industryArticlemaschinenlesbar

Smart Home & IoT-Geräte: AI Act, Data Act & DSGVO-Pflichten

MenschMarkdown öffnen

Smart Home & IoT-Geräte (Heizung-/Beleuchtungs-/Sicherheits-Steuerung, Sprachassistenten, Haushaltsgeräte-Automatisierung, Smart Meter, Wearables) mit KI sind nach dem AI Act meist MINIMALES oder BEGRENZTES Risiko — begrenzt bei direkter Interaktion (Sprachassistent, Art. 50 Transparenz). Hochriskant bei: Sicherheits-/Überwachungsfunktionen (Einbruchserkennung Anhang III Nr. 2, Gesichtserkennungstür Anhang III Nr. 1), Gesundheits-/Pflege-Anwendungen (Medizinprodukt + Anhang I), Fahrer-/Personen-Überwachung. Überlagert zwingend: DSGVO (Smart-Home-Daten hoch privatsphärensensibel, BVerfG-Smart-Home-Schutz, Art. 9 bei biometrischen/gesundheitsbezogenen Daten), EU Data Act (verbundene Produkte, Datenzugang), Cyber Resilience Act (Sicherheit von Produkten mit digitalen Elementen). Aufsichtlich: Datenschutz-Aufsichten, Marktüberwachung, BSI. Eine Smart-Home-KI-Compliance kombiniert AI Act + DSGVO + Data Act + CRA.

Rechtliche Klarheit entsteht, wenn Definition, Artikelbezug, Quelle und eigene Einordnung zusammenkommen.
Steve Baka
anwendbarkeit

KI-Act-Anwendbarkeit

Smart Home & IoT-Geräte mit KI werden nach Funktion eingestuft. MINIMAL: Heizungs-/Beleuchtungs-/Energiesteuerung, reine Automatisierung, Gerät-Optimierung. BEGRENZT: Sprachassistenten (Alexa, Google Assistant, Siri — Art. 50 Abs. 1 Transparenz bei KI-Interaktion), Konversationelle Assistenz. HOCHRISKANT: Sicherheits-/Überwachungsfunktionen (Einbruchserkennung in kritischer Anwendung Anhang III Nr. 2, Gesichtserkennungstür/biometrische Identifikation Anhang III Nr. 1), Gesundheits-/Pflege-Anwendungen (Medizinprodukt nach MDR + Anhang I, z. B. Sturzerkennung mit Notruf, Schlafanalyse mit Diagnose). Eine genaue Klassifizierung je Funktion ist entscheidend — Smart Home ist heterogen, von minimaler Thermostat-KI bis zur hochriskanten biometrischen Zugangskontrolle.

praxis

Praxis: DSGVO, Data Act, CRA

Praktisch: (1) DSGVO — Smart-Home-Daten sind hochgradig personenbezogen und privatsphärensensibel (BVerfG „Smart-Home-Schutz" — informationelle Selbstbestimmung im intimsten Bereich); Rechtsgrundlage (Einwilligung Art. 6 Abs. 1 lit. a, Vertrag lit. b), besondere Datenkategorien bei biometrischen (Art. 9) oder gesundheitsbezogenen Daten, DSFA bei hochriskanter Verarbeitung, Datenminimierung, Löschkonzept, Cloud-Transparenz (wo werden Daten verarbeitet?); (2) EU Data Act — Smart-Home-Geräte sind verbundene Produkte, Nutzer hat Recht auf Datenzugang/-weitergabe an Dritte (alternative Plattform), FRAND (Art. 9–11), Switching (Art. 13–15 — kein Cloud-Lock-in); (3) Cyber Resilience Act — Smart-Home-Geräte sind Produkte mit digitalen Elementen, Security by Design (Art. 13), Schwachstellen-Meldung (24/72 h), CE für kritische Produkte, Lebenszyklus-Sicherheit; (4) Art. 50 Transparenz — Sprachassistent-Kennzeichnung, KI-Inhalte-Kennzeichnung; (5) Sprach-/Audio-Synthese — Kennzeichnungspflicht (Art. 50 Abs. 2), Missbrauchsprävention (CEO-/Enkeltrick-Fraud). Aufsichtlich: Datenschutz-Aufsichten (DSK — Smart-Home ist streng überwacht), Marktüberwachung (AI Act/CRA), BSI (Cybersecurity). Eine konsolidierte Smart-Home-KI-Compliance kombiniert AI Act + DSGVO + Data Act + CRA.

