Unabhängige Kompetenz-Plattform
für Integrierte Sicherheit in der Schweiz.

10.03.2016
von: ISSS

Report zum ISSS Security Lunch vom 2. März 2016

Internet der Dinge - Was Anbieter und Anwender wissen müssen - Sicherheit - Haftung - Datenschutz – Versicherung
Zum zweiten ISSS Security Lunch im 2016 begrüsste Dr. Ursula Widmer, Präsidentin der ISSS, am 2. März rund 25 Teilnehmende im Zunfthaus zur Schneidern in Zürich zum Referat von Beat Lehmann, «Internet der Dinge - Was Anbieter und Anwender wissen müssen». Einleitend wies Frau Dr. Widmer auf die rasante Zunahme von vernetzten Geräten in allen Bereichen des täglichen Lebens hin und zeigte gemäss einem Beitrag des Economist von 2015 auf, dass die Einhaltung der Privatsphäre und der rechtlichen Bestimmungen die grössten Hürden in der Umsetzung von Projekten des Internet of Things (IoT) darstellen.

Im Anschluss nahm Beat Lehmann, Fürsprecher und ISSS Vorstandsmitglied, die Teilnehmenden mit auf seine Entdeckungsreise durch die Welt der intelligenten Dinge. Am Anfang stand der Versuch, den Begriff des IoT zu definieren und aufzuzeigen, dass IoT Devices lediglich aus der Kombination längst bekannter ICT Komponenten bestehen. Dennoch führe das Zusammentreffen neuer technischer Anwendungen mit der bestehenden Rechtsordnung zu neuartigen juristischen Fragestellungen. Genau diesen Fragestellungen widmete der Referent dann den Hauptteil seines Vortrages. So sei das IoT mit zahlreichen technischen, regulatorischen und rechtlichen Risiken verbunden und es sei nach wie vor unklar (bspw. Self-Driving Cars), wie Risiken für Personen und Sachen, die von intelligenten Gegenständen ausgehen, rechtlich einzuordnen seien. Auch verwies er auf den ethischen Algorithmus, d.h. wie sich ein Gerät bei zwei schlechten (unethischen Varianten) entscheiden soll, beispielweise das Überfahren eines Kindes oder eines Seniors.

Einen interessanten Ansatz verfolgte der Referent mit der These, dass IoT Devices dem Produktesicherheitsgesetz (PrSG) unterliegen und sich die Haftung nach dem Produktehaftpflichtgesetz (PrHG) bemisst.

Brisant ist die These insofern, als dass ein Produkt eine verwendungsbereite bewegliche Sache darstellt, die Teil einer anderen beweglichen oder unbeweglichen Sache sein kann. Mit anderen Worten würde bereits ein «intelligenter Mikrochip» in unverbautem oder verbautem Zustand unter die Produktedefinition fallen. Wäre dem so, so dürften IoT Devices oder Teile davon beispielsweise die Sicherheit und Gesundheit ihrer Anwender und Dritter nicht gefährden, Produkte müssten gefährdungsgerecht verpackt und gekennzeichnet werden, Warn- und Sicherheitshinweise müssten angebracht werden (z.B. «ich bin ein Smart Device») und Anleitungen zu Installation, Bedienung und Wartung müssten vorliegen. Weiter hätten die Hersteller die Pflicht zur Überwachung der Sicherheit der Produkte und deren Rückverfolgbarkeit während der voraussichtlichen Dauer ihres Gebrauchs. Massnahmen bei erkannten Sicherheitsproblemen wären ein Verkaufsstopp, Rücknahme vom Markt und Rückruf der Produkte.

Auch im Bereich der Haftungsverhältnisse für IoT Devices sind noch viele Fragen offen. So haftet beispielsweise der Hersteller nach dem Produktehaftpflichtgesetz ohne Nachweis eines Verschuldens für Personen- oder Sachschäden aus der Lieferung eines mit Fehlern behafteten Produktes. Die Haftung würde auch die Herstellung eines in das Endprodukt eingebaute Teilprodukt (bspw. einen Sensor zur Datenerfassung) betreffen. Die Hersteller des Teilprodukts haften dabei solidarisch mit dem Hersteller des Endprodukts.

Die Frage, ob Gegenstände mit eingebauter Intelligenz dem Produktesicherheitsgesetz und dem Produktehaftpflichtgesetz unterliegen, wird weiterhin von Interesse sein. Nicht zuletzt deshalb, weil zu dieser Thematik noch keine höchstrichterliche Rechtsprechung vorliegt.

Schliesslich zeigte der Referent die datenschutzrechtliche Problematik im Zusammenhang mit IoT auf. So bestehe die Gefahr, dass durch den alltäglichen Umgang mit IoT Devices Persönlichkeitsprofile über den Nutzer angelegt würden, die eine Beurteilung wesentlicher Aspekte der Persönlichkeit des Nutzers erlaubten. Insbesondere mit der Nutzung von Geräten, die Gesundheitsdaten auswerten würden, seien auch besonders schützenswerte Daten des Nutzers betroffen. Ein Lösungsansatz sei beispielsweise Privacy by Design, wobei Produkte und Services derart zu erstellen seien, dass diese standardmässig nur diejenigen personenbezogenen Daten verarbeiten würden, welche für den jeweiligen Zweck erforderlich seien.

In der anschliessenden von Ursula Widmer moderierten und sehr angeregten Diskussion mit zahlreichen Fragen wurde vor allem über die Unterstellung von IoT Devices unter die Produktesicherheits- bzw. haftpflichtgesetze und die sich daraus ergebenden Folgen diskutiert.

Viel zu schnell war ein spannender Security Lunch vorbei. Beat Lehmann gelang es dabei, die Teilnehmenden mit viel Humor zu einem Thema zu sensibilisieren, das uns noch lange begleiten wird.


Security-Finder Schweiz: Newsletter