Cyber­si­cher­heit und Daten­schutz bei Funkanlagen

EU-Kommission will Her­stel­ler verpflichten!

Seit Jah­ren häu­fen sich IT-Sicherheitsvorfälle und Daten­schutz­ver­let­zun­gen im Zusam­men­hang mit dem Inter­net of Things (IoT), ver­netz­ten Spiel­zeu­gen und Weara­bles. Dar­auf reagiert die EU-Kommission jetzt mit einem Ent­wurf für eine dele­gier­te Ver­ord­nung zur Radio Equip­ment Direc­ti­ve (RED), zu dem bis zum 27. August 2021 eine öffent­li­che Kon­sul­ta­ti­on läuft. Mit der Ver­ord­nung will die Kom­mis­si­on den Art. 3 Abs. 3 lit. d)-f) RED mit Leben fül­len und Her­stel­ler zu Maß­nah­men in Bezug auf Cyber­si­cher­heit, Daten­schutz und Betrugs­prä­ven­ti­on verpflichten.

Als Teil der RED sind die Vor­ga­ben im Rah­men des Kon­for­mi­täts­be­wer­tungs­ver­fah­rens (Art. 17 RED) zu berück­sich­ti­gen und damit erfor­der­lich für die CE-Kennzeichnung von Funk­an­la­gen und die Bereit­stel­lung der Gerä­te auf dem euro­päi­schen Markt. Her­stel­ler ent­spre­chen­der Gerä­te wer­den durch die Kom­mis­si­on damit unmit­tel­bar zur Umset­zung von Cyber­si­cher­heit, Daten­schutz und Betrugs­prä­ven­ti­on ver­pflich­tet. Im Fol­gen­den möch­ten wir Sie daher aus­führ­lich zu die­sem für Her­stel­ler hochr­e­le­van­ten The­ma informieren.

Cyber­si­cher­heit, Daten­schutz, Betrugs­prä­ven­ti­on – was bald für Her­stel­ler gel­ten könnte

Ver­ab­schie­det die EU-Kommission die dele­gier­te Ver­ord­nung in der aktu­el­len oder ähn­li­chen Form, müs­sen die Her­stel­ler von Funk­an­la­gen künf­tig zwin­gend Maß­nah­men zur Cyber­si­cher­heit, zum Daten­schutz und zur Betrugs­prä­ven­ti­on ergrei­fen, um ihre Gerä­te rechts­kon­form auf dem euro­päi­schen Markt bereit­zu­stel­len. Wel­che Maß­nah­men genau erfor­der­lich sind, hängt von der Art der Funk­an­la­ge ab:

  • Funk­an­la­gen, die mit dem Inter­net ver­bun­den sind, sol­len künf­tig die Anfor­de­run­gen an die Cyber­si­cher­heit nach Art. 3 Abs. 3 lit. d) RED erfül­len. Die Gerä­te dür­fen folg­lich weder schäd­li­che Aus­wir­kun­gen auf das Netz oder sei­nen Betrieb haben noch eine miss­bräuch­li­che Nut­zung von Netz­res­sour­cen, die eine unan­nehm­ba­re Beein­träch­ti­gung des Diens­tes ver­ur­sa­chen, erlau­ben. Ent­spre­chen­de Maß­nah­men wären damit für alle IoT-Geräte verpflichtend.
  • Anfor­de­run­gen an den Daten­schutz nach Art. 3 Abs. 3 lit. e) RED sol­len künf­tig alle Funk­an­la­gen erfül­len, mit denen per­so­nen­be­zo­ge­ne Daten nach Art. 4 Nr. 1 Datenschutz-Grundverordnung (DSGVO) oder Verkehrs- bzw. Stand­ort­da­ten nach Art. 2 lit. b) und c) der ePrivacy-Richtlinie ver­ar­bei­tet wer­den und die
  1. mit dem Inter­net ver­bun­den sind oder
  2. aus­schließ­lich zur Kin­der­be­treu­ung kon­zi­piert und bestimmt sind (z.B. Baby­phon) oder
  3. Spiel­zeug im Sin­ne der Spiel­zeug­si­cher­heits­richt­li­nie sind (z.B. Smart Toys) oder
  4. Weara­bles, die am mensch­li­chen Kör­per getra­gen oder mit die­sem ver­bun­den wer­den (z.B. Smart Wat­ches, Smart Clot­hing, Kopf­hö­her, Fit­ness­tra­cker, ver­netz­te Schu­he etc.).

