Foto: Carlos Amarillo - shutterstock.com
Das iPhone ist schlau. Schon bevor man aufs Rad steigt, weiß es, wo der Fahrer hin will und wie lange die bevorstehende Tour dauern wird. Dabei stand in der Kalender-App in der Zeit von 17 bis 19 Uhr lediglich "Sport", ohne Adresse und nähere Bezeichnung. Nur als Blocker gedacht und als Erinnerung für das Training einmal in der Woche. Immer donnerstags. Ein "Pling" ertönt. Und auf dem Display sind Route und Fahrzeit zu sehen. Woher weiß das Smartphone so etwas?
Es liegt nahe, dass die Bewegungsdaten des Gerätes mit dem Kalender in Einklang gebracht und daraus der neue digitale Dienst entwickelt wurde. So genau möchte man das gar nicht wissen. Klar ist allerdings: Verschiedene persönliche Daten werden kontinuierlich gesammelt und analysiert, um diesen digitalen Service zu ermöglichen. Und irgendwann vorher hatte man mal sein Häkchen dafür unter eine halbwegs verständliche wie generische Einverständniserklärung für die Nutzung seiner Daten gesetzt.
Neue Geschäftsmodelle durch IoT: Zunächst mehr erschreckt als erfreut
Foto: Pe3k - shutterstock.com
Doch welcher App-Anwender erinnert sich noch daran - geschweige denn, dass er diese Zeilen überhaupt gelesen hat? Immer mehr digitale Dienste sind im Entstehen, weil persönliche Daten verfügbar sind. Sollen diese Dienste auf Dauer Akzeptanz finden, ist es wichtig, dass der Nutzer nachvollziehen kann, was mit seinen Daten passiert. Ab dem 25. Mai 2018 hat er wieder deutlich größere Chancen dazu. Denn dann wird die neue Datenschutz-Grundverordnung (DSGVO/ engl. GDPR) der EU rechtsverbindlich, mit dem Ziel, Unternehmen mit deutlich mehr Nachdruck zu datenschutzfreundlichen Verhaltensweisen zu "motivieren", als dies heute der Fall ist.
Empfindliche Strafen bei Verstößen von bis zu 20 Millionen Euro oder falls höher sogar bis zu 4 Prozent des weltweiten Umsatzes legen nahe, dass "es darauf ankommen lassen" keine geeignete Datenschutzstrategie mehr ist. Und das gilt übrigens nicht nur für europäische Unternehmen: Die DSGVO greift nach dem "Marktort-Prinzip" (Artikel 3) für alle Firmen, die Daten von Personen in der EU verarbeiten, egal ob mit Sitz in Wuppertal oder im Silicon Valley.
Ein zentraler Punkt der DSGVO ist auch Artikel 6: Rechtmäßigkeit der Verarbeitung. Dabei geht es im Kern um eben jenes Häkchen, also die Einwilligung des Nutzers, die informiert erfolgen, verständlich formuliert und explizit eingeholt werden muss. Zudem kann der Nutzer auf Wunsch jederzeit seine Daten einsehen, löschen oder gar zu einem Konkurrenzdienst portieren lassen.
Connected Car: Diverse Dienstleister involviert
Gerade dieser Einwilligungsprozess, das sogenannte "Consent Management", wird in IoT-Szenarien zunehmend komplexer. Daten werden über verschiedene Sensoren, Endgeräte, Netzwerke und Cloud-Plattformen gesammelt und verteilt und bewegen sich damit auch jenseits einzelner Unternehmensnetze. Damit steigt nicht nur die Herausforderung, die Informationssicherheit zu gewährleisten. Ein Anbieter, der für seinen Service die Geo-Daten vom Smartphone des Kunden nutzt, kann kaum garantieren, dass dieses Smartphone nicht von Dritten gehackt wird und diese Daten in andere Hände gelangen.
Auch die Komplexität der Vertragsverhältnisse und damit der Haftungsfragen nimmt zu, wenn diverse Parteien als Verantwortliche, Auftragsverarbeiter oder deren Subunternehmer die Daten verwenden.
Foto: BeeBright - shutterstock.com
Beispiel Connected Car: Fahrzeuge werden immer mehr zu "rollenden Datenplattformen". Die Sensordaten des Fahrzeugs geben Aufschluss darüber, wann es in die Werkstatt muss, wo sich der Fahrer aufhält, wie schnell er um die Kurven fährt und vor der Ampel bremst und an welchen Restaurants, Tankstellen und Sportgeschäften er regelmäßig vorbeikommt. Hier setzen diverse Dienstleister an, angefangen beim Autohersteller, der seine Services verbessern will, über Versicherungen, die günstigere Policen für rücksichtsvolle Fahrer anbieten, bis hin zu Apps jeglicher Couleur, die "Location Based Services" offerieren. Parkt ein Fahrer etwa öfter in der Nähe einer Restaurantkette oder eines Sportgeschäfts, sollte er sich nicht wundern, wenn ihm eine App das eine oder andere individualisierte Angebot zuspielt.
Die Reise der persönlichen Daten im Internet of Things
Die Daten eines Autobesitzers liegen also längst nicht mehr nur in den Kunden-Management- und Service-Systemen des Herstellers vor, sondern auch in der Mobilfunkinfrastruktur, beim Cloud-Provider und bei diversen Diensteanbietern. Alle Beteiligten müssen genauso wie der Autohersteller die DSGVO-konforme Verarbeitung der Kundendaten nachweisen können.
