Smart Home und die DSGVO
Immer mehr elektronische Geräte haben heute die Option sich untereinander und/oder mit dem Internet zu verbinden. Ob Autos, Fitnessuhren, Fernseher, Kaffeevollautomaten, Staubsaugerroboter, Waschmaschinen, Kühlschränke und andere „smarte“ Haushaltsgeräte, sowie alle möglichen Formen von Haustechnik wie Beleuchtung, Heizungs-Thermostate, Rauchmelder und vieles mehr, sie alle sind online und können beispielsweise per Smartphone oder auch mit Hilfe eines Sprachcomputers bedient werden. Warum dann nicht all die smarten Geräte in einem Haushalt miteinander verbinden und automatisiert steuern lassen? Wäre das nicht ein Traum – ein Zuhause das „mitdenkt“? Ich persönlich finde den Gedanken nie wieder zu vergessen den Herd auszuschalten, die Wohnung zu saugen oder die Blumen zu gießen durchaus reizvoll. In einem Smart Home ist das problemlos technisch realisierbar und sogar noch viel mehr. Aber birgt so ein „Connected Home“ nicht auch Risiken und ist es in Europa aufgrund der strengen Datenschutzgesetze u.a. aus der DSGVO überhaupt rechtlich möglich so ein Smart Home zu betreiben?
Was ist ein Smart Home und was kann es?
Der Begriff Smart Home wird verwendet, wenn Kommunikations- und Informationstechnologie in Wohnräume und –Häuser integriert und verschiedene elektronische Geräte miteinander verbunden werden. Das Ergebnis kann sowohl ein verringerter Energieverbrauch, eine höhere Gebäudesicherheit als auch eine Verbesserung des Wohnkomforts, oder auch eine Kombination der genannten Vorteile, sein. Neben der Vernetzung der Haustechnik und anderer smarten Geräte spielt im Smart Home die Sensorik eine große Rolle. So finden u.a. Bewegungs- und Rauchmelder, Temperatur-, Feuchtigkeits- und Helligkeitssensoren sowie die Steuerung durch Sprache, Gesten, Mimik oder Blicke Anwendung.
Die Anwendungsbereiche in einem Smart Home sind ausgesprochen vielfältig. Einfache Beispiele sind etwa automatische Steuerung von Beleuchtung, Belüftungsanlage oder Raumtemperatur sowie der Rollläden, Steckdosen oder eines Rasensprengers. Über Sensoren kann das Smart Home beispielsweise erkennen, wenn alle Bewohner das Haus verlassen haben, woraufhin es automatisch alle Fenster schließt, sämtliche Lichter und Elektrogeräte ausschaltet, die Raumtemperatur herunterreguliert sowie einem Staubsauger-Roboter das Kommando gibt, mit der Reinigung der Fußböden zu beginnen.
In Sachen Komplexität sind der Automatisierung dabei fast keine Grenzen gesetzt. So sind etwa auf die einzelnen Bewohner individuell zugeschnittene Persönlichkeitsprofile realisierbar. Das Smart Home erkennt in diesem Fall beispielsweise, welcher der Bewohner gerade nach Hause kommt und passt Temperatur, Musik, Licht usw. an dessen Vorlieben an, dazu gibt es dann das favorisierte Heißgetränk. Ebenfalls ist es bereits technisch realisierbar, dass das „intelligente“ Zuhause bestimmte Handlungen erkennt und ohne explizites Kommando darauf reagiert. Setzt sich ein Bewohner beispielsweise mit einem Buch auf die Couch werden die Lichter heller eingestellt, macht er den Fernseher an wird das Licht hingegen gedimmt.
Wo ist der Haken?
Leider entstehen durch verschiedene Aspekte der vernetzten Wohnung auch Risiken. Zunächst besteht die Möglichkeit, dass Unbefugte sich Zugang zu den im Smart Home erhobenen Daten verschaffen. Aus diesen lassen sich u.a Rückschlüsse ziehen, ob sich gerade jemand im Haus aufhält und welche elektronischen Geräte dort anzufinden sind. Kriminelle könnten aber nicht nur aus der Ferne herausfinden, ob sich ein Einbruch in die Wohnung lohnt, sondern unter Umständen sogar die Alarmanlage und das Schloss der Haustür fernsteuern.
