Recht im Internet der Dinge Datenschutz und IT-Sicherheit Dr. Thomas Lapp, Frankfurt Rechtsanwalt und Mediator

Transkript

1 Recht im Internet der Dinge Datenschutz und IT-Sicherheit Dr. Thomas Lapp, Frankfurt Rechtsanwalt

2 Privatsphäre und Datenschutz Datenschutz dient dem Schutz der Persönlichkeitsrechte und würde besser Privatsphärenschutz genannt Grundrecht auf informationelle Selbstbestimmung Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme EU Grundrechtecharta Art. 7 und 8 Urteil zur Vorratsdatenspeicherung und Google Spain 2

3 Personenbezogene Daten Schutz personenbezogener Daten, das sind persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person. (Grundregel des Datenschutzrechts) 3 Abs. 1 Bundesdatenschutzgesetz (BDSG) Was ist bestimmbar im IoT? 3

4 Privates aus Metadaten SZ vom berichtet über einen Test von Forschern der Uni Stanford zur Auswertung von Metadaten freiwilliger Teilnehmer g-durch-geheimdienste-die-luege-von-den-metadaten

5 Erste Ergebnisse Lebensgefährten der Teilnehmer Religionszugehörigkeiten von 73 % der Teilnehmer 5

6 Anonymität der Nummern? Mehr als ein Viertel der gewählten Anschlüsse waren allein durch eine automatisierte Suche ermittelbar Mit wenig menschlichem Zutun - knapp drei Viertel Personensuchmaschine Intelius (offen, aber kostenpflichtig) brachte 91% 6

7 allerhand menschliche Verfehlungen Geschlechtskrankheiten, außereheliche Affären, Waffenbesitz (Telefonate mit Waffengeschäft und Kundendienst) Drogenhandel (Telefonate mit Baumarkt, Gartencenter zuletzt Laden für Cannbiszubehör) 7

8 Personenbezug? Wissenschaftler vom MIT Media Lab sind der Frage nachgegangen, wie leicht Kunden aus Metadaten identifiziert werden können. In einem anonymisierten Datensatz von 1,1 Millionen Kreditkarten-Transaktionen wurde nach individuellen Kunden gesucht. Bereits 4 Parameter, beispielsweise Zeit und Ort von 2 Einkäufen, genügten, um mit 90- prozentiger Wahrscheinlichkeit einen Kreditkartenkunden zu identifizieren. (Quelle: Technology Review 03/2015, S. 14) 8

9 Facebook-like und Persönlichkeitsprofil War erfahre ich mit facebook über die Persönlichkeit? 10 "Gefällt mir"-angaben erreicht das System die Genauigkeit der Arbeitskollegen Für Kenntnis wie Freunde benötigt man 70 Angaben 150 Likes erreicht man die Kenntnisse von Familienangehörigen und mit 300 die der jeweiligen Lebenspartner. 9

10 Quellen zur Studie:

11 Verbot mit Erlaubnisvorbehalt Erhebung, Verarbeitung und Nutzung personenbezogener Daten sind nur zulässig, soweit ein Gesetz oder eine andere Rechtsvorschrift dies erlaubt oder anordnet oder der Betroffene eingewilligt hat. 4 Abs. 1 BDSG 28 BDSG erlaubt Datenverarbeitung zur Erfüllung von Verträgen 11

12 Scoring etc. Bestreben, weitgehend Verhalten von Kunden und anderen Personen vorherzusehen, um entsprechend reagieren zu können: Amazon und andere Unternehmen Kreditauskunfteien Polizei bei Prävention Persönlichkeitsprofile, Nutzungsprofile, Big Data etc. 12

13 Einwilligung Betroffene müssen informiert sein über erhobene Daten, Zwecke der Verarbeitung und insbesondere Weitergabe an Dritte Viele Geräte ohne eigenes Display Einwilligung muss über anderen Kanal erfolgen Neue Funktionen erfordern möglicherweise neue Information und entsprechende Einwilligung 13

14 Datensparsamkeit und Datenvermeidung Der Systemdatenschutz umfasst den Grundsatz, personenbezogene Daten so wenig wie möglich bzw. erforderlich zu erheben und zu verarbeiten Dies ist bereits beim Design der Systeme zu beachten Intelligent gestaltete Systeme können möglicherweise früh anonymisieren und dadurch datenschutzkonform werden 14

15 Datensicherheit Technische und organisatorische Maßnahmen zur Gewährleistung der Sicherheit der personenbezogenen Daten Problem, wenn Informationstechnologie in Bereichen eingesetzt wird, die bislang mit Datensicherheit keine Berührung hatten. 15

16 Anforderungen Bestimmung der verantwortlichen Stelle wem gehören die Daten wer erhebt, verarbeitet und nutz die Daten? Bestellung eines Datenschutzbeauftragten Regelungen zur Nutzung der Daten im Unternehmen Vorkehrungen für Ansprüche der Betroffenen auf Auskunft, Berichtigung, Löschung oder Sperrung der Daten 16

17 Rechtsfolgen Kontrolle durch die Aufsichtsbehörden Untersagen der Datenverarbeitung Bußgelder, Ordnungswidrigkeiten Abmahnungen, Verbandsklagen Reputationsverlust, Umsatzausfall 17

18 IT-Kanzlei dr-lapp.de Dr. Thomas Lapp Rechtsanwalt Corinna Lapp Rechtsanwältin in Fachanwältin für IT-Recht Berkersheimer Bahnstraße Frankfurt Tel.: 069/ Fax: 069/ anwalt@dr-lapp.de 18