Leere Begriffe, der Deutsche Michel und unprofessionelle Schiedsrichter haben auf den ersten Blick wenig gemein. Ein Mann, der sie dennoch gekonnt miteinander verbindet, ist Datenschutzexperte Peter Hense. Der Gründer der Rechtsanwaltskanzlei Spirit Legal spricht mit uns darüber, wo es hakt und was es braucht, um Datenschutz und das vernetzte Zuhause in Einklang zu bringen.
Ein kurzer Blick durch die eigenen vier Wände verrät so manches. Ist man ordentlich oder ein*e stolze*r Verfechter*in des gesunden Chaos, interessiert man sich für Interior Design oder reichen Ikea-Möbel und schließlich, zählt man zu der immer größer werdenden Gruppe an Menschen, die ihr Zuhause durch intelligente Geräte smart machen möchten. Smart Home sei laut Hense „erstmal ein leerer Begriff“, der wie viele andere aus dem Marketing stamme. Er bedeute lediglich, dass Geräte, die zur Steuerung genutzt werden, mit dem Internet verbunden sind. Diese lose Definition umfasse sowohl Googles Virtual Private Assistent für das gesamte Haus als auch eine einfache intelligente Rollosteuerung.
Lose Definitionen und leere Begriffe ändern jedoch nicht die Fülle an Daten, die in vernetzten Häusern entsteht und gesammelt wird. Dabei sei es laut Hense immer entscheidend, ob die gesammelten Daten eine Aussage über eine Person treffen können. „Und da muss man sagen, dass alles, was im Smart Home passiert, eine Aussage über mich als Bewohner oder über die Gruppe der Bewohner sein kann“. Die Art der gesammelten Daten reiche von der Frequenz der Türöffnungen über die mit einer Adresse verknüpften Temperatur bis hin zum Spülmittel im Geschirrspüler. Besonders in Verbindung mit Sensorik wie Kameras oder Infrarotsensoren sei die Menge an personenbezogenen Daten groß.
Durch personenbezogene Daten ist es möglich, natürliche Personen zu identifizieren und demnach Aussagen über sie zu treffen. Die Verarbeitung dieser Art von Daten ist in der Europäischen Union in der DSGVO streng geregelt. Diese sei laut Hense auch in Smart Homes, neben anwendbaren nationalen Gesetzen, im Wesentlichen für das Datenschutzrecht zuständig. Weitere wichtige Regularien seien für den Experten die ePrivacy-Richtlinie sowie klassisches Zivilrecht. Zivilrecht deswegen, weil in Smart Homes Dienstleistungsverträge zwischen Beteiligten bestünden, die Rechte und Pflichten definieren. So werde klar festgehalten, was das jeweilige Produkt, etwa eine Smart Home Installation der Deutschen Telekom, zu leisten habe. Den Datenschutz würden im bürgerlichen Recht u.a. Updatepflichten regeln. Die ePrivacy-Richtlinie wiederum sei deshalb von Relevanz, da es sich bei mit dem Internet verbundenen Produkten um Endgeräte handle, die hinsichtlich Datenschutz und Privatsphäre darin geregelt würden. Hense stellt allerdings klar, dass Richtlinien nochmal eigens national umgesetzt werden müssen. Mit wenigen Ausnahmen herrsche in Europa in Bezug auf ePrivacy eine harmonisierte Rechtslandschaft. In Deutschland erfolgte deren Implementierung im Dezember 2021 unter dem Namen Telekommunikation-Telemedien-Datenschutzgesetz (TTDSG). Die Bundesrepublik sei damit im europäischen Vergleich Schlusslicht gewesen.
Dem Michel fehlt es an Bewusstsein
Nicht nur bei der Implementierung, sondern auch bei der Durchsetzung hinkten deutsche Behörden noch hinterher, so Hense. Derzeit fokussieren sich diese zwar stark auf unnütze und in die Irre führende Consent Banner auf Webseiten, das Internet der Dinge und damit Smart Homes blieben aber weitestgehend außen vor. Zudem seien die Behörden momentan nicht ausreichend professionell aufgestellt, um gegen die Armee von Anwält*innen auf Unternehmensseite antreten zu können. Was es brauche, so Hense, sei eine Zentralisierung der Behörden, die kompetenzgerecht aufgestellt werden und über eine Vollstreckungsabteilung verfügen, die in der Rechtsdurchsetzung erfahren ist. Mit dieser unvollständigen Erfüllung der Schiedsrichterrolle sei allerdings nicht mehr lange zu rechnen, weswegen es schon bald die ersten unvorbereiteten Unternehmen treffen könnte.
Die USA zeichnen sich schon jetzt durch eine punktuelle Durchsetzung mit Biss und Schärfe aus. Daher vermutet der Anwalt, dass eine kommende Privacy Bewegung im Bereich Consumer IoT als Welle in den USA beginnen würde. Für eine stärkere Durchsetzung in Deutschland wiederum müsse neben den erwähnten Lösungsansätzen „erstmal der schlafende Riese geweckt werden: der Deutsche Michel“.