Über diese materiellen Risiken hinaus ergeben sich aber auch Gefahren für die informationelle Selbstbestimmung. Der Fakt, dass in einem Smart Home jede Bewegung und jeder gesprochene Satz aufgezeichnet und ausgewertet werden kann, beinhaltet eine massive Verarbeitung personenbezogener Daten jeder Art. Diese Daten werden darüber hinaus in dem privatesten Umfeld der Bewohnerinnen und Bewohner erhoben. Unternehmen wie Google, Amazon oder Facebook, deren Geschäftsmodell darauf beruht so viel wie möglich über jeden einzelnen potentiellen Kunden zu wissen, könnten also ein enormes Interesse an dieser Fülle von Daten haben und wären vielleicht auch bereit dafür zu bezahlen. Erinnert man sich darüber hinaus daran, welche Rolle große Datensätze und eine Firma namens Cambridge Analytica beim Brexit-Referendum und den US-Präsidentschaftswahlen 2016 gespielt haben (Link verweist leider nur auf den Trailer zu der absolut sehenswerten Dokumentation https://www.youtube.com/watch?v=Upphes5WBsY ), wird umso deutlicher dass Datenschutz und Datensicherheit bei einem Smart Home oberste Priorität haben sollte.
Bestimmung technischer Begriffe
Bevor ich mich nun mit den datenschutzrechtlichen Aspekten befassen werde, vorab ein paar technische Begriffe, die im Smart Home eine Rolle spielen.
Der Teil eines IT-Systems, der sich mit der Datenverarbeitung im Hintergrund beschäftigt, wird als Backend bezeichnet. Das Backend, bei dem es sich i.d.R. um einen Datenbank-Server handelt, dient der Vorhaltung von Daten zur schnellen Abfrage durch andere Teile des Systems.
Das innerhalb eines Smart Homes installierte und betriebene IT-System wird auch als Home Service Plattform bezeichnet. Diese Plattform stellt sicher, dass Aktoren und Sensoren des Systems sowie die integrierten Geräte miteinander kommunizieren und gesteuert werden können. Die Speicherung und Verarbeitung der Daten, die innerhalb des intelligenten Hauses anfallen, erfolgt dabei auf einem hausinternen Server. Die Home Service Plattform regelt die automatisierten Vorgänge innerhalb des Smart Homes und lässt sich über einen angeschlossenen PC oder ein mobiles Endgerät steuern und umprogrammieren, wobei verschiedenen Bewohnern unterschiedliche Zugriffsrechte zugewiesen werden können.
Darüber hinaus werden Plattformen von Service-Providern zur Verfügung gestellt, welche zusätzliche Dienste für die Hausautomatisierung anbieten, ähnlich wie bei einem „Appstore“. Die Home Service Systeme können bei Bedarf über das Internet auf diese Dienste zugreifen. Diese externen Module werden i.d.R. in Form von installierbaren Softwareeinheiten, sog. Bundles, zur Verfügung gestellt. Mehrere unabhängige Bundles können zusammenarbeiten, indem sie Informationen austauschen. Durch Kombination verschiedener Bundels kann deren Inhalt geändert werden, wodurch neue, situationsbedingte Anwendungsszenarien ermöglicht werden.
Durch die Dienste der Service Provider Plattform erfolgt i.d.R. keine eigene Datenerhebung innerhalb des smarten Zuhauses, sondern es wird auf die Sensorik des Smart Homes und die dort erhobenen Daten zugegriffen, welche zur Verarbeitung an externe Server des Service-Providers übermittelt werden.
Datenschutzrechtliche Betrachtung
Im Folgenden werde ich mich damit auseinandersetzen, ob bzw. unter welchen Umständen ein Smart Home aus Sicht des Datenschutzes betrieben werden kann.
Personenbezogene Daten
Wie bereits oben erwähnt werden bei der Nutzung eines Smart Homes unweigerlich große Mengen unterschiedlichster Daten verarbeitet, wodurch das Betreiben eines solchen Hausautomationssystems in den Anwendungsbereich der Datenschutz-Grundverordnung (DSGVO) fällt. Darunter fallen Daten wie der eigene Nutzername und das Kennwort, die für die Anmeldung beim Smart Home erforderlich sind, sowie vom Nutzer vergebene Namen für Räume, Endgeräte und bestimmte Szenarien. Auch eine Aufzeichnung der Bewegung der Bewohner, deren An- und Abwesenheitszeiten, sowie der innerhalb des intelligenten Zuhauses geführten Gespräche ist regelmäßig der Fall. Darüber hinaus werden auch Protokolldaten von getätigten Schaltvorgängen sowie von Fehlern während der Anwendung erstellt und gespeichert. Da viele Smart Home Systeme über Bewegungssensoren und smarte Kameras verfügen, werden darüber hinaus nicht ausschließlich die Daten des Eigentümers und Nutzers dieser Technik verarbeitet, sondern auch die von jedem Familienmitglied, Gast oder sonstigem Dritten, der sich innerhalb des intelligenten Hauses oder der Wohnung aufhält. Spätestens wenn Kameras oder eine Sprachsteuerung im Einsatz sind werden sehr wahrscheinlich auch besondere Kategorien personenbezogener Daten i.S.d. Art. 9 DSGVO verarbeitet.
