Dateneigentum im Internet der Dinge

Sichere Daten im digitalen Zeitalter

Die EU-Datenschutzgrundverordnung DSGVO tritt im Mai 2018 in Kraft. Ein Aspekt betrifft den Schutz personenbezogener Daten und damit auch das Thema, wem Daten eigentlich gehören. Im Kern geht es um den Schutz von Verbraucherdaten. Produzierende Unternehmen sollten sich damit ebenfalls beschäftigen, wenn sie das Internet der Dinge für sich nutzen wollen.

EU-DSGVO - Sichere Daten im digitalen Zeitalter
Bild: ©chombosan/iStockphoto.com

Jüngste Analysetechnologien wandeln Maschinen- und Nutzerdaten in wertvolle Informationsquellen. Gleichzeitig wird die Frage, wem solche Daten eigentlich gehören, zum Gegenstand komplexer Diskussionen. Wenn Konsumenten beispielsweise eine Fitness-App von Strava nutzen, um ihren Workout-Erfolg nach dem Training zu prüfen, sollten die Daten dann nur ihnen selbst zur Verfügung stehen oder hat auch der Gerätehersteller ein Nutzungsrecht? Ähnliches gilt für Produktionsumgebungen, in denen Daten rund um die Instandhaltung oder die Leistungsfähigkeit von Geräten und Maschinen entstehen. Die neuesten IoT-Technologien und Anwendungen zur Geräteüberwachung erlauben es Herstellern von Autos, Flugzeugen oder Zügen, ihre Systeme mithilfe von Sensoren zu überwachen. Solche Maßnahmen helfen den Herstellern dabei, die Ausfallzeiten zu minimieren, indem sie vorzeitig auf Wartungszyklen hinweisen, sodass ein Fahrzeug bei Bedarf aus dem Verkehr gezogen, schnell repariert und wieder eingesetzt werden kann – Stichwort Predictive Maintenance.

Wem gehören aber die Daten?

Die Reduzierung von ungeplanten Ausfall- oder Stillstandzeiten bringt Fluggesellschaften und allen anderen Transportunternehmen enorme Kostenvorteile. Die von den Sensoren erzeugten Daten können daher ein sehr kostbares Wirtschaftsgut darstellen. Beispielsweise mag eine Fluggesellschaft glauben, dass sie Anspruch auf die Daten hat, weil ihr das Flugzeug gehört. Ebenso könnte der Flugzeugteilehersteller Ansprüche auf die gespeicherten Daten erheben, weil er etwa entsprechende Bestimmungen im Vertrag mit der Airline vereinbart hat, die dem Hersteller die Rechte auf alle im Flugzeug gespeicherten Daten einräumen. Ein solcher Fall kann besonders kompliziert werden, wenn Teile unterschiedlicher Hersteller in einem Milliardenprojekt verbaut und später von Dienstleistern gewartet werden. An diesem Punkt wird das Eigentum der Daten nämlich erfolgsentscheidend. In diesem Szenario kann es dazu kommen, dass derjenige, der den Anspruch auf die Daten erhebt (beispielsweise die Airline), die gespeicherten Informationen für die eigene Wartungsfirma nutzt. Das kann zu Interessenkonflikten führen, wenn die Fluggesellschaft ihren Wartungsdienst anderen Wettbewerbern anbietet und als ‚Center of Excellence‘ agiert. Je mehr Parteien also in ein Projekt involviert sind, desto mehr könnten theoretisch auch Anspruch auf gespeicherte IoT-Daten erheben.

Notrufsystem mit Fallstrick

Vernetzte Autos sind ein weiterer Bereich, wo es zu Konflikten kommen kann: So fordert das geplante automatische Notrufsystem der EU eCall, dass alle Kraftfahrzeuge, die ab April 2018 gebaut werden, mit einer eCall-Technologie ausgestattet sind. Im Falle eines schweren Unfalls wählt die eCall-Technik automatisch Europas übergreifende Notrufnummer 112. Was aber geschieht, wenn ein Auto gleichzeitig auch den jeweiligen Standort des Fahrers kontinuierlich an den Autohändler übermittelt? Was wäre, wenn die Daten auch an Dritte, beispielsweise Versicherungsgesellschaften weitergeleitet würden? Und infolgedessen die Versicherungsprämie des Fahrers hochgestuft würde, weil etwa die Daten darauf hinweisen, dass er sich besonders risikofreudig verhält? Bei diesem Beispiel bekommt das Recht auf personenbezogene Daten und die Möglichkeit, die Übermittlung der Daten abzustellen, schon eine ganz andere Bedeutung.

Datennutzung besser verstehen

Ein Audit der personenbezogenen Daten, die in einer Organisation verfügbar sind, hilft in diesem Fall zu ermitteln, welche Daten gespeichert sind, woher sie stammen und an wen sie weitergegeben werden. Im Rahmen von Initiativen zu Connected Cars bitten OEMs ihre Kunden, eine Connected Car Privacy Policy als Teil ihrer Kontoeinrichtung zu unterzeichnen. Dieses Richtlinien müssen daraufhin überprüft werden, ob sie mit den Anforderungen der DSGVO in Einklang stehen, wobei besonderes Augenmerk auf die Rechte des Einzelnen gelegt werden muss. Bieten Richtlinien Einzelpersonen die Möglichkeit, die über sie gespeicherten Daten abzufragen? Können sie ihre Daten korrigieren oder löschen? Die Löschung von Daten ist ein besonders heikles Thema. Damit Hersteller Services auf Basis von Connected Car-Technologien anbieten können, müssen sie häufig Daten über mehrere Plattformen hinweg übertragen und speichern sowie Daten mit Zulieferern austauschen. Darüber hinaus müssen solche Löschanfragen mit den Anforderungen an die Datenarchivierung abgeglichen werden, um die Hersteller vor Rechtsstreitigkeiten zu schützen. Ein weiterer wichtiger Gesichtspunkt ist, ob die Hersteller ihre Kunden im Rahmen der aktuellen Prozesse um ihre Einwilligung bitten, direkt auf der Grundlage von Fahrzeugdiagnoseinformationen kontaktiert zu werden, und ob sie damit einverstanden sind, dass diese Daten mit dem Händlernetz geteilt und aktiv kommuniziert werden.

EU-DSGVO - Sichere Daten im digitalen Zeitalter
Bild: ©chombosan/iStockphoto.com

Das Kleingedruckte lesen

Was können also Anwender und Unternehmen tun, um sich selbst zu schützen und sich in einer immer komplexer werdenden Welt der Eigentumsrechte von Daten zurechtzufinden? In Zeiten, da die meisten Endgeräte internetfähig sind, wird es immer wichtiger, die allgemeinen Geschäftsbedingungen von Geräte- und Maschinenherstellern genauer zu lesen und auch wirklich zu verstehen. Das berühmte Häkchen im Kästchen wird künftig stärkere Auswirkungen für beide Seiten und für die jeweiligen Daten haben. Die europäische Datenschutzgrundverordnung DSGVO ist sicherlich ein Schritt in die richtige Richtung, um den Datenschutz der Kunden zu verbessern. Jeder sollte sich künftig selbst fragen, wenn er ein vernetztes Auto, Fitbit oder Smartphone kauft, ob er die allgemeinen Geschäftsbedingungen genau gelesen hat und welche Informationen er tatsächlich weitergeben möchte. Gleiches gilt für die produzierende Industrie, die mit ihren Systemlieferanten das Thema Dateneigentum diskutieren sollten, um zukünftigen Konflikten aus dem Weg zu gehen.