IoeT – The Internet of evil Things

Ich hatte mal eine Wetterstation. Das heißt, eigentlich habe ich sie immer noch, ich kann — oder besser „will“ — sie jedoch momentan nicht mehr nutzen. Schuld daran ist nicht die DSGVO.

Beklagen sollte ich mich nicht, denn ich habe sie geschenkt bekommen, die Mobile Alerts MA 10050. So ein kleiner Karton mit ein paar Dingen drin, die man in die Kategorie „IoT“ einordnet, das „Internet of Things“. Dazu zählen alle die schönen Dinge unseres Lebens, die durch unser Netzwerk (kabelgebunden oder WLAN) mit der undefinierten Wolke da draußen verbunden sind. Was sie über diese Verbindung so alles übertragen, wissen wir oft nicht. Und mal ehrlich: Den meisten von uns ist es eigentlich auch egal. Was soll schon passieren? So war es auch mit der Wetterstation.

Aufbau und Technik

Das offensichtliche ist schnell erklärt:

  • ein kleiner Kasten mit einem Temperatursensor, der batteriebetrieben draußen am Gartenhäuschen hängt
  • der Regenmesser ist eine Plastiktonne, etwa so groß wie ein Liter-Maß aus der Küche, ebenfalls batteriebetrieben
  • ein Windrad zur Messung der Windgeschwindigkeit und ein drehbar gelagerter Arm für die Windrichtung in einem Gerät, dies solarstromversorgt

Ein weiteres Gerät, vom Anbieter „Gateway“ genannt, wird hausintern an die Stromversorgung und das Netzwerk angeschlossen. Damit ist die Einrichtung auch schon erledigt. Nach wenigen Sekunden blinkt die LED am Gateway nicht mehr rot, sondern leuchtet grün. Ich musste nicht mal meine WLAN-Daten eingeben.

Damit ich allerdings überhaupt etwas von den Messwerten habe, muss ich noch eine Android-App installieren. Mit dieser scanne ich die QR-Codes der drei Messgeräte, und nach kurzer Zeit „weiß ich, was mein Haus gerade macht“ (Werbespruch des Anbieters). Das ist im konkreten Fall natürlich Blödsinn, denn es geht ja um das Wetter, und das findet eher selten im Haus statt. Wenn man in das System allerdings noch weitere Sensoren des Herstellers integriert, macht der Spruch durchaus Sinn.

Doch wie gelangen die Daten nun in meine App? Da in der Gateway-Beschreibung von einem Cloud-Server die Rede ist, gehe ich davon aus, dass der Datenstrom folgendermaßen abläuft:

  1. die Messgeräte kommunizieren (wohl per Funk über 433 MHz) mit dem Gateway
  2. das Gateway sammelt die Daten und schickt sie paketweise an den Cloud-Server
  3. die Smartphone-App fordert vom Cloud-Server die Daten der eingetragenen Geräte an und stellt diese dar

Eigentlich nicht schwer verständlich, und auch nicht so schlimm. Das hat jetzt auch einige Zeit wunderbar bei mir funktioniert, und ich hatte mich schon daran gewöhnt, von unterwegs schauen zu können, wie warm es zu hause ist. Nicht dass das immens wichtig wäre, aber es war einfach „cool“.

Aber jetzt kommt der Datenschutz.

Datenschutz

Ausschnitt aus den Datenschutzhinweisen

Im Grunde könnte es mir egal sein, was der Anbieter mit den von meinem System übermittelten Daten macht. Welche Temperatur gerade in meinem Garten herrscht, wieviel Wasser vom Himmel fällt oder wie stark Äolus gerade mal wieder über die Lande zieht, hat wirklich nichts mit meinem Leben und meiner Persönlichkeit zu tun. Und solange ich keine weiteren Inhouse-Sensoren anschließe, bleibt das auch so, dann haben wir absolut kein Datenschutzproblem.

Ich könnte sogar damit leben, wenn Herr Kachelmann die von mir gewonnenen Daten für seine hochgenauen Prognosen verwenden würde. Doch auch wenn die Daten für mich recht interessant sind, ich kann mir nicht vorstellen, dass so ein Amateur-Wetter-Dings eine für professionelle Wettermodelle hinreichende Genauigkeit erreichen kann.

Doch wir haben da ja noch eine Netzwerkkomponente, und was die so macht, das ist deutlich schwieriger abzuschätzen. Ich verlasse mich gern darauf, dass ein seriöser Anbieter nicht absichtlich mein Netzwerk hacken will.

