Ist das Internet der Dinge zuallererst ein Internet der Rechtsunsicherheit?

Es ist offensichtlich, dass gerade dieser technische Fortschritt zahlreiche rechtliche Fragen aufwirft, wenn man sich nur vor Augen führt, dass beispielsweise mein Kühlschrank in Zukunft wissen wird, wann ich ihn mit welchen Waren bestücke und welchen Inhalt ich in welcher Menge wann entnehme und verbrauche. Denn die dabei anfallende mannigfache Datenerhebung erfolgt nicht nur zum reinen Selbstzweck – etwa der Regulierung der benötigten Kühlleistung – sondern in erster Linie, um zahlreiche Daten über mein persönliches Ess- und Konsumverhalten zu erhalten, die letztlich dazu dienen, ein umfangreiches und detailliertes Verhaltensmuster über mich zu erstellen und dabei qualitativ hochwertige Informationen über meine Essgewohnheiten, aber auch die hierzu getätigten Einkäufe zu beschaffen.

Selbstverständlich sind diese Daten ein wertvolles Gut, ermöglichen sie dem Empfänger doch, mir beispielsweise konkrete Waren, die individuell auf meine Bedürfnisse und Verbräuche zugeschnitten sind, anzubieten. Aber auch die Uhr am Handgelenk, die vermeintlich lediglich meinen Puls aufzeichnet, erfasst weit umfangreichere, hochsensible und persönliche Daten, die nicht nur meinen kompletten Gesundheitszustand abbilden, sondern darüber hinaus auch noch ein qualifiziertes Bewegungsmuster über mich erstellen, mit einer genauen Aufschlüsselung darüber, wann ich an welchem Ort war und insbesondere welche Messwerte mein Körper an diesen jeweiligen Orten aufweist.

Im Datenschutz-Dschungel auf der Suche nach rechtlichen Standards

Diese Beispiele veranschaulichen, dass der Datenschutz einen ganz wesentlichen rechtlichen Bereich des „IoT“ darstellt. Und bei genauer Betrachtung der bislang geltenden Vorschriften ist festzustellen, dass tatsächlich viele Dinge noch ungeregelt sind, da die jetzige Datenschutzlage für diese neuen technischen Herausforderungen viel zu eng gefasst ist. Insbesondere ist in ihr nicht berücksichtigt, dass eine Kommunikation ohne Beteiligung von Menschen autonom ausschließlich zwischen Objekten erfolgt, in deren Verlauf zahlreiche Daten anfallen, die vollkommen automatisiert an völlig unterschiedlichen Orten aufgezeichnet werden und bei der gänzlich unklar ist, wer darauf wann und in welcher Weise Zugriff hat. So stellt sich insbesondere die Frage, welches Rechtssubjekt diese Daten aufzeichnet, was für den derzeit geltenden Datenschutz grundlegende Bedeutung hat, da nur dieses Adressat von Rechtsnormen ist und sein kann, nicht aber „die Dinge“. Der jetzige Grundsatz der Datensparsamkeit, also die Vorgabe, die Speicherung personenbezogener Daten auf ein Minimum zu beschränken, widerspricht zudem dem „Internet der Dinge“, das ja gerade von der Masse der Daten und deren -aufzeichnung und Verfügbarkeit lebt. Auch der Datenaustausch zwischen den einzelnen Kommunikationspunkten selbst und der dabei zu beachtende Schutzumfang sind bislang vollkommen ungeregelt.

Berücksichtigung finden muss bei der Anpassung der Datenschutzbelange darüber hinaus auch der Umstand, dass etwa Datenbrillen theoretisch in der Lage sind, sämtliche Personen im Blickfeld zu erfassen und zu speichern, so dass also auch solche Personen, die sich etwa bewusst gegen eine Nutzung datenintensiver „Wearables“ entscheiden, letztlich systematisch beobachtet und ebenfalls zum Gegenstand von Bewegungsprofilen gemacht werden können. Ein einfacher Gang durch eine Fußgängerzone mit der Datenbrille tangiert also die datenschutzrechtlichen Belange vieler Hunderter Personen. Zwar bietet hier schon das vorhandene Datenschutzrecht Ansatzpunkte, da es die Aufzeichnung personenbezogener Daten nur in engen Ausnahmefällen gestattet. Doch auch hier stellt sich die Frage, wer für diese Datenaufzeichnungen überhaupt verantwortlich ist. Der Brillenträger wird es kaum sein, dieser hat weder ein Interesse an der Aufzeichnung, noch wird er sich überhaupt der Tatsache bewusst sein, dass eine vollkommen automatisierte Datenaufzeichnung und -auswertung erfolgt. Kann die grundrechtlich geschützte Position des einzelnen Bürgers hier rechtlich nicht sichergestellt werden, könnte dies im Extremfall theoretisch sogar auf ein Verbot solcher Datenbrillen hinauslaufen.