Verantwortlicher
Verantwortlicher für die Verarbeitung personenbezogener Daten im Smart Home ist zunächst der Betreiber der Home Service Plattform, da dieser die Entscheidungsgewalt über die eingesetzten smarten Techniken, die Sensorik und die Anwendungen hat. Auch wenn externe Anwendungen eines Service Providers eingesetzt werden, bleibt die Verantwortung für die im Smart Home verarbeiteten Daten beim Betreiber der Plattform, also dem Hauseigentümer. Ein Sonderfall liegt allerdings dann vor, wenn Anwendungen des Service Providers dauerhaft in das Haussystem eingebunden sind und auf dessen Sensorik zurückgreifen, die Daten aber auf externen Servern verarbeitet und anschließend wieder dem Haussystem zur Verfügung gestellt werden. In diesem Fall liegt zwischen dem Betreiber der Home Service Plattform und dem Service Provider eine gemeinsame Verantwortlichkeit gem. Art. 26 vor. In diesem Fall ist ein entsprechender Vertrag zu schließen, in dem genau aufgezeigt wird wer welche datenschutzrechtlichen Verpflichtungen zu erfüllen hat, wie etwa bei Wahrnehmung der Betroffenenrechte aus Art. 13 u. 14 DSGVO.
Datenschutzgrundsätze
Bei der Verarbeitung von personenbezogenen Daten sind die Grundsätze der Art. 5 DSGVO zu beachten. Ich werde an dieser Stelle nicht im Detail auf die Grundsätze eingehen sondern nur kurz auf die eingehen, deren Einhaltung bei dem Betreiben eines Smart Homes Probleme aufwirft.
Personenbezogene Daten müssen transparent, also in einer Art und Weise verarbeitet werden, die für die betroffene Person nachvollziehbar ist. Je nach Komplexität des Systems, kann sich bei einem „intelligenten“ Zuhause die Einhaltung dieses Transparenzgebots schwierig gestalten. Zum einen aufgrund der Menge anfallender Datenverarbeitungsvorgänge, zum anderen dadurch, dass diese meistens unbemerkt im Hintergrund ablaufen.
Der Grundsatz der Zweckbindung bestimmt, dass Daten nur zu eindeutigen und legitimen Zwecken verarbeitet werden dürfen. Sind personenbezogene Daten einmal zu einem bestimmten Zweck erhoben worden, so muss jede weitere Verarbeitung mit dem ursprünglichen Zweck vereinbar sein. Bei einem Smart Home, das auf einem überschaubaren IT-System aufbaut, welches größtenteils auf Sensoren verzichtet und über manuelle Eingaben gesteuert wird, ist die Einhaltung des Zweckbindungsgrundsatzes realisierbar. In Bezug auf die Allgegenwart von Datenverarbeitungsvorgängen, wie sie in komplexen, automatisierten Wohnumgebungen anzufinden ist, ist die Einhaltung der Zweckbindung schlicht unmöglich. Ziel des Zweckbindungsgrundsatzes ist es, den Betroffenen davor zu schützen, dass seine Daten in einer Weise weiterverarbeitet werden, auf die er keinen Einfluss nehmen kann. Diesem Ziel widerspricht die Idee der unbemerkten, alltäglichen Unterstützung durch das Smart Home, dessen Funktionalität u.a. darauf aufbaut, spontan auf das Verhalten und die Bedürfnisse der Bewohner zu reagieren. Der Zweckbindungsgrundsatz schließt also eine datenschutzrechtskonforme Nutzung komplexer Haus-Systeme aus, da diese z.B. für situationsbedingte Lern- und Anpassungsfähigkeit auf eine Vorratsspeicherung und auf die Erstellung von Nutzerprofilen, angewiesen sind.
