Hearing im Konsumentenschutzausschuss zum „Internet der Dinge“

ExpertInnen drängen neben regulatorischen Maßnahmen auch auf Aufklärungsarbeit

Wien (PK) – Immer mehr im Alltagsleben verwendete Objekte sind miteinander vernetzt. So können etwa Alarmanlagen, Backrohre und Mähroboter über das Internet gesteuert werden, oft auch ohne direktes Zutun eines Menschen. Auch Smart-Fernseher und Smart-Cars sind längst Realität. Das sogenannte „Internet der Dinge“ – oder „Internet of Things“ (IoT), wie es meist genannt wird, – erleichtert in vielerlei Hinsicht den Alltag, aber was ist mit dem Datenschutz? Und wie schaut es mit Eigentums- und Verbraucherrechten aus? Diesen Fragen widmete sich heute ein mehrstündiges Hearing im Konsumentenschutzausschuss des Nationalrats, zu dem zahlreiche Experten und Expertinnen geladen waren. Allgemeiner Tenor der Diskussion war, dass es neben regulatorischen Maßnahmen auch Aufklärungsarbeit und Bewusstseinsbildung braucht. Auch ethische Fragen wurden angeschnitten.

Die Entwicklung ist jedenfalls eine rasante, wie mehrfach hervorgehoben wurde. Vielen KonsumentInnen sei auch gar nicht bewusst, welche Daten an Server der Produkthersteller übermittelt werden und was mit diesen geschieht. So hätte etwa ein französischer Autohersteller die Möglichkeit den Ladevorgang eines E-Autos zu blockieren, wenn die Leasingrate nicht zeitgerecht gezahlt wird, schilderte Bernhard Wiesinger vom ÖAMTC. ARBÖ-Rechtsexperte Martin Echsel berichtete von der Beschwerde eines Autofahrers, dem per Anruf mitgeteilt wurde, dass er Probleme mit der Gewährleistung bekomme, wenn er seinen Fahrstil nicht ändere. Es brauche eine Balance zwischen den Rechten von Herstellern und von KonsumentInnen, waren sich die ExpertInnen weitgehend einig.

Konkret vorgeschlagen wurde unter anderem die Einrichtung einer Stelle mit technischer Expertise, die Produkte wie smartes Spielzeug im Hinblick auf Datensicherheit zertifiziert und stichprobenartige Prüfungen durchführt. Zudem könnten Datenschutz-Basisinformationsblätter, ähnlich wie es sie für Finanzprodukte gibt, für mehr Transparenz sorgen. Solche Merkblätter hält auch Florian Schnurer vom Fachverband der Elektro- und Elektronikindustrie der Wirtschaftskammer für zweckmäßig, wiewohl er grundsätzlich vor neuen gesetzlichen Vorschriften warnte. Europa dürfe gegenüber den USA und China nicht noch weiter ins Hintertreffen geraten.

Inhaltliche Beschlüsse fasste der Konsumentenschutzausschuss heute nicht. Ausschussobmann Peter Wurm (FPÖ) hofft aber auf einen gemeinsamen Antrag im Herbst, wie er zu Sitzungsbeginn erklärte. Beim Internet der Dinge handle es sich um ein gesellschaftspolitisch brisantes Thema und um keine parteipolitische Frage, meinte er.

Basis für das Expertenhearing bildeten zwei Entschließungsanträge der SPÖ (102/A(E) und 105/A(E)), zu denen der Konsumentenschutzausschuss bereits mehrere Stellungnahmen eingeholt hat und die im Anschluss an das Hearing einstimmig vertagt wurden. Das “ Internet der Dinge“ erzeuge eine Realität, die der Einzelne gar nicht mehr kontrollieren könne, ist Markus Vogl besorgt und warnt insbesondere vor allgegenwärtiger Überwachung. Beispielhaft herausgegriffen hat die SPÖ die technischen Entwicklungen im Fahrzeugbereich: Man müsse gewährleisten, dass auch BesitzerInnen von „Smart-Cars“ ihre Autowerkstatt weiter frei wählen können und Fahrzeugdaten nicht ohne ihr Wissen gespeichert und an die Fahrzeughersteller übermittelt werden. Auch Vogl kann sich eine gemeinsame Initiative des Ausschusses vorstellen.