Und da kommen wir dann zu der neuen Datenschutzerklärung, die ich auf meinem riesigen und immens übersichtlichen Handy-Bildschirm abnicken soll. Vor allem, wo es nur ein Kreuz gibt für „AGB akzeptieren“ und „Datenschutzerklärung gelesen“. Und da steht dann irgendwo mitten drin das nebenstehende (Formatierung und Hervorhebungen von mir):

Sie erkennen an und stimmen zu, dass wir mit den Geräten zum Zwecke und ohne Einschränkungen direkt oder fernkommunizieren können, um

  • Ihre Berechtigung zu prüfen
  • Berichte und Warnhinweise wie automatische Support-Anfragen und Warnhinweise auszustellen
  • Richtlinien- und Konfigurationsänderungen an den Geräten vorzunehmen

Diese Kommunikationen umfassen u.a. SMS-Textmitteilungen und weitere Push-Meldungen.

Sie erkennen an und stimmen zu, dass es notwendig für uns sein kann, bestimmte Informationen im Zusammenhang mit Ihnen und den einzelnen Benutzern zu sammeln und zu verarbeiten, …

Also nochmal im Klartext: Welche meiner Berechtigungen zu prüfen ist, erschließt sich mir nicht, denn es handelt sich um einen kostenlosen Dienst. Wenn die Herrschaften sich das Recht herausnehmen, Warnhinweise auszustellen, sehe ich das wiederum als sehr bedenklich an. Denn es ist ein Teil der App-Funktionalität, z.B. Temperaturwarnungen einzurichten. So habe ich beispielsweise eine Warnung für „unter 3 °C“ eingerichtet, um von einer drohenden Glatteisgefahr rechtzeitig informiert zu werden. Und was ist mit Konfigurationsänderungen? Und was ist mit der uneingeschränkten Kommunikation via SMS-Textmitteilungen?

Aber der Hammer kommt dann: Die Erlaubnis, „Informationen im Zusammenhang mit Ihnen und den einzelnen Benutzern zu sammeln und zu verarbeiten“, so pauschal und im Kontext eines längeren juristischen Textes, das ist doch sehr zweifelhaft.

Immerhin soll ich ja gerade in meiner Handy-App diesen ganzen Dingen zustimmen, und da sind die rot markierten Rechte doch ein wenig bedenklich. Und dies ist nur ein winziger Ausschnitt aus einem Text, der auf einem Handybildschirm doch reichlich unzumutbar ist.

Um es kurz zu machen: NEIN DANKE!

Hätte ich das Gerät gekauft, wäre ich jetzt doch einigermaßen sauer, denn eine Nutzung ohne den Cloud-Dienst ist ganz einfach nicht gegeben. So ist es nur ein wenig enttäuschend.

Warnung vor der Cloud

Und da ist sie wieder, die unvermeidliche Ambivalenz: So ein kostenloser Cloud-Dienst ist wunderbar bequem und nützlich, die Einrichtung simpel. Doch ich bin nach dem Kauf einer solchen Gerätschaft auf Gedeih und Verderb dem Anbieter der damit verbundenen Dienste ausgeliefert.

Vorbei ist es mit dem „kaufen und nutzen bis es kaputt geht“, wie man es gewöhnt ist. Heute muss man eher von „kaufen und nutzen solange der Hersteller Lust hat“ oder sogar „kaufen und zahlen bis ich nicht mehr kann“ ausgehen.

Ich hatte mal eine Wetterstation. Das heißt, eigentlich habe ich sie immer noch, ich will sie jedoch momentan nicht mehr nutzen. Schuld daran ist nicht die DSGVO, die war nur der Auslöser. Es ist in meinen Augen der Diensteanbieter, der zu glauben scheint, so lange Texte würde doch niemand lesen und dann mal eben schnell das Kreuzchen reinklicken. Dazu noch ein Zitat, das meines Erachtens passend ist (Hervorhebung wie im Original):

Erfolgt die Einwilligung der betroffenen Person durch eine schriftliche Erklärung, die noch andere Sachverhalte betrifft, so muss das Ersuchen um Einwilligung in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache so erfolgen, dass es von den anderen Sachverhalten klar zu unterscheiden ist.

Quelle: Art. 7 Abs. 2 DSGVO

„Verständlich und leicht zugänglich“? „Von den anderen Sachverhalten klar zu unterscheiden“? Also bitte!

Ich hatte mal eine Wetterstation. Jetzt habe ich nur noch ein paar „Things“, die ich vielleicht mit dem Raspberry Pi irgendwann doch wieder nutzen kann.

 


SmallInvoice Logo

Ähnliche Artikel:

AuthorChristoph Jüngling

Selbständiger Softwareentwickler und Seminarleiter

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

acht + fünfzehn =