Das Medienecho war groß, als der Chef des US-amerikanischen Staubsaugerherstellers iRobot Corporation, ankündigte, Raumpläne von Wohnungen und Häusern an Dritte weitergeben zu wollen. Raumpläne, die von den Saugrobotern des Unternehmens während der Reinigung erstellt werden, um dem Roboter die Orientierung zu ermöglichen. Die Weitergabe der Daten solle mit Einwilligung der Kunden geschehen. iRobot begründet den Vorschlag unter anderem mit dem Nutzen der Karten für Anbieter von Smart Home-Anwendungen.
Datenschutz im Smart Home
Schnell formierte sich Kritik, insbesondere zu Fragen des Datenschutzes. Doch wie steht es grundsätzlich um den Datenschutz im intelligenten und vernetzten Zuhause? Was sind die Vorgaben, an die sich die Anbieter der smarten Haushaltsgegenstände halten müssen, und darf iRobot wirklich die Kartendaten an Dritte weitergeben?
Personenbezug ist entscheidend
Zunächst muss beachtet werden, dass das geltende Datenschutzrecht überhaupt nur dann Anwendung findet, wenn es um einen Sachverhalt geht, in dem "personenbezogene" Daten verarbeitet werden sollen. Dieser Begriff wird in der Praxis sehr weit ausgelegt. Natürlich fallen hierunter etwa der Name oder die E-Mail-Adresse eines Nutzers. Aber auch die IP- oder die MAC-Adresse eines Gerätes können solch personenbezogene Daten darstellen. Anonymisierte Daten hingegen sind vom Anwendungsbereich des Datenschutzrechts ausgenommen. Im konkreten Fall, also der von iRobot erstellten Karte, müsste man sich die gesammelten Informationen anschauen, um dann entscheiden zu können, ob es sich um Informationen handelt, die sich auf eine bestimmte oder zumindest bestimmbare natürliche Person - so die gesetzliche Definition - beziehen. Oft wird dies aber der Fall sein, insbesondere dann, wenn iRobot die Kartendaten etwa mit den Nutzerkonten oder Registrierungsdaten der Kunden aus der App verbindet.
Das erlaubt der Datenschutz
Das, sowohl in Deutschland als auch in Europa existierende Grundprinzip im Datenschutzrecht lautet: personenbezogene Daten dürfen nicht verarbeitet werden, es sei denn, dass eine Einwilligung vorliegt oder eine gesetzliche Vorschrift den Datenumgang erlaubt. Dieses Prinzip gilt auch für die Datenverarbeitung durch Geräte im Smart Home. So ist es dem Gerätehersteller beispielsweise gesetzlich gestattet, jene personenbezogenen Daten des Kunden zu verarbeiten, die für die richtige Durchführung des Kaufvertrages oder aber für die Erbringung von Dienstleistungen notwendig sind. Wenn es, beispielsweise um die Fernwartung oder -diagnose des smarten Haushaltshelfers geht, kann der Hersteller die hierfür erforderlichen Daten verwenden.
Daran knüpft sich ein weiteres wichtiges Prinzip: der Zweckbindungs- und Datenminimierungsgrundsatz. Personenbezogene Daten dürfen zum einen grundsätzlich nur für jene Zwecke verwendet werden, für die sie ursprünglich erhoben wurden. Zum anderen muss der Umfang der erhobenen Daten nur auf den jeweils erforderlichen Zweck beschränkt bleiben. Oder anders ausgedrückt: es dürfen keine Daten "ins Blaue hinein" erhoben werden.
Informationspflicht
Möchte der Hersteller eines vernetzten Kühlschranks oder eines intelligenten Rauchmelders personenbezogene Daten sammeln, dann ist er zudem verpflichtet, die Nutzer über diese Datensammlung und -verarbeitung zu informieren. Im täglichen Leben begegnet uns dies in Form der Datenschutzerklärungen. Und gerade hier wird es im Smart Home heikel. Denn oft besitzen die intelligenten Gegenstände kein Display, auf dem man eine Datenschutzerklärung anzeigen könnte. Die Hersteller wären also verpflichtet, einen Medienbruch in Kauf zu nehmen und etwa die Informationen zum Datenschutz der Verpackung beizulegen. Alternativ wäre auch denkbar, dass die Datenschutzerklärung über die App abrufbar ist, die der Nutzer zur Steuerung der smarten Helferlein nutzt.
Die Information der Kunden spielt im Beispiel iRobot eine entscheidende Rolle. Denn nur wenn die Kunden verständlich und umfassend über die Datenverarbeitung informiert wurden, können sie eine wirksame Einwilligung in die Weitergabe ihrer Daten an Dritte erteilen. Ob iRobot momentan diese Anforderungen in seiner "Privacy Policy" erfüllt, kann man zumindest diskutieren. So hat der Datenschutzbeauftragte für Hamburg, Johannes Caspar, im Gespräch mit dem Handelsblatt bereits Zweifel angemeldet, ob die aktuellen Datenschutzbestimmungen des Unternehmens diese Weitergabe decken würden. Insbesondere informiert der Anbieter momentan in seiner Privacy-Policy nicht konkret darüber, welche Daten an welche Unternehmen weitergegeben werden sollen.
Rechte der User
Möchten Kunden eine solche Weitergabe der Daten ihrer kartierten Wohnung unterbinden, so haben sie zunächst die Möglichkeit, die Einwilligung nicht zu erteilen. Denn es ist eine gesetzliche Anforderung an eine Einwilligung, dass diese freiwillig erfolgen muss. Bestünde keine Wahlmöglichkeit, wäre diese Voraussetzung nicht erfüllt. iRobot selbst weist in seinen Datenschutzbestimmungen noch auf eine andere Möglichkeit hin: Möchte der Kunde die Vernetzung seines Saugroboters und eine Weitergabe von Daten an Dritte unterbinden, so rät der Hersteller dazu, das Gerät nicht im WLAN anzumelden oder per Bluetooth zu verbinden.
Diese Strafen drohen
Verstößt ein Gerätehersteller gegen die gesetzlichen Vorgaben, so besteht für die Datenschutzbehörden die Möglichkeit, Bußgelder zu verhängen oder, was oft viel gravierender ist, die Datenverarbeitung durch das Unternehmen zu untersagen. Ab dem 25. Mai 2018 wird in der Europäischen Union ein neues Datenschutzgesetz, die EU Datenschutz-Grundverordnung (DSGVO, GDPR), anwendbar sein. Diese sieht, im Gegensatz zur aktuellen Rechtslage, gravierende Bußgelder von bis zu vier Prozent des weltweiten Jahresumsatzes eines Unternehmens oder 20 Millionen Euro für Verstöße gegen das Gesetz vor. Hersteller von intelligenten und vernetzten Haushaltsgeräten sind also gut beraten, ihre Produkte datenschutzkonform auszugestalten, und dies nicht zuletzt auch deshalb, weil die DSGVO den Unternehmen die Beachtung der Prinzipien von "Privacy by Design" und "Privacy by Default" verbindlich vorschreibt.