Hersteller vernetzter Geräte nutzen deren Internetanbindung oftmals, ums sich darüber an den Daten der Gerätenutzer zu bedienen. Hier ist eine ausreichende Rechtsgrundlage und häufig mehr Transparenz und Einholen von Einwilligungen nötig.
Vielen Herstellern von mit dem Internet verbundenen Geräten (z.B. Musiksysteme, Haushaltsroboter, Video- oder Alarmsysteme) kann zu Recht attestiert werden, dass Sie das Beste ihrer Kunden im Sinn haben – die persönlichen Daten. Diese werden oft ohne deren Wissen und ohne ausreichende Transparenz für die Betroffenen gesammelt und von den Herstellern z.B. für die Erstellung von Profilen, zu Produktverbesserungen oder zu anderen Zwecken verwendet.
Bei Smartphones und Tablets haben sich Nutzer daran gewöhnt, dass die Betriebssysteme umfangreich Daten über den Geräteinhaber und sein Nutzungsverhalten an Server der Anbieter übermitteln. Auch im Bereich PCs und Notebooks wird dieses Konzept bei Windows etabliert. Zudem werden die Nutzer immer stärker zur Verwendung von Cloud-Diensten angehalten, womit noch mehr persönliche Daten in die Hände der Softwareanbieter gelangen.
Bei vernetzten Geräten ist ein derartiger Datenhunger meist weniger im Bewusstsein der Nutzer. Dennoch sollten Gerätenutzer stets versuchen, möglichst viel Hoheit über ihre Systeme und die dort gespeicherten Daten zu behalten. Informationen zum sog. Selbstdatenschutz finden sich unter genau diesem Suchbegriff bei Suchmaschinen. Hilfreich ist auch z.B. die Webseite des Bundesamtes für Sicherheit in der Informationstechnik (BSI): https://www.bsi-fuerbuerger.de/BSIFB/DE/Empfehlungen/empfehlungen_node.html
Auf welche praktischen Schwierigkeiten die Herstellung der Selbstbestimmung über die eigenen Daten stößt, zeigt der Markt der Elektrofahrzeuge. Die Fahrzeuge des Herstellers Tesla übermitteln nahezu jeglichen Bedienvorgang des Fahrers an Server des Herstellers. Den Besitzern und Fahrern wird der genaue Umfang oder der Zweck der Datenerhebung durch die Fahrzeuge kaum transparent dargestellt. Aber nicht nur die Fahrer werden überwacht – auch andere Fahrzeuglenker im Verkehr oder Passanten, die an einem parkenden Tesla vorbeilaufen, können ohne Ihr Wissen Opfer digitaler Erfassung werden. Eine Studie des „Netzwerk Datenschutzexpertise“ hat 2020 die Datenströme bei Tesla-Fahrzeugen näher betrachtet und kam u.a. zu dem Ergebnis, dass die Funktion „Wächtermodus“, mit dem Tesla-Fahrzeuge Einbruchsversuche oder Parkrempler durch andere Fahrzeuge erkennen sollen, mit der europäischen Gesetzgebung nicht vereinbar ist. Wird bei einem parkenden Tesla der Wächtermodus aktiviert, erfasst das Fahrzeug über die an allen Seiten verbauten Kameras permanent und anlasslos die Umgebung, bei verdächtig eingestuften Vorgängen (z.B. jemand verweilt längere Zeit sehr nahe neben dem Fahrzeug) sendet es die aufgenommen Bilddaten zur Auswertung an Server des Herstellers in den USA. Die Studie kann hier heruntergeladen werden: https://www.netzwerkdatenschutzexpertise.de/sites/default/files/gut_2020tesla.pdf
Doch nicht nur auf der Straße nimmt die Überwachung durch vernetzte Geräte zu, auch in den privaten Haushalten halten immer mehr potentielle Spione Einzug. Typischerweise erkennt man entsprechende Geräte an dem Verkaufsattribut „Smart Home“. Wir haben in vergangenen Tätigkeitsberichten bereits die Risiken von Smart-TV-Geräten (25. TB, V 17) oder digitalen Sprachassistenten (26. TB, III 6 und 28. TB, II 16) beleuchtet. Zunehmend verbreiten sich nun computergesteuerte Varianten klassischer Haushalts- oder Gartengeräte wie Saug- oder Rasenmähroboter, die ihren Besitzern Alltagsarbeiten abnehmen. Auch hier werden „smarte“ Modelle angeboten, die per App aus der Ferne bedient und kontrolliert werden können. Einige dieser Geräte legen im Zuge ihrer täglichen „Arbeit“ intern detaillierte Grundrisse der Wohnung oder des Grundstücks ihrer Besitzer an und übertragen diese über das Internet an den Hersteller. Man sollte daher überlegen, ob es wirklich nötig ist, diesen Geräten über das heimische WLAN Internetzugang zu gewähren. Schließlich öffnet man damit dem Hersteller und eventuellen Dritten eine nicht einsehbare digitale Zugangstür in die eigene Wohnung oder auf das eigene Grundstück.