Pleissl: Vernetzte Dinge sind verwundbar

Eingeleitet wurde die Runde der ExpertInnen von Walter Peissl, stellvertretender Direktor des Instituts für Technikfolgen-Abschätzung der Österreichischen Akademie der Wissenschaften. Er wies auf das Tempo hin, in dem neue digitale Technologien entwickelt werden, die noch dazu alle Lebensbereiche betreffen. Vision des Internets der Dinge sei es, dass möglichst viele technische Endgeräte miteinander kommunizieren und aufgrund von Algorithmen selbständige Entscheidungen treffen.

Als ein Problem sieht Peissl, dass vernetzte Dinge verwundbar sind. Wenn eine elektronische Zahnbürste am WLAN hänge, könne sie als Eingangstor für Cyberkriminalität genutzt werden. Durch die Vernetzung von Dingen drohten außerdem Kaskadeneffekte. Dazu komme, dass KonsumentInnen, die neue Technologien kaufen, oft nicht wüssten, wie diese funktionieren bzw. das oft auch gar nicht wissen wollten. Auch sei ihnen häufig nicht bewusst, welchen Datenverwendungen sie zustimmen. Peissl hält in diesem Sinn nicht nur entsprechende Ressourcen für die Datenschutzbehörde für nötig, man müsse auch Bewusstsein für den Wert des Privaten schaffen. Auch im Bereich der digitalen Produkthaftung – etwa für fehlerhafte Herzfrequenzmessungen – sieht er Handlungsbedarf.

Auf Fragen der Abgeordneten bezeichnete Peissl den vorausschauenden Aspekt von „Security by design“ als sehr wichtig. Es sei sinnvoll, sich Sicherheit vorher zu überlegen. Einen breiten öffentlichen Diskurs auch über Ethikfragen, beispielsweise zu Smart Cars, hielte er für sinnvoll. Neutrale Technik gebe es nicht, so der Experte, der die Politik gefordert sieht, die grundlegenden Fragen anzugehen.

Gladt: Zahl der Beschwerden hält sich noch in Grenzen

Laut Internet-Ombudsmann Karl Gladt halten sich die Beschwerden über internetfähige Produkte derzeit noch in Grenzen. Er glaubt aber, dass sich das bald ändern wird, wobei er verschiedene Probleme erwartet. Das Spektrum reicht von der grundsätzlichen Funktionsfähigkeit der Geräte über Softwareupdates bis hin zur Kompatibilität der technischen Schnittstellen. Niemand wolle ein Gerät kaufen, „das am Anfang intelligent ist und dann dumm wird“.

Wie viele andere ExpertInnen hält Gladt außerdem „elendslange“ Datenschutzerklärungen für problematisch. Zwar schreibe die Datenschutzgrundverordnung (DSGVO) die verständliche Formulierung von Einwilligungserklärungen vor, viele KonsumentInnen wüssten trotzdem nicht, wozu sie ihre Zustimmung gegeben haben. Sinnvoll könnten laut Gladt Musterprozesse sein. Zudem regte er die Einrichtung einer Stelle mit technischer Expertise nach dem Vorbild der AGES an, die smarte Produkte in Bezug auf Datensicherheit zertifiziert und stichprobenartig Prüfungen durchführt. Eine von seiner Schlichtungsstelle durchgeführte Studie von smartem Spielzeug habe ergeben, dass viele Daten unverschlüsselt übertragen wurden.

Zu „Security by design“ kann sich Gladt verbindliche Mindestkriterien und – ähnlich zu Energieampeln – darüber hinausgehende Kriterien vorstellen. Aufklärung solle außerdem schon so früh als möglich beginnen, am besten in der Schule.

