Beim vernetzten Zuhause stellen sich viele Fragen zum Datenschutz. Der Rechtsanwalt Hendrik Skistims spricht im Interview über Risiken für die informationelle Selbstbestimmung und Lösungsansätze.
Smart-Home-Technologien verbreiten sich zunehmend in den Wohnungen und Häusern. Wenn Sie die Entwicklung beobachten, wie sind Sie da gestimmt?
Ich bin weder übermäßig besorgt noch übermäßig optimistisch. Neue Technologien sind ja nie per se gut oder schlecht. Zu den Vorteilen gehört beispielsweise, dass die Technik ein selbstbestimmtes Leben für betreuungsbedürftige Menschen oder für Kranke unterstützen kann – oder auch der gesamtgesellschaftliche Nutzen, wenn sich der Energieverbrauch durch intelligente Steuerung reduzieren lässt.
Allerdings: Die Datenverarbeitung wird unglaublich komplex und die Vorgänge für den Einzelnen kaum mehr nachvollziehbar. Diese Entwicklung ist nicht neu. Smart Homes stehen nicht für sich alleine, sondern sind in eine Technisierung der gesamten Gesellschaft eingebettet.
Bereits in den Neunzigerjahren wurde die Vision des „Ubiquitous Computing“ erdacht, der allgegenwärtigen Datenverarbeitung. Heute ist sie bekannter unter dem Namen „Internet der Dinge“. Computer verschwinden hiernach in Alltagsgegenständen und sind für Menschen oft nicht mehr wahrnehmbar.
Wenn der Stromzähler verrät, was im Fernsehen lief
Die Wohnung ist ein besonders geschützter Raum, auch in rechtlicher Hinsicht. Ist dieser Schutz durch die Technik in Gefahr?
Wenn sich Smart-Home-Technologien flächendeckend verbreiten, steigen unbestritten die Gefährdungspotenziale für unsere informationelle Selbstbestimmung, also das Recht, über die Preisgabe und Verwendung personenbezogenen Daten selbst zu bestimmen. Immer mehr Lebenssachverhalte werden in Datensätzen abgebildet. Die Aussagekraft, die solchen Daten innewohnt, vervielfacht sich.
Was heißt das konkret?
Es wird zum Beispiel denkbar, dass in Zukunft anhand eines auf Millisekunden genauen Stromprofils analysiert werden kann, welches Fernsehprogramm jemand gesehen hat. Man muss den Betreibern gar nichts Böses unterstellen, sondern zunächst einfach die objektiven Möglichkeiten betrachten, die in solchen Datensätzen stecken. Dazu gehört auch, dass sie in falsche Hände geraten und für illegitime Zwecke benutzt werden können.
Vernetzte Systeme und Geräte sammeln ständig solcherlei Daten über uns. Wann ist das erlaubt?
Das Datenschutzrecht unterscheidet zwischen verschiedenen Erlaubnistatbeständen. Einer davon ist die Einwilligung. Wenn ich wirksam einwillige, ist es grundsätzlich erlaubt, personenbezogene Daten zu verarbeiten.
Auf der anderen Seite gibt es gesetzliche Erlaubnistatbestände – etwa, wenn es darum geht, einen Vertrag zu erfüllen. Eine Versicherung zum Beispiel muss in gewissem Rahmen mit persönlichen Daten eines Versicherten umgehen, um den Versicherungsvertrag erfüllen zu können.
Ähnlich ist es bei Smart-Home-Anwendungen. Wenn man sie verwendet und ein vertragliches Nutzungsverhältnis eingeht, ist der Anbieter berechtigt, die Verarbeitungsvorgänge durchzuführen, die dazu erforderlich sind.
Man muss also nicht immer extra gefragt werden?
Die Betreiber werden häufig eher eine Einwilligung einholen als sich auf andere Erlaubnistatbestände zu verlassen, weil es für sie mehr Rechtssicherheit bedeutet. Eine Einwilligung muss zudem immer informiert erfolgen.
