Im Auftrag des Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein (oder kurz ULD) hat Dr. Moritz Karg ein Gutachten

Datenschutzrechtliche Bewertung
des Einsatzes von „intelligenten“ Messeinrichtungen  (Smart Meter)
für die
Messung von gelieferter Energie

erstellt.

«Smart Metering» ist eine M2M-Anwendung, die bei näherer Betrachtung eben nicht “nur” die Übertragung von Messwerten, sondern sehr wohl auch eine  Verarbeitung von personenbezogener Daten und fällt daher unter eine Reihe von gesetzlichen Regelungen, die man tunlichst beachten sollte.

Auch wenn das Gutachten für Nicht-Juristen eine doch schon  etwas sperrige Lektüre ist, lohnt sich die Mühe doch: Der Leser erhält einen guten Eindruck, wie M2M-Anwendungen durch die “Datenschutz-Brille” betrachtet werden.

Thilo Weichert, Leiter des ULD:

„Neue Technologien eröffnen neue Möglichkeiten – Smart Meter z.B. zum Energiesparen – und neue Risiken. Das frühzeitige Beachten der Datenschutzvorgaben durch die Betreiber und Anbieter verhindert spätere Mehrkosten und Konflikte. Wer sicher gehen möchte, dass die eigenen Verfahren rechtskonform sind, kann diese zertifizieren lassen.“

Wer sich mit M2M-Projekten beschäftigt, muss sich also nicht nur mit technischen und kaufmännischen Problemen herumschlagen, sondern sollte tunlichst auch ein – professionelles – Auge auf das Thema Datenschutz werfen (lassen).

Auch wenn es auf den ersten Blick “nervt”, bin ich doch froh, dass in Deutschland das Thema Datenschutz – zumindest im Vergleich mit dem Rest der Welt – gesetzlich einigermassen gut verankert ist, auch wenn das Thema häufig noch nicht wirklich ernst genug genommen wird.

Der technische Fortschritt und die extrem stark zunehmende Verbreitung, die wir alle für M2M-Anwendungen in den nächsten Jahren erwarten, erfordert zwingend einen etablierten Datenschutz. Ohne Datenschutz wird es zukünftig keine Akzeptanz des Themas M2M in der Bevölkerung geben.

Mehr zum Thema auf dem M2M Weblog:

• http://m2m-blog.de/2009/01/12/m2m-produkt-mit-datenschutzsiegel/

Weitere Ressourcen im Netz:

• Zeit Online: Was der intelligente Stromzähler ausplaudern darf
• Mühlheimer Bürger Initialiven zur “ModellStadt Smart Metering”
• Heise Online: Intelligente Stromnetze: Ich weiß, ob du gestern geduscht hast

In den vergangenen Monaten in der Presse:

Immer mehr verlorene Festplatten und Laptops mit vertraulichen Daten in England, geklaute Kreditkartendaten in den USA und Millionen von Kunden- und Bankdaten in Deutschland zu verkaufen.

Heute weiß es Jedermann: Auch bei uns ist Deutschland es in Sachen Datenschutz nicht gut bestellt, von der Situation im Ausland wo teilweise sogar die gesetzlichen Grundlagen fehlen ganz abgesehen.

Die vermutlich aktivsten Verfechter des Datenschutzgedankens sitzen ganz im Norden unserer Republik im Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein oder kurz ULD. Neben der Kontrolle von Behörden und der Verfolgung von Datenschutzverstößen werden dort auch Schulungen (Stichwort Datenschutzakedemie) durchgeführt und vor allem auch präventive Arbeit in Form von Audits und Prüfung von Produkten (Datenschutz-Gütesiegel) geleistet.

Datenschutz spielt aber nicht nur im Rahmen personenbezogener Daten eine Rolle, sondern auch für M2M-Anwendungen sollte man sich fragen, ob die notwendigen Standards eingehalten werden. Neben warmer Worte gab es aber bisher schlicht und einfach “nichts”.

Aber jeder, der eine M2M-Anwendung plant oder bereits betreibt, sollte sich in einer ruhigen Stunde einmal fragen, was er denn über diese weichen (d.h. nicht rein funktionalen) Aspekte seiner Anwendung weiß und wie potentiellen Gefahren (Informationsweitergabe, Manipulation, Folgeschäden, Haftung) begegnet wird.

Insbesondere interessant ist der Nachweis der “notwendigen Sorgfalt” im Falle eines Falles zur Minimierung einer – evtl. auch persönlichen – Haftung.

Erstes M2M-Produkt mit Datenschutz-Gütesiegel

Jetzt hat das ULD mit dem Produkt fixed.IP – vertrieben durch die mdex GmbH und realisiert in den Rechenzentren der ic3s AG – das erste M2M-Produkt durch die Verleihung des Datenschutz-Gütesiegel ausgezeichnet (Kurzgutachten als PDF).

Aus dem Gutachten:

“Bei dem IT-Produkt „mdex fixed.IP“ handelt es sich um eine gut durchdachte technische Lösung zur sicheren IP-basierten Kommunikation von Mobilgeräten. Die Daten werden dabei zunächst durch den GSM spezifischen A5 Algorithmus verschlüsselt, dann durch das IPSEC-Protokoll (bei der Kommunikation zwischen dem Mobilfunknetzbetreiber und mdex) und im VPN durch deren spezifische Verschlüsselung bei der Kommunikation zwischen mdex und dem Anwender.

Das Rechenzentrum des Produktherstellers ist nach dem Stand der Technik gesichert. Es bestehen keine Bedenken, die Datenverarbeitung durch den Produkthersteller im Wege der Auftragsdatenverarbeitung durchführen zu lassen.

Das Produkt „mdex fixed.IP“ fördert den Datenschutz durch eine nach dem Stand der Technik gesicherte Möglichkeit der IP-basierten Kommunikation von Mobilgeräten.”

Ein weiteres Produkte für die M2M-Kommunikation über Mobilnetze (GPRS/EDGE/UMTS/HSDPA), das auf “fixed.IP” aufbaut, ist die Zugriffsvariante “mdex.WebDirect“.