Die Beauftragte für den Datenschutz und die Informationsfreiheit

Miniaturisierung der Informations- und Kommunikationstechnik

Die Miniaturisierung der Informations- und Kommunikationstechnik entwickelt sich permanent weiter. Sie dient dabei der Verbesserung unserer Lebens- und Arbeitsbedingungen in einer global vernetzten Welt. Der Einsatz von technischen Systemen muss transparent und unter Wahrung des Selbstbestimmungsrechts der Betroffenen erfolgen.

Die Rechenleistung und Vernetzungsdichte der Systeme steigt, die Übertragungsbandbreite nimmt zu, die Komponenten werden immer kleiner, ständig werden neue Geräte und Programme entwickelt, die uns unterstützen sollen, den Alltag zu optimieren, bestenfalls immer und überall nutzbar sein sollen.

Besonders die Miniaturisierung hat zu Visionen über neue Einsatzfelder für IT-Systeme geführt.

Neue Konzepte führen zu miniaturisierten IT-Systemen, die unsere Alltagswelt durchdringen, ohne dass sie noch als „Computer“ oder Informationstechnik erkannt werden. Oftmals werden die damit verbunden datenschutzrechtlichen Risiken beim Verbraucher nicht richtig erkannt.

Trends, die diese Entwicklung vorantreiben, sind etwa

  • leistungsfähigere, kleinere Prozessoren und Speicherbausteine,
  • höhere Integration der Netze (WPAN, WLAN, UMTS, GSM, LTE, Bluetooth) mit neuen Diensten etwa zur spontanen Vernetzung von IT-Systemen,
  • langlebige und sehr kleine Batterien,
  • neue Übertragungsstandards (NFC).

Durch diese IT-Systeme wird der Einsatz von Informationstechnik weitgehend unsichtbar, z.B. wenn Mikroprozessoren in Alltagsgegenstände integriert sind. Mit der Radio Frequency Identification (RFID) rückt die Vision diese allgegenwärtigen Datenverarbeitung näher. RFID-Technologien werden beispielsweise eingesetzt beim kontaktlosen Bezahlen (in Verbindung mit NFC), in Ausweisdokumenten (Personalausweis und Reisepass), bei der Identifizierung von Tieren (EU-Heimtierausweis), als Bestandteil des Fahrzeugschlüssels (Wegfahrsperre), bei der Müllentsorgung, an Zeiterfassungsgeräten oder als Fälschungssicherheit bei Eintrittskarten.

Dies bringt neue Gefahren für die Persönlichkeitsrechte der Bürgerinnen und Bürger mit sich. Daher sind Konzepte zum Schutz der Privatsphäre gefragt, die bereits bei der Planung der neusten Technologie greifen und nicht erst nachgerüstet werden müssen (privacy by design and default). Nachträglicher Datenschutz ist nicht nur weniger effektiv, sondern auch kostspieliger als eingebauter (System-)Datenschutz.

In einer zunehmend globalisierten Welt nutzen immer mehr Menschen (Mobil-)Funknetze. Damit wird die räumliche und zeitliche Ortung – auch Tracking oder Profiling genannt – von Personen und Gegenständen immer einfacher. Von wenigen Metern bis zu einigen Kilometern reicht die Lokalisierung bei Bluetooth, WLAN und GPS. Und da viele Geräte standardmäßig - beispielsweise Mobiltelefone, Smartphones oder Tablet-PCs - die Funktechnik aktiviert haben, können Personen oder Fahrzeuge sehr leicht geortet werden. Deshalb wäre mehr Transparenz über diese zusätzlichen Fähigkeiten bei Funksystemen unbedingt geboten.

Neben der allzeit aktivierten Funktechnik haben neuere Smartphones auch Assistenten für die Spracherkennung in der Regel standardmäßig eingeschaltet. Intelligente Sprachassistenten müssen ihre Umgebung ständig "abhören", um unmittelbar auf die Befehle der Nutzerinnen und Nutzer reagieren zu können. Wird der Assistent dann durch ein bestimmtes Kommando gestartet, beginnt der eigentliche Verarbeitungsprozess. Heikel ist nicht nur, dass die Systeme Geräusche und auch Stimmen dauerhaft aufnehmen, sondern dass oft nicht eindeutig erkennbar ist, wie und wo die aufgenommen Daten verwendet und gespeichert beziehungsweise ob sie gelöscht werden können. Das ist aus Sicht des Datenschutzes kritisch. Hersteller solcher Assistenzsysteme sollten transparent darlegen, ob und wie die aufgezeichneten Daten gespeichert und verwendet werden.

