Sie können fast überall fast alles mit Sensoren ausstatten. Der technische Teil eines IoT-Projekts ist selten das, was ein Geschäft scheitern lässt. Sie bauen das Gateway, verdrahten die Dashboards, weisen den Anwendungsfall in einem Pilotprojekt nach, und alle sind zufrieden.
Doch der Verkauf an europäische Unternehmen und Behörden bedeutet, nachzuweisen, wie Daten verarbeitet werden, und genau hier kommen Geschäfte ins Stocken. Der Einkauf schickt einen Sicherheitsfragebogen. Die Rechtsabteilung will wissen, wer der Verantwortliche ist. Jemand möchte erfahren, wo die Daten physisch liegen und ob Ihre Plattform zertifiziert ist. Wenn Sie keine sauberen Antworten haben, hängt das Projekt in der Schwebe, während alle auf ein Dokument warten, das Sie nicht haben.
Hier also die Compliance-Landkarte, die ein Integrator oder Managed-Service-Anbieter wirklich braucht, um IoT-Dienste in Europa zu verkaufen, und wie die Wahl der richtigen Plattform den Weg verkürzt. Durchgehend halte ich zwei Dinge getrennt: was Sie als Verkäufer selbst vorhalten oder tun müssen, und was Ihr Plattformanbieter für Sie bereitstellen kann. Das ist nicht dasselbe, und wer beides vermischt, wird in einer Beschaffungsprüfung kalt erwischt.
Eine kurze Anmerkung vorab: Dies ist allgemeine Orientierung, keine Rechtsberatung. Nutzen Sie sie, um sich zu orientieren, und klären Sie die Einzelheiten anschließend mit Ihrer eigenen Rechtsabteilung.
DSGVO: die Frage, die jeder europäische Kunde zuerst stellt
Die DSGVO regelt personenbezogene Daten in der EU und im Vereinigten Königreich. Sobald Ihre IoT-Lösung etwas berührt, das eine Person identifizieren kann, fällt sie in den Anwendungsbereich der DSGVO. Und das umfasst mehr, als Sie vielleicht erwarten. Eine Smart-Building-Installation, die protokolliert, welcher Ausweis welchen Raum betreten hat, ein Flottensystem, das Fahrer verfolgt, ein Belegungssensor, der namentlich zugeordneten Arbeitsplätzen zugeordnet ist: All das kann personenbezogene Daten betreffen.
Als Erstes wollen Kunden die Rollen verstehen. Die DSGVO teilt die Verantwortung zwischen dem Verantwortlichen und dem Auftragsverarbeiter auf. Der Verantwortliche entscheidet, warum und wie personenbezogene Daten verarbeitet werden. Der Auftragsverarbeiter handelt nach den Weisungen des Verantwortlichen. In einem typischen IoT-Dienstleistungsgeschäft ist Ihr Kunde meist der Verantwortliche, Sie sind möglicherweise Auftragsverarbeiter, und Ihr Plattformanbieter ist unter Umständen ein Unterauftragsverarbeiter unterhalb von Ihnen. Diese Kette richtig zu ziehen ist entscheidend, denn jedes Glied hat Pflichten.
Was Sie als Verkäufer tun müssen
Ein Auftragsverarbeitungsvertrag (AVV oder DPA) ist zwischen den Parteien in der Regel erforderlich. Wenn Sie personenbezogene Daten im Auftrag Ihres Kunden verarbeiten, rechnen Sie damit, mit ihm einen AVV zu schließen und einen solchen auch mit jedem Anbieter abzuschließen, auf den Sie sich stützen. Sie sind dafür verantwortlich, den Datenfluss in Ihrer eigenen Lösung zu verstehen und ihn klar beschreiben zu können.
Manchen Kunden ist auch die Datenresidenz wichtig. Sie wollen, dass die personenbezogenen Daten in der EU bleiben, Punkt. Das ist in regulierten Branchen und im gesamten öffentlichen Sektor üblich. Wenn Sie einem Kunden nicht sagen können, wo seine Daten gespeichert sind, verlieren Sie Zeit, und manchmal das Geschäft.
