Smart Business: Unaufhaltbarer Trend oder unkalkulierbares Risiko?

Das Smart Home hat nach und nach alle Bereiche der eigenen Wohnung erobert. Wir unterhalten uns mit Alexa und optimieren unsere Heizungen auf Sparsamkeit. Auch im unternehmerischen Umfeld gewinnen «Smart Business»-Lösungen immer mehr an Attraktivität. Sie vereinfachen Abläufe und Organisation und geben ein Gefühl der Kontrolle. Wir geben einen Überblick über mögliche Einsatzgebiete und datenschutzrechtliche Problemfelder.





Big Brother war erst der Anfang

Die zentralen Motive eines Smart Homes sind Komfort und Effizienz. Eine zentrale Verwaltung aller Funktionen und haargenaue Abstimmung des eigenen Zuhauses ist nicht nur bequem, sondern kann beispielsweise auch signifikante Auswirkungen auf Strom- und Heizkosten haben. Doch je mehr Komfort wir nutzen, desto mehr geben wir dabei aus der Hand. Dass dies nicht nur ärgerlich ist, sondern handfeste Gefahren mit sich bringt, zeigt ein kürzlich erkanntes Datenleck des chinesischen Smart Home-Herstellers Orvibo.

Sicherheitsexperten deckten hier unlängst eine ungesicherte Datenbank mit über zwei Milliarden Datensätzen auf. Die Datenbank enthielt neben persönlichen Daten wie E-Mail-Adressen, Benutzernamen, Passwörtern und Account-Reset-Codes auch Zugangsdaten für einzelne Smart Home-Geräte des Herstellers. Damit hätten Angreifer potenziell Zugriff auf Videokameras, Standortdaten und Mikrofone. Zudem konnten mit den enthaltenen Daten auch smarte Türschlösser kontrolliert werden. Welche Folgen ein solches Leck haben kann, liegt auf der Hand. Angreifer hätten potenziell nicht nur die Möglichkeit, Türschlösser per Tastendruck zu öffnen, sondern könnten im Vorfeld anhand der Videodaten auch gleich prüfen, wann die Bewohner ausser Haus sind.

Die Behörden schiessen immer schärfer

Auch wenn es sich hierbei um einen extremen und in diesem Ausmass seltenen Fall handeln dürfte, hat sich der Ton auch bei den europäischen Aufsichtsbehörden merklich verschärft. Hohe Bussgelder im zweistelligen Millionenbereich sind kein Tabu mehr. Die letzte Meldung dieser Art kam aus England und betraf British Airways. Infolge eines Datenlecks muss das Unternehmen nun mit einem Bussgeld in Höhe von 183.39 Millionen Pfund (rund 204.68 Millionen Euro) seitens des britischen Information Commissioner’s Office rechnen. Aus datenschutzrechtlicher Sicht fast noch beeindruckender als die Summe an sich ist, dass es sich hierbei um umgerechnet ca. 1.4 % des Konzernjahresumsatzes handeln dürfte.

Die Tatsache, dass dieses stattliche Bussgeld trotz der Meldung durch British Airways und Kooperation mit der Behörde verhängt wurde, zeigt, dass nicht nur das Verhalten des Verantwortlichen nach einem Datenschutzvorfall, sondern bereits die ergriffenen Schutzmassnahmen im Vorfeld enorm an Relevanz gewonnen haben.

Smart Home im gewerblichen Einsatz: «Smart Business»

Mit diesem Gedanken im Hinterkopf sollte der Einsatz von Smart Home-Produkten im unternehmerischen Umfeld klar durchdacht und abgewogen werden. Die Vorteile einer zentralen Steuerungsmöglichkeit liegen für ein modernes Unternehmen auf der Hand. Nicht nur Attraktivität, sondern auch Betriebsabläufe können durch ein vernetztes Business verbessert werden.

Vernetzung bietet viele Vorteile

Unbestritten stellt die Vernetzung der eingesetzten Tools und technischen Lösungen den nächsten Schritt auf dem Weg zur vollständigen Digitalisierung der internen Prozesse dar. Auch die Aussendarstellung kann von smarten Lösungen immens profitieren.

Die Systeme, die uns zu Hause Musik auf Zuruf oder stimmungsabhängige Beleuchtung liefern, können ähnliche Effekte auch im gewerblichen Kontext erzeugen. So können Verkaufsräume je nach Themengebiet und Tageszeit optimal ausgeleuchtet werden. Hintergrundmusik kann dynamisch verändert und an die jeweilige Zielgruppe und das Produkt per Knopfdruck zentral angepasst werden. Auch bieten viele Sprachassistenzsysteme die Möglichkeit, grundlegenden Kundensupport ohne Personaleinsatz zu bieten.

Auch die internen Abläufe können von digitalen Lösungen enorm profitieren. Wenn Lieferanten durch elektronische Schliessvorrichtungen per App Zutritt gewährt werden kann, gestaltet dies den Betriebsablauf deutlich flexibler und senkt gleichzeitig den Personalaufwand. Auch kann die Überwachung durch vernetzte Videosysteme deutlich effektiver gestaltet werden.

