Das Smart Home ist eine clevere Sache: Der „schlaue“ Kühlschrank oder die vorausdenkende Heizungsanlage vereinfachen nicht nur den Alltag. Sie helfen auch noch, Geld zu sparen, indem sie automatisch den Stromverbrauch verringern oder dafür sorgen, dass die Familie immer genug zu essen im Haus hat, wenn es zeitlich für den abendlichen Einkauf nicht mehr reicht. Das Smart Home ist aber nicht nur smart, es weiß auch eine ganze Menge über die Hausbewohner und deren persönliche Gewohnheiten: Wann werden welche Geräte (typischerweise) genutzt, wie warm (oder kalt) wird gerne geduscht, und wann ist in der Regel jemand zu Hause und wann nicht. Des einen Freud ist des anderen Leid: So feiern die Enthusiasten die neuesten Entwicklungen auf dem Smart-Home-Markt als Revolution, wogegen andere bereits nach dem Recht „analog zu wohnen“ fragen.

Immer dieser Datenschutz …

Unbestritten ist, dass das Smart Home Tag ein Tag aus eine große Menge an (oftmals personenbezogenen) Daten sammelt, die detaillierte Informationen über die Lebens- und Konsumgewohnheiten der Betroffenen geben und somit für die Industrie von großem Interesse sind. 

Dabei ist die Nutzung personenbezogener Daten aus dem Smart Home für Hersteller entsprechender Technologien nicht schrankenlos möglich. Vielmehr stellen eine Vielzahl von Gesetzen verschiedene und teils recht strikte Spielregeln für den Umgang mit personenbezogenen Daten aus dem Smart Home auf:

Das Bundesdatenschutzgesetz (BDSG) und die am 25. Mai 2018 vollständig in Kraft tretende EU Datenschutzgrundverordnung (DSGVO) setzen die wesentlichen Leitplanken für den Umgang mit personenbezogenen Daten. Ergänzt werden die Regelungen durch Sondervorschriften für den Bereich der Telemedien im Telemediengesetz (TMG, z.B. bei Erhebung von Smart-Home-Daten über eine Mobile App), der zukünftig in einem weiteren europäischen Rechtsrahmen, der EU Privacy-Verordnung aufgehen soll. Weitere datenschutzrechtliche Sondervorgaben gelten für Anbieter aus dem Energie-Sektor im sogenannten Messstellenbetriebsgesetz (MsbG) mit seinen Sondervorgaben an Informationspflichten oder formalen Anforderungen an die datenschutzrechtliche Einwilligung.

Die Komplexität der Regelungslandschaft stellt Smart-Home-Unternehmen regelmäßig vor große Herausforderungen, denn ohne die Einhaltung gewisser Spielregeln bei der Verwendung von Smart Home Nutzungsdaten können ab dem 25. Mai 2018 unter der DSGVO empfindliche Bußgelder von bis zu vier Prozent des weltweiten Jahresumsatzes der Unternehmensgruppe drohen. Werden die wesentlichen Spielregeln beachtet, ist jedoch nicht gleich alles verboten, was auch interessant ist.

Ist das jetzt personenbezogenen oder nicht?

Erste und wesentliche Weichenstellung ist die Frage nach dem Personenbezug der in Rede stehenden Daten. Handelt es sich um bloß „anonymisierte“, das heißt solche, die keiner natürlichen Person direkt oder indirekt (mehr) zugeordnet werden können, finden die strengen Vorgaben der Datenschutzgesetze grundsätzlich keine Anwendung. Dabei ist der Begriff der personenbezogenen Daten weit zu verstehen, sodass nach derzeitiger Sichtweise der Aufsichtsbehörden sogar Gerätekennungen und sonstige, auf den ersten Blick nicht personenbezogenen Identifikatoren wie z.B. IP-Adressen als personenbezogenen Daten aus dem Smart Home angesehen werden können. Für eine „ausreichende“ Anonymisierung gelten dagegen strenge Vorgaben, sodass oftmals von einem Personenbezug von Geräte- und Nutzungsdaten aus dem Smart Home auszugehen sein wird, soweit keine speziellen Sicherungsmaßnahmen ergriffen werden.

Was geht noch, was geht nicht (mehr) mit Smart Home Daten?

