IoT: Ethische und rechtliche Anforderungen an den Datenschutz
Iñigo de Miguel Beriain (UPV/EHU)
Aliuska Duardo (UPV/EHU), Álvaro Anaya Rojas, Gerardo Pérez Laguna & María Carmen González Tovar (Everis Ciberseguridad)
Vorläufige Versionen dieses Dokuments wurden von Federica Lucivero (Senior Researcher in Ethics and Data bei Ethox und dem Wellcome Centre for Ethics and Humanities (Big Data Institute)) und Irene Kamara (Assistenzprofessorin Cybersecurity Governance bei TILT) geprüft.
Überarbeitet von Fruzsina Molnar-Gabor, Heidelberger Akademie der Wissenschaften (Deutschland) und Mitglied der Europäischen Gruppe für Ethik der Naturwissenschaften und der Neuen Technologien der EU-Kommission.
Schließlich wurde sie von Iñaki Pariente, dem ehemaligen Direktor der baskischen Datenschutzbehörde, bestätigt.
Einführung
Dieser Abschnitt unserer “Leitlinien zum Datenschutz ELI in der IKT-Forschung und -Innovation” (im Folgenden “Leitlinien”) gibt Entwicklern und Innovatoren des Internets der Dinge (IoT) Ratschläge zu den Maßnahmen, die sie ergreifen sollten, um die rechtlichen Anforderungen im Zusammenhang mit der Entwicklung von IoT-Werkzeugen in Bezug auf den Datenschutz zu erfüllen. Sie sollen dazu beitragen, die ethischen und rechtlichen Probleme in diesem Bereich zu entschärfen. Selbstverständlich handelt es sich bei diesem Teil der Leitlinien (wie bei allen anderen) nicht um eine autorisierte Auslegung der Vorschriften, sondern um einige Empfehlungen für bewährte Verfahren.
Dieser Teil der Leitlinien kann nur im Zusammenhang mit dem gesamten Instrument (den Leitlinien) verstanden werden. Es gibt mehrere Konzepte, die in diesem Dokument nicht untersucht werden, weil sie in anderen Abschnitten behandelt werden; wir haben auf diese verwiesen, wo immer es nötig war (Verweise sind gelb hervorgehoben). Alle Abschnitte sind auf einer interaktiven Website verfügbar
Haftungsausschluss
Dieser Teil der Leitlinien wurde zu einer Zeit verfasst, als die Datenschutzverordnung für elektronische Kommunikation noch nicht verabschiedet war. Es kann vorkommen, dass die Verordnung zum Zeitpunkt der Verwendung dieses Instruments bereits in Kraft ist. In diesem Fall müssen die möglichen Änderungen des Rechtsrahmens berücksichtigt werden, die sich daraus ergeben können. Bis zum Inkrafttreten der Datenschutzverordnung für elektronische Kommunikation wird eine uneinheitliche Situation bestehen. Die Aufsichtsbehörden sehen sich jetzt mit einer Situation konfrontiert, in der die Datenschutzrichtlinie für die elektronische Kommunikation und die Datenschutz-Grundverordnung nebeneinander bestehen und Fragen hinsichtlich der Zuständigkeiten, Aufgaben und Befugnisse der Datenschutzbehörden in den Bereichen aufwerfen, in denen sowohl die Datenschutz-Grundverordnung als auch die nationalen Gesetze zur Umsetzung der Datenschutzrichtlinie für die elektronische Kommunikation Anwendung finden.
