IEA HPT Annex 56: Security and Data Protection by Design and by Default for IoT Heat Pump Systems - Deliverable 3.3 (2023)

Dieses Deliverable des nationalen Projektes des IEA HPT Annex 56 (Digitalisierung und Internet of Things (IoT) für Wärmepumpen) handelt von Datensicherheit und Datenschutz für neue Anwendungen und Geschäftsmodelle, die auf IoT-fähigen Wärmepumpen basieren und sich auf die Datenverarbeitung konzentrieren. 

Wärmepumpen sind kritische Komponenten, da Nutzer:innen in der Regel auf ihre Wärmepumpe angewiesen sind, um ihre Häuser zu heizen oder Produktionsprozesse am Laufen zu halten. Der lange technische Lebenszyklus von Wärmepumpen in Verbindung mit der kürzeren Lebensdauer elektronischer Geräte erfordert jedoch besondere Überlegungen. 

So kann es beispielsweise sein, dass technische Standards, die heute weit verbreitet sind, im Laufe des Lebenszyklus einer Wärmepumpe nicht mehr verfügbar sind. Mit der Weiterentwicklung der technischen Standards wird es notwendig sein, sichere Updatemechanismen bereitzustellen, mit denen die Systeme schnell aktualisiert werden können und gleichzeitig für die Nutzer:innen einfach zu bedienen bleiben. 

Dies beinhaltet z.B. auch die geplante Außerbetriebnahme der Serverinfrastruktur, damit die Nutzer:innen über den gesamten Produktlebenszyklus die Kontrolle über ihre Wärmepumpen­systeme behalten. Die Nutzungsdaten von Wärmepumpen können auch Informationen über die Umgebung liefern, in der sie eingesetzt werden.

Beispielsweise kann in Wohngebäuden aus dem Heizverhalten auf die Anwesenheit von Personen geschlossen werden. Der Schutz dieser Informationen ist besonders wichtig, da sie beispielsweise von Einbrecher:innen oder Stalker:innen leicht missbraucht werden können. Selbst wenn die Systeme Identifikatoren verwenden, die nur zur Identifizierung der Wärmepumpe dienen, ist es im privaten Bereich in der Regel möglich, auf die Nutzer:innen zu schließen. 

Datenschutz ist daher ein wichtiges Thema für diese Systeme. Datenschutz ist eine Eigenschaft des Gesamtsystems und nicht nur einzelner Komponenten. Daher ist eine enge Zusammenarbeit zwischen OEMs und Zulieferern notwendig, um einen effektiven Schutz der Privatsphäre der Nutzer:innen zu gewährleisten. Eine wichtige Strategie, um dieses Ziel zu erreichen, ist der Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen.

Dabei wird der Datenschutz von Anfang an bei der Systemgestaltung berücksichtigt, und es werden die datenschutzfreundlichsten Voreinstellungen gewählt, ohne dass ein Eingreifen der Nutzer:innen erforderlich ist. Datenschutz und Datensicherheit sollten nicht nur einmalig, sondern regelmäßig während der Projektlaufzeit evaluiert werden, um sicherzustellen, dass die Analyse auf dem neuesten Stand bleibt.

Datenschutz und Datensicherheit sind nicht nur technische Verfahren, sondern eine Eigenschaft des Gesamtsystems. Sie umfassen sowohl organisatorische als auch technische Maßnahmen. Daher müssen auch externe Lieferanten, Software von Drittanbietern sowie interne Verfahren, die zur Datenverarbeitung eingesetzt werden, berücksichtigt werden. 

Nur wenn der gesamte Lebenszyklus des Systems berücksichtigt wird, kann Datenschutz durch Technikgestaltung erreicht werden. Außerdem gibt es eine Sammlung von wärmepumpen­spezifischen Fragen und Antworten für Hersteller von IoT-fähigen Wärmepumpen.