Hat man es mit personenbezogenen Daten zu tun, ist die Nutzung personenbezogener Daten grundsätzlich erstmal verboten, sollte sie nicht gesetzlich oder im Wege einer informierten und freiwilligen Einwilligung gestattet sein. Gesetzlich gestattet sind u.a. solche Verarbeitungshandlungen, die (zwingend) erforderlich sind, um eine vertragliche Verpflichtung zu erfüllen. Danach wäre es z.B. erlaubt, Stammdaten des Smart-Home-Kunden wie Adresse, Zahlungsdaten und Informationen zur Nutzung eines Dienstes zwecks Erbringung, Abrechnung oder Unterstützung der Nutzung zu verwenden (z.B. für technischen Support oder Updates von Steuerungssoftware). Diese Berechtigung stößt regelmäßig an Grenzen, wo die Verwendung personenbezogener Daten nicht mehr „zwingend“ zur Erfüllung des Vertragszwecks erforderlich ist, sondern andere, vom ursprünglichen (Vertrags-) Zweck abweichende Ziele verfolgt werden. „Evergreens“ im Smart Home sind hier z.B. die (personenbezogene) Auswertung des Nutzerverhaltens zu Werbezwecken sowie die Nutzung von Gerätedaten für Zwecke des Predictive Maintenance. Einzelne dieser Nutzungsformen können je nach Fallgestaltung gegebenenfalls über eine entsprechende Interessenabwägung gerechtfertigt und somit erlaubt sein. Die Datenschutzgesetze ziehen hier aber regelmäßig enge Grenzen, sodass eine entsprechende Gestattung wohl eher die Ausnahme als die Regel bleiben und stets im Einzelfall genau zu klären sein wird.

Nutzer sind auch korrekt zu informieren!

Neben der rechtmäßigen Verarbeitung von Smart-Home-Daten sind die Nutzer zudem umfassend über den Umfang der tatsächlichen Nutzung, die Nutzungszwecke und weitere Details wie die Dauer der Datenspeicherung sowie mögliche Betroffenenrechte wie das Recht auf Datenlöschung zu informieren. Diese Vorgaben stellen Unternehmen vor nicht unerhebliche Herausforderungen, wenn die Information z.B. nicht ohne Weiteres über ein ausreichend dimensioniertes Gerätedisplay oder eine Smart–Home-App erfolgen kann, sondern über umständliche und kostspielige Wege wie den Postversand vorgenommen werden müsste.

Zusätzliche Spielregeln für die sogenannte Smart Meter

Das Messstellenbetriebsgesetz (MsbG) regelt zusätzliche Vorgaben zum  Datenschutz für den Betrieb der sogenannten Smart Meter („intelligente“ Stromzähler), durch Anbieter im Umfeld intelligenter Energieversorgungsnetze („Smart Grids“). Hier gelten Spezialvorgaben, u.a. zur Frage, welche Anbieter unter welchen Voraussetzungen welche Nutzungsdaten in welchem Umfang erheben und verwenden dürfen. Zudem sieht das MsbG besondere dienstbezogene Informationspflichten vor, im Wege eines speziellen, nach Vorgaben der Bundesnetzagentur zu gestaltenden, „Formblattes“, was entsprechende Anbieter regelmäßig auch vor logistische Herausforderungen stellt. Zudem macht den betroffenen Unternehmen bei der Auslegung und Anwendung des MsbG der Umstand zu schaffen, dass die Regelungen nicht oder nur unzureichend die Vorgaben der ab Mai 2018 geltenden DSGVO abbilden, was die Komplexität der Umsetzung zusätzlich erhöht und erhebliche Rechtsunsicherheit schafft.

Datenschutz erfordert (einmal mehr) „smarte“ Lösungen

Smarte Hersteller von intelligenten Geräten und Dienstleistungen werden sich umfassend mit den gegenwärtigen und zukünftigen datenschutzrechtlichen Vorgaben befassen (müssen). Zeitnah sollten zudem die DSGVO-Grundsätze des “Privacy by Design” und “Privacy by Default” in die relevanten Business-Prozesse integriert und dann auch gelebt werden. Sonst drohen böse Überraschungen. Denn neben den drakonischen Bußgeldern unter der DSGVO können Datenschutzverstöße und im Ernstfall öffentlichkeitswirksame aufsichtsbehördliche Verfahren zu erheblicher Verunsicherung der Verbraucher in den „eigenen vier Wänden“ führen.

Dabei ist die Komplexität der Regelungslandschaft eine große Herausforderung. Die Nachricht ist: Sie kann in den Griff bekommen werden, wenn man sich rechtzeitig mit den Vorgaben befasst und genügend Zeit einplant, um pragmatische, smarte und damit auch erfolgreiche Lösungen zu entwickeln. 

Lesen Sie auch: VZBV zum Thema Smart Home - Das Zuhause der Zukunft: Wie digital werden wir wohnen? (PDF 0,2 MB)