Zum Inhalt springen
hackathon2
25 Oktober 2016

Legal Hackathon: Datenschutzstandards für das IoT

Am 5. Oktober 2016 fand im Rahmen der weltweit größten Konferenz für Internetforschung AoIR 2016: Internet Rules! in Berlin der Legal Hackathon “Building Standards of Privacy- and Security-by-Design for the IoT” statt. Das bisher in Deutschland erstmals erprobte Format befasste sich mit der Entwicklung eines Datenschutzstandards für die Verarbeitung personenbezogener Daten, die über ein öffentlich zugängliches WLAN-System erhoben und zu unterschiedlichen Zwecken im Bereich Smart City genutzt werden sollen.

Im Rahmen der weltweit größten Konferenz für Internetforschung AoIR 2016: Internet Rules! fand letzte Woche am 5. Oktober 2016 in Berlin der Legal Hackathon “Building Standards of Privacy- and Security-by-Design for the IoT” statt. Legal Hackathons gehen auf eine in New York City durch das Netzwerk Legal Hackers gestartete Bewegung zurück, die nun zum ersten Mal durch die Startup Law Clinic des Alexander von Humboldt Institut für Internet und Gesellschaft und das in Ausgründung befindliche Projekt Innovation and Law in Deutschland gestartet wurde. Legal Hackathons greifen die Idee von Hackathons auf (sog. kollaborative Software- und/oder Hardwareentwicklungsveranstaltungen) und konzentrieren sich dabei auf die Umsetzung rechtlicher Herausforderungen. Das Format reagiert damit auf die Einsicht, dass rechtliche Probleme in sehr innovativen Umfeldern wie dem des Internettechnologierechts immer weniger über klassische Instrumente der Gesetzgebung und Rechtsberatung gelöst werden können, sondern oftmals effektiver im Rahmen kollaborativer Prozesse mit Technologieunternehmen, Policy-makern, Wissenschaftlern und Rechtsdienstleistern.

Das Internet of Things (Internet der Dinge, IoT) stellt nicht nur eine außerordentlich große wirtschaftliche Chance, sondern auch eine technologische wie rechtliche Herausforderung für die Schaffung neuer, oft datenbasierter Dienste und Produkte dar. Der Legal Hackathon “Building Standards of Privacy- and Security-by-Design for the IoT” befasste sich als ersten Anwendungsfall mit der Frage, wie ein öffentliches WLAN-Netz in Berlin so ausgestaltet werden kann, dass darüber erhobene Daten sowohl diskriminierungsfrei und innovationsoffen für Unternehm(ung)en im Bereich Smart City zur Verfügung stehen als auch die Endnutzer effektiv geschützt werden. Aus datenschutzrechtlicher Sicht ist das eine brisante Frage, denn die hierfür eingesetzte Technik macht es im Grunde möglich, von jeder Person, die sich mit einem WLAN-fähigen Gerät durch die Stadt Berlin bewegt, ein mit der Zeit immer umfassenderes Bewegungsprofil zu erstellen. Das ist möglich, weil die Sender des WLAN-Systems in der Lage (bzw. gerade technisch dafür bestimmt) sind, die einzelnen Geräte anhand der MAC-Adressen zu identifizieren – und dies unabhängig davon, ob sich die Nutzer mit ihren Geräten in das WLAN eingebucht haben. Kombiniert mit weiteren Daten – wie zum Beispiel Name und Anschrift des Käufers des Gerätes – lassen sich die Bewegungsprofile also eindeutig einzelnen Personen zuordnen. Einerseits können diese Daten für zahlreiche nützliche Anwendungen verwendet werden. Solche reichen von Anwendungen für Smart City Traffic Management wie etwa Assistenten für die Parkplatzsuche bis hin zu ortsbasierter Werbung. Andererseits birgt der unkontrollierte Zugriff auf solche Daten zahlreiche Risiken bis hin zum “Überwachungsstaat”. Wie kann man also ein öffentliches WLAN-Netz für innovative Angebote zur Verfügung stellen und gleichzeitig die damit einhergehenden Datenschutzrisiken kontrollieren?