Das ist auch aus Nutzersicht von Vorteil, weil man nachlesen können sollte, was mit den Daten zu welchen Zwecken passiert. Die Anbieter dürfen die Einwilligung nicht irgendwo verstecken, etwa in den Allgemeinen Geschäftsbedingungen. Sie müssen zudem darüber aufklären, dass die Einwilligung jederzeit widerrufen werden kann.
Daten abseits unserer Wahrnehmung
Sie sagen zugleich, dass die Datenverarbeitung immer komplexer und undurchdringlicher wird. Wie kann man dann informiert einwilligen?
Diese Möglichkeit gibt es de facto immer weniger. Ich sage das nicht, weil ich Betreibern und Herstellern solcher Systeme prinzipiell misstraue. Die Idee des Ubiquitous Computing im Allgemeinen und des Smart Home im Besonderen steht jedoch letztlich quer zum gesetzgeberischen Konzept der Betroffenenrechte im Datenschutz. Die gesetzgeberische Umsetzung von Betroffenenrechten basiert – vereinfacht gesagt – auf der Idee, dass jeweils aufgeklärt und informiert werden muss, wann welche Daten in welcher Konstellation verarbeitet werden.
Smart Homes dagegen sind darauf ausgerichtet, dass Verarbeitungsvorgänge unmerklich, abseits unserer bewussten Wahrnehmung geschehen. Es würde wahrscheinlich schnell anstrengend, wenn ein Smart Home uns ständig belehren müsste, welche Daten es wozu nutzt. Wir stoßen da an natürliche kognitive Grenzen.
Was schlagen Sie vor?
In der Rechtswissenschaft werden neue Konzepte diskutiert. Beispielsweise könnten Betreiber verpflichtet werden, Strukturinformationen zur Verfügung zu stellen, um ein gewisses Grundverständnis ihrer Produkte oder Dienste zu ermöglichen. Sie müssten zum Beispiel in leicht verständlicher Sprache erklären, wie das System als solches funktioniert und mit welchen Anwendungen es in Wechselwirkung steht. Das gibt es bislang kaum. Es sollte selbstverständlich nicht so weit gehen, dass Betriebs- oder Geschäftsgeheimnisse offenbart werden müssen.
Datenschutz durch Technik
Die vernetzte Haustechnik sammelt nicht nur Daten über die Bewohnerinnen und Bewohner, sondern zum Beispiel auch über Gäste oder Passanten. Sie werden womöglich nicht gefragt, ob sie das wollen.
So ist es. Es gibt zunehmend Smart-Home-Anwendungen, die mit unterschiedlichen Sensoren ihre Umgebung erfassen, beispielsweise einer Kamera. Dabei werden auch Daten erhoben, die nicht mit dem unmittelbaren Vertragspartner zusammenhängen. Man muss ehrlicherweise sagen, dass es für dieses Problem noch keine abschließende Lösung gibt. Ein Ansatz könnte darin bestehen, dass eine intelligente Technik von vornherein zu vermeiden versucht, dass personenbezogene Daten von Nicht-Nutzerinnen und -Nutzern erhoben werden.
Was könnte technisch schon jetzt für ein datenschutzfreundliches Design getan werden?
Eine einfache Möglichkeit bestünde zum Beispiel darin, dass Nutzerinnen und Nutzer entscheiden können, ob die Daten in den Clouds der Anbieter gespeichert werden. Natürlich stimmt es, dass die Verarbeitung in den Clouds mehr Funktionen und ein anderes Nutzungserlebnis ermöglicht. Lernende Systeme können sich besser an die Nutzerinnen und Nutzer adaptieren. Es sollte aus datenschutzrechtlicher Sicht aber auch die Möglichkeit geben, die Daten nur lokal zu speichern und mit etwaigen Einschränkungen zu leben.
Weitere Sachinformationen zum vernetzten Zuhause finden Sie in der Beitragsübersicht.
