Sensoren begegnen uns inzwischen überall: im Auto, in der Heizung, in Fitnessuhren oder auf Parkplätzen mit smarter Beleuchtung. Sie messen Temperatur, Bewegung, Verbrauch oder Standort und erzeugen dabei ununterbrochen Daten. Doch wem gehören diese ganzen Informationen eigentlich? Und wie können Bürger sicherstellen, dass daraus kein gläserner Mensch wird?
Wir haben mit dem Thüringer Landesbeauftragten für den Datenschutz und die Informationsfreiheit (TLfDI), Herrn Tino Melzer, gesprochen.
Sensordaten selber sind zunächst nur kleine Messwerte, die an allen möglichen Stellen erhoben werden. Sie repräsentieren eine bestimmte physische Eigenschaft dessen, was eben gerade gemessen werden soll: Temperatur, Sauerstoffsättigung, Umdrehungsgeschwindigkeit, Luftdruck oder die Oberflächenspannung der Haut bei EKG-Messungen. Die Messungen verraten uns Eigenschaften der wirklichen Welt, wie die Geschwindigkeit eines Autos, den Puls, die Raumtemperatur oder Ofentemperatur, den Wasserverbrauch und Vieles mehr.
Ihre Erhebungen sind deshalb bedeutsam, weil durch sie versucht wird, etwas zu erkennen und zu steuern. Das kann die Geschwindigkeit eines Autos sein, aber auch der Gesundheitszustand des Herzens oder, ob eine Sicherheitstür geschlossen oder offen ist. Gerade in unserer hoch technologisierten Welt benötigt man Sensordaten, um die vielen automatischen Regelprozesse in dieser Welt zu ermöglichen. Sie sind aber auch hilfreich, um nicht technisch geregelte Prozesse wie den eigenen Gesundheitszustand zu ermitteln.
So verwirrend es erst einmal klingt: Daten „gehören“ zunächst niemandem, da sie keine dingliche Sache sind. Im Bürgerlichen Gesetzbuch (BGB) sind Dinge wie „Besitz“ oder „Eigentum“ nur an dingliche Sachen gebunden. Daher kann man Daten nicht verschenken oder verkaufen. Man kann aber Rechte an Daten besitzen und übertragen. Und in diesem Kontext macht die Frage auch Sinn: Welche Rechte haben denn Hersteller an Daten, die durch ihre eigenen Produkte entstehen? In den Nutzungsverträgen / Nutzungsbedingungen werden die Rechte an solchen Daten meist geregelt. Sie bedürfen daher einer gründlichen Prüfung. Und tatsächlich räumen sich Hersteller durchaus auch sehr umfassende Rechte an diesen Daten ein. Ein Blick in die Nutzungsbedingungen so mancher Anwendung ist da durchaus sehr erhellend. Aber die Datenschutz-Grundverordnung (DS-GVO) räumt Nutzern von Systemen, die Sensordaten nutzen, ebenfalls Rechte an Daten ein – so lange es sich um personenbezogene Daten handelt. Und diese Rechte sind auch nicht durch Nutzungsbedingungen „überschreibbar“ oder vertraglich abtretbar – sie gelten also immer. Zu nennen wären da zum Beispiel das Recht auf Auskunft, Berichtigung oder Löschung.
Absolut schützen, dass die Daten missbraucht werden, kann man sich nicht. Aber man kann steuern, wie wahrscheinlich ein Missbrauch wird. Prinzipiell ist jeder Verarbeiter verpflichtet, die bei ihm gespeicherten personenbezogenen Daten ausreichend vor Missbrauch zu schützen. Aber was ist Missbrauch? Bei einem Hackerangriff ist es klar: die Daten werden zu Erpressungszwecken genutzt. Häufig korreliert die Annahme der Nutzer, was mit den eigenen Daten passiert, nicht mit den Vorstellungen der Verarbeiter. Missbrauch von personenbezogenen Daten bedeutet, dass die Daten unrechtmäßig oder zweckwidrig verwendet werden. Was kann ein Nutzer von einem Dienst erwarten (z. B. einer Heizungsapp), was mit den Temperaturmesswerten seiner Wohnung passiert und wo gehen Datenweitergabe oder zusätzliche Verarbeitungen über das Erforderliche hinaus?
