Consent-Einholung
Staubsaugroboter & Co.: Auch bei IoT-Geräten muss User Consent eingeholt werden.
Das niederösterreichische Start-up APOCRAT hat eine Pionierlösung entwickelt.
Die DSGVO war in vielfacher Hinsicht ein Game Changer. Spätestens seit der Cookie-Abfrage auf jeder Website ist sie wohl allen ein Begriff. Was viele nicht wissen: Die Datenverarbeitung von IoT-Geräten wurden damals nicht explizit geregelt. Staubsaugroboter, Smart Watches,
Home Assistants, intelligente Zahnbürsten & Co., sie alle sammeln und verarbeiten Daten.
Erst neue Regelwerke wie das TTDSG, die ePrivacy-Verordnung oder der Data Act beziehen jetzt auch Smart Home-Geräte ein. Das bedeutet: Die Zustimmung der Nutzer*innen zur Datenverarbeitung muss künftig eingeholt werden. Auf säumige Unternehmen könnten schon im zweiten Halbjahr 2023 erste Klagen zukommen. Gleichzeitig ist die Einholung des User Consent im IoT-Bereich nicht so einfach, denn viele Geräte haben gar keinen Bildschirm, über den zugestimmt werden kann. Dazu kommt, dass bei Smart Home- und IoT-Geräten keine Cookies verwendet werden.
Dafür hat das niederösterreichische StartUp APOCRAT eine Lösung entwickelt: Ein Software Development Kit, das Anbieter von smarten Geräten einerseits in den Code der Geräte, andererseits in die Applikation zur Gerätesteuerung integrieren können. Ergänzt wird das von einer Consent Management Plattform, die die User-Einstellungen zentral verwaltet.
So funktioniert die rechtskonforme Abfrage von Daten bei IoT-Geräten
Anstatt mit Cookies zu arbeiten, kontrolliert die APOCRAT Software den Datenfluss der Geräte. Sie entscheidet dann, ob eine Datenabfrage eines Smart Home-Geräts anhand der persönlichen User-Einstellungen erlaubt ist, oder nicht. Die Consent-Einstellungen werden dafür zentral für jedes Endgerät in der Plattform gespeichert und in Regeln umformuliert. Diese werden wiederum an das Endgerät gesendet, um den rechtskonformen Datentransfer zu garantieren.
Klingt kompliziert, aber letztendlich ist es ganz einfach: Für Nutzer*innen gibt es Transparenz und personalisierbare Einstellungen – damit diese auch wirklich wissen, welchen Diensten sie zustimmen. IoT-Anbieter haben die Möglichkeit, rechtssicher Daten zu verarbeiten.