Beim vernetzten Zuhause stellen sich viele Fragen zum Datenschutz. Der Rechtsanwalt Hendrik Skistims spricht im Interview über Risiken für die informationelle Selbstbestimmung und Lösungsansätze.
Smart-Home-Technologien verbreiten sich zunehmend in den Wohnungen und Häusern. Wenn Sie die Entwicklung beobachten, wie sind Sie da gestimmt?
Ich bin weder übermäßig besorgt noch übermäßig optimistisch. Neue Technologien sind ja nie per se gut oder schlecht. Zu den Vorteilen gehört beispielsweise, dass die Technik ein selbstbestimmtes Leben für betreuungsbedürftige Menschen oder für Kranke unterstützen kann – oder auch der gesamtgesellschaftliche Nutzen, wenn sich der Energieverbrauch durch intelligente Steuerung reduzieren lässt.
Allerdings: Die Datenverarbeitung wird unglaublich komplex und die Vorgänge für den Einzelnen kaum mehr nachvollziehbar. Diese Entwicklung ist nicht neu. Smart Homes stehen nicht für sich alleine, sondern sind in eine Technisierung der gesamten Gesellschaft eingebettet.
Bereits in den Neunzigerjahren wurde die Vision des „Ubiquitous Computing“ erdacht, der allgegenwärtigen Datenverarbeitung. Heute ist sie bekannter unter dem Namen „Internet der Dinge“. Computer verschwinden hiernach in Alltagsgegenständen und sind für Menschen oft nicht mehr wahrnehmbar.
Wenn der Stromzähler verrät, was im Fernsehen lief
Die Wohnung ist ein besonders geschützter Raum, auch in rechtlicher Hinsicht. Ist dieser Schutz durch die Technik in Gefahr?
Wenn sich Smart-Home-Technologien flächendeckend verbreiten, steigen unbestritten die Gefährdungspotenziale für unsere informationelle Selbstbestimmung, also das Recht, über die Preisgabe und Verwendung personenbezogenen Daten selbst zu bestimmen. Immer mehr Lebenssachverhalte werden in Datensätzen abgebildet. Die Aussagekraft, die solchen Daten innewohnt, vervielfacht sich.
Was heißt das konkret?
Es wird zum Beispiel denkbar, dass in Zukunft anhand eines auf Millisekunden genauen Stromprofils analysiert werden kann, welches Fernsehprogramm jemand gesehen hat. Man muss den Betreibern gar nichts Böses unterstellen, sondern zunächst einfach die objektiven Möglichkeiten betrachten, die in solchen Datensätzen stecken. Dazu gehört auch, dass sie in falsche Hände geraten und für illegitime Zwecke benutzt werden können.
Datenerhebung: Was ist erlaubt?
Vernetzte Systeme und Geräte sammeln ständig solcherlei Daten über uns. Wann ist das erlaubt?
Das Datenschutzrecht unterscheidet zwischen verschiedenen Erlaubnistatbeständen. Einer davon ist die Einwilligung. Wenn ich wirksam einwillige, ist es grundsätzlich erlaubt, personenbezogene Daten zu verarbeiten.
Auf der anderen Seite gibt es gesetzliche Erlaubnistatbestände – etwa, wenn es darum geht, einen Vertrag zu erfüllen. Eine Versicherung zum Beispiel muss in gewissem Rahmen mit persönlichen Daten eines Versicherten umgehen, um den Versicherungsvertrag erfüllen zu können.
Ähnlich ist es bei Smart-Home-Anwendungen. Wenn man sie verwendet und ein vertragliches Nutzungsverhältnis eingeht, ist der Anbieter berechtigt, die Verarbeitungsvorgänge durchzuführen, die dazu erforderlich sind.
Man muss also nicht immer extra gefragt werden?
