itSMF_2015_Privatsphäre - IT-Kanzlei dr

itSMF LIVE!
Internet of Things and Services
Privatsphäre und Datenschutz
27. April 2015
Dr. Thomas Lapp, Frankfurt
Rechtsanwalt und Mediator
Internet of Things and Services
 Unendlich erscheinende Möglichkeiten
 Bsp.: Miele und Fissler arbeiten daran, intelligente Töpfe
zu bauen, Thermomix wird programmierbar (GuidedCooking-Funktion) etc.
 Automotive ist sehr stark im Thema engangiert
 Industrie 4.0
27.04.2015
Dr. Thomas Lapp - Rechtsanwalt
und Mediator
2
Privatsphäre und Datenschutz
 Datenschutz dient dem Schutz der Persönlichkeitsrechte
und würde besser Privatsphärenschutz genannt
 Grundrecht auf informationelle Selbstbestimmung
 Grundrecht auf Gewährleistung der Vertraulichkeit und
Integrität informationstechnischer Systeme
 EU Grundrechtecharta Art. 7 und 8 – Urteil zur
Vorratsdatenspeicherung und Google Spain
27.04.2015
Dr. Thomas Lapp - Rechtsanwalt
und Mediator
3
Datenschutzrecht
 Aktuelle Rechtslage auf Basis der EU-DatenschutzRichtlinie von 1995 – IoT nicht auf der Agenda des
Gesetzgebers.
 Aktuell
 Verbraucherdatenschutz und Verbandsklage
 Datenschutz und Wettbewerbsrecht
 EU-DatenschutzgrundVerordnung
27.04.2015
Dr. Thomas Lapp - Rechtsanwalt
und Mediator
4
Personenbezogene Daten
 Schutz personenbezogener Daten, das sind persönliche
oder sachliche Verhältnisse einer bestimmten oder
bestimmbaren natürlichen Person.
(Grundregel des Datenschutzrechts)
§ 3 Abs. 1 Bundesdatenschutzgesetz (BDSG)
 Was ist bestimmbar im IoT?
27.04.2015
Dr. Thomas Lapp - Rechtsanwalt
und Mediator
5
Privates aus Metadaten
 SZ vom 19.3.2015 berichtet über einen Test von
Forschern der Uni Stanford zur Auswertung von
Metadaten freiwilliger Teilnehmer
 http://www.sueddeutsche.de/digital/telefonueberwachun
g-durch-geheimdienste-die-luege-von-den-metadaten1.1916548-2
27.04.2015
Dr. Thomas Lapp - Rechtsanwalt
und Mediator
6
Erste Ergebnisse
 Lebensgefährten der Teilnehmer
 Religionszugehörigkeiten von 73 % der Teilnehmer
 Verbindung über max. vier Kontakte, NSA überwacht bis
zum dritten Grad
27.04.2015
Dr. Thomas Lapp - Rechtsanwalt
und Mediator
7
Anonymität der Nummern?
 Mehr als ein Viertel der gewählten Anschlüsse waren
allein durch eine automatisierte Suche ermittelbar
 Mit wenig menschlichem Zutun - knapp drei Viertel
 Personensuchmaschine Intelius (offen, aber
kostenpflichtig) brachte 91%
27.04.2015
Dr. Thomas Lapp - Rechtsanwalt
und Mediator
8
… allerhand menschliche Verfehlungen
 Geschlechtskrankheiten,
 außereheliche Affären,
 Waffenbesitz (Telefonate mit Waffengeschäft und
Kundendienst)
 Drogenhandel (Telefonate mit Baumarkt, Gartencenter
zuletzt Laden für Cannbiszubehör)
27.04.2015
Dr. Thomas Lapp - Rechtsanwalt
und Mediator
9
Personenbezug?
 Wissenschaftler vom MIT Media Lab sind der Frage nachgegangen, wie leicht Kunden aus Metadaten identifiziert werden können. In einem anonymisierten Datensatz von 1,1
Millionen Kreditkarten-Transaktionen wurde nach individuellen Kunden gesucht. Bereits 4 Parameter, beispielsweise
Zeit und Ort von 2 Einkäufen, genügten, um mit 90prozentiger Wahrscheinlichkeit einen Kreditkartenkunden zu
identifizieren.
 (Quelle: Technology Review 03/2015, S. 14)
27.04.2015
Dr. Thomas Lapp - Rechtsanwalt
und Mediator
10
Facebook-like und Persönlichkeitsprofil
 War erfahre ich mit facebook über die Persönlichkeit?
 10 "Gefällt mir"-Angaben erreicht das System die
Genauigkeit der Arbeitskollegen
 Für Kenntnis wie Freunde benötigt man 70 Angaben
 150 Likes erreicht man die Kenntnisse von
Familienangehörigen und
 mit 300 die der jeweiligen Lebenspartner.
