Smart Locks zum Öffnen und Verschließen von Türen werden immer beliebter. Nicht nur für Hauseigentümer bieten sie eine gute Alternative, wenn man seinen Schlüssel im Haus vergessen hat, auch für beruflich veranlasste Zwecke können diese nützlich sein. Gerade kleinere Unternehmen oder behördliche Organisationen (z. B. kleinere Körperschaften) können durch die Verwendung von Smart Locks ihr Schlüsselmanagement besser gestalten und dokumentieren. Neben zahlreichen Vorteilen sollte allerdings nicht ignoriert werden, welche Gefahren für den Datenschutz Smart Locks verursachen können.
Was sind Smart Locks?
Smart Locks sind, wie der Name bereits preisgibt, intelligente Türschlösser. Bedient werden diese via Smartphone-App oder über eine Web-Oberfläche und ermöglichen berechtigten Personen den Zugang oder das Abschließen einer Räumlichkeit, welche mit einem Smart Lock ausgestattet ist. Je nach Anbieter eines Smart Locks werden auch Alternativen zur App und Web-Oberfläche angeboten. Zum Beispiel das Öffnen der Türen mittels Handsender, der auf das intelligente Türschloss, eingestellt wird, oder das Anbringen eines Zahlenfeldes an der Außenseite der Tür. Durch die Eingabe eines Zahlencodes kann die Tür – ohne Smartphone und Internet – geöffnet und verschlossen werden.
Wie funktioniert ein Smart Lock?
Die Installation erfolgt auf unterschiedlichste Weise. Bei einigen Anbietern, wie zum Beispiel Danalock, muss mitunter der Schlüsselzylinder ausgetauscht werden. Bei dem Anbieter Nuki hingegen werden lediglich zwei Adapter am Türschloss angebracht.
Beide Varianten basieren jedoch auf demselben Prinzip. Der Hausschlüssel bleibt dabei im Schloss oder dem neu in die Tür einzubauenden Schlüsselzylinder. Der Schlüsselzylinder wie auch die Adapter bedingen die Rotation des Schlüssels, zum Beispiel nach links zum Aufschließen oder rechts zum Abschließen. Gesteuert wird das Ganze in den meisten Fällen via Smartphone-App oder per Internet im Nutzerkonto des jeweiligen Anbieters. Berechtigte Personen (Hausbesitzer, Familienmitglied oder Gast) haben somit die Möglichkeit, auch ohne Schlüssel in den verschlossenen Raum zu gelangen, sofern er sein Handy bei sich hat oder mit dem Internet verbunden ist. Weiterhin bietet z. B. der Anbieter Nuki eine automatische Auf- und Verschließ-Funktion, die durch GPS, Geofences und Bluetooth ausgelöst wird. Dies geschieht in folgenden Schritten:
- Die berechtige Person nähert sich mit dem Handy der Haustür,
- was durch das Handy-GPS geortet wird (Aufenthaltsort der Person).
- Nähert sich die berechtigte Person der Haustür und erreicht eine bestimmte Distanz wird eine digital generierte Grenze durchbrochen (Gofences) und ein Bluetooth-Signal vom Handy zum Schloss gesendet.
- Das Bluetooth-Signal löst die entsprechende Auf- Funktion des Smart Locks aus und ermöglich den Zugang in die Räumlichkeit.
- Verlässt die Person den Raum wird ebenfalls der Standort ermittelt und ab einer bestimmten Distanz ein Bluetooth-Signal gesendet. Der Smart Lock verschließt die Tür.
Daneben kann durch die App oder per Nutzerkonto anderen Personen durch den Eigentümer der Räumlichkeit oder eine dazu berechtigte Person (Administrator) der Zugang zu der Räumlichkeit regelmäßig durch Freischaltung eines weiteren Nutzers (berechtigter Nutzer) erlaubt werden.
Welche Chancen und Risiken für den Datenschutz Smart Locks hervorrufen
Aufgrund des Agierens via App benötigt der Anbieter eines Smart Locks Informationen, die für den Vertragsschluss und für die Inbetriebnahme relevant sind, hierzu gehören regelmäßig insbesondere:
- Name
- Vorname
- Passwort
- Standort
- uvm.
