Interview mit IoTCon-Speaker Carlo Piltz

Datenschutzrecht im Internet der Dinge

Redaktion JAXenter

Carlo Piltz

Erst kürzlich haben die europäischen Datenschützer ihre Ansicht bekräftigt, dass auch bei intelligenten und vernetzten Geräten die Anforderungen an das geltende Datenschutzrecht uneingeschränkt gelten. Die gesetzlichen Verpflichtungen stellen die rechtskonforme Entwicklung und den Vertrieb von IoT-Geräten jedoch teilweise vor Schwierigkeiten. Wie soll man aufklären, wenn der intelligente Rauchmelder keinen Bildschirm besitzt? Wie viele Daten darf ich als Anbieter sammeln? Was darf ich mit den gesammelten Daten ohne Einwilligung tun? Wem „gehören“ die Daten? Diese und ähnliche Fragen beantwortet Carlo Piltz im Rahmen seiner Session auf der Internet of Things Conference – und in unserem Interview.

Über neuen Technologien klaffen oft große rechtliche Lücken – auch im Internet der Dinge. Ist das Datenschutzrecht für die meisten Hersteller tatsächlich ein „gesetzlicher Hemmschuh“, wie Sie es in Ihrem Abstract formulieren? Oder braucht der IoT-Markt im Gegenteil sogar ein rechtliches Regelwerk, um überhaupt wachsen zu können – Stichwort Kundenvertrauen?

Carlo Piltz: Das derzeit in Europa und Deutschland geltende Datenschutzrecht wird, nicht nur im Wirtschaftsbereich des Internets der Dinge, oft als veraltet und für die technischen Entwicklungen als unpassend und zu unflexibel angesehen. Wenn dann die nach dem Datenschutzrecht verpflichteten Unternehmen gewisse gesetzliche Vorgaben und Prinzipien beim Umgang mit Daten einhalten müssen, die aus den 90er Jahren stammen, entsteht oft ein gewisser Frust oder auch ein Unverständnis. Nach dem Motto: „Warum dürfen wir diese Datenanalyse nicht durchführen? Unsere amerikanischen Wettbewerber haben hier keine Probleme!“ Aus einer solchen Situation kann sich das Gefühl eines „gehemmt Seins“ durch das Datenschutzrecht ergeben. Die derzeit geltenden gesetzlichen Vorgaben entstammen in der Tat zum Großteil einer Zeit, in der es Google oder Facebook noch nicht gab. Die Technik hat sich seither rasend entwickelt. Das Datenschutzrecht leider nicht. Die deutschen Aufsichtsbehörden haben das im Jahre 2010 in einer Stellungnahme recht treffend festgestellt, nämlich dass das geltende Bundesdatenschutzgesetz „in Aufbau, Wortlaut und Regelungstechnik kaum noch verständlich und nachvollziehbar“ ist.

In meinem Abstract spreche ich jedoch auch an, dass sich gerade europäische Unternehmen die relativ strengen Regelungen zum Datenschutz auch zu Nutze machen können und sollten. Gerade Akteure, deren Geschäftsmodell stark von der Verarbeitung personenbezogener Daten abhängt oder sogar hierauf basiert, können mit einem durchdachten Datenschutzkonzept und einer offen gelebten Datenschutzkonformität am Markt auch punkten.

Auch bei vernetzten Geräten soll das bestehende Datenschutzrecht uneingeschränkt gelten. Das zumindest fordern die europäischen Datenschützer. Was bedeutet das konkret?

Piltz: Das bedeutet zunächst einmal, dass das dem Datenschutzrecht zugrundliegende Prinzip des „Verbots mit Erlaubnisvorbehalts“ gilt. Personenbezogene Daten dürfen danach nur dann verarbeitet werden, soweit ein Gesetz es erlaubt oder der Betroffene eingewilligt hat. Gesetzlich erlaubt ist eine Verarbeitung personenbezogener Daten zum Beispiel dann, wenn es erforderlich ist, um einen Vertrag mit dem Betroffenen durchzuführen. Voraussetzungen einer wirksamen Einwilligung bei „Smart Devices“ oder Apps sind etwa, dass der Nutzer seine Einwilligung bewusst und eindeutig erteilt und die Einwilligung durch den Anbieter protokolliert wird. Zudem müssen Unternehmen, die vernetzte Geräte anbieten oder Apps für solche Geräte entwickeln, bestimmte zwingende Vorgaben bei der vertraglichen Gestaltung mit technischen Dienstleistern beachten. Das Datenschutzrecht regelt etwa auch ziemlich detailliert, wie ein sog. Vertrag zur Auftragsdatenverarbeitung ausgestaltet sein muss. In Deutschland besteht zudem unter bestimmten Voraussetzungen die gesetzliche Pflicht, einen betrieblichen Datenschutzbeauftragten zu bestellen. Die Anwendbarkeit des geltenden Datenschutzrechts bedeutet in letzter Konsequenz ebenfalls, dass die datenschutzrechtlichen Bußgeldvorschriften Anwendung finden und Verstöße gegen Datenschutzgesetze durch die Aufsichtsbehörden mit Bußgeldern geahndet werden können.