Die Betreiber werden häufig eher eine Einwilligung einholen als sich auf andere Erlaubnistatbestände zu verlassen, weil es für sie mehr Rechtssicherheit bedeutet. Eine Einwilligung muss zudem immer informiert erfolgen.
Das ist auch aus Nutzersicht von Vorteil, weil man nachlesen können sollte, was mit den Daten zu welchen Zwecken passiert. Die Anbieter dürfen die Einwilligung nicht irgendwo verstecken, etwa in den Allgemeinen Geschäftsbedingungen. Sie müssen zudem darüber aufklären, dass die Einwilligung jederzeit widerrufen werden kann.
Daten abseits unserer Wahrnehmung
Sie sagen zugleich, dass die Datenverarbeitung immer komplexer und undurchdringlicher wird. Wie kann man dann informiert einwilligen?
Diese Möglichkeit gibt es de facto immer weniger. Ich sage das nicht, weil ich Betreibern und Herstellern solcher Systeme prinzipiell misstraue. Die Idee des Ubiquitous Computing im Allgemeinen und des Smart Home im Besonderen steht jedoch letztlich quer zum gesetzgeberischen Konzept der Betroffenenrechte im Datenschutz. Die gesetzgeberische Umsetzung von Betroffenenrechten basiert – vereinfacht gesagt – auf der Idee, dass jeweils aufgeklärt und informiert werden muss, wann welche Daten in welcher Konstellation verarbeitet werden.
Smart Homes dagegen sind darauf ausgerichtet, dass Verarbeitungsvorgänge unmerklich, abseits unserer bewussten Wahrnehmung geschehen. Es würde wahrscheinlich schnell anstrengend, wenn ein Smart Home uns ständig belehren müsste, welche Daten es wozu nutzt. Wir stoßen da an natürliche kognitive Grenzen.
Was schlagen Sie vor?
In der Rechtswissenschaft werden neue Konzepte diskutiert. Beispielsweise könnten Betreiber verpflichtet werden, Strukturinformationen zur Verfügung zu stellen, um ein gewisses Grundverständnis ihrer Produkte oder Dienste zu ermöglichen. Sie müssten zum Beispiel in leicht verständlicher Sprache erklären, wie das System als solches funktioniert und mit welchen Anwendungen es in Wechselwirkung steht. Das gibt es bislang kaum. Es sollte selbstverständlich nicht so weit gehen, dass Betriebs- oder Geschäftsgeheimnisse offenbart werden müssen.
Datenschutz durch Technik
Die vernetzte Haustechnik sammelt nicht nur Daten über die Bewohnerinnen und Bewohner, sondern zum Beispiel auch über Gäste oder Passanten. Sie werden womöglich nicht gefragt, ob sie das wollen.
So ist es. Es gibt zunehmend Smart-Home-Anwendungen, die mit unterschiedlichen Sensoren ihre Umgebung erfassen, beispielsweise einer Kamera. Dabei werden auch Daten erhoben, die nicht mit dem unmittelbaren Vertragspartner zusammenhängen. Man muss ehrlicherweise sagen, dass es für dieses Problem noch keine abschließende Lösung gibt. Ein Ansatz könnte darin bestehen, dass eine intelligente Technik von vornherein zu vermeiden versucht, dass personenbezogene Daten von Nicht-Nutzerinnen und -Nutzern erhoben werden.
Was könnte technisch schon jetzt für ein datenschutzfreundliches Design getan werden?
Eine einfache Möglichkeit bestünde zum Beispiel darin, dass Nutzerinnen und Nutzer entscheiden können, ob die Daten in den Clouds der Anbieter gespeichert werden. Natürlich stimmt es, dass die Verarbeitung in den Clouds mehr Funktionen und ein anderes Nutzungserlebnis ermöglicht. Lernende Systeme können sich besser an die Nutzerinnen und Nutzer adaptieren. Es sollte aus datenschutzrechtlicher Sicht aber auch die Möglichkeit geben, die Daten nur lokal zu speichern und mit etwaigen Einschränkungen zu leben.