Recht im Internet der Dinge – Datenschutz und IT-Sicherheit
07.10.2015
Dr. Thomas Lapp, Frankfurt Rechtsanwalt und Mediator
Privatsphäre und Datenschutz Datenschutz dient dem Schutz der Persönlichkeitsrechte und würde besser Privatsphärenschutz genannt
Grundrecht auf informationelle Selbstbestimmung Grundrecht auf Gewährleistung der Vertraulichkeit und
Integrität informationstechnischer Systeme EU Grundrechtecharta Art. 7 und 8 – Urteil zur
Vorratsdatenspeicherung und Google Spain 27.04.2015
Dr. Thomas Lapp - Rechtsanwalt und Mediator
2
Personenbezogene Daten Schutz personenbezogener Daten, das sind persönliche oder sachliche Verhältnisse einer bestimmten oder
bestimmbaren natürlichen Person. (Grundregel des Datenschutzrechts)
§ 3 Abs. 1 Bundesdatenschutzgesetz (BDSG) Was ist bestimmbar im IoT?
27.04.2015
Dr. Thomas Lapp - Rechtsanwalt und Mediator
3
Privates aus Metadaten SZ vom 19.3.2015 berichtet über einen Test von Forschern der Uni Stanford zur Auswertung von
Metadaten freiwilliger Teilnehmer http://www.sueddeutsche.de/digital/telefonueberwachun
g-durch-geheimdienste-die-luege-von-den-metadaten1.1916548-2
27.04.2015
Dr. Thomas Lapp - Rechtsanwalt und Mediator
4
Erste Ergebnisse Lebensgefährten der Teilnehmer Religionszugehörigkeiten von 73 % der Teilnehmer
27.04.2015
Dr. Thomas Lapp - Rechtsanwalt und Mediator
5
Anonymität der Nummern? Mehr als ein Viertel der gewählten Anschlüsse waren allein durch eine automatisierte Suche ermittelbar
Mit wenig menschlichem Zutun - knapp drei Viertel Personensuchmaschine Intelius (offen, aber
kostenpflichtig) brachte 91%
27.04.2015
Dr. Thomas Lapp - Rechtsanwalt und Mediator
6
… allerhand menschliche Verfehlungen Geschlechtskrankheiten, außereheliche Affären,
Waffenbesitz (Telefonate mit Waffengeschäft und Kundendienst)
Drogenhandel (Telefonate mit Baumarkt, Gartencenter zuletzt Laden für Cannbiszubehör)
27.04.2015
Dr. Thomas Lapp - Rechtsanwalt und Mediator
7
Personenbezug? Wissenschaftler vom MIT Media Lab sind der Frage nachgegangen, wie leicht Kunden aus Metadaten identifiziert wer-
den können. In einem anonymisierten Datensatz von 1,1 Millionen Kreditkarten-Transaktionen wurde nach individuellen Kunden gesucht. Bereits 4 Parameter, beispielsweise Zeit und Ort von 2 Einkäufen, genügten, um mit 90prozentiger Wahrscheinlichkeit einen Kreditkartenkunden zu identifizieren. (Quelle: Technology Review 03/2015, S. 14) 27.04.2015
Dr. Thomas Lapp - Rechtsanwalt und Mediator
8
Facebook-like und Persönlichkeitsprofil War erfahre ich mit facebook über die Persönlichkeit? 10 "Gefällt mir"-Angaben erreicht das System die
Genauigkeit der Arbeitskollegen Für Kenntnis wie Freunde benötigt man 70 Angaben
150 Likes erreicht man die Kenntnisse von Familienangehörigen und
mit 300 die der jeweiligen Lebenspartner. 27.04.2015
Dr. Thomas Lapp - Rechtsanwalt und Mediator
9
Quellen zur Studie: http://www.spektrum.de/news/was-facebook-likesueber-uns-verraten/1326951
http://www.spiegel.de/netzwelt/web/facebook-studie-
likes-enthuellen-persoenlichkeit-a-888151.html
27.04.2015
Dr. Thomas Lapp - Rechtsanwalt und Mediator
10
Verbot mit Erlaubnisvorbehalt Erhebung, Verarbeitung und Nutzung personenbezogener Daten sind nur zulässig, soweit ein
Gesetz oder eine andere Rechtsvorschrift dies erlaubt oder anordnet oder der Betroffene eingewilligt hat.
§ 4 Abs. 1 BDSG § 28 BDSG erlaubt Datenverarbeitung zur Erfüllung von
Verträgen 27.04.2015
Dr. Thomas Lapp - Rechtsanwalt und Mediator
11
Scoring etc. Bestreben, weitgehend Verhalten von Kunden und anderen Personen vorherzusehen, um entsprechend reagieren zu können: Amazon und andere Unternehmen Kreditauskunfteien Polizei bei Prävention Persönlichkeitsprofile, Nutzungsprofile, Big Data etc.
27.04.2015
Dr. Thomas Lapp - Rechtsanwalt und Mediator
12
Einwilligung Betroffene müssen informiert sein über erhobene Daten, Zwecke der Verarbeitung und insbesondere Weitergabe
an Dritte Viele Geräte ohne eigenes Display – Einwilligung muss
über anderen Kanal erfolgen Neue Funktionen erfordern möglicherweise neue
Information und entsprechende Einwilligung 27.04.2015
Dr. Thomas Lapp - Rechtsanwalt und Mediator
13
Datensparsamkeit und Datenvermeidung Der Systemdatenschutz umfasst den Grundsatz, personenbezogene Daten so wenig wie möglich bzw.
erforderlich zu erheben und zu verarbeiten Dies ist bereits beim Design der Systeme zu beachten
Intelligent gestaltete Systeme können möglicherweise früh anonymisieren und dadurch datenschutzkonform
werden 27.04.2015
Dr. Thomas Lapp - Rechtsanwalt und Mediator
14
Datensicherheit Technische und organisatorische Maßnahmen zur Gewährleistung der Sicherheit der personenbezogenen
Daten Problem, wenn Informationstechnologie in Bereichen
eingesetzt wird, die bislang mit Datensicherheit keine Berührung hatten.
27.04.2015
Dr. Thomas Lapp - Rechtsanwalt und Mediator
15
Anforderungen Bestimmung der verantwortlichen Stelle – wem gehören die Daten – wer erhebt, verarbeitet und nutz die Daten?
Bestellung eines Datenschutzbeauftragten Regelungen zur Nutzung der Daten im Unternehmen
Vorkehrungen für Ansprüche der Betroffenen auf Auskunft, Berichtigung, Löschung oder Sperrung der
Daten 27.04.2015
Dr. Thomas Lapp - Rechtsanwalt und Mediator
16
Rechtsfolgen Kontrolle durch die Aufsichtsbehörden Untersagen der Datenverarbeitung
Bußgelder, Ordnungswidrigkeiten Abmahnungen, Verbandsklagen
Reputationsverlust, Umsatzausfall
27.04.2015
Dr. Thomas Lapp - Rechtsanwalt und Mediator
17
IT-Kanzlei dr-lapp.de Dr. Thomas Lapp Rechtsanwalt und Mediator Corinna Lapp Rechtsanwältin und Mediatorin Fachanwältin für IT-Recht Berkersheimer Bahnstraße 5 60435 Frankfurt Tel.: 069/9540 8865 Fax: 069/9540 8864
[email protected] www.dr-lapp.de 27.04.2015
Dr. Thomas Lapp - Rechtsanwalt und Mediator
18