IoT-Dienste: Nutzung von gesammelten Daten und rechtliche Problemstellungen
In den letzten Jahren haben IoT-Geräte, wie Smart-Home-Geräte, zunehmend Einzug in unsere Haushalte gehalten. Sie sind äußerst praktisch, doch aufgrund ihrer Verbindung zum Internet sind sie auch einem Risiko von Informationslecks ausgesetzt. Beim Start eines IoT-Geschäfts ist es daher nicht nur wichtig, die Sicherheit der Haushaltsgeräte zu gewährleisten, sondern auch das Management der Netzwerksicherheit, um Cyberangriffen standhalten zu können, stellt eine bedeutende Herausforderung dar.
Blickt man auf den japanischen Markt, so zeigt sich, dass das Problem von Datenlecks bereits ernstzunehmende Ausmaße angenommen hat. Tokyo Shoko Research berichtet, dass im Jahr 2021 die Anzahl der Datenschutzverletzungen und Verluste von persönlichen Informationen bei börsennotierten Unternehmen mit 137 Fällen und 5,74 Millionen betroffenen Personen einen neuen Höchststand erreicht hat.
In diesem Artikel erläutern wir die rechtlichen Regelungen, die Sie kennen sollten, um die im Rahmen von IoT-Diensten gesammelten Daten sicher zu nutzen.
Rechtliche Regelungen im IoT-Business
IoT steht für “Internet of Things”, was wörtlich als “Internet der Dinge” übersetzt wird. Es bezieht sich auf Systeme und Dienste, die darauf abzielen, unser Leben durch die Internetverbindung alltäglicher Gegenstände und deren Fernsteuerung, automatische Erkennung und Kontrollfunktionen zu erleichtern.
Im Hinblick auf die Hardware von Haushaltsgeräten werden strenge Regulierungen angewandt, da diese direkt Einfluss auf den Körper der Nutzer haben können.
Auf der Softwareseite sind Registrierungen und Meldungen für den Betrieb gemäß dem japanischen Funkgesetz und dem japanischen Telekommunikationsgeschäftsgesetz erforderlich, die das Kommunikationsnetzwerk regulieren.
Die rechtlichen Regelungen für die Hardware und Software im IoT-Bereich werden in diesem Artikel ausführlich erläutert. Bitte ziehen Sie diesen ebenfalls zurate.
Verwandter Artikel: Erklärung der rechtlichen Regelungen für Hardware und Software, die im IoT-Business beachtet werden sollten[ja]
Im IoT-Business werden traditionelle Geräte mit dem Internet verbunden und die gesammelten Informationen genutzt. Daher wird nicht nur die Regulierung der Hardware und Software eine wichtige Rolle spielen, sondern auch, wie die angesammelten Informationen verarbeitet werden, wird eine bedeutende Fragestellung sein.
Rechtliche Probleme bei der Nutzung von Daten, die durch IoT erfasst wurden
IoT-Geräte bergen das Risiko, Nutzerdaten unbeabsichtigt zu sammeln und zu verwenden.
Auch wenn Nutzer bei der Registrierung ihrer Zustimmung zur Verwendung ihrer persönlichen Daten gegeben haben, führt die Natur des IoT dazu, dass bei jeder Nutzung Verhaltensdaten gesammelt werden, was folgende Probleme aufwirft:
- Schutz persönlicher Daten
- Schutz der Privatsphäre
- Umgang mit Cyberangriffen
In diesem Abschnitt erläutern wir die verschiedenen rechtlichen Probleme, die mit der Verwendung von IoT-Geräten einhergehen.
IoT und der Schutz personenbezogener Daten
Nicht alle von IoT-Geräten gesammelten Daten werden als personenbezogene Informationen betrachtet, die Schutz benötigen. Wenn jedoch Nutzerregistrierungsdaten und Lebensinformationen verknüpft werden und eine Person dadurch identifizierbar wird, fallen diese unter das Japanische Gesetz zum Schutz personenbezogener Informationen (Personal Information Protection Law) Artikel 2 Absatz 5[ja].
