10.09.2014

Wearables: Datenschutz im Anzug?

«Wearables» steht für Wearable Devices, also Geräte, die von ihrem Benutzer auf dem, am oder im Körper getragen werden, wie beispielsweise Google Glass. Wearables können eine Vielzahl nützlicher Funktionen für deren Benutzer wahrnehmen; hierbei sind jedoch die datenschutzrechtlichen Aspekte nicht zu unterschätzen.

Von: Roland Mathys   Drucken Teilen   Kommentieren  

Roland Mathys, lic.iur., lic.oec.publ., LL.M. (LSE)

Roland Mathys ist Partner und Rechtsanwalt bei Schellenberg Wittmer AG, einer der führenden Wirtschaftsanwaltskanzleien der Schweiz. Er hat Wirtschaftsinformatik und Recht studiert und praktiziert seit dem Jahre 2000 als Rechtsanwalt im Recht der Informationstechnologie (IT), wo er auch ein Nachdiplomstudium in London absolviert hat. Zu seinen primären Arbeitsgebieten zählen IT-Outsourcing, Datenschutz, IT-Compliance und Prozessführung im Bereich der IT.

Zu diesem Artikel wurden noch keine Kommentare geschrieben. Wir freuen uns, wenn Sie den ersten Kommentar zu diesem Artikel verfassen.
 
Kommentar schreiben

Bitte Wert angeben!

Bitte Wert angeben!

Bitte Wert angeben! Bitte geben Sie eine gültige E-Mail-Adresse ein!

Bitte Wert angeben!

Bitte Wert angeben!

Bitte Wert angeben!

Bitte alle fett beschrifteten Pflichtfelder ausfüllen.
Zurücksetzen
 
Wearables

Wearables befinden sich auf dem Vormarsch: Tragbare Geräte, die Umgebungsdaten aufzeichnen und verarbeiten, werden bereits heute in einer Vielzahl von Anwendungen eingesetzt und erfreuen sich zunehmender Beliebtheit. Prominente Beispiele bilden Google Glass oder die in diesen Tagen neu lancierte Apple Watch.

Mit der oft sorglosen Verwendung von Wearables durch deren Benutzer geht eine ganze Reihe datenschutzrechtlicher Fragen einher, die bislang nicht oder nur ansatzweise gelöst sind. Im Folgenden wird dargelegt, weshalb dem Thema Datenschutz bei Wearables erhöhte Bedeutung zukommt und wie mit datenschutzrechtlichen Problemen im Zusammenhang mit Wearable Devices umgegangen werden kann.  

Wearables: Begriff und Beispiele

Wearables werden durch den Nutzer auf dem, am oder gar im Körper getragen. Es handelt sich hierbei um Kleinstcomputer mit der Fähigkeit, Daten aufzuzeichnen (z.B. mittels Sensoren oder Kamera) und zu verarbeiten. Oft werden Wearables nicht isoliert, sondern zusammen mit Tablet-Computern oder Smartphones eingesetzt.

Die «Einsatzmöglichkeiten» für Wearable Devices sind nahezu unbeschränkt. Bislang haben sich die folgenden vier Kategorien von Anwendungsfeldern etabliert: Gaming und Lifestyle (z.B. Google Glass), Sicherheit (z.B. «intelligente» Schutzkleidung), Sport und Fitness (z.B. Puls-, Geschwindigkeits- oder Distanzmesser) und Gesundheit/Wellness (z.B. Blutdruckmesser, künstliche Bauchspeicheldrüsen oder Kontaktlinsen für Diabetiker).

Wearables weisen eine Reihe von «Eigenheiten» auf, die auch den Datenschutz tangieren: Da Wearables am oder gar im Körper getragen werden, können sie nicht leicht – oder im Extremfall gar nicht – entfernt werden; sie sind somit allgegenwärtig und folgen deren Träger auf Schritt und Tritt. Auch können gewisse Wearable Devices nicht einfach abgeschaltet werden, sondern sind ständig in Betrieb, rundum die Uhr und sieben Tage die Woche. Wearables sind überdies meist nur einem Träger zugeordnet, was einen sehr starken Personenbezug schafft. Aktivitäten werden durch Wearables ständig aufgezeichnet und gemessen, wobei deren Träger – und erst recht ein Dritter – sich dessen oft nicht bewusst ist.

Datenschutzrechtliche Problemkreise

Aufgrund der ständigen Aktivität verarbeiten Wearable Devices sehr «grosse Datenmengen»; man denke nur etwa an die Datenberge, die bei Audio- oder Videoaufzeichnungen oder bei der kontinuierlichen Messung biomedizinischer Parameter entstehen. Dies kann zu einem Spannungsverhältnis mit dem allgemeinen datenschutzrechtlichen Grundsatz der Verhältnismässigkeit jeder Datenbearbeitung, hier insbesondere der Datensparsamkeit führen.

Wearables verarbeiten nicht nur Personendaten von deren Träger, sondern sehr oft auch «von Dritten» (z.B. Kameraaufnahmen). Diese Unterscheidung ist deshalb wichtig, weil in Bezug auf den Träger der Wearable Devices von dessen Zustimmung zur Datenbearbeitung (zumindest in Bezug auf ihm bekannte Bearbeitungszwecke) ausgegangen werden kann; bei Dritten dürfte demgegenüber diese Zustimmung regelmässig fehlen und auch nicht eingeholt werden können; in vielen Fällen ist der Dritte sich nicht einmal bewusst, dass Daten über ihn aufgezeichnet und verarbeitet werden (z.B. Kamera bei Google Glass).