27.04.2015
Dr. Thomas Lapp - Rechtsanwalt
und Mediator
11
Quellen zur Studie:
 http://www.spektrum.de/news/was-facebook-likesueber-uns-verraten/1326951
 http://www.spiegel.de/netzwelt/web/facebook-studielikes-enthuellen-persoenlichkeit-a-888151.html
27.04.2015
Dr. Thomas Lapp - Rechtsanwalt
und Mediator
12
Verbot mit Erlaubnisvorbehalt
 Erhebung, Verarbeitung und Nutzung
personenbezogener Daten sind nur zulässig, soweit ein
Gesetz oder eine andere Rechtsvorschrift dies erlaubt
oder anordnet oder der Betroffene eingewilligt hat.
 § 4 Abs. 1 BDSG
 § 28 BDSG erlaubt Datenverarbeitung zur Erfüllung von
Verträgen
27.04.2015
Dr. Thomas Lapp - Rechtsanwalt
und Mediator
13
Scoring etc.
 Bestreben, weitgehend Verhalten von Kunden und
anderen Personen vorherzusehen, um entsprechend
reagieren zu können:
 Amazon und andere Unternehmen
 Kreditauskunfteien
 Polizei bei Prävention
 Persönlichkeitsprofile, Nutzungsprofile, Big Data etc.
27.04.2015
Dr. Thomas Lapp - Rechtsanwalt
und Mediator
14
Verbot mit Erlaubnisvorbehalt
 Erhebung, Verarbeitung und Nutzung personenbezogener Daten sind nur zulässig, soweit
 gesetzlich oder durch Rechtsvorschrift erlaubt
 durch informierte Einwilligung gedeckt.
 Alles andere ist verboten
27.04.2015
Dr. Thomas Lapp - Rechtsanwalt
und Mediator
15
Vertragserfüllung
 Gesetzlich erlaubt sind Datenverarbeitung, die zur
Erfüllung eines Vertrages erforderlich sind.
 Alle darüber hinausgehenden Datenverarbeitung
bedürfen der informierten Einwilligung.
27.04.2015
Dr. Thomas Lapp - Rechtsanwalt
und Mediator
16
Einwilligung
 Betroffene müssen informiert sein über erhobene Daten,
Zwecke der Verarbeitung und insbesondere Weitergabe
an Dritte
 Viele Geräte ohne eigenes Display – Einwilligung muss
über anderen Kanal erfolgen
 Neue Funktionen erfordern möglicherweise neue
Information und entsprechende Einwilligung
27.04.2015
Dr. Thomas Lapp - Rechtsanwalt
und Mediator
17
Datensparsamkeit und Datenvermeidung
 Der Systemdatenschutz umfasst den Grundsatz,
personenbezogene Daten so wenig wie möglich bzw.
erforderlich zu erheben und zu verarbeiten
 Dies ist bereits beim Design der Systeme zu beachten
 Intelligent gestaltete Systeme können möglicherweise
früh anonymisieren und dadurch datenschutzkonform
werden
27.04.2015
Dr. Thomas Lapp - Rechtsanwalt
und Mediator
18
Datensicherheit
 Technische und organisatorische Maßnahmen zur
Gewährleistung der Sicherheit der personenbezogenen
Daten
 Problem, wenn Informationstechnologie in Bereichen
eingesetzt wird, die bislang mit Datensicherheit keine
Berührung hatten.
27.04.2015
Dr. Thomas Lapp - Rechtsanwalt
und Mediator
19
Anforderungen
 Bestimmung der verantwortlichen Stelle – wem gehören
die Daten – wer erhebt, verarbeitet und nutz die Daten?
 Bestellung eines Datenschutzbeauftragten
 Regelungen zur Nutzung der Daten im Unternehmen
 Vorkehrungen für Ansprüche der Betroffenen auf
Auskunft, Berichtigung, Löschung oder Sperrung der
Daten
27.04.2015
Dr. Thomas Lapp - Rechtsanwalt
und Mediator
20
Rechtsfolgen
 Kontrolle durch die Aufsichtsbehörden
 Untersagen der Datenverarbeitung
 Bußgelder, Ordnungswidrigkeiten
 Abmahnungen, Verbandsklagen
 Reputationsverlust, Umsatzausfall
27.04.2015
Dr. Thomas Lapp - Rechtsanwalt
und Mediator
21
IT-Kanzlei dr-lapp.de
 Dr. Thomas Lapp
Rechtsanwalt und Mediator
 Corinna Lapp
Rechtsanwältin und Mediatorin
Fachanwältin für IT-Recht
Berkersheimer Bahnstraße 5
60435 Frankfurt
Tel.: 069/9540 8865
Fax: 069/9540 8864
[email protected]
www.dr-lapp.de
27.04.2015
Dr. Thomas Lapp - Rechtsanwalt
und Mediator
22

Download Report