Recht im Internet der Dinge – Datenschutz und IT-Sicherheit

07.10.2015

Dr. Thomas Lapp, Frankfurt Rechtsanwalt und Mediator

Privatsphäre und Datenschutz  Datenschutz dient dem Schutz der Persönlichkeitsrechte und würde besser Privatsphärenschutz genannt

 Grundrecht auf informationelle Selbstbestimmung  Grundrecht auf Gewährleistung der Vertraulichkeit und

Integrität informationstechnischer Systeme  EU Grundrechtecharta Art. 7 und 8 – Urteil zur

Vorratsdatenspeicherung und Google Spain 27.04.2015

Dr. Thomas Lapp - Rechtsanwalt und Mediator

2

Personenbezogene Daten  Schutz personenbezogener Daten, das sind persönliche oder sachliche Verhältnisse einer bestimmten oder

bestimmbaren natürlichen Person. (Grundregel des Datenschutzrechts)

§ 3 Abs. 1 Bundesdatenschutzgesetz (BDSG)  Was ist bestimmbar im IoT?

27.04.2015

Dr. Thomas Lapp - Rechtsanwalt und Mediator

3

Privates aus Metadaten  SZ vom 19.3.2015 berichtet über einen Test von Forschern der Uni Stanford zur Auswertung von

Metadaten freiwilliger Teilnehmer  http://www.sueddeutsche.de/digital/telefonueberwachun

g-durch-geheimdienste-die-luege-von-den-metadaten1.1916548-2

27.04.2015

Dr. Thomas Lapp - Rechtsanwalt und Mediator

4

Erste Ergebnisse  Lebensgefährten der Teilnehmer  Religionszugehörigkeiten von 73 % der Teilnehmer

27.04.2015

Dr. Thomas Lapp - Rechtsanwalt und Mediator

5

Anonymität der Nummern?  Mehr als ein Viertel der gewählten Anschlüsse waren allein durch eine automatisierte Suche ermittelbar

 Mit wenig menschlichem Zutun - knapp drei Viertel  Personensuchmaschine Intelius (offen, aber

kostenpflichtig) brachte 91%

27.04.2015

Dr. Thomas Lapp - Rechtsanwalt und Mediator

6

… allerhand menschliche Verfehlungen  Geschlechtskrankheiten,  außereheliche Affären,

 Waffenbesitz (Telefonate mit Waffengeschäft und Kundendienst)

 Drogenhandel (Telefonate mit Baumarkt, Gartencenter zuletzt Laden für Cannbiszubehör)

27.04.2015

Dr. Thomas Lapp - Rechtsanwalt und Mediator

7

Personenbezug?  Wissenschaftler vom MIT Media Lab sind der Frage nachgegangen, wie leicht Kunden aus Metadaten identifiziert wer-

den können. In einem anonymisierten Datensatz von 1,1 Millionen Kreditkarten-Transaktionen wurde nach individuellen Kunden gesucht. Bereits 4 Parameter, beispielsweise Zeit und Ort von 2 Einkäufen, genügten, um mit 90prozentiger Wahrscheinlichkeit einen Kreditkartenkunden zu identifizieren.  (Quelle: Technology Review 03/2015, S. 14) 27.04.2015

Dr. Thomas Lapp - Rechtsanwalt und Mediator

8

Facebook-like und Persönlichkeitsprofil  War erfahre ich mit facebook über die Persönlichkeit?  10 "Gefällt mir"-Angaben erreicht das System die

Genauigkeit der Arbeitskollegen  Für Kenntnis wie Freunde benötigt man 70 Angaben

 150 Likes erreicht man die Kenntnisse von Familienangehörigen und

 mit 300 die der jeweiligen Lebenspartner. 27.04.2015

Dr. Thomas Lapp - Rechtsanwalt und Mediator

9

Quellen zur Studie:  http://www.spektrum.de/news/was-facebook-likesueber-uns-verraten/1326951

 http://www.spiegel.de/netzwelt/web/facebook-studie-

likes-enthuellen-persoenlichkeit-a-888151.html

27.04.2015

Dr. Thomas Lapp - Rechtsanwalt und Mediator

10

Verbot mit Erlaubnisvorbehalt  Erhebung, Verarbeitung und Nutzung personenbezogener Daten sind nur zulässig, soweit ein

Gesetz oder eine andere Rechtsvorschrift dies erlaubt oder anordnet oder der Betroffene eingewilligt hat.

 § 4 Abs. 1 BDSG  § 28 BDSG erlaubt Datenverarbeitung zur Erfüllung von

Verträgen 27.04.2015

Dr. Thomas Lapp - Rechtsanwalt und Mediator

11

Scoring etc.  Bestreben, weitgehend Verhalten von Kunden und anderen Personen vorherzusehen, um entsprechend reagieren zu können:  Amazon und andere Unternehmen  Kreditauskunfteien  Polizei bei Prävention  Persönlichkeitsprofile, Nutzungsprofile, Big Data etc.

27.04.2015

Dr. Thomas Lapp - Rechtsanwalt und Mediator

12

Einwilligung  Betroffene müssen informiert sein über erhobene Daten, Zwecke der Verarbeitung und insbesondere Weitergabe

an Dritte  Viele Geräte ohne eigenes Display – Einwilligung muss

über anderen Kanal erfolgen  Neue Funktionen erfordern möglicherweise neue

Information und entsprechende Einwilligung 27.04.2015

Dr. Thomas Lapp - Rechtsanwalt und Mediator

13

Datensparsamkeit und Datenvermeidung  Der Systemdatenschutz umfasst den Grundsatz, personenbezogene Daten so wenig wie möglich bzw.

erforderlich zu erheben und zu verarbeiten  Dies ist bereits beim Design der Systeme zu beachten

 Intelligent gestaltete Systeme können möglicherweise früh anonymisieren und dadurch datenschutzkonform

werden 27.04.2015

Dr. Thomas Lapp - Rechtsanwalt und Mediator

14

Datensicherheit  Technische und organisatorische Maßnahmen zur Gewährleistung der Sicherheit der personenbezogenen

Daten  Problem, wenn Informationstechnologie in Bereichen

eingesetzt wird, die bislang mit Datensicherheit keine Berührung hatten.

27.04.2015

Dr. Thomas Lapp - Rechtsanwalt und Mediator

15

Anforderungen  Bestimmung der verantwortlichen Stelle – wem gehören die Daten – wer erhebt, verarbeitet und nutz die Daten?

 Bestellung eines Datenschutzbeauftragten  Regelungen zur Nutzung der Daten im Unternehmen

 Vorkehrungen für Ansprüche der Betroffenen auf Auskunft, Berichtigung, Löschung oder Sperrung der

Daten 27.04.2015

Dr. Thomas Lapp - Rechtsanwalt und Mediator

16

Rechtsfolgen  Kontrolle durch die Aufsichtsbehörden  Untersagen der Datenverarbeitung

 Bußgelder, Ordnungswidrigkeiten  Abmahnungen, Verbandsklagen

 Reputationsverlust, Umsatzausfall

27.04.2015

Dr. Thomas Lapp - Rechtsanwalt und Mediator

17

IT-Kanzlei dr-lapp.de  Dr. Thomas Lapp Rechtsanwalt und Mediator  Corinna Lapp Rechtsanwältin und Mediatorin Fachanwältin für IT-Recht Berkersheimer Bahnstraße 5 60435 Frankfurt Tel.: 069/9540 8865 Fax: 069/9540 8864 [email protected] www.dr-lapp.de 27.04.2015

Dr. Thomas Lapp - Rechtsanwalt und Mediator

18