Kon­kret erfor­der­lich ist in die­sen Fäl­len, dass das Gerät über Sicher­heits­vor­rich­tun­gen ver­fügt, die sicher­stel­len, dass per­so­nen­be­zo­ge­ne Daten und die Pri­vat­sphä­re des Nut­zers und des Teil­neh­mers geschützt werden.

  • Kann ein Nut­zer über eine Funk­an­la­ge am Zah­lungs­ver­kehr teil­neh­men oder vir­tu­el­le Wäh­run­gen ver­wal­ten, muss das Gerät Funk­tio­nen zum Schutz vor Betrug unter­stüt­zen und dadurch die Betrugs­prä­ven­ti­on unterstützen.

Der wei­te­re Fahr­plan: Ver­pflich­tung geplant ab 2024

Die Kon­sul­ta­ti­on der EU-Kommission zum Ent­wurf für den dele­gier­ten Rechts­akt läuft noch bis zum 27. August 2021. Die Annah­me des Ent­wurfs durch die EU-Kommission ist bereits für das vier­te Quar­tal 2021 geplant. In Kraft tre­ten wird der Ent­wurf, der eine Umset­zungs­frist von 30 Mona­ten vor­sieht, 20 Tage nach der Ver­öf­fent­li­chung im Amts­blatt der Euro­päi­schen Uni­on. Her­stel­ler kön­nen sich also dar­auf ein­stel­len, dass sie die neu­en Vor­ga­ben spä­tes­tens Mit­te 2024 umge­setzt haben müs­sen, wenn sie ihre Pro­duk­te wei­ter­hin auf dem euro­päi­schen Markt bereit­stel­len wollen.

Unse­re Emp­feh­lun­gen für Hersteller

Dass Her­stel­ler gesetz­li­che Anfor­de­run­gen an Cyber­si­cher­heit und Daten­schutz beach­ten müs­sen, ist nicht ganz neu. Bereits im Jahr 2017 hat­te Ste­fan Hes­sel, der heu­ti­ge Co-Head unse­rer Digi­tal Busi­ness Unit, bei­spiels­wei­se ein Ver­bot der ver­netz­ten Spiel­zeug­pup­pe “My friend Cay­la” durch die Bun­des­netz­agen­tur initi­iert, weil die Pup­pe für Abhör­zwe­cke miss­braucht wer­den konn­te. Dar­über hin­aus ist bereits nach der gel­ten­den Rechts­la­ge eine Ver­pflich­tung der Her­stel­ler zur Berück­sich­ti­gung der DSGVO nicht völ­lig aus­ge­schlos­sen. Es ist jedoch auch fest­zu­hal­ten, dass sich die gesetz­li­chen Vor­ga­ben mit zuneh­men­der Geschwin­dig­keit ver­dich­ten und es zu deut­li­chen Ver­schär­fun­gen kommt. Mit Blick auf die lan­ge Vor­lauf­zeit, die eine Anpas­sung von Pro­duk­ten und die Umstel­lung der Pro­dukt­ent­wick­lung in Anspruch neh­men kön­nen, soll­ten Her­stel­ler sich daher schnellst­mög­lich auf die Umset­zung der neu­en Vor­ga­ben vor­be­rei­ten. Wei­te­re aktu­el­le Ent­wick­lun­gen, wie das frei­wil­li­ge IT-Sicherheitskennzeichen oder die Update­pflicht nach der Digitale-Inhalte-Richtlinie soll­ten dabei eben­falls berück­sich­tigt wer­den. Idea­ler­wei­se set­zen Her­stel­ler die gesetz­li­chen Vor­ga­ben mit­hil­fe eines Com­pli­an­ce Manage­ment­sys­tems um, da so die größt­mög­li­chen Syn­er­gie­ef­fek­te zwi­schen den ein­zel­nen regu­la­to­ri­schen Vor­ga­ben erzielt wer­den können.

zurück

Bleiben Sie
up to date

Wir verwenden Ihre E-Mail-Adresse ausschließlich für den Versand unseres Newsletters. Sie können Ihre Einwilligung hierfür jederzeit mit Wirkung für die Zukunft widerrufen. Weitere Informationen entnehmen Sie bitte unserer Datenschutzerklärung.