Das iPhone ist schlau. Schon bevor man aufs Rad steigt, weiß es, wo der Fahrer hin will und wie lange die bevorstehende Tour dauern wird. Dabei stand in der Kalender-App in der Zeit von 17 bis 19 Uhr lediglich "Sport", ohne Adresse und nähere Bezeichnung. Nur als Blocker gedacht und als Erinnerung für das Training einmal in der Woche. Immer donnerstags. Ein "Pling" ertönt. Und auf dem Display sind Route und Fahrzeit zu sehen. Woher weiß das Smartphone so etwas?

Es liegt nahe, dass die Bewegungsdaten des Gerätes mit dem Kalender in Einklang gebracht und daraus der neue digitale Dienst entwickelt wurde. So genau möchte man das gar nicht wissen. Klar ist allerdings: Verschiedene persönliche Daten werden kontinuierlich gesammelt und analysiert, um diesen digitalen Service zu ermöglichen. Und irgendwann vorher hatte man mal sein Häkchen dafür unter eine halbwegs verständliche wie generische Einverständniserklärung für die Nutzung seiner Daten gesetzt.

Neue Geschäftsmodelle durch IoT: Zunächst mehr erschreckt als erfreut

Doch welcher App-Anwender erinnert sich noch daran - geschweige denn, dass er diese Zeilen überhaupt gelesen hat? Immer mehr digitale Dienste sind im Entstehen, weil persönliche Daten verfügbar sind. Sollen diese Dienste auf Dauer Akzeptanz finden, ist es wichtig, dass der Nutzer nachvollziehen kann, was mit seinen Daten passiert. Ab dem 25. Mai 2018 hat er wieder deutlich größere Chancen dazu. Denn dann wird die neue Datenschutz-Grundverordnung (DSGVO/ engl. GDPR) der EU rechtsverbindlich, mit dem Ziel, Unternehmen mit deutlich mehr Nachdruck zu datenschutzfreundlichen Verhaltensweisen zu "motivieren", als dies heute der Fall ist.

Empfindliche Strafen bei Verstößen von bis zu 20 Millionen Euro oder falls höher sogar bis zu 4 Prozent des weltweiten Umsatzes legen nahe, dass "es darauf ankommen lassen" keine geeignete Datenschutzstrategie mehr ist. Und das gilt übrigens nicht nur für europäische Unternehmen: Die DSGVO greift nach dem "Marktort-Prinzip" (Artikel 3) für alle Firmen, die Daten von Personen in der EU verarbeiten, egal ob mit Sitz in Wuppertal oder im Silicon Valley.

Ein zentraler Punkt der DSGVO ist auch Artikel 6: Rechtmäßigkeit der Verarbeitung. Dabei geht es im Kern um eben jenes Häkchen, also die Einwilligung des Nutzers, die informiert erfolgen, verständlich formuliert und explizit eingeholt werden muss. Zudem kann der Nutzer auf Wunsch jederzeit seine Daten einsehen, löschen oder gar zu einem Konkurrenzdienst portieren lassen.

Connected Car: Diverse Dienstleister involviert

Gerade dieser Einwilligungsprozess, das sogenannte "Consent Management", wird in IoT-Szenarien zunehmend komplexer. Daten werden über verschiedene Sensoren, Endgeräte, Netzwerke und Cloud-Plattformen gesammelt und verteilt und bewegen sich damit auch jenseits einzelner Unternehmensnetze. Damit steigt nicht nur die Herausforderung, die Informationssicherheit zu gewährleisten. Ein Anbieter, der für seinen Service die Geo-Daten vom Smartphone des Kunden nutzt, kann kaum garantieren, dass dieses Smartphone nicht von Dritten gehackt wird und diese Daten in andere Hände gelangen.

Auch die Komplexität der Vertragsverhältnisse und damit der Haftungsfragen nimmt zu, wenn diverse Parteien als Verantwortliche, Auftragsverarbeiter oder deren Subunternehmer die Daten verwenden.

Beispiel Connected Car: Fahrzeuge werden immer mehr zu "rollenden Datenplattformen". Die Sensordaten des Fahrzeugs geben Aufschluss darüber, wann es in die Werkstatt muss, wo sich der Fahrer aufhält, wie schnell er um die Kurven fährt und vor der Ampel bremst und an welchen Restaurants, Tankstellen und Sportgeschäften er regelmäßig vorbeikommt. Hier setzen diverse Dienstleister an, angefangen beim Autohersteller, der seine Services verbessern will, über Versicherungen, die günstigere Policen für rücksichtsvolle Fahrer anbieten, bis hin zu Apps jeglicher Couleur, die "Location Based Services" offerieren. Parkt ein Fahrer etwa öfter in der Nähe einer Restaurantkette oder eines Sportgeschäfts, sollte er sich nicht wundern, wenn ihm eine App das eine oder andere individualisierte Angebot zuspielt.

Die Reise der persönlichen Daten im Internet of Things

Die Daten eines Autobesitzers liegen also längst nicht mehr nur in den Kunden-Management- und Service-Systemen des Herstellers vor, sondern auch in der Mobilfunkinfrastruktur, beim Cloud-Provider und bei diversen Diensteanbietern. Alle Beteiligten müssen genauso wie der Autohersteller die DSGVO-konforme Verarbeitung der Kundendaten nachweisen können.

Während ein Auftragsverarbeiter wie der Cloud-Provider mit den Kundendaten arbeiten darf, sobald sein Auftraggeber die Einwilligung des Kunden eingeholt hat, sind andere Fragen im IoT-Umfeld etwas diffiziler: Kann ein Unternehmen, das personenbezogene Daten erhebt (in unserem Beispiel der Automobilhersteller), vom Kunden auch die Einwilligung für die Verarbeitung durch seine Kooperationspartner (wie die Restaurantkette oder die Versicherung) einholen, oder muss jeder Dienstanbieter direkt mit dem Kunden interagieren? Wenn ersteres, haftet das Unternehmen dann für die DSGVO-konforme Verarbeitung durch seine Partner?

Besonders durch die Geschwindigkeit und Agilität, in der auf der Basis von IoT-Technologien heute neue Geschäftsmodelle entstehen, bleibt für den Datenschutz manchmal wenig Zeit. Wenn aber Time-to-Market entscheidend für den Geschäftserfolg ist, müssen obige Fragen schnell geklärt werden und die Anforderungen der DSGVO wie Data Protection by Design und by Default (Art. 25) mit Prinzipien wie Datenminimierung oder Pseudonymisierung bereits Teil der Unternehmens-DNA sein und ganz selbstverständlich zur Anwendung kommen.