Darüber hinaus dürfte die Nutzung protokolliert werden:
- Öffnender Nutzer
- Uhrzeit der Öffnungen
- uvm.
Diese gesammelten Daten stellen personenbezogene Daten dar und werden insbesondere durch das Bundesdatenschutzgesetz geschützt. So darf eine Erhebung, Verarbeitung und Nutzung personenbezogener Daten, nach § 4 BDSG, nur dann erfolgen, wenn
- ein Gesetz besteht, welches dies zulässt oder
- der Betroffene dem Verfahren zustimmt.
Sollten Organisationen die intelligenten Türschlösser einsetzen oder den Einsatz planen, so sollte das Datenschutzrecht nicht außer Acht gelassen werden.
Datenschutzrechtliche Chancen – Zentrale und revisionsfähige Zutrittsberechtigungen
Für verantwortliche Stellen (Unternehmen, Vereine und Behörden…) könnte es als nützlich erachtet werden, dass eine zentrale und revisionsfähige Vergabe von Zutrittsberechtigungen erleichtert wird. Solche Schlösser können insbesondere für Räume, wie zum Beispiel Akten- oder Serverräume genutzt werden, die sensible und personenbezogene Daten enthalten. Es könnte entsprechend gewährleistet werden, dass berechtigte Personen einen temporären Zugang erhalten (Gast bzw. berechtigter Wartungstechniker); diese Berechtigung kann bei Bedarf entzogen werden, ohne die Person darauf hinweisen zu müssen, den Schlüssel abzugeben. Es sollte jedoch darauf geachtet werden, dass das angewendete Programm gewisse Sicherungen aufweist, denn schnell könnte aus dem Vorteil ein Risiko entstehen, wenn unter anderem alle Berechtigten über Administratoren-Rechte verfügen.
Datenschutzrechtliche Risiken – Keine bzw. keine geeigneten Benutzerrollen
Bei gewissen Anbietern von Smart Locks steht jeder Person, welche eine Zugangsberechtigung besitzt, die Möglichkeit zu, jeden darin befindlichen Nutzer zu löschen oder zu sperren. So kann auch der eigentliche Berechtigte (z.B. Administrator), sofern keine Sicherung (z.B. Passwort) für die Lösung besteht, entfernt werden.
Weiterhin sollte darauf geachtet werden, dass eine Sicherung in dem Programm enthalten ist, welche dem hinzugefügten Gast verbietet, weiteren Personen den Zugang zu dem Programm zu verschaffen. Hier zeigt sich, ohne konkrete Produkte zu benennen, dass die derzeit im Handel erhältlichen Produkte eher die Zielgruppe der Privathaushalte haben und weniger gut für kleinere Unternehmen, Behörden und Vereine geeignet sind. Hier dürften weiterhin professionelle, zumeist deutlich teurere Lösungen, notwendig sein.
Datenschutzrechtliche Risiken – Keine Regelungen zum Einsatz dienstlicher/privater Smartphones
Wird den Mitarbeitern die Möglichkeit gewährt, sich Zugang zum Gebäude bzw. zu den einzelnen Büros via Smartphone-App zu verschaffen, so ist das Aufstellen von klaren Regelungen/Richtlinien unvermeidbar. Zunächst sollte geklärt werden, mit welchen Smartphones (dienstliche oder private) ein Zugang möglich ist, wobei der Einsatz privater Smartphones weitere Risiken hervorruft.
Datenschutzrechtliche Risiken – Datenübermittlung
Neben den Regelungen zur Nutzung der Smartphones, sollte zudem beachtet werden, dass bei der Nutzung der Smart Locks eine Datenübermittlung an den Anbieter der eingesetzten Smart Locks nicht ausgeschlossen werden kann. Dies erfordert weitere Maßnahmen, die von den einzelnen Anbietern und dem Umfang/der Art der Datenübermittlung abhängt. Werden personenbezogene Mitarbeiterdaten an den Anbieter übermittelt, so könnte zum Beispiel das Abschließen eines Vertrags zur Auftragsdatenverarbeitung notwendig sein. Dies wäre allerdings im Einzelfall zu prüfen, da dies unter anderem vom Sitz des Anbieters abhängig ist.