Den Deutschen Michel zu wecken bedeutet für den Datenschutzexperten, das Bewusstsein der Nutzer*innen von smarten Geräten zu schärfen. Das Bewusstsein sei derzeit noch individuell und spärlich ausgeprägt, weshalb vielen nicht klar sei, welche personenbezogenen Daten im vernetzten Zuhause verarbeitet werden. Als Lösungsansatz nennt der Anwalt transparente Information, was mit den Daten eigentlich passiert. Das führe in weiterer Folge bei vielen Menschen zum Schock und zur Desillusionierung vom Glauben, dass der Staat hier bereits ausreichend schützt. Genau diese Art des Schocks und der Desillusionierung seien allerdings wichtig, um sich als Betroffener für eine Klage ausreichend geschädigt zu fühlen. Und Kläger*innen brauche es, um den Schutz der Privatsphäre laut europäischem und nationalem Recht durchzusetzen.
Verbote über Einmalzahlungen
Ein Weg für Verbraucher*innen, die eigenen Rechte zu schützen, seien Kollektivklage-Instrumente. Einen Einsatz dieser im Laufe der nächsten ein bis drei Jahre hält der Anwalt im Bereich Smart Home für wahrscheinlich. Derzeit sehe man in den Niederlanden Klagen gegen Oracle und Salesforce, die wegen Cookies und dem unerlaubten Zugriff auf Endgeräte eingereicht wurden.
Im Gegensatz zu vielen anderen Juristen*innen bevorzugt Hense bei den in Folge von Klagen entstehenden Strafen Untersagungsverfügungen und nicht Bußgelder, da diese einem Verbot der Nutzung gleichkämen. So könne ein Unternehmen etwa durch das Verarbeitungsverbot von bestimmten Daten einen ganzen Wirtschaftszweig bzw. Marktanteile verlieren, was weitaus drastischere Auswirkungen hätte als eine einmalige Strafzahlung. Außerdem könne es trotz Anfechtens der Unterlassungsverfügung vor Gericht zu einem Sofortvollzug kommen. Neben Bußgeldern und Unterlassungsverfügungen bestünde schließlich noch die Möglichkeit, Produkte mit datenschutzrechtlichen Mängel zurückzugeben. Nach dem Kaufrecht der Europäischen Union sei es möglich, bei Produkten mit Sachmängeln Minderung, Rückabwicklung oder den Rücktritt vom Kauf zu verlangen. Unternehmen mit fehlerhaften Geräten müssten daher noch Jahre nach Vertragsabschluss den vollen Kaufpreis zurückzahlen.
Datenschutz 101
Um den obigen Strafen vorzubeugen, müssten zuallererst wichtige Datenschutzgrundpfeiler im Unternehmen stehen. Grundpfeiler Nummer 1 ist für Hense die Rechenschaftspflicht. Unternehmen müssten Rechenschaft darüber ablegen, welche Datenverarbeitungsprozesse bei den Geschäftstätigkeiten anfielen. Sofern es sich bei ihren Datenquellen um externe Daten handle, benötige man Grundpfeiler 2: Consent Management. Consent Management beschreibt den Prozess des Einholens, Durchsetzens und Dokumentierens der Nutzereinwilligungen für bestimmte Verarbeitungsvorgänge. Dadurch könnte man vorweisen, dass Daten tatsächlich gesammelt werden dürfen. Eine Consent Management Plattform sei daher der „Ein- und Aussschalter für´s Licht. […] Datenstrom an, Datenstrom aus“. Bei Grundpfeiler 3 handle es sich um die Prinzipien Privacy by Design und Privacy by Default, die bei der Konzeption der Geräte mitgedacht werden müssten.
Ein Blick voraus
Datenschutzexperte Hense ist überzeugt, dass es sowohl auf nationaler als auch auf europäischer Ebene noch eine Reihe von Gesetze geben wird, die sich zu den bereits genannten gesellen werden. Darunter fallen etwa Gesetze zu Cyber Resilience, der Data Act, der Data Governance Act oder der AI Act. Dieses „Regulierungsdickicht“ sei für Unternehmen schwer zu durchblicken, weshalb es den Aufbau von internem Wissen, Prozessen und Managementsystemen unbedingt brauche. Die große damit verbundene Herausforderung sei das Gewinnen von engagierten Mitarbeitenden, die sich der Thematik mit Herzblut widmen. Wer in den „War for talent“ nicht investiere, müsse das vermeintlich gesparte Geld später für die Abwehr von Klagen aufwenden. Unternehmen, denen es nicht möglich sei, internes Wissen aufzubauen, könnten laut Hense auf gute Berater und Dienstleister zurückgreifen.
Neben internen Kompetenzen auf Seiten der Unternehmen brauche es in Zukunft Schiedsrichter im Datenschutzrecht, die rote Karten verteilen und Mannschaften vom Platz stellen. Derzeit würden die Schiedsrichter bzw. die damit von Hense gemeinten Behörden zu viel Zeit in die Beratung und zu wenig in die Rechtsdurchsetzung stecken. Es brauche daher weitaus mehr rechtlichen Druck seitens der Behörden und bis dahin würde die Industrie noch schludern. „Als Unternehmen würde ich mich nicht darauf verlassen, dass das noch sehr lange geht“.
Kontakt
Partner & Sales Manager: Alexander Jürgens
E-Mail-Adresse: office@apocrat.at
Mobil: +43 676 4025255