Vorwort
Vor einigen Jahren stellte die Artikel 29-Datenschutzgruppe fest, dass “das Konzept des Internets der Dinge (IoT) sich auf eine Infrastruktur bezieht, in der Milliarden von Sensoren, die in gewöhnliche, alltägliche Geräte eingebettet sind – “Dinge” als solche oder Dinge, die mit anderen Gegenständen oder Personen verbunden sind -, dazu bestimmt sind, Daten zu erfassen, zu verarbeiten, zu speichern und zu übertragen und, da sie mit eindeutigen Kennungen verbunden sind, mit anderen Geräten oder Systemen unter Verwendung von Netzwerkfunktionen zu interagieren”. [1]
Allgegenwärtig, allgegenwärtig, Internet der Dinge – das sind nur einige der Begriffe, die zur Beschreibung des IoT verwendet werden. Diese Adjektive sollen verdeutlichen, dass die Verbindung zwischen der physischen und der virtuellen Welt auf allen Ebenen stattfindet und stattfinden kann. Zu den neuen und aufkommenden IoT-Technologien gehören unter anderem: intelligente Verkehrssysteme, vernetzte Gesundheitsgeräte, Drohnen, 5G-Mobilfunkkommunikation usw. Selbst die trivialsten alltäglichen Aspekte unseres Lebens werden allmählich vom IoT durchdrungen. Von “intelligenten” Kaffeemaschinen bis hin zu mobilen Apps, mit denen wir Gerüche wahrnehmen können
Das IoT ist eine spezielle Technologie mit starken Verbindungen zu traditionellen Data-Science-Technologien, aber auch mit vielen Unterschieden, die bei der Festlegung eines Entwicklungsmodells berücksichtigt werden müssen. Die Geschwindigkeit der Datengenerierung ist einer der größten Unterschiede zwischen IoT und traditionellen Data-Mining-Technologien. Obwohl sich diese Technologien ergänzen können, umfasst die dynamische Datenverarbeitung gemeinsam genutzte Netzwerke, um eine Analyse und Reaktion in Echtzeit durchzuführen, wie es das IoT bei der Analyse großer Mengen statischer Daten tut.
IoT- und Datenwissenschaftslandschaft
Dieser Erfolg im Bereich des Umgangs mit Daten bringt auch eine gewisse Komplexität bei der Entwicklung neuer Technologien mit sich, weshalb es wichtig ist, Prozesse zu definieren, die die Entwicklung und Implementierung von IoT-Anwendungen erleichtern. Modelle, die IKT-Entwicklern helfen, den rechtlichen Rahmen für den Datenschutz zu verstehen, und die es ermöglichen, die notwendigen Aufgaben für die Verarbeitung von Beginn der Entwicklung von Lösungen an zu identifizieren, zu klassifizieren und zu definieren, bieten die Möglichkeit, eine effizientere und strukturierte Umsetzung zu erreichen.
Es wäre unmöglich, alle ethischen und rechtlichen Implikationen eines IoT-Systems in einem Leitfaden zu behandeln. Die Qualifikation des IoT bezieht sich auf viele verschiedene Dinge. Erstens die Geräte selbst (Schrittzähler, Schlaftracker, “vernetzte” Haushaltsgeräte wie Thermostate, Rauchmelder, vernetzte Brillen oder Uhren usw.). Zweitens die Endgeräte der Nutzer (z. B. Smartphones oder Tablets), auf denen zuvor Software oder Apps installiert wurden, um die Umgebung des Nutzers über eingebettete Sensoren oder Netzwerkschnittstellen zu überwachen und die von diesen Geräten gesammelten Daten an die verschiedenen beteiligten Datenverantwortlichen zu übermitteln. Darüber hinaus werden notwendigerweise Software-Tools verwendet, damit die Systeme funktionieren.
Es wäre schwierig, alle Fragen im Zusammenhang mit diesem umfassenden Rahmen zu behandeln. Daher schlagen wir in unserer Arbeit ein vereinfachtes Modell vor, das es den Entwicklern von IoT-Systemen ermöglicht, die Anforderungen an den Schutz personenbezogener Daten zu erfüllen, die in der Europäischen Charta der Menschenrechte, der Datenschutz-Grundverordnung und den ergänzenden Rechtsinstrumenten festgelegt sind. Nichtsdestotrotz müssen die Beteiligten, einschließlich der Entwickler, Hersteller, Netzwerkbesitzer und Vermarkter, die geltenden Gesetze und ethischen Richtlinien berücksichtigen, die für jede spezifische Entwicklung – sowohl mechanische als auch Informations- und Kommunikationssysteme – im Zusammenhang mit ihrem konkreten IoT-System gelten.