Besteht eine Wahl zwischen verschiedenen Verarbeitungsvorgängen, so ist immer der Vorgang zu wählen, bei dem die wenigsten personenbezogenen Daten verarbeitet werden. In Bezug auf Datenverarbeitungen im „intelligenten“ Zuhause sind daher die gleichen Probleme zu erkennen, wie schon bei der Zweckbindung. Für automatisierte, im Hintergrund ablaufende Funktionen wäre es erforderlich, möglichst viele Daten für einen langen Zeitraum zu speichern, um bei Bedarf auf diese zurückgreifen zu können, was im Gegensatz zum Grundsatz der Datenminimierung steht.
Rechtmäßigkeit der Verarbeitung
Eine Verarbeitung personenbezogener Daten ist generell nur zulässig, wenn eine der in Art. 6 Abs. 1 DSGVO abschließend genannten Voraussetzungen erfüllt sind. Darüber hinaus muss die Datenverarbeitung für das mit der Verarbeitung angestrebte Ziel erforderlich sein.
Nach Art. 6 Abs. 1 lit. b) wäre die Datenverarbeitung rechtmäßig, wenn sie für die Erfüllung eines Vertrages (mit Betroffenem als Vertragspartner) oder zur Durchführung vorvertraglicher Maßnahmen erforderlich wäre. Da der Betreiber des Haussystems weder mit den anderen Nutzern, noch anderen eventuell betroffenen Personen ein (vor-)vertragliches Verhältnis unterhält, kommt Art. 6 Abs. 1 lit. b) nicht in Betracht. Auch Datenverarbeitungen die i.V.m. der Erfüllung rechtlicher Pflichten (lit. c), dem Schutz lebenswichtiger Interessen (lit. d) oder der Wahrnehmung öffentlicher Interessen (lit. e) stehen, sind innerhalb einer smarten Wohnung nicht ersichtlich.
In sehr seltenen Fällen kann eine Verarbeitung personenbezogener Daten, im Zusammenhang mit einem Smart Home, allerdings durch Art. 6 Abs. 1 lit. f gerechtfertigt sein. Danach sind Verarbeitungen erlaubt, wenn sie für die Wahrung berechtigter Interessen des Verantwortlichen erforderlich sind, sofern nicht die Grundrechte oder Interessen des Betroffenen überwiegen. Als berechtigtes Interesse kommen rechtliche, ideelle, tatsächliche und wirtschaftliche Interessen in Betracht. Der Betreiber des Haussystems müsste also darlegen, dass für konkrete Anwendungszwecke die Verarbeitung bestimmter Daten erforderlich ist. Eine Benennung von konkreten Zwecken ist aber wie bereits oben erläutert nur bei sehr „einfachen“ Smart Home Systemen möglich. Eine Alarmanlage mit Videoaufzeichnung könnte hier ein Beispiel sein, allerdings nur dann wenn sie aus den erhobenen Daten keine zweckunspezifischen Profile erstellt. Zuletzt müsste das Interesse des Betreibers gegenüber den Grundrechten bzw. Interessen des Betroffenen überwiegen, was eher die Ausnahme darstellen dürfte.
Somit bleibt als Rechtfertigungsgrund, außer in den eben erwähnten Ausnahmefällen, nur noch die Einwilligung nach Art. 6 Abs. 1 lit. a) DSGVO. Eine Einwilligung des Betroffenen in die Verarbeitung seiner personenbezogenen Daten ist aber nur dann gültig, wenn sie bestimmten Kriterien entspricht. Zunächst muss der Betroffene darüber informiert sein, welche seiner Daten zu welchem Zweck und in welchem Umfang verarbeitet werden und wer dafür verantwortlich ist. Diese Informationen können bei komplexen Haussystemen mit vielen automatisierten und situationsspezifischen Abläufen, die zudem externe Dienste eines Service Providers einbinden, für den Einwilligenden schwer bzw. unmöglich ersichtlich sein. Weiterhin muss die Einwilligung freiwillig erfolgt sein. Dazu muss der Betroffene ebenso ausführlich über die im Haus verwendete (Sensor-)Technik unterrichtet worden sein, wie über Übermittlungen seiner Daten und potentielle Empfänger. Die Einwilligung kann nicht rückwirkend erfolgen, müsste also bereits vor Betreten des Hauses/der Wohnung erfolgt sein. Besonders die erforderliche Zweckbindung gestaltet sich für die Einwilligung in Datenverarbeitungen durch das IT-System einer intelligenten Wohnumgebung problematisch. Darüber hinaus, müsste auch von außenstehenden Personen, wie Gästen, Handwerkern oder Lieferanten, eine Einwilligung erfolgen, bevor deren Daten verarbeitet werden dürfen.