Was Ihr Plattformanbieter bereitstellen kann
Eine DSGVO-konforme Plattform verschafft Ihnen einen Vorsprung. Wenn Ihr Plattformanbieter mit Ihnen einen AVV abschließt und die EU-Datenresidenz bestätigen kann, übernehmen Sie damit einen Teil der Nachweise, die Sie sonst allein zusammentragen müssten. TagoIO ist DSGVO-konform und bietet dedizierte europäische Server in Irland, die bei der Anmeldung auswählbar sind und die EU-Datenresidenz unterstützen. Das heißt: Wenn ein Kunde fragt, wo die Daten liegen, haben Sie eine konkrete Antwort statt eines Vielleicht.
Was der Anbieter nicht kann, ist Ihre eigenen Pflichten übernehmen. Sie brauchen weiterhin Ihren eigenen AVV mit Ihrem Kunden, und Sie müssen die Daten, die Sie verantworten, weiterhin korrekt verarbeiten. Die Plattform verkürzt den Weg. Sie geht ihn nicht für Sie.
ISO 27001: Ihre eigene gegen die Ihres Anbieters
ISO 27001 ist die Zertifizierung für Informationssicherheits-Managementsysteme, nach der europäische Kunden häufig fragen. Wenn ein Beschaffungsfragebogen fragt, ob Sie zertifiziert sind, ist damit meist diese gemeint.
Hier ist die Unterscheidung, über die viele stolpern. Es gibt zwei getrennte Fragen:
- Ist Ihre eigene Organisation nach ISO 27001 zertifiziert?
- Ist die Plattform, auf der Sie aufbauen, zertifiziert?
Das sind zwei verschiedene Dinge, und Kunden fragen unter Umständen nach beiden. Ein großes Unternehmen oder eine Behörde kann verlangen, dass ihr direkter Lieferant (Sie) ISO 27001 vorweist. Sich selbst zertifizieren zu lassen ist ein echtes Projekt: Es braucht Zeit, ein Audit und ein laufendes Managementsystem. Das liegt bei Ihnen, und kein Anbieter kann es Ihnen abnehmen.
Doch auf einer zertifizierten Plattform aufzubauen hilft. Wenn Ihr Plattformanbieter nach ISO 27001 zertifiziert ist, können Sie für den Teil des Stacks, den Sie nicht selbst betreiben, darauf verweisen, und das verringert die Sicherheitsnachweise, die Sie über die zugrunde liegende Infrastruktur erbringen müssen. TagoIO ist nach ISO 27001 zertifiziert, sodass die Plattformschicht Ihrer Lösung auf einem zertifizierten Fundament steht. Das macht Sie nicht zertifiziert. Es bedeutet, dass ein Teil Ihrer Antwort bereits geschrieben ist und Sie Ihren eigenen Zertifizierungsaufwand auf die Teile konzentrieren können, die Sie tatsächlich betreiben.
CE-Kennzeichnung und RED: die Hardware-Seite
Wenn Ihre Lösung Hardware umfasst, die in der EU verkauft wird, gibt es einen eigenen Strang, der nichts mit Ihrer Softwareplattform zu tun hat. In der EU verkaufte Hardware braucht in der Regel eine CE-Kennzeichnung. Funkgeräte, was die meisten drahtlosen IoT-Geräte umfasst, fallen unter die Funkanlagenrichtlinie (RED).
Bringen Sie das auf die richtige Ebene: CE-Kennzeichnung und RED-Konformität liegen in der Regel in der Verantwortung des Geräteherstellers, nicht des Integrators, der das Gerät installiert. Wenn Sie zertifizierte Standard-Hardware einkaufen, besteht Ihre Aufgabe darin, zu bestätigen, dass die Geräte, die Sie ausliefern, ordnungsgemäß gekennzeichnet und konform sind. Wenn Sie Hardware selbst entwerfen oder umetikettieren, übernehmen Sie hiervon mehr direkt. So oder so kann ein Plattformanbieter Ihre Geräte nicht mit einer CE-Kennzeichnung versehen. Das ist eine Hardware-Pflicht, die bei demjenigen liegt, der das Produkt in Verkehr bringt.
Branchen- und Behördenfragebögen
Über die horizontalen Regeln hinaus stellen bestimmte Branchen und Behörden eigene Anforderungen. Sicherheitsfragebögen im Einkauf sind Routine. Rechnen Sie mit Fragen zu Regeln der Datenverarbeitung, Zugriffskontrollen, Verfahren bei Datenpannen, Unterauftragsverarbeitern und dem Speicherort der Daten. Gesundheitswesen, Energie, Verkehr und öffentliche Verwaltung bringen jeweils zusätzliche Erwartungen über die DSGVO hinaus mit.