Allgegenwärtig im täglichen Gebrauch ist auch das Internet der Dinge (IoT), das unseren Alltag mit intelligenten Gegenständen ergänzen und die (Informations-)Lücke zwischen der realen und der virtuellen Welt verkleinern soll. Die „Dinge“ erfassen, speichern und tauschen dabei nicht nur Daten aus, sie sammeln auch solche über ihre Anwender. Diese können interessant für Dritte wie z.B. Versicherungen oder Krankenkassen werden. Wobei deren Intentionen oft nicht kongruent mit denen der Nutzer sind. Die Wahrung des Rechts auf informationelle Selbstbestimmung der Anwender muss daher immer ein entscheidendes Anliegen des Datenschutzes sein. Beispiele hierfür sind sogenannte Wearables, z.B. Activity oder Fitness Tracker, Smartwatches oder auch Kleidungsstücke, in die elektronische Hilfsmittel eingebaut sind. Durch unterschiedliche Sensoren werden Daten aufgezeichnet und verarbeitet. Die Datenverarbeitung erfolgt überwiegend mit Hilfe von Apps auf dem Smartphone oder Tablet-PC. Im Vordergrund steht dabei grundsätzlich die Verbesserung oder Optimierung der persönlichen Lebensbedürfnisse, insbesondere im gesundheitlichen und sportlichen Bereich. Mithilfe von Fitnesstrackern werden z.B. Körper – und Gesundheitsdaten einer Person erfasst und verarbeitet. In der Praxis ist diesbezüglich noch vieles ungeklärt. So informieren Hersteller, Betreiber und Verkäufer von Geräten und Apps die Nutzer oftmals nicht ausreichend darüber, was mit ihren Daten geschieht, viele Datenschutzerklärungen erfüllen nicht die gesetzlichen Anforderungen oder es gibt keine Möglichkeit, Daten vollständig zu löschen. Obendrein geben viele der Geräte und Apps Daten ohne Kenntnis der Nutzer an Dritte weiter, beispielsweise zu Forschungs- oder Marketingzwecken. Hier ergibt sich noch ein deutlicher Steigerungsbedarf bei der Einhaltung des Datenschutzes sowohl in technischer als auch in rechtlicher Hinsicht.

In den vergangenen Jahren haben Viren, Würmer und Trojaner erhebliche Schäden verursacht. Besonders kritisch ist dabei die Beobachtung, dass sich Würmer immer noch über das Internet ausbreiten konnten, obwohl bereits Software-Updates zum Schließen der Sicherheitslücken vorhanden waren. Sind die Anwender zu nachlässig bei der Pflege der Systeme oder informieren die Anbieter von Betriebssystemen ihre Kunden nicht ausreichend über die Gefahren? So wurden „normale“ PCs so manipuliert, dass sie als Mail-Server ohne Zutun des rechtmäßigen Benutzers Spam-E-Mails mit Schadprogrammen versenden und damit zur Flut der unerwünschten E-Mail beitragen. Inzwischen steht viel kriminelle Energie hinter Malware, vor allem bei Erpressungstrojanern, auch bekannt als Ransomware. Hierbei werden Dateien auf den Rechnern verschlüsselt und nur gegen Lösegeldzahlung, meist in der virtuellen Währung Bitcoin, wieder entschlüsselt. Der PC kann dabei über das Öffnen eines schädlichen E-Mail-Anhangs, eines schädlichen Links, aber auch über "Hacking" des Computersystems aufgrund von Sicherheitslücken oder Fehlfunktion von Programmen infiziert werden. Ist der Computer mit Ransomware infiziert, sind die gespeicherten Daten zunächst verloren, zumindest solange bis das geforderte Lösegeld gezahlt wird oder für die konkrete Ransomware ein Entschlüsselungs-Tool bekannt und veröffentlicht wird. Dies kann nicht nur den privaten Rechner betreffen, auch Unternehmen können betroffen sein und folglich auf Unternehmensdaten nicht mehr zugreifen oder ihre (Dienst-)Leistungen nicht oder nur eingeschränkt anbieten. (Weitere Informationen hierzu finden Sie auch unter: Ransomware: Bedrohungslage, Prävention & Reaktion ).

