SmartHome, aber auch smartes Recht? – Teil 2

Nachdem wir bereits im letzten Monat behandelt haben, wie sich die aktuelle Rechtslage zu bestimmten Sachverhalten in Bezug auf SmartHome verhält (Artikel: SmartHome, aber auch smartes Recht?), geht es nun um weitere Aspekte dieses Themenkomplexes.

SmartHome und DSGVO

SmartHome-Dienste wie Sprachassistenten und intelligente Geräte funktionieren am besten, wenn sie möglichst gut auf die individuellen Bedürfnisse des Nutzers ausgerichtet sind. Je mehr Daten solche Systeme sammeln, desto effektiver können sie wirken, denn ohne einen Batzen personenbezogener Daten keine Grundlage für das maschinelle Lernen. Nun kollidiert dieser Ansatz deutlich mit der Datenschutzgrundverordnung (DSGVO), denn hier lautet der zugrundeliegende Ansatz Datenminimierung. Nur die Daten, die für den Service wirklich benötigt werden, dürfen auch erhoben werden. Was das genau bedeutet, wird noch zu klären sein, denn unklar ist, ob hier von einem Minimalbetrieb oder von der vollen Servicefunktionalität ausgegangen wird. So oder so müssen SmartHome-Technologien konzeptionell nach den Grundlagen Privacy by Design und Privacy by Default entwickelt sein. Da jedwede Erhebung personenbezogener Daten eine Einwilligung des Nutzers erfordert, muss eben diese vom Nutzer vor Inbetriebnahme eingeholt werden, wobei dieser zuvor aber über die Datenerhebung sowie dessen Umfang informiert werden muss. Für Anbieter heißt es: Datenerhebung ankündigen, Einwilligung einholen und die Daten möglichst anonymisieren.

DDoS-Attacken und SmartHome-Geräte

In 2016 kam es zu einer groß angelegten „DDoS“-Attacke. Diese legte große Online-Dienste wie Twitter, Netflix, Paypal, Spotify und andere Services kurzzeitig lahm. Die für die Cyberattacke verantwortlichen Hacker wollten auf diese Weise Lösegeld erpressen und nutzten für den Angriff ein Botnetz bestehend aus Millionen von Geräten, die zum großen Teil dem SmartHome-Sektor zugeordnet werden konnten. Überwachungskameras, Thermostate, Toaster, smarte Steckdosen etc. – alles Geräte, die mit dem Internet verbunden, aber nur unzureichend gegen Cyberattacken geschützt sind, machen das Aufbauen von Botnetzen für kriminelle Machenschaften leider bis dato sehr einfach. Das Problem besteht darin, das smarte Geräte für den Nutzer möglichst einfach einzurichten sein sollen, quasi per Plug and Play, was häufig mit dem Sicherheitsgedanken kollidiert, da eine vernünftige Absicherung mit Cyber-Security-Maßnahmen vom Nutzer zusätzlichen Aufwand beim Einrichten des Gerätes in der jeweiligen Umgebung erfordern würde.

Die essentielle Frage lautet nun: Wenn durch nicht richtig funktionierende oder unzureichend gesicherte Technik Schäden entstehen, wer muss dafür eigentlich aufkommen, quasi wer haftet für diese? Ist dieser Sachverhalt im SmartHome-Bereich hinreichend abgedeckt? Spätestens dann, wenn Sicherheitsrisiken es Kriminellen ermöglichen, sich Zugriff auf die im Eigenheim befindlichen Geräte zu verschaffen, um diese als Botnetze für gezielte Attacken zu benutzen, ist dies keine Privatsache mehr.

Cybersecurity & Haftung

Eine gesetzliche Grundlage, um diesen Sachverhalt klar einzuordnen, ist bis dato nicht vorhanden. Das IT-Sicherheitsgesetz von 2015 verpflichtet Unternehmen zwar dazu, die IT-Sicherheit nach dem neuesten Stand der Technik zu gewährleisten und schreibt zudem vor, erhebliche Sicherheitsvorfälle an das Bundesamt für Sicherheit in der Informationstechnik (BSI) zu melden, bezieht sich aber explizit auf Betreiber kritischer Infrastrukturen. Somit werden Unternehmen bzw. Betreiber bspw. im Umfeld von Energie, Informations- und Telekommunikationstechnik, Transport und Verkehrswesen, Finanz- & Versicherungswesen etc. in die Pflicht genommen, der Bereich der vernetzten SmartHome-Geräte wird aber nicht erfasst.

Auch die gesetzlichen Standards im Produktsicherheitsrecht decken diese Sparte nur unzureichend ab, so dass SmartHome-Produkte trotz erheblicher Schwachstellen in Sachen IT-Sicherheit auf den Markt gebracht werden. Es besteht hier dringender Nachholbedarf bei der IT-Sicherheit. Der Bundesverband Digitale Wirtschaft (BVDW) fordert daher berechtigterweise ein an IoT-Geräte angepasstes Produktsicherheitsgesetz mit verbindlichen Mindestanforderungen für IT-Sicherheit.

Zudem fordert die BVDW ein Update des Produkthaftungsgesetz, und zwar sollen in dem Gesetz klare Regelungen für IoT-Geräte festgelegt werden, bspw. zu Haftungsfragen für Schadensfälle, die auf IT-Sicherheitsmängel zurückzuführen sind. Bis dato gelten für IoT-Geräte, wie sie in SmartHome genutzt werden, die normalen Haftungsgrundsätze, aber die Sachmängelgewährleistung ist nur für 2 Jahre gültig und zudem ist umstritten, ob und ab welchem Grad bei unzureichender IT-Sicherheit ein Mangel vorliegt, der unter das Produkthaftungsgesetz fällt. Auch ist der Schutzbereich klar eingeschränkt, und zwar auf Leben, Körper und Gesundheit. Vermögensschäden sind außen vor. Die BVDW fordert daher ein Update mit klaren Regeln für IoT-Geräte.

Der Wunsch nach verstärkter Vernetzung und neuen innovativen Funktionalitäten ist also mehr als verständlich, aber für neue, gewagte, visionäre oder gar tollkühne Ansätze muss die Rechtslage erneuert werden. Die aktuelle Rechtslage ist überholt und viele Vorschriften beziehen sich auf veraltete technische Verfahren, die den Anforderungen neuer Technologien in keiner Weise gerecht werden und innovative Denkprozesse im Keim ersticken. Die Forderung nach neuen Gesetzen, die Rechtssicherheit bringen, also einen klaren Rahmen nennen, ist längst überfällig.