Hirmke: Basisinformationsblätter sollen für mehr Transparenz sorgen

Auch beim Verein für Konsumenteninformation (VKI) gibt es laut Thomas Hirmke, Bereichsleiter Recht, noch keine massenhaften Beschwerden. Er sieht die Politik dennoch gefordert. Beim Internet der Dinge liege die Datenmacht nicht beim Individuum, wertet er als eines der zentralen Probleme. Bisher vom VKI durchgeführte Tests, etwa eine Spielpuppe und Fitness-Apps betreffend, hätten gezeigt, dass Datenflüsse nur mit enormem  Aufwand eruiert werden können. Auch bei der Rechtsdurchsetzung seien dem VKI wegen des fehlenden Zugangs zu Informationen die Hände gebunden. Insofern seien den von Gladt geforderten Musterprozessen Grenzen gesetzt.

Um mehr Transparenz zu schaffen, regte Hirmke Basisinformationsblätter für KonsumentInnen an, aus denen klar hervorgehen soll, welche Daten übermittelt und wozu diese verwendet werden. Die gegenwärtigen Datenschutz-Zustimmungserklärungen seien nicht nur elendslang, auch sei später teilweise nur schwer reproduzierbar, welche Einwilligungen man gegeben habe. Weitere Problemfelder sieht Hirmke bei der Produkthaftung und bei Softwareupdates.

In der Fragerunde sprach sich Hirmke dafür aus, Sicherheitsnormen zu definieren, klar erkenntlich zu machen und darauf zu achten, eine dauerhafte Lösung zu finden. Außerdem brauche es entsprechende Regelungen im Konsumentenschutzgesetz, um Verbraucherverbänden bei Datenschutzverstößen die Möglichkeit zu geben, tatsächlich etwas zu unternehmen und Musterprozesse zu führen. Eine konkludente Zustimmungserklärung für eine Datenweitergabe an Dritte hält er grundsätzlich für heikel, diese müsse ausdrücklich erfolgen.

Mondria: Internet der Dinge wächst rasant

Michael Mondria (Ars Electronica) wies darauf hin, dass das Internet der Dinge rasant wächst. Derzeit gibt es ihm zufolge acht Milliarden internetfähige „Devices“, 2025 sollen es Prognosen zufolge 22 bis 50 Milliarden sein. Gleichzeitig werde sich die produzierte Datenmenge im Zettabyte-Bereich vervielfachen, einer Zahl mit 21 Nullen.

Als hervorstechendes Merkmal für das Internet der Dinge sieht Mondria den Umstand, dass Daten von Dingen generiert werden, teils gesteuert, teils aber nur noch indirekt – etwa durch Algorithmen – ausgelöst. Wobei es wenig Transparenz bezüglich der übertragenen Daten gebe. Auch wüssten die Hersteller zum Teil selbst noch nicht, was sie mit den massenweise gesammelten Daten machen sollen. Mondria plädierte dafür, den Spielraum möglichst einzuengen. Nicht immer brauche es Internet-Verbindungen.

Was das in der Fragerunde aufgeworfene Thema Black Box betrifft, ist es Mondria zufolge definitiv so, dass man nicht mehr nachvollziehen könne, was Algorithmen kreieren.

Hasenauer: Menschen fürchten Big Data, handeln aber nicht danach

Rainer Hasenauer, Honorarprofessor am Institut für Marketing-Management der Wirtschaftsuniversität Wien, vermisst systematische Bedrohungsanalysen sowohl im Security- als auch Safety-Bereich. Außerdem geht es für ihn auch um Ethikfragen. Die Menschen seien bereit, Freiheit für praktische Produkte aufzugeben, von denen sie allerdings wenig verstehen. Sie fürchten außerdem Big Data, handeln aber nicht danach. Hasenauer sieht auch einen Markt für neue Versicherungsprodukte, um Risiken abzudecken, und zwar sowohl für die Unternehmerseite als auch für KonsumentInnen.

Hasenauer zufolge hat Ethik in dem Moment an Gewicht gewonnen, als Roboter zur Betreuung von Menschen eingesetzt wurden. Es zeige sich, dass Ethikregeln auch von einfachen Menschen verstanden werden. Die multidisziplinäre Verständigung sei darüber hinaus ein wichtiges Forschungsgebiet. Gegenüber den Abgeordneten brachte er auch den Vorschlag von „Living Labs“ als soziale Experimente in diesem Feld auf, um zu schauen, was sich an Kommunikationsverhalten, Werteverhalten und ethischen Aspekten herauslesen ließe. Was das Thema Pflege betrifft, gebe es grundsätzlich eine eher positive Einstellung zur Unterstützung durch „elektronische Helferlein“.

