Wie smart ist der Nonfood-Sektor?

Welche Vorteile haben IoT- und SmartHome-Produkte für Nutzer, welche Nachteile haben sie?

Bei vielen IoT-Produkten macht die Connectivity aus einem bisher toten ein dann lebendes Gerät. Es kann mit seinem Benutzer kommunizieren, interagieren und sich – altmodisch formuliert – fernsteuern lassen. Das ist zuallererst einmal eine Frage der funktionellen Bequemlichkeit. Je nach Widmungszweck des Geräts kann es aber auch eine qualitative Lebensverbesserung bedeuten, etwa bei der medizintechnischen Permanentüberwachung von Biowerten durch eine Smartwatch. Oder es schafft synchronisierte Funktionen im eigenen Hausumfeld, etwa im Gebäudemanagement, in der Brand- und CO-Überwachung oder im Säuglingsmonitoring.

Ehrlich gesagt, gibt es indes auch viele Connectivity-Gimmicks, deren harte Notwendigkeit sich mir nicht recht erschließt und die auch bisher niemand ernsthaft vermisst hatte. Da wird zum Teil connected, einfach weil man es kann.

Die Nachteile können in derselben Nutzerbequemlichkeit liegen. Trivial etwa dann, wenn meine Steuerungs-App mangels Ladevolumen nicht mehr adressierbar ist, ich aber mein soziales Leben auf die „Fernbedienbarkeit“ ausgerichtet hatte. Schlimmer natürlich, wenn ein Cyber-Hack über die Konnektivitätsschnittstelle meine Daten korrumpiert, absaugt oder löscht. Oder mein SmartDevice, mit anderen in Reihe geschaltet, Teil eines wüsten DDoS-Angriffs wird. In ganz seltenen Fällen könnte man sich bei solchen Fällen von IT-Vandalismus sogar Gesundheits- und Lebensgefahren ausdenken: Etwa wenn IoT-Geräte im Medizinproduktebereich eingesetzt werden und der Ausfall schlimmste Gesundheitsfolgen provoziert.

Welche Schwierigkeiten können sich aus juristischer Sicht beim Verkauf von IoT- und SmartHome-Produkten ergeben? Welche Hürden gibt es in Sachen Datenschutz?

Hier kommen wir dann ans Eingemachte – in vielerlei Hinsicht: Zum einen im Kaufrecht. Da hat die EU eine umfassende Erfrischung der bisherigen Kaufregeln bei IoT-Produkten durchgesetzt, die natürlich auch in Deutschland gelten. Aus Kundensicht erfreulich sind bestimmte vertragliche Update-Verpflichtungen, die sich direkt aus dem Vertragsrecht ergeben – allerdings nur im Verhältnis zum IoT-Verkäufer, nicht zum IoT-Hersteller. Wie sich das im Einzelnen im Markt sortieren wird, müssen wir alle mal abwarten. Der Händler wird ja prinzipiell eher weniger Einfluss auf das R&D-Konzept des IoT-Herstellers samt embedded software haben. Und ob bei den oben skizzierten Lebensrisiken vielleicht sogar Produkthaftungsansprüche gegen den IoT-Hersteller ausgelöst werden, ist für uns Juristinnen und Juristen auch noch mehr als unklar.

Das Thema Datenschutz kommt natürlich schnell oben drauf – wobei ich davon ausgehe, dass wir hier in einem ersten Schritt vom Schutz personenbezogener Daten sprechen. Machen wir uns klar: Es geht ganz schnell und das IoT-Gerät erstellt „nebenbei“ auch noch ein Persönlichkeitsprofil des Nutzers! Je nach Device natürlich und mal am Beispiel einer IoT-Jogginguhr: Das Gerät erfasst, wann und wie oft der Nutzer joggt, welche Laufwege und welche Abwechslung er präferiert, mit welchen Zeiten und Dauern etc. Interessante Daten für den gesundheitsbewußten oder ehrgeizigen Jogger – aber auch für seinen Hausarzt, seine Krankenkasse, seine Lebensversicherung.

