Cybersicherheit und Datenschutz bei Funkanlagen
Die Datenschutz-Grundverordnung (DSGVO) gilt nicht unmittelbar für Hersteller. Allerdings spinnt die Europäische Union (EU) mit zahlreichen Rechtsakten seit Jahren ein immer engeres Netz an Vorgaben, die datenschutzrechtliche Vorgaben für Produktentwicklung enthalten. Insbesondere der Erlass der delegierten Verordnung (EU) 2022/30 zur Radio Equipment Directive (RED) sorgt für entsprechende Pflichten – und das bei mehr Produkten, als es auf den ersten Blick scheint. Die Abgrenzung, welche Produkte betroffen sind und welche nicht, kann im Einzelfall schwierig sein. Da Funkanlagen, die die Anforderungen nicht erfüllen, ab 2024 auf dem europäischen Markt nicht mehr bereitgestellt werden dürfen, müssen Hersteller sich mit diesen Fragen zwingend auseinandersetzen.
Mit dem Internet verbundene Funkanlagen
Nach der delegierten Verordnung (EU) 2022/30 müssen alle mit dem Internet verbundenen Funkanlagen grundlegende Anforderungen an Cybersicherheit und Datenschutz erfüllen. Der Begriff „mit dem Internet verbundene Funkanlagen“ ist dabei weiter zu verstehen, als man zunächst denken könnte. Nach Art. 1 Abs. 1 der delegierten Verordnung (EU) 2022/30 sind alle Funkanlagen erfasst, die selbst über das Internet kommunizieren können, unabhängig davon, ob sie direkt oder über andere Geräte kommunizieren. Somit können auch Geräte erfasst sein, die gar nicht selbst imstande sind, eine Verbindung zum Internet herzustellen, sondern ggf. bloß über Bluetooth ansteuerbar sind.
Der Kommunikationsbegriff
Es drängt sich auf, dass nicht jedes Gerät, das sich per Bluetooth mit einem Laptop oder Smartphone verbindet, mit dem Internet kommuniziert. Entscheidend für eine saubere Abgrenzung ist, welche Anforderungen man an „mit dem Internet kommuniziert“ stellt. Zweifelhaft erscheint, ob bereits eine Schnittstelle für ein Firmware-Update über das Internet ausreicht. Erwägungsgrund 5 der delegierten Verordnung (EU) 2022/30 stellt darauf ab, ob eine Funkanlage mit Protokollen arbeitet, „[…] die für den Datenaustausch mit dem Internet entweder direkt oder über ein Zwischengerät erforderlich sind“. Werden entsprechende Protokolle genutzt, ist eine Kommunikation mit dem Internet anzunehmen. Dies dürfte inzwischen einen Großteil von Funkanlagen vom Fitnesstracker bis zum digitalen Grillthermometer betreffen. Ausgenommen sein dürften hingegen reine Eingabegeräte.
Praktische Auswirkungen auf Hersteller und Umsetzung in der Praxis
Die Zahl betroffener Produkte ist immens. Ab 2024 droht der Verlust des Marktzugangs, wenn die entsprechenden Vorgaben nicht eingehalten werden. Hersteller sollten daher im Zuge ihres Compliance Managements genau prüfen, ob die Vorgaben der RED eingehalten werden müssen. Doch auch wenn ein Produkt nicht nach der RED verpflichtet sein sollte, Standards in Bezug auf Cybersicherheit und Datenschutz einzuhalten, sollten Hersteller das Thema nicht ignorieren. Zum einen müssen Kunden, die die Produkte erwerben, sicher sein können, dass eine rechtskonforme Nutzung des Produkts möglich ist. Zum anderen drohen Produktwarnungen durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) und die Datenschutzaufsichtsbehörden. Zu denken ist außerdem an zukünftige Herstellerpflichten, die sich insbesondere aus dem EU Cyber Resilience Act (CRA) ergeben werden.
Weitere Informationen zur Umsetzung von Cybersecurity und Data Protection by Design in der Produktentwicklung finden Sie in diesem Onepager.
Hausnachricht
Für den 15.–16. Juni 2023 laden wir Sie ein, auf unserer Hybrid-Veranstaltung Digital Business Conference mit uns und mit Vertreterinnen und Vertretern aus der Wirtschaft, den Aufsichtsbehörden und der Wissenschaft über technische und rechtliche Herausforderungen und Lösungen für Cybersicherheit zu diskutieren. Neben Trends und Zukunftsthemen, wie Software-Lieferketten, Künstliche Intelligenz oder cyberphysische Ökosysteme, stehen auch die Bezüge zum Datenschutz und IT-Recht auf der Agenda. Jetzt anmelden!