In großen IT-Projekten werden häufig Sicherheitsmaßnahmen zur vertraulichen Datenübertragung und sicheren gegenseitigen Authentifizierung im Internet bereitgestellt. Leider wird jedoch die verfügbare und erprobte Technik nicht überall eingesetzt und immer noch wird bei der Konzeption von IT-Systemen der Datenschutz nicht ausreichend berücksichtigt. Verfahren ohne abgestufte Zugriffsrechte, eine viel zu umfangreiche Datenerhebung und generell unsichere IT-Systeme sind die Folge.

Hersteller, Anwender und Nutzer der Informationstechnik sind aufgefordert, Fragen des Datenschutzes und der Datensicherheit mehr Aufmerksamkeit entgegen zu bringen, um Fehlentwicklungen und Missbrauch wirksam zu verhindern. Auch durch die überfällige Umsetzung des Konzepts unabhängiger Datenschutzzertifizierung gemäß § 9a BDSG (Datenschutzaudit) ließen sich Sicherheitsmängel vermeiden und damit das Vertrauen in die Informationstechnik stärken.

Appapplication software, meist Anwendungssoftware für Mobilgeräte
  
BluetoothBluetooth ist ein Industriestandard gemäß IEEE 802.15.1 für die drahtlose Funkvernetzung von Geräten über kurze Distanz.
  
GPSGlobal Positioning System ist ein globales Navigationssatellitensystem zur Positionsbestimmung.
  
GSMGlobal System for Mobile Communications ist ein Mobilfunkstandard.
  
HackingUnerlaubtes Eindringen in ein Computersystem
  
IoTInternet of things beschreibt, dass Alltagsgegenstände zunehmend von eingebetteten Computern unterstützt  werden
  
LTELong Term Evolution ist ein neuer Standard und UMTS Nachfolger für regionale Funknetze, der hohe Datenraten (derzeit bis zu 300 MBit/s) erlaubt.
  
MalwareComputerprogramme, die unerwünschte (schädliche) Funktionen ausführen; wird auch als Oberbegriff für einen Computervirus verwendet.
  
NFCNear Field Communication, ist ein auf der RFID-Technik basierender internationaler Übertragungsstandard zum kontaktlosen Austausch von Daten per elektromagnetischer Induktion.
  
privacy by
default
Datenschutzfreundliche Voreinstellungen
  
privacy by
design
Datenschutz durch Technik, gemeint ist Datenschutz von vorneherein in die Gesamtkonzeption einzubeziehen
  
Ransomwareoder Erpressungstrojaner sind Schadprogramme, mit deren Hilfe ein Eindringling Daten auf einen fremden Computer verschlüsselt oder deren Zugriff verhindert und die Zahlung eines Lösegeldes verlangt um die Daten wieder freizugeben.
  
RFIDRadio Frequency Identification ist eine Methode, um Daten berührungslos und ohne Sichtkontakt elektronisch lesen und speichern zu können.
  
SmartphoneMobiltelefon, das mehr Funktionalitäten als ein herkömmliches Handy besitzt und Verbindung mit dem Internet ermöglicht. Smartphones können ähnlich einem Computer mittels sogenannter Apps (kleine Programme) um weitere Funktionen erweitert werden.
  
Tablet-PCEin Tablet-PC ist ein tragbarer Computer, der vom Anwender ohne Tastatur verwendet werden kann. Die Bedienung erfolgt hierbei mittels eines berührungsempfindlichen Bildschirm.
  
UMTSUniversal Mobile Telecommunications System ist ein Mobilfunkstandard.
  
WearableComputersystem, das während der Anwendung am Körper des Benutzers befestigt ist und den Anwender bei einer bestimmten Tätigkeit z.B. Sport unterstützt.
  
WLANWireless Local Area Network ist ein kabelloses Funknetzwerk.
  
WPANWireless Personal Area Network ist ein Sonderfall des Personal Area Networks über eine kurze Distanz von bis zu max. 50 Metern