Zimmer: Geräte müssen auch offline funktionieren

Daniela Zimmer, Konsumentenschutzexpertin der Arbeiterkammer Wien mit den Schwerpunkten Telekommunikation, Internet und Datenschutz, widmete sich bald schon verpflichtenden Autoassistenten wie Spurhaltesystemen, Müdigkeitswarnern und Notbremssystemen. Aus juristischer Sicht stellen sich ihr viele Fragen, etwa ob und inwieweit sich die Systeme deaktivieren lassen und wer im Falle eines Unfalls die Verantwortung trägt.

Ein Dorn im Auge ist Zimmer auch, dass viele Geräte nicht funktionieren, wenn man offline ist, obwohl die Netzverbindung, etwa für elektronische Spiele, gar nicht benötigt würde. Es brauche ein Gleichgewicht zwischen Verbrauchern und Anbietern, sagte sie. KonsumentInnen müssten außerdem auch über Eigentum an eingebauten Softwarekomponenten eines Produkts verfügen. Sie dürften auch nicht gezwungen werden, Koppelungsverträge zu akzeptieren, also beispielsweise Geräte nur mit verpflichtendem Service- oder Versicherungsvertrag kaufen können.

Zu beobachten sei eine Entwicklung weg von der klassischen Eigentumsübertragung hin zu Lizenzen und Vergabe von Nutzungsrechten, antwortete Zimmer auf entsprechende Fragen der Abgeordneten. Die Anbieterseite gewinne dabei an Stärke. Es gebe hier Herausforderungen für das Vertragsrecht, das zu überdenken sei, etwa hinsichtlich Produktangaben zu Updates. Zu überlegen sei aber auch eine Verpflichtung zu getrennten Verträgen bei IoT-Features. Ein großes Thema für die Zukunft seien auch der Wert anonymisierter oder pseudonymisierter Daten. Zimmer sprach sich dafür aus, dass Verbände losgelöst vom Einzelnen Rechtsfragen klären können sollten, wie dies eine von Österreich nicht umgesetzte Bestimmung der DSGVO erlauben würde.

Schnurer: Bestehender Rechtsrahmen reicht aus

Florian Schnurer vom Fachverband der Elektro- und Elektronikindustrie der Wirtschaftskammer sprach sich gegen neue gesetzliche Regelungen aus. Der bestehende Rechtsrahmen reiche aus, um auf drohende Probleme reagieren zu können, ist er überzeugt. So bieten seiner Meinung nach die Datenschutzgrundverordnung und das Kartell- und Wettbewerbsrecht ausreichend Handhabe, um die Transparenz zu verbessern und die Frage von Daten-Eigentum zu lösen. Was Informationspflichten betrifft, würde er kurze Factsheets für zielführender halten als seitenlange AGBs und Datenschutzerklärungen.

Überzogene Regulierungen würden Innovationen hemmen, warnte Schnurer. Europa befinde sich ohnehin in einer Umklammerung zwischen China und den USA und verliere bei neuen Technologien den Anschluss. Den Unternehmen neue Steine in den Weg zu legen, wäre in diesem Sinn kontraproduktiv. Schließlich würden neue Technologien stark dazu beitragen, das Leben zu erleichtern und die Sicherheit zu erhöhen, und würden daher von Kunden auch stark nachgefragt. Überhaupt nichts hält Schnurer von nationalstaatlichen Regelungen, schließlich kenne das Internet keine Grenzen.

Auch in der Fragerunde unterstrich Schnurer seine Überzeugung, dass es bereits alle Werkzeuge zur Klärung der aufgeworfenen Fragen gebe, auch in der Präzisierung durch Gerichte.

