noch nicht umgesetzt

Um dies möglich zu machen, müssten einerseits die Betroffenenrechte und andererseits die Aufsichtsbehörden gestärkt werden. Krisch fordert zudem eine Harmonisierung des Datenschutzrechts in Europa, um den Problemen wirksamer begegnen zu können; auch eine bessere Durchsetzung bestehender Rechte sei dringend erforderlich.

Der Datenschützer, der sich auch in der Expertenarbeitsgruppe der Europäischen Kommission zum Internet der Dinge für eine Verbesserung der Verbraucherrechte engagiert, hofft, dass sich Brüssel eines Tages dazu durchringt, eine Datenschutz-Folgenabschätzung vorzuschreiben. Dann müssten alle, die entsprechende Anwendungen einsetzen wollen, ihre Pläne noch vor Inbetriebnahme des Systems auf die Einhaltung des Datenschutzes hin überprüfen.

Bis dahin sollte das Prinzip der "Privacy by Design" forciert werden. Dabei werden etwaige Datenschutzprobleme schon bei der Entwicklung neuer Technologien berücksichtigt und in die Gesamtkonzeption (einer IoT-Anwendung) einbezogen. Die Einhaltung des Grundsatzes der Datensparsamkeit ist dabei oberstes Gebot.

Dann müssen Datenschutzprobleme nicht mehr mühsam im Nachhinein und mit viel Zeitaufwand durch Korrekturprogramme behoben, sondern können von vornherein vermieden werden. Das spart einerseits unnötige Kosten und führt andererseits zu einem gesteigerten Vertrauen der Nutzer und somit zu mehr Akzeptanz der Datenverarbeitung. [unwatched ]

Kurz-URL zu diesem Artikel: http://unurl.org/iPA
Bild: unwatched/Matthias Tonitz