Eine Lösungsmöglichkeit ist, einen gemeinsamen Privacy- und Security-by-Design-Standard aufzustellen, der Bedingungen für die Erhebung und Nutzung der personenbezogenen Daten konkretisiert. Unternehmen, die auf die Daten zugreifen möchten, müssen sich dann diesem Standard unterwerfen bzw. die Bedingungen für die Datenverwendung einhalten. Sowohl Unternehmen als auch die Endnutzer des WLAN-Netzes können so darauf vertrauen, dass die Verwendung der Daten rechtskonform verläuft. Solche Standards stellen klar, welche konkreten Nutzungen rechtskonform sind und welche nicht, indem sie das – nicht immer sehr klare – Gesetz für einen bestimmten Anwendungsbereich konkretisieren. Die Europäische Datenschutzgrundverordnung, die ab dem 25. Mai 2018 nationale Datenschutzgesetze in der Europäischen Union ersetzen wird, sieht Regelungen vor, um solche Standards für Privacy- und Security-by-Design aufzustellen. Nach Artikel 25 der Verordnung müssen Verarbeiter von personenbezogenen Daten “geeignete technische und organisatorische Maßnahmen (…) um den Anforderungen dieser Verordnung zu genügen und die Rechte der betroffenen Personen zu schützen”. Diese Maßnahmen sind “unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der mit der Verarbeitung verbundenen Risiken für die Rechte und Freiheiten” der von der Datenverarbeitung betroffenen Personen zu treffen. Artikel 32 der Verordnung sieht eine ähnliche Vorschrift für Maßnahmen der Datensicherheit vor. Soweit beantwortet die Verordnung allerdings noch nicht die Frage, wie diese Maßnahmen im konkreten Fall umzusetzen sind. Um dieser Unsicherheit zu begegnen, sehen die Artikel 40 bis 43 der Verordnung mehrere Verfahren vor, über die Datenverarbeiter gemeinsam mit den Datenschutzaufsichtsbehörden sog. Verhaltensregeln bzw. Zertifikate schaffen können. Solche Verhaltensregeln bzw. Zertifikate stellen Standards dar, die – wie zuvor beschrieben – die Bedingungen der Datenverarbeitung für einen konkreten Fall konkretisieren.

Vor diesem Hintergrund ging es in dem Legal Hackathon “Building Standards of Privacy- and Security-by-Design for the IoT” also um die Frage, wie ein solcher Standard für ein öffentliches WLAN-Netz in Berlin ausgestaltet werden soll. Um diese Frage zu beantworten, hatten die Veranstalter des Legal Hackathons verschiedene Stakeholder eingeladen, die den Use Case und seine Bedeutung für die Berliner Stadtentwicklung sowie in Hinsicht auf die die Effektivität des Datenschutzes veranschaulichten: Vertreter des Smart City Berlin Netzwerkes, das IT-Unternehmen Cisco als möglicher Hersteller der WLAN-Infrastruktur, das Berliner Startup predict.io als möglicher Verwender der erhobenen Daten (zum Beispiel für den genannten Assistenten für die Parkplatzsuche), die Berliner Datenschutzbehörde und das Berliner Innovation Lab WattX, das sich auf die User Experience der Privacy- und Security-by-Design-Maßnahmen konzentrierte. Im Anschluss an die Vorstellung des Use Case’s begann der eigentliche “legal hack”: 18 Privacy- und Datenschutzexperten aus unterschiedlichen Ländern und Disziplinen hatten 60 Minuten Zeit, Lösungen für einen Standard für Privacy- und Security-by-Design zu entwerfen. Diese Lösungen, die in Kürze in einem umfassenden Beitrag vorgestellt und ausgewertet werden sollen, wurden anschließend von der Berliner Datenschutzbeauftragten sowie dem User Experience-Experten bewertet und sollen nun die Grundlage für einen sich anschließenden Forschungsprozess zur Schaffung des beschriebenen Standards bilden.

Nach Ansicht der Veranstalter und Teilnehmer des Legal Hackathons waren die Resultate so überzeugend, dass weitere Legal Hackathons wie etwa in den Bereichen Smart Home, Wearables und FinTech in Planung sind. Bei Interesse an Teilnahme oder für Anregungen zu weiteren Themengebieten meldet Euch sehr gerne bei:

Maximilian von Grafenstein LL.M.
maxgrafenstein@hiig.de

 

Maximilian von Grafenstein, Prof. Dr.

Associated Researcher, Co-Head of Research Programme

Auf dem Laufenden bleiben

HIIG-Newsletter-Header

Jetzt anmelden und  die neuesten Blogartikel einmal im Monat per Newsletter erhalten.

Aktuelle HIIG-Aktivitäten entdecken

Forschungsthemen im Fokus

Das HIIG beschäftigt sich mit spannenden Themen. Erfahren Sie mehr über unsere interdisziplinäre Pionierarbeit im öffentlichen Diskurs.