Das Muster ist dasselbe wie bei allem oben. Manche Antworten betreffen Ihre Organisation und Ihre Prozesse, die Ihnen gehören. Andere Antworten betreffen die Plattform unter Ihnen, die Ihr Anbieter liefern kann. Ein Anbieter mit veröffentlichten Trust- und Datenschutzinformationen macht das Ausfüllen dieser Fragebögen schneller, weil die Antworten zur Plattformschicht bereits dokumentiert sind. Die TagoIO Trust-Seite existiert genau aus diesem Grund.
Eine Checkliste zur Bereitschaft
Bevor Sie einem europäischen Kunden ein Angebot machen, arbeiten Sie das hier durch:
- Kartieren Sie Ihren Datenfluss. Wissen Sie, welche personenbezogenen Daten Ihre Lösung berührt und wohin sie fließen. Was Sie nicht aufzeichnen können, können Sie auch nicht verteidigen.
- Klären Sie Ihre DSGVO-Rolle. Sind Sie für diesen Kunden Auftragsverarbeiter? Verantwortlicher? Wer ist Unterauftragsverarbeiter? Schreiben Sie es auf.
- Bringen Sie Ihre AVVs in Ordnung. Einen mit Ihrem Kunden, wo nötig, und einen mit jedem Anbieter, auf den Sie sich stützen.
- Entscheiden Sie über die Datenresidenz. Wenn der Kunde EU-Residenz braucht, bestätigen Sie, dass Ihre Plattform das unterstützt, bevor Sie irgendetwas zusagen.
- Kennen Sie Ihren ISO-27001-Status. Sowohl Ihren eigenen als auch den Ihres Plattformanbieters. Seien Sie ehrlich darüber, was zu welchem gehört.
- Prüfen Sie die Hardware-Konformität. Bestätigen Sie CE-Kennzeichnung und RED-Konformität für alle Geräte, die Sie ausliefern.
- Füllen Sie den Fragebogen vor. Sammeln Sie die Trust- und Zertifizierungsunterlagen Ihres Anbieters jetzt, nicht erst, wenn der Einkauf wartet.
Wo die Plattform wirklich hilft
Um die Aufteilung klar zu benennen: Der Plattformanbieter kann Sie nicht DSGVO-konform machen, kann Ihre Organisation nicht zertifizieren und kann Ihre Hardware nicht mit einer CE-Kennzeichnung versehen. Das liegt bei Ihnen.
Was die richtige Plattform tut, ist den Weg zu verkürzen. Auf einem Fundament aufzubauen, das nach ISO 27001 zertifiziert, DSGVO-konform und in der Lage ist, Daten in der EU zu halten, bedeutet, dass ein großer Teil Ihrer Compliance-Nachweise bereits von jemand anderem erbracht wird. Sie erben die Zertifizierungen der Plattformschicht, Sie bekommen einen Anbieter, der einen AVV unterschreibt, und Sie können die Frage nach der Datenresidenz vom ersten Tag an beantworten. Das macht aus wochenlangem Hin und Her ein Gespräch, auf das Sie vorbereitet sind.
Das ist keine Abkürzung um Ihre Pflichten herum. Es ist der Unterschied zwischen dem Zusammentragen jedes einzelnen Nachweises von Grund auf und dem Zusammentragen nur der Teile, die wirklich Ihre sind.
Kurz gesagt
Beim Verkauf von IoT nach Europa geht es weniger um die Sensoren und mehr um den Nachweis, dass Sie verantwortungsvoll mit Daten umgehen. Die Landkarte lautet: DSGVO-Rollen und AVVs, Datenresidenz, ISO 27001 für Sie und Ihren Anbieter, CE und RED für Hardware, und Branchenfragebögen obendrauf. Behalten Sie klar im Blick, was Sie selbst vorhalten müssen und was Ihre Plattform bereitstellt. Wählen Sie eine zertifizierte, DSGVO-konforme Plattform mit EU-Datenresidenz, und Sie verbringen weniger Zeit im Beschaffungsstau und mehr Zeit mit dem Liefern.
Und noch einmal, weil es wichtig ist: Dies ist allgemeine Orientierung, keine Rechtsberatung. Klären Sie die Einzelheiten mit Ihrer eigenen Rechtsabteilung, bevor Sie etwas unterschreiben.