Zu diesem Zweck wird in diesem Kapitel der Leitlinien versucht, IKT-Entwicklern einen systematischen und vereinfachten Überblick darüber zu geben, wie sie die rechtlichen Anforderungen des EU-Datenschutzrechts erfüllen können. Dies geschieht, ohne die ethischen Leitlinien zu vernachlässigen, indem IoT-Produkte den Wert der “Befähigung des Einzelnen, indem er informiert, frei und sicher ist”[2], hinzufügen. In diesem Sinne stützt sich das vorliegende Dokument in hohem Maße auf die Überlegungen der Art. 29-Datenschutzgruppe in ihrer Stellungnahme 8/2014 zu den jüngsten Entwicklungen im Internet der Dinge[3], das Arbeitsdokument der Kommissionsdienststellen Advancing the Internet of Things in Europe[4] und die Baseline Security Recommendation for IoT in the Context of Critical Information infrastructures[5]. Es sei darauf hingewiesen, dass diese Dokumente in den meisten Mitgliedstaaten einem bestimmten Rechtsrahmen unterliegen und einen anderen Regelungsgegenstand darstellen als die Bereiche, die von den anderen Leitlinien abgedeckt werden. Darüber hinaus sollten IKT-Entwickler immer im Hinterkopf behalten, dass sich die EU-Verordnung zum IoT in nächster Zeit wahrscheinlich ändern wird. Eine Konsultation mit ihren Datenschutzbeauftragten über mögliche Änderungen und nationale Besonderheiten ist immer empfehlenswert.
Quellenangaben
1A29 Working Party, Opinion 8/2014 on the on Recent Developments on the Internet of Things, 2014, unter: https://www.dataprotection.ro/servlet/ViewDocument?id=1088 ↑
2Nach Ansicht der Artikel-29-Datenschutzgruppe ist dies “der Schlüssel zur Förderung von Vertrauen und Innovation und damit zum Erfolg auf diesen Märkten”. Stellungnahme der Artikel-29-Datenschutzgruppe 8/2014, op. cit. ↑
3Art 29 Datenschutzgruppe (2014) Opinion 8/2014 on the on Recent Developments on the Internet of Things (SEP 16, 2014) https://www.dataprotection.ro/servlet/ViewDocument?id=1088. Abgerufen im November 2020). Obwohl diese Stellungnahme vor dem Inkrafttreten der aktuellen DSGVO verfasst wurde, sind wir der Ansicht, dass die damals von der Arbeitsgruppe getroffenen Einschätzungen immer noch gültig sind. Diese Stellungnahme liefert den ethisch-rechtlichen Schlüssel zur Gewährleistung des Datenschutzes, ohne die Entwicklung des IoT zu behindern. ↑
4Arbeitsdokument der Kommissionsdienststellen Advancing the Internet of Things in Europe (Das Internet der Dinge in Europa vorantreiben), Begleitdokument zur Mitteilung der Kommission an das Europäische Parlament, den Rat, den Europäischen Wirtschafts- und Sozialausschuss und den Ausschuss der Regionen: Digitalisierung der europäischen Industrie – Die Vorteile des digitalen Binnenmarkts voll ausschöpfen. Europäische Kommission N5(APRIL 19, 2016) https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A52016SC0110&qid=1610616372730 (Zugriff Dez. 2020). ↑
5Baseline Security Recommendation for IoT in the Context of Critical Information infrastructures, ENISA 12 (2017), https://www.enisa.europa.eu/publications/baseline-security-recommendations-for-iot. (Zugriff im November 2020) ↑