Unter dem Titel „GPEN Privacy Sweep 2016“ hat die englische Datenschutzaufsichtsbehörde eine Aktion zur Prüfung des Datenschutzes bei Produkten im Bereich des „Internet der Dinge“ bzw. „Internet of Things“ (IoT) angestoßen und koordiniert.
GPEN steht für „Global Privacy Enforcement Network“ und ist ein informeller Zusammenschluss von Datenschutzaufsichtsbehörden auf der ganzen Welt. An der diesjährigen Prüfung haben 25 der im GPEN aktiven Datenschutzaufsichtsbehörden teilgenommen. Auch der Landesbeauftragte für den Datenschutz Baden-Württemberg hat sich an der Aktion beteiligt und Produkte untersucht, die in Baden-Württemberg entwickelt werden.
Immer mehr elektronische Produkte sind heutzutage mit dem Internet verbunden - von Steuergeräten für das „Smart Home“ über Fitness Tracker oder Pulsmesser bis hin zum Smart TV. Dank miniaturisierter Sensoren wird eine Vielzahl physikalischer oder biomedizinischer Größen durch diese „intelligenten“ Geräte erfasst. Gesteuert werden sie häufig per App auf dem Smartphone. So lässt sich beispielsweise die Heizung im Smart Home von überall auf der Welt per App ein- und ausschalten. Auch wenn es von außen nicht ohne Weiteres ersichtlich ist: die Geräte können zahlreiche personenbezogene Daten - von der Temperatur in unserer Wohnung über unseren Gesundheitszustand bis hin zu unserem aktuellen Aufenthaltsort - erheben. Werden diese Daten zu einem Cloud-Anbieter übertragen, kann er damit umfangreiche Nutzungsprofile erstellen.
Um das Recht auf informationelle Selbstbestimmung effektiv wahrnehmen zu können, müssen die Nutzer wissen, welche personenbezogenen Daten durch die quasi intelligenten Geräte erhoben werden und von wem diese für welche Zwecke verarbeitet werden.
In der Woche vom 11. bis 15. April 2016 wurden die Datenschutzerklärungen von Produkten im Bereich IoT überprüft. Außerdem wurden die Datenschutzbeauftragten der Hersteller dieser Produkte kontaktiert und sollten datenschutzrechtliche Fragen zu ihren Produkten beantworten.
Insgesamt wurde dabei festgestellt, dass die Datenschutzbestimmungen der mehr als 300 untersuchten IoT-Geräte die notwendige Transparenz im Umgang mit personenbezogenen Daten vermissen lassen. Rund 60 Prozent der Nutzer werden nicht hinreichend aufgeklärt, welche personenbezgogenen Daten erhoben werden und was mit diesen Daten geschieht. Insbesondere klären Unternehmen Nutzer nicht darüber auf, wie die Daten gespeichert werden und wie die Daten wieder gelöscht werden können. Außerdem beziehen sich die Datenschutzbestimmungen überwiegend nicht auf einzelne Geräte, sondern auf das gesamte Produktsortiment oder lediglich auf den Unternehmensauftritt im Web.
Der Landesbeauftragte für den Datenschutz Baden-Württemberg ist bei seiner Untersuchung von IoT-Produkten von in Baden-Württemberg ansässigen Unternehmen zu einem ähnlichen Ergebnis wie die anderen an der Prüfung beteiligten Datenschutzaufsichtsbehörden gekommen. Hauptmanko war das Fehlen produktspezifischer Datenschutzerklärungen. Dies hatte er bereits bei seiner Überprüfung von Apps im Rahmen des GPEN Privacy Sweep 2014 festgestellt und inzwischen Schritte eingeleitet, um das Datenschutzniveau zu verbessern.
Der Landesbeauftragte für den Datenschutz Baden-Württemberg ermutigt die Bürgerinnen und Bürger zu kritischen Nachfragen über den Umgang mit personenbezogenen Daten bei Herstellern von IoT-Geräten. Er wird auch in Zukunft IoT-Geräte von Herstellern in Baden-Württemberg genau unter die Lupe nehmen und auf die Verbesserung des Datenschutzniveaus in diesem Bereich hinwirken. Den Herstellern wird empfohlen, auch im Hinblick auf die ab dem Jahr 2018 wirksame EU-Datenschutz-Grundverordnung, den Datenschutz bereits bei der Entwicklung der Produkte einzubeziehen und datenschutzfreundliche Produkte zu realisieren.
Der Landesbeauftragte für den Datenschutz
Quelle:
Der Landesbeauftragte für den Datenschutz Baden-Württemberg