Hier finden Sie weitere Artikel aus der Themensammlung Technik

24.01.17

internationalen Prüfaktion

Kaffeemaschine, Zahnbürste & Co. halten sich nicht an Datenschutz!

Quelle: Fotolia.com © stockWERK

Nochmal im Bett umdrehen und die Snooze-Taste des Weckers drücken – die Kaffeemaschine brüht derweil schon mal den Kaffee auf und die Heizung sorgt automatisch für kuschlige Wärme im Badezimmer. Die Befehle dazu werden per App gegeben, direkt von unter der Bettdecke. Praktisch ist es ja, das Internet der Dinge. Leider aber sind die smarten Alltagsgegenstände noch so gar nicht vereinbar mit dem Datenschutz. Für Freelancer kann das Internet der Dinge deshalb jede Menge Probleme bringen.

Unser Gastautor Ralph Günther von exali.de hat sich die Ergebnisse der internationalen Prüfaktion des Global Privacy Networks angesehen und erklärt uns, welche Risiken das IoT auch für Freiberufler mit sich bringt.

Datenschutz wird hinten angestellt

Viele denken nicht darüber nach, was mit den Daten geschieht, die die smarten Haushalts- und Sportgeräte so erfassen. Das kann für Programmierer zum Problem werden, immerhin entwickeln sie die Datenkraken, die Unternehmen am Ende zu Datenschutzsündern machen.

Datenschützer interessieren sich nämlich umso mehr für die Praktiken der Unternehmen. Eine weltweite Prüfaktion des Global Privacy Networks (GPEN), an der sich auch das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) beteiligte, ergab, dass in den meisten Fällen sensible Daten unzureichend verschlüsselt werden und die Nutzer nicht darüber aufgeklärt werden, wie ihre Daten erhoben und verarbeitet werden.

Für Programmierer ergibt sich daraus die Gefahr, dass sie im Falle von Datenklau und -missbrauch schnell zum Sündenbock gemacht und in Haftung genommen werden. Nach der neuen Europäischen Datenschutzgrundverordnung (EU-DSGVO) gilt der Grundsatz „Privacy by Design“, wodurch Datenschutzaspekte in Zukunft bereits in der Produktentwicklung berücksichtigt werden müssen.

Fitnesshelfer als Datenkraken

Gerade im Gesundheits- und Fitnessbereich sind vernetzte Geräte schwer in Mode. Tracking-Armbänder und ähnliche Dinge sollen dabei helfen, den eigenen Lebensstil gesünder zu gestalten. Im Falle solch sensibler Daten (gemäß Datenschutzgesetz besonders schützenswerte Daten), die auf Gesundheit und Aktivität der Nutzer schließen lassen, müssten die Unternehmen erklären, wie damit umgegangen wird. In der Realität tun das aber die wenigsten, wie die Studie ergeben hat.

Anonym bleiben können Verbraucher bei der Verwendung von Smart Devices kaum: In 84% der getesteten Geräte wird der Name erhoben, bei fast ebenso vielen auch die E-Mail-Adresse. Die Standortdaten und das Alter sind mit 68% und 64% ebenfalls sehr oft vertreten. Diese und andere Daten, zu denen auch die Wohnadresse und die Telefonnummer gehören, lassen eindeutige Rückschlüsse auf die Person zu, die das Gerät benutzt. Deshalb sollten sich Programmierer größte Mühe geben, diese Daten möglichst gut zu verschlüsseln.

So geht es nicht…

Interessiert sich ein Nutzer doch einmal dafür, was mit seinen Daten geschieht, so sucht er oft vergebens nach Informationen. Für 68% der getesteten Geräte wurde festgestellt, dass es keine Informationen zur Speicherung der Daten gibt. In 38% der Fälle werden dem Käufer nicht einmal Kontaktdaten für Anfragen zum Datenschutz genannt – ziemlich dürftig, wenn man bedenkt, dass die Aufklärung im Vorfeld eher unzureichend ist und sicherlich einige Fragen im Nachhinein aufkommen. Als „besonders besorgniserregend“ bezeichnet das BayLDA außerdem die Tatsache, dass es bei stolzen 72% der Geräte keine Hinweise darauf gibt, wie die Daten jemals wieder gelöscht werden können.

… sondern so!

Wie sichere Geräte für das Internet der Dinge entwickelt werden können, zeigt der Branchenverband Cloud Security Alliance (CSA) in einer umfassenden Studie. Die daraus entwickelten Richtlinien zeigen Maßnahmen, die die Sicherheit vernetzter Geräte verbessern sollen. Die Authentifizierung und die verschlüsselte Datenübertragung, sowie eine sichere Schlüsselverwaltung und ein sicherer Update-Prozess für Firmware gehören zu den Maßnahmen, die laut CSA unbedingt notwendig sind.

Das sollten sich gerade auch freiberufliche Programmierer zu Herzen nehmen, die vernetzte Geräte mit entwickeln bzw. die zugehörigen Apps programmieren. Denn wenn es irgendwann einmal zum Super-GAU kommt und sensible Daten verschwinden, ist eine Inhaftungnahme nicht auszuschließen. Der Auftraggeber könnte versuchen dem Programmierer die Schuld für einen Datenschutzskandal zuzuschreiben, was hohe Schadenersatzforderungen nach sich ziehen kann. Weil aber selbst bei größter Sorgfalt immer ein Fehler passieren kann (und sei es nur ein Zeichen mehr oder weniger im Code), sollten sich selbständige und freiberufliche Softwareentwickler mit einer IT-spezifischen Berufshaftpflicht, auch IT-Haftpflicht genannt, absichern. Diese prüft eventuelle Schadenersatzforderungen auf ihre Berechtigung und übernimmt gegebenenfalls die Zahlung geforderter Summen.

Autor: Ralph Günther

Versicherungsexperte und Gründer
Website des Autors
Ralph Günther

Das könnte Sie auch interessieren

Förderland-Newsletter

Wissen für Gründer und Unternehmer