Unter dem Motto „Die Welt vernetzt sich weiter – immer noch sicher?“ trafen sich am 5. Juli 2018 siebzig Entscheider aus Internetwirtschaft und IoT-Anwender im Wirtschaftsclub Düsseldorf. Die Kompetenzgruppe Internet of Things (IoT) des eco Verbands nimmt jeden Sommer wegweisende Trends im IoT Business unter die Lupe. Traditionell fanden die IoT Business Trends mit Unterstützung der ortsansässigen IHK statt. Kernthema des Events am 5. Juli 2018: Security und Datenschutz sowie der Einfluss der neuen DSGVO auf Geschäftsmodelle. Welche Herausforderungen gibt es in unterschiedlichen Branchen? Wie geschützt sind die Unternehmen, Organisationen und Nutzer? Wodurch erreichen wir ein Maximum an Sicherheit und wirtschaftlichem Erfolg? Was bedeutet die DSGVO für die Marktteilnehmer des Internet der Dinge?
Entwicklungen im IoT
Kompetenzgruppen-Leiterin Dr. Bettina Horster nahm traditionell zu Beginn der Veranstaltung die aktuellen Tops und Flops des Internet of Things unter die Lupe.
Edge Computing, Sensorik, Smart City und Mobile Payment stachen bei den Tops heraus. Der Datenschutz und die seit Mai geltende Datenschutzgrundverordnung (DSGVO) bleiben ein wichtiges Trendthema des IoT. Die DGSVO wird den Absatz europäischer Software erhöhen, ist Bettina Horster überzeugt: „Die strengen Vorgaben sind ein Qualitätsmerkmal und ein Argument für Software made in Europe.“ Datensparsamkeit und der achtsame Umgang mit personenbezogenen Informationen sind und bleiben wichtige Parameter im IoT.
Vorträge aus der Praxis
In drei Best Practice Präsentationen zeigten unsere Gast-ReferentInnen: Welche IoT-Geschäftsmodelle existieren in den Anwender-Branchen? Und wie setzen diese Unternehmen Systemsicherheit und Datenschutz um?
VINCI Energies hat eine komplexe Anwendung entwickelt, die es Gebäude-Instandhaltern ermöglicht, Schäden und wartungsbedürftige Elemente in Gebäuden zu melden und ortsbezogene Arbeitsaufträge anzulegen. Als Referent von VINCI begrüßten wir Dr. Bernhard Kirchmair, Chief Digital Officer. Er präsentierte das System – einen digitalen Zwilling – das der Komplexität von Anlagen und Gebäuden Rechnung trägt und zielgenaue Planung von Aufträgen ermöglicht. Die dafür notwendigen Daten entstammen dem Scan von Innenräumen, dem Einlesen von Bestandsdaten sowie Sensorik-Live-Daten. Der Scan wird nach datenschutzrechtlichen Aspekten begutachtet: Gesichter werden „geblurrt“ und Details können verpixelt sowie Informationen reduziert werden. Außerdem gibt es für die Bilder entsprechende Rechtekonzepte.
Katrin Kuhlen von DKV Mobility Services referierte über die Megatrends und die digitale Vernetzung in der Mobilitätsbranche. Der enorme Datenanstieg ermöglicht datenbasierte Geschäftsmodelle mit einer Vielzahl an Sendern, Datenempfängern und Services. Die Datenschutzgrundverordnung trifft Automobilhersteller, Zulieferer und Dienstleister mit voller Breitseite. Denn die ungeklärte Kernfrage neben der Klassifizierung der Daten ist: Wem gehören die Daten, die ein Auto sendet? Dem Fahrer? Dem Halter? Dem Hersteller? Einem Service-Anbieter? Gehören sie überhaupt jemandem? Fest steht: Alle wollen auf die Daten zugreifen. Aus Sicht von DKV muss der Fahrzeugnutzer eine möglichst vollständige Transparenz darüber haben, welche Daten in dem Fahrzeug entstehen und wofür sie genutzt werden. Grundsätzlich sind ein permanenter Zugriff und die Löschung von Daten zu ermöglichen.
Maurus Haefliger stellte anschließend mit dem Business Model von Easypark einen klassischen Case vor, mit dem Parken und Cities smarter werden.
Generell beschäftigt unsere Referenten in den Bereichen Sicherheit und Datenschutz insbesondere: Hosting der Daten (wo liegen diese?), IoT-Sensoranbindung, Gesichter in Bildaufnahmen automatisch unkenntlich machen, Datenzugriffs- und Datenbesitzrechte, Informationspflichten und Verantwortlichkeiten.