Daher haben Anbieter, die im Rahmen von Smart-Home-Diensten Lebensdaten und Nutzerinformationen verknüpfen, folgende Pflichten gemäß dem Japanischen Gesetz zum Schutz personenbezogener Informationen Artikel 19 bis 26:
Pflichten nach dem Japanischen Gesetz zum Schutz personenbezogener Informationen Artikel 19 bis 26:
- Sicherstellung der Datenrichtigkeit und Löschpflicht
- Pflicht zur Ergreifung von Sicherheitsmaßnahmen
- Überwachungspflicht der Mitarbeiter
- Überwachungspflicht der Auftragsverarbeiter
- Einschränkungen bei der Weitergabe an Dritte und Aufbewahrungspflicht für Aufzeichnungen
Beim Umgang mit personenbezogenen Daten muss der Verwendungszweck so genau wie möglich festgelegt und dem Betroffenen mitgeteilt oder veröffentlicht werden. Sind die Daten nicht mehr erforderlich, müssen sie umgehend verarbeitet werden. Zudem müssen Maßnahmen gegen Datenlecks mit größter Sorgfalt ergriffen und sowohl bei Mitarbeitern als auch bei Auftragsverarbeitern durchgesetzt werden.
Grundsätzlich ist die Weitergabe von erfassten personenbezogenen Daten an Dritte beschränkt. Allerdings kann es für die Verbesserung von Dienstleistungen manchmal notwendig sein, Daten an Dritte weiterzugeben. In solchen Fällen müssen die Daten so anonymisiert werden, dass die ursprünglichen personenbezogenen Informationen nicht wiederhergestellt werden können.
Des Weiteren wurden im April 2022 (Reiwa 4) Änderungen des Japanischen Gesetzes zum Schutz personenbezogener Informationen umgesetzt, die unter anderem die Stärkung der Rechte der Betroffenen, die Verantwortung der Unternehmen und neue Regelungen für die Weitergabe von Daten an ausländische Unternehmen beinhalten.
Diese Änderung legt den Fokus der Japanischen Kommission für den Schutz personenbezogener Informationen auf die folgenden fünf Aspekte:
- Schutz der Rechte und Interessen der Personen
- Ausgewogenheit zwischen Schutz und Nutzung
- Einklang mit internationalen Trends
- Anpassung an Risikoänderungen durch ausländische Unternehmen
- Anpassung an das Zeitalter von KI und Big Data
IoT und das Recht auf Privatsphäre
Auch wenn die gesammelten Lebensdaten nicht als personenbezogene Informationen gelten, müssen sie dennoch sorgfältig behandelt werden, da sie Rückschlüsse auf das Verhalten einer Person zulassen können. Informationen wie die Nutzungszeiten von Strom und Gas können beispielsweise bei einem Datenleck für Verbrechen wie Einbrüche missbraucht werden.
Andererseits ist es für die Verbesserung der Qualität von Smart-Home-Diensten notwendig, das Verhalten der Nutzer zu verstehen und zu nutzen. Um personenbezogene Daten zu schützen und gleichzeitig für die Verbesserung des Dienstes zu nutzen, ist es erforderlich, auch bei nicht personenbezogenen Informationen eine dem japanischen Datenschutzgesetz entsprechende Vorgehensweise zu beachten.
IoT und Cybersicherheit
Das IoT-Geschäft basiert auf der Sammlung, Verwaltung und Nutzung von Informationen, die persönliche Daten und das Recht auf Privatsphäre berühren können. Es entwickelt sich durch diese Praktiken weiter. Da Informationen über das Internet gesammelt und verwaltet werden, sind Cybersicherheitsmaßnahmen für Geräte, die mit dem Netzwerk verbunden sind, unerlässlich.
Im Folgenden erläutern wir, welche Cybersicherheitsmaßnahmen im Voraus getroffen werden sollten und welche Verantwortlichkeiten im Falle eines tatsächlichen Cyberangriffs zu tragen sind.
Verantwortung von Geräteherstellern: Das Produkthaftungsgesetz (Japanese Produkthaftungsgesetz)
Wenn ein IoT-Gerät einem Cyberangriff ausgesetzt ist, kann der Gerätehersteller möglicherweise Ansprüchen auf Schadensersatz nach dem Produkthaftungsgesetz (Japanese Produkthaftungsgesetz) ausgesetzt sein.
Die Kriterien für die Haftung nach dem Produkthaftungsgesetz sind wie folgt:
- Das Produkt hatte einen Defekt.
- Dieser Defekt hat das Leben, den Körper oder das Eigentum einer anderen Person beeinträchtigt.
- Ein Schaden ist entstanden.
Ein “Defekt” im Sinne von Punkt 1 bedeutet einen Zustand, in dem die “übliche Sicherheit”, die man normalerweise erwarten würde, fehlt. Dies kann in Herstellungsfehler, Designfehler und Fehler in Anweisungen oder Warnungen unterteilt werden.