Datenschutzrechtliche Risiken – Verhaltens- und Leistungskontrolle durch den Einsatz von Smart Locks
Es wird – je nach Anbieter – ein Protokoll (Wer, wann, welche Tür geöffnet hat) geführt, auf das der Administrator zugreifen kann. Auch dies erfordert klare Regelungen und die Durchführung von Maßnahmen, wie zum Beispiel einer Vorabkontrolle durch den Datenschutzbeauftragten, da ansonsten eine Verhaltens- und Leistungskontrolle der Mitarbeiter möglich wäre. Ggf. sollte der Betriebsrat vor Inbetriebnahme der Smart Locks eingebunden werden.
Datenschutzrechtliche Risiken – Zugang/Zugriff durch Unbefugte
Mit dem Smart Lock entsteht außerdem ein Risiko auf anderer Ebene. Kein Programm ist je vor Hackerangriffen gefeit, so wenig wie ein Schloss vor allen Einbrüchen bzw. Einbrechern. Jedoch braucht es für den unberechtigten Zugang zu einer herkömmlich verschlossenen Haustür entweder den Schlüssel oder rohe Gewalt. Der Schlüssel stellt ein spezifizierbares Objekt dar, das lediglich für ein Türschloss konzipiert ist. Ein Smart Lock jedoch gibt jedem Berechtigten Zugang, wobei lediglich der Zugang zu dem Benutzerkonto oder der Handy-App notwendig ist, um die Tür öffnen zu können. Zudem sollte beachtet werden, dass – je nach Anbieter – das Abstellen der Alarmanlage mittels Smart Lock-App möglich ist. Der Verlust/Klau eines Smartphones oder ein Hackerangriff könnte sowohl für Privatpersonen als auch für verantwortliche Stellen schlimme Folgen haben. Sicherheitsmaßnahmen müssen daher auf allen Ebenen bedacht werden.
Sonstige Vor- und Nachteile
Das Smart Lock stellt keine Alternative zum Schlüssel dar. Es wird in den meisten Fällen weiterhin ein Medium, wie zum Beispiel ein Smartphone oder ein Handsender benötigt, welches das Türschloss öffnet und schließt. Geht das Handy verloren, hat der Finder Zugangsmöglichkeiten zu den Räumlichkeiten. Smart Locks bieten aber bessere und kostengünstigere Möglichkeiten, gegen den Verlust vorzugehen, da lediglich ein Internetanschluss notwendig ist, um die Nutzung zu sperren.
Ein weiter Risikofaktor ist die Batterie, welche die Automatik der Smart Locks bei einigen Anbietern betreibt. Ist die Batterie leer hat man auch keine Zugangsmöglichkeit mehr. Daher ist es sinnvoll, ein Türschloss zu haben, mit dem das Öffnen der Tür auch dann möglich ist, wenn auf der anderen Seite ein Schlüssel steckt. Nutzer müssen insofern regelmäßig den Stand des Akkus kontrollieren oder sich auf die systemseitigen Warnsignale der Anbieter verlassen.
Fazit
Smart Locks bieten einen gewissen Komfort. Mit dem Handy oder – je nach Anbieter – mit einem Handsender können Türschlösser geöffnet und geschlossen werden, auch ohne entsprechenden Schlüssel. Dennoch sollten die damit verbundenen Risiken auch unter datenschutzrechtlichen Gesichtspunkten nicht unterschätzt werden. Ein solches Schloss ist nicht vor Hackerangriffen gefeit. Ebenso besteht die Möglichkeit vor verschlossener Tür zu stehen, weil beispielsweise vergessen wurde, die Batterie zu wechseln. Auch sollten Maßnahmen ergriffen werden, um die Mitarbeiter vor einer Verhaltens- und Leistungskontrolle zu schützen.