grenzen privatsphaere

Grenzen: Privatsphäre und Mitbewohner-Schutz

Die Grenze der Smart-Home-KI ist die Privatsphäre und der Mitbewohner-Schutz. Smart-Home-Daten sind hochgradig intim (Anwesenheit, Routinen, Gespräche, Schlaf, Gesundheit) — das BVerfG hat mit dem „Smart-Home"-Bezug die informationelle Selbstbestimmung besonders geschützt (Potenzial zur Profilbildung im intimsten Bereich). Kinder-/Mitbewohner-Schutz: Bewohner, die nicht eingewilligt haben (Kinder, Gäste, Mitbewohner, Pflegebedürftige), dürfen nicht ohne Weiteres überwacht werden — DSGVO-Einwilligung jeder volljährigen Person, Vertretung Minderjähriger, Transparenz. Gesichtserkennungstür (Anhang III Nr. 1 biometrische Hochrisiko-KI) ist ethisch/rechtlich sehr sensibel — Verhältnismäßigkeit, milde Alternativen (PIN, Karte). Sprachassistenten dürfen nicht heimlich mithören — klare Aktivierung, lokale Verarbeitung, Transparenz. Versicherungs-/Werbungs-Koppelung (z. B. Wearable-Daten für Versicherungstarif) ist DSGVO-/AGG-kritisch (Koppelungsverbot). Eine verantwortungsvolle Smart-Home-KI respektiert Privatsphäre, Mitbewohner-Autonomie und Datenhoheit — Smart Home dient Bewohnerinnen/Bewohnern, nicht Überwachung.

Sources

Quellen

Verordnung (EU) 2024/1689 (AI Act) — EUR-Lex

Amtsblatt der Europäischen Union. Verbindlicher Primärtext des EU AI Act.

EU AI Office

Europäische Kommission. Zentrale EU-Behörde für AI-Act-Durchsetzung und GPAI-Aufsicht.

Verordnung (EU) 2023/2854 (Data Act) — EUR-Lex

Amtsblatt der Europäischen Union. Verbindlicher Primärtext des EU Data Act.

Datenschutz-Grundverordnung (DSGVO) — EUR-Lex

Amtsblatt der Europäischen Union. Verbindlicher Primärtext der DSGVO.

AI Act — konsolidierter Lesetext (ai-act-law.eu)

Future of Life Institute / Konsortium. Artikelgenaue, inoffiziell-konsolidierte Darstellung des AI Act.

European Data Protection Supervisor (EDPS)

EDPS. EU-Datenschutzaufsicht; Stellungnahmen zum AI Act.

European Data Protection Board (EDPB)

EDPB. EU-Datenschutzgremium mit KI-Leitlinien.

EU AI Pact

Europäische Kommission. Freiwillige Frühumsetzung des AI Act.

Cyber Resilience Act (VO (EU) 2024/2847) — EUR-Lex

Amtsblatt der Europäischen Union. Cybersicherheit von Produkten mit digitalen Elementen (KI-relevant).

Richtlinie (EU) 2022/2555 (NIS2) — EUR-Lex

Amtsblatt der Europäischen Union. IT-Sicherheitsanforderungen für kritische Sektoren.

Digital Services Act (VO (EU) 2022/2065) — EUR-Lex

Amtsblatt der Europäischen Union. Plattformregulierung; Schnittstelle zu KI-Systemen.

Data Governance Act (VO (EU) 2022/868) — EUR-Lex

Amtsblatt der Europäischen Union. Rahmen für Datenvermittlung und -weitergabe.

Vorschlag AI Liability Directive (COM(2022)496)

Europäische Kommission. Haftung für KI-verursachte Schäden (Vorschlag; Stand prüfen).

Bundesamt für Sicherheit in der Informationstechnik (BSI)

BSI. IT-Sicherheitsbehörde Deutschland.

Council of Europe Framework Convention on AI

Council of Europe. Erstes völkerrechtliches Abkommen zu KI.

FAQ

Häufige Fragen

Welche Risikostufe hat Smart-Home-KI?

Meist minimal/begrenzt. Hochriskant bei Sicherheits-/Überwachungsfunktionen (Anhang III Nr. 2), biometrischer Identifikation (Nr. 1), Gesundheits-/Pflege-KI (Medizinprodukt + Anhang I).

Wie streng ist die DSGVO bei Smart Home?

Sehr streng (BVerfG-Smart-Home-Schutz). Hoch privatsphärensensibel, besondere Datenkategorien bei biometrischen/gesundheitsbezogenen Daten (Art. 9). Kinder-/Mitbewohner-Schutz. DSFA bei umfassender Überwachung.

Greifen Data Act und CRA?

Ja beide. Data Act: verbundene Produkte, Datenzugang/-weitergabe, Switching (kein Cloud-Lock-in). CRA: Security by Design, Schwachstellen-Meldung, CE für kritische Produkte.

Beratung für deinen Sektor

KI-Compliance für Smart Home & IoT-Geräte?

Wenn du im Sektor Smart Home & IoT-Geräte KI-Systeme einführst, entwickle ich mit dir die passende Strategie für AI Act, Data Act und DSGVO.

Jetzt beraten lassen
Related