Rechtliche Komplikationen mit Internet of Things - Artikelreihe Teil 2

Servus Steemians, wie im ersten Teil versprochen ist hier nun der zweite Teil der Artikelreihe!

2.) Datenschutz – Vernetzung der Internet of Things

Eine weitere Frage stellt sich im Bereich des Datenschutzes.

Alle IoT sind darauf ausgelegt dem Menschen den Alltag zu erleichtern und Zeit- und Geldersparnisse zu bringen. Jedoch kann dies nur funktionieren, wenn die Geräte Nutzerdaten erheben, weiterverarbeiten und eventuell sogar speichern. Nur wenn die Geräte genügend Daten sammeln und analysieren, kann eine Vereinfachung überhaupt funktionieren.

Um bei dem Beispiel mit der Smart Watch zu bleiben: Diese Uhr misst den Pulsschlag oder den Blutzucker und ermöglicht bei entsprechender Verbindung eine schnelle Reaktionsmöglichkeit eines Arztes. Die schnelle Reaktion des Arztes kann jedoch nur funktionieren, wenn die Uhr ständig verbunden ist, den Zustand des Trägers misst und auf den Standort zugreifen kann bzw. auch übermitteln darf.

Doch auch hier besteht eine Problematik der Datenerhebung der IoT um dies zu verstehen, versuche ich den rechtlichen Rahmen der Datenerhebung und Speicherung zu umreißen.

Grundlagen des Datenschutzes

Die rechtlichen Rahmenbedingungen für die Erhebung, Nutzung oder Speicherung von personenbezogenen Daten setzt im deutschen Recht das Bundesdatenschutzgesetz (BDSG) und im österreichischem Recht das Datenschutzgesetz (DSG). Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten sind nur zulässig, soweit sie durch das Gesetz oder eine andere Rechtsvorschrift erlaubt sind oder der Betroffene eingewilligt hat. Welche Daten personenbezogen sind regelt, das BDSG „Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person“. Im österreichischem Recht ist dies ein etwas anders als im Deutschen und wird durch das DSG bestimmt: „Daten sind Angaben über Betroffene, deren Identität bestimmt oder bestimmbar ist“.

Damit ist faktisch jede Information gemeint die einer Person zugeordnet werden kann, wie zum Beispiel Name, Adresse oder Sozialversicherungsnummer. Doch fallen nicht nur solche „standard“ Angaben darunter, sondern noch viel mehr wie körperliche Merkmale, Größe oder Gewicht, aber auch geistige Zustände wie politische Einstellungen, Konsumverhalten, auf gut Deutsch gesagt einfach alles, was eine bestimmte Person ausmacht.

Es gab sogar ein Urteil des Europäische Gerichtshof (EuGH), dass sogar dynamische IP-Adressen darunterfallen. Nach Auffassung des EuGHs ist es schon ausreichend, dass ein Dritter den Personenbezug herstellen kann, es müssen nicht alle Informationen bei einer Stelle vorliegen (Urt. v. 19.10.2016, Rs. C-582/14 Rn. 44). 

Unternehmen ist außerdem erlaubt personenbezogene Daten zu erheben, verarbeiten und speichern und für eigene geschäftlicher Zwecke zu verwenden, sofern dies

a) „für die Begründung, Durchführung oder Beendigung rechtsgeschäftlicher oder rechtsgeschäftsähnlicher Schuldverhältnisse erforderlich ist oder

b) sofern schutzwürdige Interessen des von der Datenverarbeitung Betroffenen die eigenen geschäftlichen Interessen nicht überwiegen oder 

c) sofern die Daten allgemein zugänglich sind. Klassischerweise wäre dies die Speicherung des Namens, der Adresse und der Kontonummer im Rahmen einer Internetbestellung.“

Das BDSG und auch das DSG regelt durch eine Vorschrift die Einwilligung des Betroffenen in die Datenerhebung, -speicherung und -nutzung. Nach den allgemeinen Grundsätzen des Zivilrechts muss der Verwendungsvorgang, in den eingewilligt werden soll, eindeutig und genau umschrieben sein, erst dann ist eine Einwilligung wirksam. Die Tragweite der Einwilligung muss der Betroffene nachvollziehen können.

Unternehmen, die personenbezogene Daten von ihren Kunden nutzen, versuchen dies dadurch zu erreichen, dass sie sich die Zustimmung der Nutzer zur Datenverwendung wie zum Beispiel durch die Zustimmung der AGB's (Allgemeine Geschäftsbestimmungen) einholen.

Datenschutz

Können im Rahmen der Nutzung von IoT die Folgen einer Einwilligung überhaupt überblickt werden? 

Wie hängen IoT und Big Data-Analysen zusammen? Wie der Name schon sagt, handelt es sich bei Big Data um eine große Datenmenge. Diese Datenmenge kann von überall her entstehen wie von der Wirtschaft, Industrie aber auch von sozialen Medien. Diese Datenmenge ist so groß, dass diese schon fast unüberschaubar ist. Diese Datenmenge wird pseudonymisiert und anhand von bestimmten Parametern analysiert. Grund dafür ist die Optimierung von technischen Prozessen, die Analyse von Nutzerverhalten oder von Risiken aus einer Gesamtschau heraus. Da bei Big Data-Analyse die Daten pseudonymisiert werden, handelt sich nicht mehr um Personenbezogen Daten. Jedoch können durch die Kombination von bestimmten Daten aus verschiedenen Datenquellen konkrete Profile der Nutzer erstellt und bestimmten Personen zugeordnet werden. Grundsätzlich werden hier unproblematische Daten kombiniert, doch kann diese Kombination zu problematischen Erkenntnissen führen. Das Ziel des IoT ist es möglichst viele Geräte miteinander zu verknüpfen und mittels Kommunikation zu einer Optimierung und Flexibilisierung der alltäglichen oder wirtschaftlichen Verhältnisse zu verhelfen. Dadurch werden wiederum Daten gesammelt, gespeichert und durch Big Data-Analysen verarbeitet.  

Doch zeigt auch diese Beschreibung eine Unzulänglichkeit, dass einer Einwilligung in die Datennutzung nicht besteht. Am Ende kann bei einer ständigen Vernetzung der Umgebung niemand mehr so genau wissen, in was er eigentlich eingewilligt hat. Da die Auswirkung der Big Data-Analyse für einen Nutzer nicht mehr nachvollziehbar sind, ist das Einwilligungserfordernis des BDSG und DSG nach den jetzigen Anforderungen überholt. Für den Einwilligenden scheint sicheres Wissen über die Nutzung seiner Daten nicht mehr bis zum Schluss der Datenwege gewährleistet zu sein.  

Der Dritte Teil wird in bälde folgen! :)

Beste Grüße,

Nessos