Die Geräte im Smart Home werden immer intelligenter und sammeln immer mehr Daten. Doch was darf der Hersteller mit ihnen machen? An Dritte weitergeben, wie es iRobot praktizieren will? Wir zeigen, wie es um Privatsphäre und Datenschutz im Smart Home bestellt ist. [...]
Zunächst muss beachtet werden, dass das geltende Datenschutzrecht überhaupt nur dann Anwendung findet, wenn es um einen Sachverhalt geht, in dem „personenbezogene“ Daten verarbeitet werden sollen. Dieser Begriff wird in der Praxis sehr weit ausgelegt. Natürlich fallen hierunter etwa der Name oder die E-Mail-Adresse eines Nutzers. Aber auch die IP- oder die MAC-Adresse eines Gerätes können solch personenbezogene Daten darstellen. Anonymisierte Daten hingegen sind vom Anwendungsbereich des Datenschutzrechts ausgenommen. Im konkreten Fall, also der von iRobot erstellten Karte, müsste man sich die gesammelten Informationen anschauen, um dann entscheiden zu können, ob es sich um Informationen handelt, die sich auf eine bestimmte oder zumindest bestimmbare natürliche Person – so die gesetzliche Definition – beziehen. Oft wird dies aber der Fall sein, insbesondere dann, wenn iRobot die Kartendaten etwa mit den Nutzerkonten oder Registrierungsdaten der Kunden aus der App verbindet.
Das in Europa existierende Grundprinzip im Datenschutzrecht lautet: personenbezogene Daten dürfen nicht verarbeitet werden, es sei denn, dass eine Einwilligung vorliegt oder eine gesetzliche Vorschrift den Datenumgang erlaubt. Dieses Prinzip gilt auch für die Datenverarbeitung durch Geräte im Smart Home. So ist es dem Gerätehersteller beispielsweise gesetzlich gestattet, jene personenbezogenen Daten des Kunden zu verarbeiten, die für die richtige Durchführung des Kaufvertrages oder aber für die Erbringung von Dienstleistungen notwendig sind. Wenn es, beispielsweise um die Fernwartung oder -diagnose des smarten Haushaltshelfers geht, kann der Hersteller die hierfür erforderlichen Daten verwenden.
Möchte der Hersteller eines vernetzten Kühlschranks oder eines intelligenten Rauchmelders personenbezogene Daten sammeln, dann ist er zudem verpflichtet, die Nutzer über diese Datensammlung und -verarbeitung zu informieren. Im täglichen Leben begegnet uns dies in Form der Datenschutzerklärungen. Und gerade hier wird es im Smart Home heikel. Denn oft besitzen die intelligenten Gegenstände kein Display, auf dem man eine Datenschutzerklärung anzeigen könnte. Die Hersteller wären also verpflichtet, einen Medienbruch in Kauf zu nehmen und etwa die Informationen zum Datenschutz der Verpackung beizulegen. Alternativ wäre auch denkbar, dass die Datenschutzerklärung über die App abrufbar ist, die der Nutzer zur Steuerung der smarten Helferlein nutzt.
Möchten Kunden eine solche Weitergabe der Daten ihrer kartierten Wohnung unterbinden, so haben sie zunächst die Möglichkeit, die Einwilligung nicht zu erteilen. Denn es ist eine gesetzliche Anforderung an eine Einwilligung, dass diese freiwillig erfolgen muss. Bestünde keine Wahlmöglichkeit, wäre diese Voraussetzung nicht erfüllt. iRobot selbst weist in seinen Datenschutzbestimmungen noch auf eine andere Möglichkeit hin: Möchte der Kunde die Vernetzung seines Saugroboters und eine Weitergabe von Daten an Dritte unterbinden, so rät der Hersteller dazu, das Gerät nicht im WLAN anzumelden oder per Bluetooth zu verbinden.
Verstößt ein Gerätehersteller gegen die gesetzlichen Vorgaben, so besteht für die Datenschutzbehörden die Möglichkeit, Bußgelder zu verhängen oder, was oft viel gravierender ist, die Datenverarbeitung durch das Unternehmen zu untersagen. Ab dem 25. Mai 2018 wird in der Europäischen Union ein neues Datenschutzgesetz, die EU Datenschutz-Grundverordnung (DSGVO), anwendbar sein. Diese sieht, im Gegensatz zur aktuellen Rechtslage, gravierende Bußgelder von bis zu vier Prozent des weltweiten Jahresumsatzes eines Unternehmens oder 20 Millionen Euro für Verstöße gegen das Gesetz vor. Hersteller von intelligenten und vernetzten Haushaltsgeräten sind also gut beraten, ihre Produkte datenschutzkonform auszugestalten, und dies nicht zuletzt auch deshalb, weil die DSGVO den Unternehmen die Beachtung der Prinzipien von „Privacy by Design“ und „Privacy by Default“ verbindlich vorschreibt.
Be the first to comment