Erschwerend kommt hinzu, dass die durch Wearable Devices verarbeiteten Personendaten in vielen Fällen als «besonders schützenswerte Daten» einzustufen sind (z.B. gesundheitsbezogene Daten) oder aber auf Grund der Datenfülle und -vielfalt eigentliche «Persönlichkeitsprofile» darstellen. In beiden Konstellationen werden an die rechtmässige Datenbearbeitung erhöhte Anforderungen gestellt (z.B. ausdrückliche und nicht bloss stillschweigende Zustimmung zu einer Datenbearbeitung).

Die «Zweckbindung» jeder Datenbearbeitung stellt einen weiteren datenschutzrechtlichen Grundsatz dar. Beim Träger von Wearable Devices werden mutmasslich alle mit der eigentlichen Nutzung der Wearables verbundenen Bearbeitungszwecke abgedeckt sein; schwieriger sieht es bei Zweit- und Folgenutzungen der aufgezeichneten Personendaten aus, beispielsweise zu Marketing- oder Forschungszwecken. Soweit auch Personendaten Dritter bearbeitet werden, ist demgegenüber von einer sehr engen Zweckbindung auszugehen, da die Datenbearbeitung für Dritte in vielen Fällen nicht einmal erkennbar ist.

Auch bei der Frage nach der «Rechtfertigung» einer an sich unzulässigen Datenbearbeitung infolge Zustimmung des Betroffenen ist zu unterscheiden zwischen dem Träger von Wearable Devices und Dritten: Beim Träger ist eher von einer (stillschweigenden) Zustimmung auszugehen als bei einem Dritten, wo es bereits an der vorgängigen angemessenen Information fehlt. Liegt keine Zustimmung vor, bleibt im Wesentlichen nur der Rechtfertigungsgrund der überwiegenden öffentlichen und vor allem privaten Interessen. Bei der Vornahme der Interessenabwägung ist jedoch Zurückhaltung geboten: Nur in wenigen Fällen dürfte das Eigeninteresse des Trägers dasjenige Dritter überwiegen (z.B. Einsatz von Google Glass bei sehbehinderten Menschen).  

Mögliche Lösungsansätze

Wann immer neue datenschutzrechtliche Herausforderungen auftauchen, macht sich sofort der Ruf nach strengerer «Gesetzgebung» breit. Dies dürfte hier angesichts der rasant fortschreitenden Technologie jedoch kaum zum Ziel führen und erscheint auch nicht notwendig. Stattdessen können bestehende Mechanismen dazu genutzt werden die datenschutzrechtlichen Probleme von Wearable Devices zu bewältigen.

«Privacy by Design» kann dazu beitragen, Datenschutzverletzungen bei Wearable Devices (und zugehörigen Apps) bereits im Ansatz zu vermeiden. Beispielsweise hat sich Google in einem Schriftenwechsel mit den Datenschutzbehörden verschiedener Staaten zur Einhaltung des Standards verpflichtet, dass die Aktivierung der Kamera von Google Glass für Dritte optisch erkennbar sein muss.

Einen weiteren nützlichen Behelf stellen «Softlaw und Selbstregulatoren» dar. Zu denken ist hierbei etwas an eine «Weariquette», das heisst einen Verhaltenskodex ähnlich der vom Internet bekannten «Netiquette». In diese Kategorie fallen auch Verbote, Wearable Devices an bestimmten Orten zu tragen und einzusetzen; so haben etwa diverse Casinos in Las Vegas neulich entschieden, das Tragen von Google Glass zum Schutz der Privatsphäre Dritter in den Casinoräumlichkeiten zu untersagen.

Nicht zuletzt ist auch an die «Selbstverantwortung» der Benutzer von Wearables zu appellieren: Bei den Trägern von Wearable Devices muss das Bewusstsein dafür geschaffen werden, welche datenschutzrechtlichen Probleme sich bei deren Einsatz stellen können und wie damit vernünftig und umsichtig umgegangen wird.    

Fazit zu Wearables

Der Vormarsch von Wearables wird nicht aufzuhalten sein. Neben vielen Vorteilen, die dem Benutzer das Leben vereinfachen können, dürfen die durch den Einsatz von Wearable Devices akzentuierten datenschutzrechtlichen Probleme nicht aus den Augen verloren werden. Für deren Meisterung bedarf es keiner neuen Gesetzesnormen, sondern eines durchdachten und abgestimmten Einsatzes bestehender Instrumente und Mechanismen.

Produkt-Empfehlungen

  • InformatikPraxis

    InformatikPraxis

    DIE ultimative Praxislösung für IT-Entscheider!

    ab CHF 168.00

  • IT-Sicherheit

    IT-Sicherheit

    Schützen Sie Ihr Unternehmen konsequent vor Systemstörungen und Risiken.

    Mehr Infos

  • Das elektronische Datenschutzhandbuch

    Das elektronische Datenschutzhandbuch

    Sattelfest im Datenschutz - dank dieser Praxis-Lösung.

    Mehr Infos

Seminar-Empfehlungen

  • Praxis-Seminar, 1 Tag, ZWB, Zürich

    IT-Verträge entwerfen und verhandeln

    Rechtssicherheit bei IT-Projekten, Outsourcing und Cloud Computing

    Nächster Termin: 19. Juni 2018

    mehr Infos

  • Praxis-Seminar, 1 Tag, ZWB, Zürich

    Datenschutz am Arbeitsplatz

    Rechte und Pflichten im Umgang mit Mitarbeiter- und Bewerberdaten

    Nächster Termin: 05. Juni 2018

    mehr Infos