Wiesinger: Es braucht Abschaltknopf in Autos für Datenübertragung

Bernhard Wiesinger, Leiter der ÖAMTC-Interessenvertretung, wies darauf hin, dass heute faktisch jedes Neufahrzeug mit Technik ausgestattet sei, die Datenübertragung zum Hersteller ermöglicht. Die meisten Fahrzeuge hätten überdies Vorrichtungen eingebaut, die Car-to-Car-Kommunikation oder Kommunikation mit Infrastruktureinrichtungen wie Ampeln erlauben. Der Konsument wisse meist aber nicht, welche Daten übertragen werden und was mit diesen passiert. Wiesinger zufolge werden unter anderem, abhängig vom Hersteller und Modell, der GPS-Standort (im 2-Minuten-Takt), Kilometerstand, Reifendruck, Betriebsstunden der Fahrzeugbeleuchtung sowie Beschleunigungs- und Bremsdaten übertragen. Für sich genommen handle es sich nur um technische Daten, meinte Wiesinger. Mit einem Algorithmus analysiert ergebe sich aber ein personenbezogenes Fahrprofil.

Neben der Gefahr von Hackerangriffen hält Wiesinger auch die Verfügungsmacht über die eigenen Daten für eine wesentliche Frage. Der Autofahrer könne derzeit etwa nicht entscheiden, dass auch der ÖAMTC die Daten bekomme. Abfragen über den Bordcomputer seien teilweise kostenpflichtig. Problematisch ist für Wiesinger außerdem, dass bei einem Weiterverkauf des Fahrzeugs der neue Käufer oft nicht wisse, welchen Datenübertragungen der Erstkäufer zugestimmt habe. Es brauche einen „Abschaltknopf“, damit das Auto keine Datenschleuder werde, so Wiesinger.

Auf eine entsprechende Frage der Abgeordneten sagte Wiesinger, seines Wissens gebe es keinen standardisierten Prozess zur Löschung von Daten beim Weiterverkauf eines Autos. Aus seiner Sicht wäre das durchaus ein Ansatzpunkt auf nationaler Ebene. Die genannte Ampel, die zurückmeldet, werde bisher nicht eingesetzt. Was „Event Data Record“, also eine Art Unfalldatenschreiber betrifft, geht Wiesinger von einer Entwicklung aus, dass man die Daten irgendwann nicht nur für Unfallstatistiken, sondern auch bei Unfällen mit Personenschaden heranziehen wollen wird. Zum Thema Auskunftsersuchen nach DSGVO werde es einige Zeit brauchen, bis sich das auch bei Autoherstellern herumspreche.

Echsel: Eigentümer eines Autos muss auch Eigentümer der Daten sein

In eine ähnliche Stoßrichtung ging die Kritik vom ARBÖ-Rechtsexperten Martin Echsel. Die aufgezeichneten Daten könnten zugunsten des Autofahrers verwendet werden, aber auch massiv zu dessen Nachteil, indem er als Konsument übervorteilt werde, warnte er. Zudem gab er zu bedenken, dass die Datenschutzgrundverordnung nur die Verwendung personenbezogener Daten regelt.

Der Eigentümer des Fahrzeugs müsse der Eigentümer der Daten sein, forderte Echsel. Ein Informationsmonopol für den Hersteller sei dem freien Wettbewerb abträglich. Wenn es für freie Reparaturwerkstätten mühsam oder kostenpflichtig sei, zu Fahrzeugdaten zu kommen, sei ein freier Wettbewerb nicht gewährleistet. Echsel fragt sich außerdem, was es für Konsequenzen haben wird, sollten einmal Behörden Zugriff auf die Fahrzeugdaten erhalten. Es brauche ein Gleichgewicht zwischen KonsumentInnen und Autohersteller.

Das automatisierte Fahren sei ein Bereich, der uns überholen könnte, sagte Echsel gegenüber den Abgeordneten. Günstigere Versicherungsprämien, wenn das Autofahren sicherer werde, könne er sich vorstellen, gab aber umgekehrt etwaige hohe Steigerungen zu bedenken, wenn einmal etwas passiere.