Ob ein Hersteller tatsächlich für einen Cyberangriff haftbar gemacht wird, hängt von den folgenden Umständen ab:
- Ob das Produkt zum Zeitpunkt der Übergabe den damals erwarteten technischen Standards entsprach.
- Ob es den öffentlich verfügbaren neuesten Richtlinien oder freiwilligen Standards entsprach.
Gerätehersteller können der Haftung entgehen, wenn sie nachweisen können, dass sie den Defekt nicht erkennen konnten. Allerdings müssen sie beweisen, dass der Defekt auch nach den höchsten technischen Standards zum Zeitpunkt der Übergabe nicht erkennbar war, was in der Praxis selten anerkannt wird.
Verantwortung des Netzwerkadministrators: Bürgerliches Gesetzbuch
Wenn ein Netzwerk einem Cyberangriff ausgesetzt ist und es zu einem Informationsleck kommt, kann der Netzwerkadministrator auf der Grundlage des Bürgerlichen Gesetzbuchs (nicht des Produkthaftungsgesetzes) Schadensersatzansprüche aus folgenden Gründen geltend machen:
- Vertragsbruch zwischen dem Netzwerkadministrator und dem Nutzer
- Verletzung der Sicherheitsmaßnahmenpflicht des Netzwerkadministrators, die zu einer Vertragsverletzung führt
- Haftung für unerlaubte Handlungen aufgrund von Fahrlässigkeit des Netzwerkadministrators (Artikel 709 des Bürgerlichen Gesetzbuchs)
In jedem dieser Fälle wird der Streitpunkt sein, ob der Netzwerkadministrator fahrlässig die erforderlichen Sicherheitsmaßnahmen vernachlässigt hat.
Des Weiteren gibt es Gerichtsurteile, die zeigen, dass die “erforderlichen Sicherheitsmaßnahmen” nicht nur Maßnahmen gemäß dem Standard zum Zeitpunkt des Vertragsabschlusses umfassen, sondern auch Maßnahmen, die den zum Zeitpunkt des Cyberangriffs veröffentlichten Richtlinien entsprechen (Tokyo District Court, Heisei 26 (2014).1.23).
Daher muss der Netzwerkadministrator auch nach der Lieferung stets über die neuesten Informationen zu wichtigen Richtlinien im Bilde sein und bei Bedarf die Software aktualisieren.
Aktuelle Informationssicherheitsrichtlinien:
- IoT-Sicherheitsrichtlinien Ver. 1.0[ja] | Ministerium für Wirtschaft, Handel und Industrie
- Allgemeiner Rahmen für die Sicherheit von sicheren IoT-Systemen[ja] | NISC
- Leitfaden für Sicherheitsdesign in der IoT-Entwicklung | IPA
Verwandter Artikel: Schäden durch Cyberangriffe. Was ist die Haftung des Systemanbieters? Erklärung anhand eines Vertragsbeispiels[ja]
Zusammenfassung: IoT-Geschäfte erfordern spezialisiertes rechtliches Verständnis
Das IoT-Geschäft zeichnet sich dadurch aus, dass es durch das Sammeln und Nutzen von Informationen über die Privatsphäre und persönliche Daten der Nutzer über das Internet voranschreitet.
Daher müssen Unternehmen nicht nur die Produkthaftung als Hersteller von Haushaltsgeräten tragen, sondern auch als Betreiber, die persönliche Daten verarbeiten, auf die Aktualisierung des Datenschutzgesetzes und der Informationssicherheitsrichtlinien achten.
Produktunfälle können nicht nur körperliche Auswirkungen auf die Nutzer haben, sondern auch durch Datenlecks Schäden an eine unbestimmte Anzahl von Personen verursachen.
Beim Start eines IoT-Geschäfts ist es wichtig, einen Anwalt mit einem breiten Spektrum an Fachwissen zu konsultieren, von Produkthaftungsgesetzen über Datenschutzgesetze bis hin zu den neuesten Informationssicherheitsrichtlinien.
Maßnahmen unserer Kanzlei
Die Monolith Rechtsanwaltskanzlei verfügt über umfangreiche Erfahrungen in IT, insbesondere im Bereich Internet und Recht. In den letzten Jahren hat das IoT-Geschäft zunehmend Aufmerksamkeit erregt, und die Notwendigkeit rechtlicher Überprüfungen nimmt stetig zu. Unsere Kanzlei bietet Lösungen für das IoT-Geschäft an.
Bereiche, die von der Monolith Rechtsanwaltskanzlei abgedeckt werden: Rechtsangelegenheiten für IT- und Start-up-Unternehmen[ja]