Während ein Auftragsverarbeiter wie der Cloud-Provider mit den Kundendaten arbeiten darf, sobald sein Auftraggeber die Einwilligung des Kunden eingeholt hat, sind andere Fragen im IoT-Umfeld etwas diffiziler: Kann ein Unternehmen, das personenbezogene Daten erhebt (in unserem Beispiel der Automobilhersteller), vom Kunden auch die Einwilligung für die Verarbeitung durch seine Kooperationspartner (wie die Restaurantkette oder die Versicherung) einholen, oder muss jeder Dienstanbieter direkt mit dem Kunden interagieren? Wenn ersteres, haftet das Unternehmen dann für die DSGVO-konforme Verarbeitung durch seine Partner?
Besonders durch die Geschwindigkeit und Agilität, in der auf der Basis von IoT-Technologien heute neue Geschäftsmodelle entstehen, bleibt für den Datenschutz manchmal wenig Zeit. Wenn aber Time-to-Market entscheidend für den Geschäftserfolg ist, müssen obige Fragen schnell geklärt werden und die Anforderungen der DSGVO wie Data Protection by Design und by Default (Art. 25) mit Prinzipien wie Datenminimierung oder Pseudonymisierung bereits Teil der Unternehmens-DNA sein und ganz selbstverständlich zur Anwendung kommen.
Der Stand der Dinge
Foto: Vasin Lee - shutterstock.com
Es ist zu erwarten, dass nur sehr wenige Unternehmen zum 25. Mai voll DSGVO-konform sein werden. Manche scheinen in einzelnen Aspekten sogar bewusst die weitere Entwicklung abzuwarten. Das mag damit zu tun haben, dass einige Anforderungen der Verordnung noch unscharf sind. Zudem wird gegenwärtig lebhaft zwischen Unternehmen, Anwälten und Datenschutzbehörden diskutiert, wie die Anforderungen im Arbeitsalltag umzusetzen sind. Manche Fragen scheinen geklärt. So gehen gesetzliche Aufbewahrungsfristen vor das Recht auf Vergessen. Wie aber soll wiederum dieses Recht auf Vergessen mit vertretbarem Aufwand auch in Backups umgesetzt werden, die nie dafür konzipiert waren, nachträglich einzelne Datensätzen löschen zu können? Was bedeutet ein "gängiges, strukturiertes, maschinenlesbares Format" in dem Daten bereitgestellt werden müssen, wenn der Kunde sein Recht auf Datenübertragbarkeit (Art. 20) wahrnehmen möchte?
Für Unternehmen gilt es intelligente, das heißt konforme aber mit vertretbarem Aufwand realisierbare DSGVO-Konzepte zu entwickeln. Sie sollten genau beobachten, wo öffentliche Diskussionen zu strittigen Punkten konvergieren. Externe Dienstleister, die eng mit den Aufsichtsbehörden zusammenarbeiten, können hier wertvolle Hilfestellung leisten.
Zwei Must Haves für die Agenda
Was also ist zu tun? Verallgemeinernde Tipps sind aufgrund der heterogenen Ausgangssituation vieler Unternehmen mit Vorsicht zu genießen. Zwei "Must Haves" sollten Unternehmen jedoch auf jeden Fall auf der Agenda haben:
Volle Transparenz:
Wer nicht weiß, welche personenbezogenen Daten er in welchen Systemen und Prozessen verwendet, kann die Rechtmäßigkeit seiner Datenverarbeitung schwerlich garantieren.
Nachhaltigkeit:
Es lohnt sich für Unternehmen nicht, aus reinem Opportunismus heraus zu handeln. Aber es muss ein klarer Fahrplan stehen, der die wichtigsten Themen wie etwa Data Protection by Design und by Default adressiert, und die Datenschutzbehörden überzeugt.
Hat man diesen Fahrplan, und meint man es ernst, besteht trotz der nun ablaufenden Frist für die Umsetzung der DSGVO erstmal kein Grund zur Panik. Denn selbst die EU geht davon aus, dass eine durchgängige Implementierung in den Unternehmen noch einige Zeit brauchen wird. Der Grund ist einfach: Die Auslegung der Verordnung durch die lokalen Datenschutzbehörden variiert schon von Bundesland zu Bundesland, und noch mehr von EU-Staat zu EU-Staat. Bis hier Zuständigkeiten geklärt und Auslegungen gefunden sind, vergeht noch etwas Zeit.
Foto: Gorodenkoff - shutterstock.com
Vertrauen statt Überwachung
Klar ist auch: Die DSGVO ist keine Innovationsbremse. Sie hilft vielmehr, Vertrauen in digitale Dienste zu stärken. Denn wenn eindeutig und verständlich beschrieben ist, welche persönlichen Daten welche digitalen Dienste auf welche Art und Weise auf den Weg bringen, kann sich der Nutzer viel bewusster dafür oder dagegen entscheiden. Wenn dann das Smartphone künftig den Weg zum Sport aufzeigt und die benötigte Zeit vorhersagt, wird aus dem verblüffenden und manchmal irritierenden Wissen des Smartphones plötzlich ein komfortabler Service.