Eine weitere Fortentwicklung eines klassischen Haushaltsgegenstands hat 2020 auch beim HmbBfDI für europaweites Tätigwerden gesorgt. Konkret handelte es sich um sog. vernetzte Lautsprecher. Im Gegensatz zu klassischen Lautsprechern, für die Kabel quer durch die Wohnung gelegt werden müssen, erfolgt hier die Übertragung des Musiksignals per Funk. Damit wird auch das gleichzeitige Beschallen mehrerer Räume oder von Außenbereichen problemlos möglich, denn die Lautsprecher vernetzen sich über WLAN miteinander. Die Einrichtung und Konfiguration eines solchen Systems sowie die Steuerung der Musikwiedergabe, auf Wunsch direkt gefüttert von Streaming-Diensten aus dem Internet, erfolgt über eine App. Viele Systeme können auch mit Sprachassistenzdiensten wie Echo („Alexa“) von Amazon oder Google Home verbunden werden.
Während einige Besitzer solcher Lautsprecher die smarten Anbindungsmöglichkeiten begrüßen, gibt es andere, die ihre Geräte bewusst nicht mit dem Internet verbinden wollen. Bei einem der führenden Gerätehersteller in diesem Bereich war dies lange Jahre kein Problem, denn die Systeme konnten auch ohne Internetzugang betrieben werden. Im Jahr 2017 jedoch hat das Unternehmen die Nutzungsbedingungen geändert. Seither lassen sich die Lautsprecher nur noch einrichten und nutzen, wenn in der KonfigurationsApp eine überarbeitete Datenschutzerklärung akzeptiert und ein Nutzerkonto beim Hersteller angelegt wird. Ferner sollen die Gerätebesitzer einwilligen, dass regelmäßig Konfigurations- und Nutzungsdaten über das Internet an den Hersteller gesendet werden. Diese einseitige Änderung der Nutzungsbedingungen verärgerte vor allem Bestandskunden des Unternehmens, da sie nun ihre jahrelang frei nutzbaren Geräte nur noch weiterbetreiben können, wenn sie diese ans Internet anschließen und sich beim Hersteller registrieren. Entsprechend gingen bei den Datenschutzbehörden der EU mehrere Beschwerden ein, auch beim HmbBfDI.
Die Datenschutzbehörden mussten zunächst klären, welche Niederlassung des Herstellers die Hauptniederlassung in der EU ist, denn daraus ergibt sich die federführend zuständige nationale Aufsichtsbehörde. Die Aufgabe fiel der niederländischen Datenschutzbehörde zu, welche 2019 ein Anhörungsverfahren gegen den Hersteller eröffnet hat. Das Ergebnis daraus wurde im Dezember 2019 als sog. Beschlussentwurf („Draft Decision“) den anderen EU-Aufsichtsbehörden zur Kenntnis gegeben. Gemäß Vorgabe von Art. 60 Abs. 4 DSGVO besteht dann vier Wochen lang die Möglichkeit, Einspruch einzulegen, andernfalls würde der Entwurf als Beschluss rechtskräftig werden.
Der Beschlussentwurf der niederländischen Datenschutzbehörde sah vor, die Forderung des Herstellers nach einem verpflichtenden Nutzerkonto beim Hersteller nicht zu beanstanden und das Verfahren einzustellen, da keine datenschutzrechtlichen Einwände bestünden. Unter anderem folgte man dem Vortrag des Unternehmens, dass nur auf Basis bekannter Kundenkonten nebenvertragliche Pflichten wie Gewährleistung von IT-Sicherheit erfüllt werden könnten. Gemäß Art. 6 Abs. 1 b DSGVO sei der Hersteller daher zu der Erhebung der betreffenden Nutzerdaten berechtigt.
Diese Einschätzung wird vom HmbBfDI sowie anderen Aufsichtsbehörden, vor allem aus Deutschland, nicht geteilt. In der Praxis liefern zahlreiche Hersteller von Computern, Smartphones oder anderen vernetzten Geräten den Beweis, dass die Gewährleistung von IT-Sicherheit und Updates auch erfüllt werden kann, ohne dass die Nutzer ein Konto beim Hersteller einrichten.
Der HmbBfDI hat daher Anfang 2020 Einspruch gegen den Beschlussentwurf eingelegt und im Februar 2020 mit den niederländischen Kollegen vereinbart, dass diese erneut die Sachverhaltsermittlung beim Hersteller aufnehmen. Hierzu wurden gemeinsam vertiefte Prüfungsfragen entwickelt. Aus der erneuten Befassung liegt aktuell noch keine neue Version des Beschlussentwurfes vor.
Der Vorgang wird weiter begleitet, denn die dem Fall zugrundeliegende Fragestellung hat grundsätzlichen Charakter: Es gilt zu klären, ob und in welchem Umfang ein Hersteller eines vernetzten oder smarten Gerätes auch nach dem Kauf noch Daten von den Kunden erheben darf und wenn ja, auf Basis welcher Rechtsgrundlage und in welchem Umfang.
Quelle: HmbBfDI
Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:
- Kein Backup, kein Mitleid! Datensicherung mit NAS und Festplatte
- Datenpanne auf Reisen durch Visual Hacking- Blickschutz hilft.
- Denkanstoß – Daten(schutz)risiko USB-Stick, es passiert immer wieder
- Aktenvernichter für den Arbeitsplatz – Gegen Datenpannen auf Papier
- Tipp: Textpassagen mit einem Camoflage-Rollstempel unkenntlich machen
- Aufsichtsbehörde empfiehlt Buch: DSGVO /ePrivacy auf Websites umsetzen
- Recht im Online-Marketing: So schützen Sie sich vor Fallstricken zur DSGVO
Dieser Absatz enthält Affiliatelinks/Werbelinks