Die Vorteile einer smarten Licht- und Heizungssteuerung können in Büro- oder Verkaufsräumen für Einsparungen bei den Energiekosten sorgen, insbesondere durch die Möglichkeit, flexibel auf Anwesenheitszeiten der Mitarbeiter zu reagieren.

Datensicherheit im smarten Business

Doch wo sich der private Nutzer in den eigenen vier Wänden lediglich um die Gefahren rund um seine Daten und die Integrität des Eigenheims zu sorgen braucht, tritt bei gewerblichem Einsatz ein weiterer Faktor hinzu: Im Gegensatz zum Privatnutzer ist hier nämlich der Anwendungsbereich der DSGVO eröffnet. Die «Haushaltsausnahme» des Art. 2 Abs. 2 lit. c DSGVO greift im unternehmerischen Umfeld nicht. Die Risiken des Smart Business werden hier evident, da durch die Anwendbarkeit der DSGVO die Anforderungen an die Datensicherheit im Vergleich zu den eigenen vier Wänden deutlich steigen.


Somit hat der Unternehmer als verantwortliche Stelle nicht nur für die Sicherheit der verarbeiteten Daten, sondern auch für die Rechtmässigkeit der Verarbeitung sowie die Einhaltung der sonstigen, datenschutzrechtlichen Pflichten Sorge zu tragen. Beim Einsatz von Smart Home-Technologie werden umfassend Daten verschiedenster Kategorien verarbeitet, betroffen sind neben eigenen Mitarbeitern auch Kunden oder Lieferanten. Dieser Personenkreis ist im Vergleich zum privaten Umfeld deutlich grösser, womit die Anforderungen an eine umfassende Prüfung deutlich ansteigen.

Letztlich ist darauf zu achten, dass der überwiegende Teil intelligenter Produkte ihre Daten im Rahmen von Cloud-Lösungen versenden und speichern. Hier ist regelmässig zu prüfen, welche Verträge gem. Art. 28 DSGVO (Auftragsverarbeitungsverträge) abzuschliessen sind. Insbesondere bei Lösungen, deren Anbieter ausserhalb des Europäischen Wirtschaftsraumes beheimatet sind, stellen sich diesbezüglich weitere Folgeprobleme.

Das Problem des «privacy by design» bei der Wahl des Dienstleisters

Die besondere Herausforderung stellt sich hier allerdings oft weniger im Hinblick auf die Rechtmässigkeit der Verarbeitung, sondern vielmehr in der Gewährleistung eines angemessenen Schutzniveaus. Hierzu gehört nicht nur die ordnungsgemässe Implementierung, die Sicherung durch Massnahmen wie Virenscanner und Firewalls, sondern auch im ersten Schritt die sorgfältige Auswahl des jeweiligen Anbieters. Denn selbst wenn die eigentlichen Tools gut gesichert sind, gegen Datenlecks beim Anbieter selbst ist der jeweilige Verantwortliche selten gefeit.

Wenn im Vorfeld bekannt war, dass systematische Sicherheitsschwächen bei diesem Anbieter bestanden haben, kann bereits die fehlerhafte Auswahl des Dienstleisters zu einem potenziellen Haftungsrisiko führen. Insbesondere in Zeiten grossen Konkurrenzdrucks, in welchen der Markt der smarten Produkte von vielen Billiganbietern geradezu überflutet wird, bestehen grosse Risiken im Hinblick auf unfertige oder gänzlich fehlende IT-Sicherheitsvorkehrungen. Ein grosses Problem kann beispielsweise darin liegen, dass viele der in Asien produzierten Geräte lediglich mit Standard-Login-Daten versehen sind. Zudem wird selten transparent, woher Geräte unter einem bestimmten Label tatsächlich stammen.

Die unternehmerische Entscheidung

Die Einführung von Smart Home-Lösungen im unternehmerischen Umfeld sollte genau geplant werden. Dies beginnt bei der gewissenhaften Auswahl des Dienstleisters, setzt sich fort in der Einrichtung ausreichender technischer Sicherungsmassnahmen im eigenen Hause und mündet schliesslich in der datenschutzrechtlichen Prüfung der Zulässigkeit der einzelnen Verarbeitungstätigkeiten.

Es ist zudem darauf zu achten, welche Vereinbarungen zusätzlich abzuschliessen sind, insbesondere die nötigen Auftragsverarbeitungsverträge und gegebenenfalls Standardvertragsklauseln für den Datentransfer in Drittstaaten aussehalb des EWR. Nicht zuletzt müssen sämtliche Betroffenen über die sie betreffenden Dateverarbeitungen informiert werden, was insbesondere bei Lieferanten und im Falle von Videoüberwachung und Sprachsteuerungen vor besondere Herausforderungen stellen kann.

Letzten Endes birgt die Vision des smarten Büros derzeit zahllose Möglichkeiten, jedoch ebenso viele Probleme. Die Risiken eines Smart Business, insbesondere einer Auslagerung einer Vielzahl von Verarbeitungsvorgängen in die Hände Dritter, müssen deshalb stets mit dem unternehmerischen Nutzen abgewogen werden.