Wer ist Herr der Daten?

Aber auch ganz einfache juristische Grundfragen sind bislang vollkommen ungeklärt: So ist etwa offen, wer beim „Internet der Dinge“ überhaupt handelt. Träger von Rechten und Pflichten können nach unserer Rechtsordnung ausschließlich Menschen oder juristische Personen sein. Was aber gilt, wenn Entscheidungsprozesse ausschließlich automatisiert ablaufen, der Kühlschrank also autonom entscheidet, mir neue Milch liefern zu lassen, da sich der Vorrat bedenklich dem Ende nähert? Habe ich in diesem Fall tatsächlich eine mir zurechenbare Entscheidung getroffen? Wenn nicht, wem ist diese Entscheidung dann zuzurechnen und warum? Was passiert, wenn es dabei zu Fehlern kommt, etwa die falsche Milch geliefert wird? All diese grundsätzlichen Fragen müssen ebenfalls geklärt werden, gerade um Rechtssicherheit zu schaffen. Wenn man sich dann noch vor Augen führt, dass etwa die gesetzliche Regelung zum Vertragsschlusses durch E-Mail mehrere Jahre gebraucht hat, bevor sie ihren Weg in das Bürgerliche Gesetzbuch (BGB) gefunden hat, wird deutlich, dass die rechtliche Entwicklung angesichts der rasanten Entwicklung des „IoT“ sehr bald hinterherhinken wird.

Eine weitere ungeklärte und bereits heute heftig diskutierte Frage ist diejenige nach dem Eigentum an den erhobenen Daten. Wem sollen diese gehören, wer soll die Verfügungsgewalt über sie besitzen? Derjenige, der sie letztlich sammelt (mit dem erwähnten Problem, dass dies auch Maschinen sein können) oder aber derjenige, der zu deren Entstehung überhaupt erst beiträgt (also der Mensch, der den vollautomatisierten Kühlschrank nutzt)? Und wie soll es um solche Daten stehen, die ausschließlich durch die Kommunikation zweier lebloser Objekte untereinander entstehen, also etwa dem Temperaturfühler und dem Wohnungsfenster, das sich voll automatisiert öffnet, um Frischluft in den Raum zu lassen? Auch hier bedarf es klarer gesetzlicher Regelungen unter Berücksichtigung der wirtschaftlichen Folgen, wobei sich beispielsweise auch andenken ließe, den erzielten Erlös aus der Datensammlung und -verwertung zwischen dem Datensammler und dem Datenlieferanten aufzuteilen.

Fazit

Tatsächlich muss man also feststellen, dass bereits angesichts der hier geschilderten kleinen Ausschnitte erheblicher juristischer Regelungsbedarf im Zusammenhang mit dem „Internet der Dinge“ besteht. Denn anders als etwa beim „einfachen“ Internet, eignen sich die vorhandenen Rechtsvorschriften nicht, die neu auftretenden Probleme zu lösen. Auch wenn die öffentliche Wahrnehmung teils heute noch im Zusammenhang mit dem Internet von einem „rechtsfreien Raum“ spricht, muss man feststellen, dass in der Realität die dort auftretenden rechtlichen Fragen mit den bereits vorhandenen Rechtsvorschriften weitestgehend geklärt werden konnten und können. Dies ist bei den oben genannten Punkten des „Internet der Dinge“ aber gerade nicht der Fall. Der Gesetzgeber ist also bereits jetzt ganz konkret gefragt, um nicht ins Hintertreffen zu geraten und rechtlose Räume entstehen zu lassen!