Internet of Things ConferenceDas Internet der Dinge zählt zu den wichtigsten Innovationstreibern für Wirtschaft, Gesellschaft und Kultur. Intelligente, vernetzte Geräte sind dabei, Alltag und Geschäftsleben in rasendem Tempo zu bevölkern: Smart Homes, Connected Cars, Wearables oder die vielfältigen Facetten der „Industrie 4.0“ sind dabei nur der Anfang schier unbegrenzter Möglichkeiten. Die Internet of Things Conference (IoTCon) vernetzt die führenden Köpfe auf diesem Terrain – Developer, Designer, Unternehmer, Bastler – und versorgt sie mit erstklassigem technischem und innovativem Wissen. Vom 23.-26. März findet die IoTCon in München statt. Bis 26. Februar profitieren Sie noch von den Frühbucherrabatten. Mehr Informationen unter: http://iotcon.de

Ergeben sich im Vergleich zu anderen Märkten daraus Nachteile für europäische Hersteller?

Piltz: Den Pflichten des Datenschutzrechts unterliegen alle Unternehmen, die personenbezogene Daten verarbeiten, unabhängig vom Geschäftsfeld. Natürlich werden sich die Hersteller von vernetzten Geräten oder auch App-Entwickler intensiver mit datenschutzrechtlichen Regelungen auseinandersetzen müssen, als der Bäcker um die Ecke. Je mehr ein Geschäftsmodell oder ein Produkt von der Verarbeitung personenbezogener Daten abhängt oder hierauf basiert, desto mehr werden die gesetzlichen Vorgaben zum Umgang mit den Daten bei der Ausrichtung und den grundlegenden Entscheidungen des Unternehmens eine Rolle spielen. Ich würde diese zwingend erforderliche Berücksichtigung datenschutzrechtlicher Vorgaben nicht pauschal als „Nachteil“ bezeichnen. Natürlich, man wird insoweit einen gewissen (zeitlichen, personellen oder finanziellen) Aufwand einkalkulieren müssen, den im Übrigen aber der oben benannte Bäcker eventuell auch besitzt, nur eben nicht im Datenschutzrecht, sondern z. B. aufgrund lebensmittelrechtlicher Vorgaben.

…und Vorteile?

Piltz: Die Tatsache der Geltung der Datenschutzgesetze und die sich hieraus ergebende Pflicht zur Beachtung der gesetzlichen Vorgaben, können sich durchaus als ein Vorteil im Wettbewerb darstellen. Dies vor allem dann, wenn die Nutzer von vernetzten Geräten besonders sensibel beim Thema Datenschutz reagieren und wissen möchten, was denn mit den Daten geschieht. Unternehmen, die in einem solchen Fall den Datenschutz „leben“ und die Beachtung gesetzlicher Vorgaben offen kommunizieren oder etwa mit zusätzlichen Maßnahmen zum Schutz von Daten werben, können sich eventuell von Wettbewerbern abheben.

Welche anderen Schwierigkeiten zieht das nach sich – können Sie ein konkretes Beispiel nennen?

Piltz: Ein ganz anschauliches Beispiel für die faktischen Probleme, die sich aus der rasanten technologischen Entwicklung und dem geltenden Datenschutzrecht des vorherigen Jahrhunderts ergeben, lässt sich etwa an der Einwilligung fest machen. Diese muss nach den gesetzlichen Vorgaben durch den Betroffenen für den konkreten Fall und in Kenntnis der Sachlage abgegeben werden. Der Betroffene muss also vor Beginn der Datenverarbeitung auf die stattfindenden und geplanten Verwendung der Daten hingewiesen und hierüber aufgeklärt werden. Das Problem ist, dass viele vernetzte Geräte faktisch überhaupt nicht die Möglichkeit bieten, den Nutzer aufzuklären, etwa weil sie keinen Bildschirm besitzen. Wie kann der Kunde dann ausreichend informiert werden? Zwar gibt es auch Lösungsmöglichkeiten. Man muss jedoch eventuell kreativ agieren und erkennt bereits an diesem Beispiel, dass das geltende Recht und die Technologie teilweise nicht füreinander gemacht sind.

Interessiert Sie am IoT nur die rechtliche Seite – oder auch die technische?

Piltz: Ja, natürlich. Ich bin der Überzeugung, dass ich einen Mandanten nur dann wirklich effektiv rechtlich beraten kann, wenn ich das Produkt, die Dienstleistung oder die Technologie, um die es geht, wirklich auch selbst verstanden und genutzt habe. Dazu gehört gerade im Bereich des Datenschutzrechts auch die Einarbeitung auf der technischen Seite.

Carlo Piltz war vor seiner Tätigkeit als Rechtsanwalt bei JBB unter anderem in der Rechtsabteilung eines sozialen Onlinenetzwerkes beschäftigt. Er berät Mandanten sowohl gerichtlich als auch außergerichtlich auf dem Gebiet des IT-, Medien- und Internetrechts. Sein besonderer Fokus liegt im nationalen und internationalen Datenschutz- und IT-Recht. Carlo Piltz ist zudem zertifizierter Datenschutzbeauftragter (TÜV®).

Verwandte Themen:

Geschrieben von
Kommentare

Hinterlasse einen Kommentar

avatar
4000
  Subscribe  
Benachrichtige mich zu: