TÜV Rheinland: Datenschutz mit IoT Data Privacy-Zertifikaten

Neue Regelung für IoT-Geräte

Die Vorgaben der EU-DSGVO, die u.a. neue gesetzliche Regelungen zum Datenschutz bei der Produkteentwicklung (Privacy by Design) enthalten, müssen am 25. Mai 2018 nach einer zweijährigen Übergangsfrist umgesetzt sein. Ansonsten drohen empfindliche Bußgelder und Sanktionen. Betroffen von der EU-DSGVO sind Hersteller und Anbieter von Produkten, die mit dem Internet verbunden sind und selbstständig über das Internet kommunizieren, sogenannte IoT-Produkte. Vorausgesetzt, diese Produkte verarbeiten oder speichern personenbezogene Daten. Dazu zählen beispielsweise viele Smart home-Produkte, Smart toys oder auch Wearable Health-Produkte, beispielsweise Fitness-Armbänder.

Klarheit bei Datenschutz und Datensicherheit

„Der Markt für Iot-Geräte wächst in einem rasanten Tempo. Gleichzeitig ist die Unsicherheit der Verbraucher mit Blick auf Datenschutz und Datensicherheit bei solchen Geräten enorm und stellt für Hersteller und Systemanbieter ein echtes Markthemmnis dar. Mit unseren Zertifikaten schaffen wir im IoT-Markt Vertrauen für Verbraucher ebenso wie für Hersteller“, erläutert Udo Scalla, Head of Global Competence Center IoT-Privacy bei TÜV Rheinland.

Im Rahmen des Zertifikats „Protected Privacy IoT Product“ wird ein IoT-Produkt vollständig auf die Einhaltung der Privacy-Anforderungen untersucht. „Dabei achten wir vorrangig auf Merkmale, die die Privatsphäre schützen und untersuchen, beispielsweise, ob ein vorhandener Datenspeicher gelöscht werden kann und ob die Datenübertragung verschlüsselt erfolgt. Wir prüfen, abhängig von der Komplexität des Gerätes, bis zu 50 Einzel-Anforderungen. Diese sind aus der EU-DSGVO abgeleitet“, erläutert, Günter Martin, Solutions Director im Global Competence Center für IoT-Privacy bei TÜV Rheinland. Beim Zertifikat „Protected Privacy IoT Service“ stehen der Service und die Schnittstelle oder Anwendung (z. B. Webservice), die mit einem IoT-Gerät verbunden ist, im Vordergrund. Um die Steuerung eines Gerätes über eine Anwendung zu ermöglichen, werden Daten an den Service-Anbieter übertragen und dort verarbeitet. „Insgesamt prüfen wir hierbei 26 zum Teil sehr komplexe Anforderungsgruppen. Das reicht bis zum Penetrationstest, um Sicherheitsschwachstellen zu finden“, so TÜV Rheinland-Experte Martin weiter.

IoT Privacy-Komplettlösung

Darüber hinaus bietet das globale Competence Center IoT Privacy von TÜV Rheinland individuelle Unterstützung zu allen Themen rund um Protected Privacy an. „Dabei zeigen wir Produktherstellern und Systemanbietern weltweit konkret auf, wie sie das Datensammeln auf ein definiertes Minimum reduzieren und auch so das Vertrauen ihrer Kunden in IoT-Produkte stärken können“, so Udo Scalla von TÜV Rheinland.

Das globale Competence Center reiht sich ein in das vielfältige Datenschutz-Portfolio von TÜV Rheinland mit seinen weltweiten Prüf- und Beratungsdienstleistungen. Den Schwerpunkt bilden dabei die Zertifizierung des Datenschutzes und der Datensicherheit von Online-Applikationen sowie die Prüfung und Zertifizierung des Datenschutzmanagements von Unternehmen jeder Art, einschließlich Zertifizierungen für Krankenkassen und Dienstleister. Weitere Services sind ein nachhaltiges Datenschutzmanagement nach DSGVO, die Bereitstellung von externen Datenschutzbeauftragten (sogenannte Data Protection Officers, DPO) sowie der Einsatz eines ausgereiften IT-Sicherheitsmanagements und Gefahrenerkennungssystems.

Der Geschäftsbereich ICT & Business Solutions

Kerngeschäftsfelder des Geschäftsbereichs ICT & Business Solutions sind IT-Services und Cyber Security, Dienstleistungen für Unternehmen der Telekommunikationsbranche und Personaldienstleistungen, Managementsystem-Beratung, Datencenter-Services und F&E-Management. Mit mehr als 600 Spezialisten weltweit leistet der Geschäftsbereich strategische Beratung, Konzeption und Prozessoptimierung bis hin zu Implementierung, Betrieb oder Zertifizierung der Systeme.

Weitere Informationen unter www.tuv.com/de/iot-privacy