Alle Beiträge von Thomas Ehrlich

IOT - IoT Szene, IOT - IoT-Security

DSGVO wird auch für das Internet of Things zum Thema

Schreibe einen Kommentar

Es wäre falsch, den Berührungspunkt vom IoT zur DSGVO auf den Aspekt der Sicherheit zu reduzieren. Denn auch die Daten, die von IoT-Geräten gesammelt werden, können DSGVO-relevant sein. Die wesentliche Frage hierbei ist, inwieweit diese personenbezogen sind bzw. sein könn(t)en. So gelten etwa IP-Adressen als personenbezogene Daten, Informationen, die beispielsweise von Fitness-Trackern generiert werden (erinnern wir uns an Strava), fallen sicherlich auch hierunter, ebenso wie die Mail-Adresse.

Was sind personenbezogene Daten (PII)?

Die DSGVO definiert sie als „alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind“ (Art. 4). Diese Definition umfasst damit alle Informationen, die über eine Person etwas aussagen. Dabei reicht es schon aus, dass zu der jeweiligen Person mit vertretbarem Aufwand ein Bezug hergestellt werden kann, also auch Telefonnummern und IP-Adressen oder im persönlichen Umfeld wie der Wohnung generierte Daten.

Diese Daten unterliegen dabei keiner Hierarchie, d.h. es gibt keine mehr oder weniger schützenswerten Daten. Die Blutgruppe einer Person ist damit genauso sensibel wie das bevorzugte TV-Programm. Das Bundesverfassungsgericht stellt in diesem Zusammenhang fest, dass es eben keine „belanglosen Daten“ gibt. Die DSGVO gilt dabei nicht nur für private Nutzer, also Kunden oder Konsumenten, sondern auch im gewerblichen Umfeld. In diesem Bereich rücken dann Themen wie Logins und ähnliches ins Zentrum des Interesses. Voraussetzung ist auch hier, dass technisch diese Tätigkeiten einer bestimmten Person zugeordnet werden könnten.

Datenschutz von Anfang an mitdenken

Die DSGVO verfolgt einen Privacy-by-Design-Ansatz, Datenschutz muss also „eingebaut“ sein und entsprechend bereits bei der Entwicklung berücksichtigt werden. Hierdurch sollen Datenschutzrisiken gering gehalten und Datensicherheit gewährleistet werden. Ebenfalls von Bedeutung in diesem Zusammenhang ist das Gebot der Datensparsamkeit. Hersteller müssen sich fragen, ob wirklich alle Daten (weiterhin) erhoben werden müssen und ob sie tatsächlich für den definierten Zweck bzw. Einsatz notwendig sind. Hierauf zielen auch die geforderten datenschutzfreundlichen Voreinstellungen (Privacy by Default). Weitergehenden Einwilligungen (etwa die Übertragung von Diagnosedaten oder das Teilen von Daten mit anderen Nutzern) muss der Nutzer explizit zustimmen.

Auch wenn Hersteller sich an diese Prinzipien halten, stehen sie dennoch vor einer weiteren großen (und oft vernachlässigten und unterschätzten) Herausforderung: Wo im Unternehmen sind die privaten und sensiblen Daten gespeichert? Wer hat Zugriff hierauf? In aller Regel sind diese nämlich oftmals unstrukturiert und verteilt in den Systemen gespeichert, zum Teil auch in verschiedenen Abteilungen wie Vertrieb, Marketing, Finanzen und Dienstleistungen. Dies ist nicht nur aus Sicht der DSGVO problematisch, auch unternehmerisch kann dies zu Schwierigkeiten und Mehraufwendungen führen.

Frühjahrsputz für die Daten

Wie sollten nun Unternehmen Ordnung in dieses Datenchaos bringen? Der erste Schritt ist dabei, die Umgebung zu analysieren, Risiken zu bewerten und zu priorisieren und die sensiblen Daten zu identifizieren. Dies bildet das Fundament für sämtliche weitere Maßnahmen in Richtung DSGVO-Konformität und erhöhter Datensicherheit. Bei dieser Gelegenheit ist es auch möglich, veraltete und zu weit gefasste Berechtigungen und Zugriffsgruppen zu identifizieren und entsprechend zu korrigieren. Ebenfalls veraltete, länger nicht genutzte Daten können hierbei aufgespürt und archiviert, gelöscht oder in Quarantäne verschoben werden. Nach und nach lichtet sich das Datenchaos, welches der Nährboden für Datenpannen ist. Mit der Etablierung von Data Owners, also Datenverantwortlichen, wird ein weiterer großer Schritt in Richtung Datensicherheit getan: Nicht mehr die IT-Abteilung ist für die Gewährung von Zugriffsrechten zuständig, sondern Mitarbeiter aus den jeweiligen Fachabteilungen oder Projektgruppen. Dies hat den Vorteil, dass diese genau wissen, wer welchen Zugriff benötigt. Auf diese Weise kann das „need-to-know“-Prinzip umgesetzt werden, demzufolge tatsächlich nur diejenigen Zugriff auf sensible Daten erhalten, die diesen auch tatsächlich für ihre Arbeit benötigen. Dies sollte noch mit einer intelligenten Analyse des Nutzerverhaltens (UBA), welche abnormale und auffällige Aktivitäten erkennt und automatisiert unterbindet, ergänzt werden.

Um das Internet der Dinge sicherer zu machen und die neuen Datenschutzanforderungen zu erfüllen, müssen also nicht nur die Apps und Geräte gesichert werden, sondern (vor allem) auch die generierten Daten! Voraussetzung hierfür ist die Identifizierung und Klassifizierung sowie eine sorgsame Datenbehandlung, um darauf aufbauend nachhaltigen Schutz zu gewährleisten.