Keynote und Diskussionsrunde: DSGVO, Security und IoT
Christian Solmecke eröffnete die Diskussion um die Auswirkungen der DSGVO auf existierende und neue IoT-Geschäftsmodelle mit einem Impulsvortrag: Was wird von der DSGVO erfasst? Welche neuen Rechte bringt sie (Informationspflichten)? Ab wann sind Daten personenbezogen? Wer ist verantwortlich für die Datenverarbeitung?
Im daran anknüpfenden Panel ging es im Wesentlichen um vier Punkte:
1. Daten-Transparenz schaffen
Olaf Pursche von AV-Test sieht darin eine Chance für IoT: „Die DSGVO ist eine Kaufentscheidung für viele Menschen, die sich ein IoT-Gerät ins Haus bauen wollen.“ Es sei aber ein großes Hemmnis beim Kauf derzeit, dass viele Leute nicht wissen, welche Daten überhaupt produziert werden. Transparenz helfe hier.
Christian Solmecke thematisierte in seiner Keynote zuvor auch die Herausforderung, dass niemand mehr so genau weiß, wo die Daten liegen. Das ist nun ein Problem für die Hersteller, weil der Kunde ein Informationsrecht auf die Daten-Lokation hat.
Für viele Hersteller von Trackern und anderen Geräten ist der Verkauf von Daten ein zukunftsträchtiger Markt. Aber mit wem handelt er diese Daten? Diese Transparenz ist wichtig, denn es geht darum Datensparsamkeit einzuhalten und diese prüfen und zertifizieren zu lassen.
2. Informationspflicht für Hersteller/Anbieter reduzieren
Zwar wächst mit der Menge an zur Verfügung gestellten Informationen das Vertrauen in den Anbieter. Die Diskussionsteilnehmer waren sich allerdings hinsichtlich der Informationspflichten, die auf Anbieter durch die DSGVO zukommen, einig: Diese sollten unbedingt „IoT-fähig“ gemacht werden, d.h. reduziert werden. Denn die rechtskonforme Benutzung der Daten bekomme ich als Hersteller noch hin, nicht aber die Fülle an Informationsdokumentation, die unter anderem Auskunft über Speicherdauer, Übertragung in Drittländer, Darstellung der Betroffenenrechte und Zweck der Verarbeitung beinhalten muss.
3. Welches Recht kommt zur Geltung?
Laut Christian Solmecke tendieren die meisten deutsche Gerichte dazu, nicht zur DSGVO, sondern zum alten Datenschutzrecht zu urteilen. Außerdem ist umstritten, ob die DSGVO eine Wettbewerb schützende Norm ist, das heißt inwiefern sich Wettbewerber untereinander abmahnen können.
4. Thema Life Cycle von IoT-Geräten
Anknüpfend an Punkt 2 stellte die Diskussionsrunde fest: Viele der gespeicherten Informationen sind langfristig uninteressant, wenn IoT-Geräte weitergegeben werden, beispielsweise auf Zweitverwertungsmärkten. Hier gibt es Klärungsbedarf: Soll es ein Verfallsdatum für IoT-Geräte geben, auch weil dieses sonst als Cyber-Risiko gelten? Olaf Pursche: „Die meisten IoT-Geräte haben nicht einmal eine Update-Funktion.“ Das muss sich ändern. Die Frage ist, wie lange ein Hersteller zu Updates verpflichtet sein soll und wie lange er haftbar gemacht werden kann.
Fallbeispiel Handy: Angenommen, ein Benutzer gibt sein Gerät innerhalb der Familie an einen anderen Besitzer weiter. Dadurch werden Risiken verlagert, denn es ist nicht zu erwarten, dass der Hersteller nach 15 Jahren immer noch Updates produziert.
Fallbeispiel Automobil: In dem Fall ist das sogar noch krasser als beim Handy, so Thorsten Stuke. Bei einem durchschnittlichen Life Cycle von 17 Jahren in den USA sei nach aktueller Regelung niemand in der Lage, mit dem Risiko entsprechend umzugehen.
In Deutschland muss ein Hersteller zwei Jahre Updatefähigkeit bieten (während der Garantiezeit), allerdings nur bezogen auf die Funktionsfähigkeit, nicht auf Security. Solmecke: „Danach kann man das Gerät eigentlich wegschmeißen.“
Olaf Pursche betonte am Schluss nochmal eine Chance für die deutsche Internetwirtschaft: „Letztlich wäre das „IT made in Germany“, dass ein Gerät updatefähig ist und ein Sicherheitskonzept dahintersteckt, wenn es einen langen Life Cycle hat. Das wäre ein klares Argument, solch ein Gerät zu kaufen.“
Eindrücke von der Veranstaltung erhalten Sie in unserer Bildergalerie.