Somit scheitert in den allermeisten Fällen auch die Einwilligung als Rechtfertigungsgrund für die Verarbeitung personenbezogener Daten in einem Smart Home.
Das Betreiben eines Smart Home Systems ist aus Datenschutzgründen nicht erlaubt
Für die Verarbeitung personenbezogener Daten in komplexen, automatisierten Wohnumgebungen besteht somit keine Rechtsgrundlage und auch wegen der Nichtvereinbarkeit mit den Datenschutzgrundsätzen aus Art. 5 DSGVO ist das Betreiben einer komplexen „intelligenten“ Wohnumgebung nicht mit den europäischen Datenschutzgesetzen vereinbar.
Oder geht es vielleicht doch?
Die Datenschutz-Grundverordnung findet immer Anwendung, wenn personenbezogene Daten verarbeitet werden. In Art. 2 Abs. 2 werden jedoch einige Ausnahmen genannt, in denen die Verarbeitung personenbezogener Daten nicht in den Anwendungsbereich der DSGVO fällt. Eine davon (Art. 2 Abs. 2 lit. c)) besagt, dass die DSGVO keine Anwendung findet, wenn personenbezogene Daten ausschließlich in Ausübung persönlicher und familiärer Tätigkeiten verarbeitet werden.
Als persönliche Tätigkeiten werden in diesem Zusammenhang alle Tätigkeiten angesehen, die der eigenen Selbstentfaltung und Freiheitsausübung in der Freizeit oder im privaten Raum dienen, wozu auch das Pflegen von Freundschaften gehört.
Auch innerhalb eines Smart Homes können diese Voraussetzungen erfüllt sein, was eine Befreiung von der Anwendung des Datenschutzrechts und damit einhergehend auch von allen Datenschutzverpflichtungen des Betreibers zur Folge hätte. Voraussetzung für die Ausnahme ist dabei zum einen, dass die Erhebung personenbezogener Daten für familiäre oder persönliche Tätigkeiten nur innerhalb des eigenen Zuhauses stattfindet und zum anderen, dass diese nur den Inhaber des intelligenten Zuhauses und dessen enge Freunde oder seine Familie betreffen.
Werden Daten, die innerhalb des Smart Homes verarbeitet wurden, an Dritte weitergegeben oder offengelegt entfällt der persönliche oder familiäre Zweck ebenso, wie im Falle einer Erhebung der Daten von Handwerkern, Lieferanten oder sonstiger Dritter. Ebenso verhält es sich, wenn Daten auf fremden Servern gespeichert werden oder bei smarten Gegenständen eine Übermittlung von Daten an das Hersteller-Backend erfolgt.
Schlusswort
Das Betreiben eines komplexen, „intelligenten“ Smart Home Systems, das seine Bewohner nahezu unbemerkt in ihrem Alltag unterstützt indem es spontan auf ihr Verhalten und ihre Bedürfnisse reagiert steht im Widerspruch zu den Datenschutzgrundsätzen von Transparenz, Datenminimierung und Zweckbindung und ist durch keinen der in Art. 6 Abs. 1 aufgezählten Rechtfertigungsgründe rechtmäßig.
Nichtsdestotrotz ist es möglich ein solches System zu betreiben, wenn man streng darauf achtet nur im privaten und familiären Bereich personenbezogene Daten zu verarbeiten. Darüber hinaus muss man bei Auswahl der Home System Plattform und der eingesetzten Technik darauf achten, dass keine Daten mit dem Hersteller oder anderen Dritten ausgetauscht werden.
Abschließend muss ich sagen, dass es mich doch sehr verwundert, dass in einem so neuen Gesetz wie der DSGVO nicht auf die aktuelle technische Entwicklung eingegangen wurde. Nicht nur bei Smart Home Systemen, sondern bei allen Datenverarbeitungen im Bereich IoT und BigData besteht meiner Ansicht nach ein erheblicher Anpassungsbedarf des Datenschutzrechts, dabei ist die DSGVO ja gerade einmal zarte 2 Jahre alt. Weder die Anforderungen an eine rechtmäßige Einwilligung, noch der Transparenzgrundsatz oder die Zweckbindung sind in der Form, wie sie die DSGVO verlangt, bei Datenverarbeitungen in den genannten Bereichen durchsetzbar, ganz zu schweigen von dem Gebot der Datensparsamkeit.
Es bleibt demnach abzuwarten, ob und wie der Gesetzgeber in den nächsten Jahren auf die Informatisierung der Welt reagieren wird, die unaufhörlich voranschreitet.
