Datenschutz als Herausforderung im Internet of Things

Beitrag von Dr. Michael Falk, Partner im Bereich Cyber Security der KPMG AG Wirtschaftsprüfungsgesellschaft

Digitale Transformation erfordert einen Wandel im Unternehmen. So werden ehemals ingenieurwissenschaftlich geprägte Branchen entweder selbst zu digitalen Dienstleistern oder gehen neue Kooperationen ein.

Erleben kann das jeder: Bei der Probefahrt im Neuwagen stehen digitale Assistenzsysteme, umfangreiche Entertainment-Angebote und diverse Zusatzservices im Fokus. Tesla kann beispielsweise „remote“ die Akkuleistung seiner Fahrzeuge erhöhen und die Motorleistung identischer Triebwerke wird ausschließlich durch Software gesteuert. Smart Wearables, Smart Retail Solutions wie intelligente Zahnbürsten oder Smart TVs und Industrieroboter sind die Dinge des sog. „Internet of Things“ (IoT).

Für den Datenschutz ergeben sich durch die EU-DSGVO neue Herausforderungen: Die zahlreichen technischen und organisatorischen Schnittstellen sind zu bewerten und es entstehen neue Angriffsvektoren in eng vernetzten Systemen. Gerade im Kontext von IoT entwickelt sich ein Massenproblem hinsichtlich personenbezogener Daten, da intelligente Systeme automatisiert unzählige Daten über das Nutzerverhalten der Kunden sammeln. Diese gesetzlichen Herausforderungen sind nur durch ein konsistentes „Information Lifecycle Management“ zu beherrschen.

In IoT steckt das Potential, neue Services zu entwickeln und die Qualität dieser in jedweder Branche zu verbessern. Stellen Sie sich beispielsweise die Vernetzung eines mit Sensoren ausgestatteten Gabelstaplers mit einer App vor, die Daten über den Gabelstapler sammelt und auswertet. Zugleich werden Arbeitsaufträge an den Gabelstaplerfahrer gesendet, die er durch QR Code Scanning just-in-time abarbeiten kann. Dies stellt eine wesentliche Effizienz- und Qualitätsoptimierung für das Unternehmen dar.

In diesem Szenario könnten jedoch auch das Fahrverhalten und die Anzahl der erledigten Aufträge nachverfolgt werden, Stichwort: „Arbeitnehmerüberwachung“. Dies ermöglicht eine automatisierte und individuelle Leistungsbeurteilung jedes Mitarbeiters. Dass dies ggf. nicht im Interesse des Mitarbeiters ist, sollte klar sein. Was einerseits die Technologie der Zukunft ist, ermöglicht andererseits tiefe Einblicke in die Privatsphäre der Betroffenen. Somit betrifft das Thema Datenschutz in Zeiten von IoT und Industrie 4.0 ganz neue Bereiche.

Ein anderes Beispiel: Durch Aktivieren der HbbTV-Funktionen von Smart TVs kann gezielt das  Nutzerverhalten mithilfe von Data Mining analysiert werden, um so zukünftig personalisierte Werbung auszustrahlen. Allerdings darf der Smart TV Anbieter laut EU-DSGVO die Daten nur verarbeiten, wenn dafür eine Rechtsgrundlage vorhanden ist, wie z.B. die Einwilligung des Kunden. Somit muss der Anbieter einen Prozess etablieren, der eine solche Einwilligung nicht nur verlässlich und nachweisbar einholt, sondern auch jederzeit dessen Widerruf ermöglicht.

Die Einwilligung für die Verarbeitung der personenbezogenen Daten könnte der Smart TV Anbieter über den Bildschirm bekommen. Aber wie können Unternehmen die Einwilligung bei IoT Produkten einholen, bei denen keine visuelle Informationsdarstellung möglich ist? Denken Sie an eine elektrische Zahnbürste, die das Nutzungsverhalten analysiert, um dem Kunden ein gründlicheres Zähneputzen zu ermöglichen. Aus diesen Beispielen wird schnell ersichtlich, dass IoT Unternehmen beim Bereitstellen ihrer Services mit komplexen Compliance-Anforderungen konfrontiert werden.

Viele Unternehmen gehen für den Betrieb der Services Kooperationen mit IT-Dienstleistern ein und nutzen Cloud-Services. Die gesammelten Daten von Smart TV Nutzern oder den im Beispiel erwähnten Gabelstaplerfahrern werden somit bei Drittanbietern gespeichert.

Auch für die Speicherung der personenbezogenen Daten in der Cloud müssten Unternehmen die Einwilligung des Users einholen, was dem Nutzer einerseits mehr Transparenz bietet, da dieser über die Speicherung seiner Daten bei Cloud-Anbietern informiert wird. Andererseits ist ein immenser organisatorischer Verwaltungsaufwand für die Kooperationspartner zu überwinden. Darunter fällt auch, dass zwischen IoT Unternehmen und Cloud-Anbieter eine Vereinbarung über die Auftragsdatenverarbeitung geschlossen werden muss, worin ausführlich die Verantwortungsbereiche der Partner abgegrenzt werden müssen.

Nicht zuletzt wollen sich IoT Unternehmen von den Sicherheitsanforderungen der Cloud Provider durch geeignete Zertifizierungen überzeugen. Da jedoch noch kein allgemeingültiger Zertifizierungsstandard verabschiedet wurde, treten derzeit vermehrt Anfragen einer Auditierung im Bereich Cloud Computing auf.

Der Bereich Cyber Security von KPMG hilft Unternehmen bei der Bewältigung dieser Herausforderungen durch Konzeptionierung von „state-of-the-art“ Security Maßnahmen. So kann KPMG Cyber Security die Grundvoraussetzung für die digitale Wirtschaft schaffen und das volle Potential aus dem Internet of Things herausholen. Denn zukünftig werden Virenscanner und Firewalls nicht mehr ausreichen, um vernetzte Geräte vor Cyberattacken zu schützen.

Kontakt unter: mfalk@kpmg.com

Bildlizenz: KPMG Deutschland