Herausfordernd werden diese IoT-Devices für die Industrie dann, wenn sie zentralisiert diese Nutzerdaten erfassen möchte, um zum Beispiel eine Produktverbesserung anstoßen zu können. Denn dann wird aufgrund des Personenbezugs schnell ein strukturiertes Einwilligungsmanagement notwendig – an das aber keiner gedacht hatte.

Dürfen Hersteller gesammelte Daten für Marketing-Zwecke weiterverwenden?

Hier gilt erst recht das Datenschutzrecht: Einfach personalisierte Daten zu „kalten“ Werbeansprachen zu nutzen, ohne die Einwilligung des Betroffenen dafür zu haben, ist so richtig 2000er-Jahre-look-alike. Mit Einführung der europäischen Datenschutzgrundverordnung und insbesondere mit der darin enthaltenen, saftigen Geldbuße bei Verstößen ist auch dem letzten klar geworden, dass solche personenbezogenen Daten sehr achtsam zu behandeln sind: Ohne klare Einwilligung kein Erheben, kein Sammeln, kein Verarbeiten, ja nicht einmal ein Löschen dieser Daten.

Finden zukünftig IoT- und SmartHome-Produkte auch Einzug in Supermarkt-Handelsketten?

Klar, das haben sie doch längst! Im Bereich von Konsumgütern und damit im klassischen Verbrauchermarkt finden sich vernetzte Produkte mit App-Unterstützung zuhauf: bei Sportgeräten, bei Kinderspielzeug, bei Haushaltsgeräten wie Waschmaschinen, Trockner und Kaffeemaschinen, bei TV, HiFi oder In-Ear-Pods und selbst schon in Anfängen im Fashion-Segment.

Und es gilt auch am PoS selbst: Vernetzte Verkaufsregale, Werbeflächen, Einkaufswagen, Obstwaagen und Kassensysteme lassen die Digitalisierung längst auch im Food- und Nonfood-Handel Realität sein!

Inwieweit muss sich die europäische Datenschutzgrundverordnung weiterentwickeln, damit Unternehmen das volle Potential ihrer Produkte ausbauen können?

Gar nicht! Ich halte das für ein großes Mißverständnis: Die DSGVO schützt personenbezogene Daten vor unberechtigtem Zugriff. Das ist gut so. Sie schafft eine wertbasierte Grundkultur im europäischen Raum und ist frappant jüngst vom sonst so trendigen Vorreiter Kalifornien beachtlich ähnlich als Gesetz verabschiedet worden. Mindestens ein US-Bundestaat hält also eine kraakenhafte eigenmächtige Aneignung von personenbezogenen Daten für nicht mehr zukunftswürdig. Hier werden in meinen Augen übrigens geopolitisch auch die eklatantesten Bruchzonen zum chinesischen Wirtschafts- und Lebensmodell gezogen.

Ihre Frage wird spannend, wenn es um nicht-personenbezogene Daten geht – also reine Maschinendaten ohne jeden Menschenbezug. Gemeint sind etwa Schmiermittelstände, Betriebsstundenzähler, technische Performance-Parameter etc. Diese Daten sind für den Nutzer fast immer vollkommen irrelevant. Für den Hersteller ist die Addition all dieser vergleichbaren Gerätedaten indes pures Gold. Denn er sieht ein flächendeckendes Big-Data-Bild, das bestens ausgewertet werden kann, um Overengineering oder Fehlallokation von Leistung identifizieren und abstellen zu können.

Diese Maschinendaten sind bisher rechtlich unreguliert und sozusagen vogelfrei. Vor wenigen Tagen aber hat die EU-Kommission ihren Entwurf eines Data Act („Datengesetz“) vorgelegt, das über Zuweisungen und Lizenzmodelle erstmals eine merkantile Ausbeutbarkeit dieser Daten unabhängig von privatrechtlichen Pooling-Modellen erlauben soll. Das wäre weltweit die erste Regulierung für einen Einstieg in eine echte Datenökonomie bei nicht-personenbezogenen Daten. Sehr spannend!