Alge: Gekaperte smarte Geräte können Stromnetz lahmlegen

D as Internet der Dinge sei bereits erheblich größer als das Internet der Menschen, hob der Cybersecurity-Experte Wieland Alge hervor. In fast jeder Situation sei man heutzutage von mehr IP-Adressen umgeben als von Personen. Aufklärung und Schulung seien wichtig, sagte Alge, sie hätten aber ihre natürlichen Grenzen. Man müsse sich klar darüber sein, dass ein Auto künftig kein Auto mehr ist, sondern ein Computer, der einen herumfährt, und ein Kühlschrank kein Kühlschrank, sondern ein Computer, der die Butter kalt hält.

Alge machte auch darauf aufmerksam, dass für sich allein gesehen unkritische Dinge wie Fernsehgeräte oder Kühlschränke in der Masse zu einer kritischen Infrastruktur werden könnten. Wenn jemand 50.000 smarte Kühlschränke und 200.000 smarte TV-Geräte oder 100.000 Smart Meter und ein paar Ladestationen kapere, könne das zu einer unmittelbaren Bedrohung für das Stromnetz werden. Sichere Produkte seien in diesem Sinn auch von allgemeinem öffentlichen Interesse. Klar ist für Alge, dass Regelungen auf nationaler Ebene nichts bewirken, ein angedrohtes Verkaufsverbot wäre etwa nur EU-weit wirksam.

Bei Gewährleistungsfristen und Updates sieht Alge noch eine schwierige Situation. Aus Sicht von Safety und Security werde permanentes Updaten Priorität haben. Er gab aber zu bedenken, dass bei den Dingen ein „Recht auf offline“ mit einer „Pflicht auf offline“ verbunden werden könnte – nach dem Motto einmal offline, immer offline. Auch die Ethikdiskussion werde nicht ganz einfach werden. Ein wesentlicher Punkt liegt für ihn bei der Ausbildung.

Laub regt Gütesiegel für Geräte mit Datenübertragungssicherheit an

Auch Iwona Laub (Epicenter.Works) hält europaweite Regelungen für zielführend. Ihrer Meinung nach gibt es aber sehr wohl auch einen gewissen nationalen Spielraum. Regulierungen dürften Unternehmergeist und Innovation aber nicht behindern.

Laub gab zu bedenken, dass Unternehmer ihre eigenen Daten oft weit besser schützen als Kundendaten. Hier gelte es, auch aufklärend zu wirken. Zudem plädierte sie dafür, das Auffinden von Sicherheitslücken zu belohnen und die Verschleppung von Sicherheitsupdates zu bestrafen. Wichtig ist es Laub auch, dass KonsumentInnen Geräte ohne Internetverbindung nutzen können. Ein Auto oder andere Produkte müssten auch „offline“ voll funktionsfähig sein. Ebenso dürfe die Nutzungsdauer eines Geräts nicht von Updates abhängen. Vorgeschlagen wurde von Laub überdies ein Gütesiegel für die Erfüllung von Mindestanforderungen an die Datenübertragungssicherheit analog zur CE-Kennzeichnung.

Auf Nachfrage hielt Laub fest, sie könne sich eine Kennzeichnungspflicht vorstellen, wie lange die Geräte Updates erhalten. Nach einer Offline-Zeit damit wieder online zu gehen, hält sie für keine gute Idee. Grundsätzlich sprach sich Laub für verstärkte Bildung aus. Was Netzneutralität betrifft, sieht sie mit der 5G-Technologie die Problematik zunehmen, dass es zu „Spezialservices“ kommen könnte und nicht jedes Datenpaket in der Übermittlung gleich behandelt wird.

Hartinger-Klein kann sich Ethikkommission vorstellen

Die auch für Konsumentenschutz zuständige Sozialministerin Beate Hartinger-Klein ist sich des Themas sehr bewusst, wie sie sagte. Im Gesundheitsbereich gebe es in Österreich die Bioethikkommission. Eine solche Einrichtung sei aber durchaus auch für andere Bereiche überlegenswert, so Hartinger-Klein. (Schluss) gs/mbu

Rückfragen & Kontakt:

Pressedienst der Parlamentsdirektion
Parlamentskorrespondenz
Tel. +43 1 40110/2272
pressedienst@parlament.gv.at
http://www.parlament.gv.at
www.facebook.com/OeParl
www.twitter.com/oeparl