Die Betroffenen müssen über Zwecke, Mittel und Umfang der Verarbeitung informiert werden. Dies geschieht in der Regel in der Datenschutzerklärung. Ein erster Schutzmechanismus wäre also, sich die Datenschutzerklärung durchzulesen. Häufig gibt es auch Einstellungen innerhalb einer App, die bestimmte Verarbeitungen ein- und ausschalten können. Gibt es Grund zur Annahme, dass doch noch weitere Verarbeitungen stattfinden, die nicht der Datenschutzerklärung entsprechen, kann man den Anbieter dazu befragen. Immer besteht das Recht, sich an die Aufsichtsbehörde, also den TLfDI zu wenden, wenn keine Auskunft gegeben wird oder der Verdacht besteht, dass eine Verarbeitung über das erforderliche Maß hinaus erfolgt.
LoRaWAN überträgt grundsätzlich seine Datenpakete verschlüsselt. Es wird für sehr großflächig verteile Sensornetze genutzt, wobei pro Sensor nur sehr kleine Datenpakete übertragen werden. Kameras oder ähnliche Geräte fallen damit aus dem Anwendungsfeld raus. Durch die Verschlüsselung ist ein einfaches Abhören der Sensordaten nicht möglich. Im Datenschutzkontext ist aber die mögliche Flächenabdeckung des Netzwerkes kritisch zu sehen. Ein großes Sensornetz aus Bewegungsmeldern, Gesichtserkennern oder Kennzeichen-Erkennern ist gut geeignet, Bewegungsprofile zu ermitteln. Hier wird die technische Möglichkeit geschaffen, bei bösartiger Nutzung großflächige Überwachungsnetze zu erschaffen. In der Realität in Thüringen findet das nach meiner Kenntnis nicht statt. Häufig wird nur die Temperatur, Helligkeit und Luftqualität in einem Sensornetz ermittelt. Bei diesen Daten liegt nicht einmal Personenbezug vor. Werden kritischere Sensoren genutzt (weil personenbezogenen Daten damit erhoben werden können), müssen vom Verantwortlichen die Mittel der DS-GVO herangezogen werden, um die Rechtmäßigkeit, Notwendigkeit und Sicherheit der Datenverarbeitung zu prüfen und zu dokumentieren. Hier sind Mittel wie die Datenschutz-Folgenabschätzung zu nennen, die Lücken im Schutzniveau aufzeigen kann und bei korrekter Durchführung eine ausreichende Sicherheit dokumentiert. Die Strenge der Vorgaben der DS-GVO ist dafür ausreichend. Die Ausführung der Vorgaben ist in der Praxis eher das Problem. Regeln in dem Bereich klarer zu fassen, halte ich für schwierig, da der mögliche Anwendungsspielraum für den Einsatz von LoRaWAN wirklich sehr groß ist. Damit ist bei dem Versuch, dies näher zu regeln, vorhersehbar, dass nicht alle Anwendungsfälle von den Regeln erfasst werden können oder das Regelwerk sehr unhandlich wird. Mit den bisherigen Mitteln der DS-GVO kann nach meiner Einschätzung auch das Risiko von großen Sensornetzen eingefangen werden.
Nun, diese Technologie zwingt den Datenschutz, basierend auf den immer gleichen Grundsätzen, ständig neue Bewertungen zu Risiken und Gegenmaßnahmen zu erkunden. Maßnahmen, die gestern noch als hinreichend angesehen wurden, genügen morgen eventuell nicht mehr. Ein Beispiel: früher wurde in einem Rechenzentrum für verschiedene Verantwortliche eine physische Trennung der Mandanten verlangt, während heute eine logische Trennung innerhalb gemeinsamer Systeme möglich ist. Mit der immer „schlauer“ werdenden KI ist es genau so: man muss regelmäßig bereits vorhandene Datenverarbeitungen anschauen und die Frage stellen „Welchen Schaden kann man mit heutigen Mitteln verursachen?“ Dies verändert den Datenschutz in dem Sinn, dass immer wieder neue Expertise geschaffen werden muss und man ständig auch technologisch an vorderster Front den Überblick über mögliche neue Gefahren behalten muss. Gleichzeitig ist dies auch gerade ein spannender Aspekt des Datenschutzes, immer wieder auf neue technologische Entwicklungen reagieren zu müssen.
