Mit Consent Management haben wir uns schon in der zweiten Ausgabe unseres Blogs beschäftigt, jetzt gehen wir auf die Details und Unterschiede ein. Die Kurzfassung gibt's hier nochmal, damit alles frisch im Gedächtnis ist:
Consent Management sorgt für Klarheit und den Schutz der Privatsphäre bei Personen, die digitale Dienste, wie beispielsweise Websites, Apps oder smarte (Haushalts-)Geräte, nutzen. Der Consent zur Erhebung und Verarbeitung von Nutzer*innen-Daten muss bei diesen Diensten durch den User gegeben werden und gilt bis zum Widerruf oder der rechtlich notwendigen Erneuerung. Wer die Zustimmung nicht sauber einholt, muss mit hohen Strafzahlungen rechnen. Mittlerweile gibt es zahlreiche Unternehmen, die sich auf Consent Management spezialisiert haben, mit denen man diesen Bußgeldern vorbeugen kann und rechtskonform agiert. Dieser Markt fokussiert sich jedoch zum Großteil auf Websites und zu einem kleiner Teil auch auf mobile Applikationen auf Smartphones oder Tablets. Welche anderen Geräte müssen denn noch bedacht werden? Seit dem Inkrafttreten des Telekommunikations-Telemedien-Datenschutz-Gesetz, kurz TTDSG, werden alle Geräte, die mit dem Internet verbunden sind erstmals gesetzlich geregelt. Darunter fallen seit Neustem auch Geräte des IoT (Internet of Things) bzw. smarte Geräte wie beispielsweise mit dem Internet verbundene Lautsprecher, Beleuchtungselemente und Staubsaugroboter. Durch die Erweiterung des Geltungsbereichs von Consent Management mit den angesprochenen Devices müssen auch die Erhebungsmethoden für das Einverständnis verändert werden. Wo man bei Websites bisher kleine Code-Snippets für die Identifizierung von Nutzer*innen hinterlegt hat, muss bei IoT eine andere Lösung her. Damit der Unterschied etwas klarer wird, sehen wir uns im nächsten Abschnitt die Besonderheiten der Anwendung bei Websites und IoT-Geräten an.
Consent Management auf Websites
Im Blogbeitrag zu den allgemeinen Informationen rund um Consent Management finden wir schon einige Inhalte zu diesem Thema, in diesem Abschnitt vertiefen wir unser Wissen noch weiter. Sobald man eine Website aufruft, ist eines der ersten Dinge, mit denen man dort konfrontiert wird, ein Consent Banner, der die Zustimmung für die Verwendung von nutzer*innenberzogenen Daten für diverse Zwecke ermöglicht. Wird jedoch gar kein Consent Banner ausgespielt, sollten bei Ihnen schon die Alarmglocken läuten. Zwar gibt es tatsächliche einige wenige Websites, die keine Nutzer*innen-Daten sammeln, jedoch ist diese Anzahl relativ überschaubar. Wenn das nicht der Fall ist, werden Ihre Daten höchstwahrscheinlich schon seit dem Aufruf der Seite verarbeitet (z.B. über das Setzen und Auslesen von Cookies), ohne dass Sie Einfluss darauf haben. Bei vielen Websites sind Informationen dazu in einer Datenschutzerklärung aufgeführt, die jedoch für die geltenden Regelungen häufig nicht mehr ausreicht. Wie bereits angesprochen, muss jede Person, die die Website nutzt ihre Zustimmung zur Verarbeitung ihrer Daten explizit geben und somit selbst die Häkchen selbst setzen. Dies gilt natürlich nur, wenn die verwendeten Daten nicht essenziell für die Funktionsweise der Seite sind.
Wird ein Consent Banner ausgespielt, so beinhaltet dieses oft mehrere Verwendungszwecke, denen man zustimmen oder welche man ablehnen kann. Diese können unter anderem sein:
Marketing
Optimierung
Personalisierung
Auf vielen Websites werden Nutzer*innen jedoch nur vor die Entscheidung "alles akzeptieren" oder "Einstellungen" gestellt, anstatt die einzelnen Verwendungszwecke direkt auswählen zu können. Besucherinnen einer Website müssen über die konkreten Zwecke der Verwendung der Daten verständlich informiert werden und anschließend zwischen gleichwertig gestalteten Alternativen entscheiden können. Jeder Zusatzdienst, der auf einer Website eingebettet ist, muss bis zur expliziten Zustimmung durch die besuchende Person inaktiv sein. Abseits davon gibt es notwendige Dienste, die Daten zum Zweck der Nutzung sammeln und verarbeiten, diese müssen nicht explizit erlaubt werden, da sie für die Funktionsweise der Website notwendig sind. Alle Daten die als notwendig betrachtet werden, werden also ohne Zustimmung gesammelt.
Einer der häufigsten Fehler im Consent Management ist folgender: die Annahme eines impliziten Consents. Das passiert, wenn das Cookie Banner einfach weggeklickt werden kann und eine Person einfach weiter die Website nutzt und durchsucht. Auf der Website verankerte Zusatzdienste werden dabei trotzdem aktiviert, laufen von Beginn der Session einfach mit und arbeiten unter der Prämisse, dass diese Person gerade allen Optionen zustimmt, eben weil er oder sie die Seite weiter benutzt. Um den geltenden Regulierungen zu entsprechen, müssten alle Vorgänge der Datensammlung bis zur Zustimmung durch die nutzende Person deaktiviert sein.
Consent Management im IoT Bereich
Mit dem Internet verbundene Geräte wie beispielsweise Kühlschränke, Kaffeemaschinen oder Lampen wurden lange nicht umfassend reguliert, obwohl sie zahlreiche Daten über ihre Inhaber*innen erheben und verarbeiten. Auch ein Smart TV, wie er mittlerweile schon seit Jahren in vielen Wohnzimmern steht, ist zur Sammelstelle für Drittanbieter geworden. Wer die Online Funktionen dieser Geräte schon einmal genutzt hat, wurde zumeist gar nicht oder nur sehr unübersichtlich und versteckt über die Speicherung und Verarbeitung der Daten informiert. Auch das Abwählen ("Opt-Out") der Dienste erweist sich häufig als Schwierigkeit. Wie bereits am Anfang angesprochen, hat das TTDSG jedoch eine neue Rechtsgrundlage für diese Geräte geschaffen. Mittlerweile dürfen smarte Geräte keine Daten, die nicht essenziell für die Funktionsweise sind, ohne explizites Nutzerinneneinverständnis erheben, speichern oder abrufen.
Was unterscheidet diese Situation nun aber von Consent Management im Web?
Zuerst einmal gelten die gleichen Bedingungen - wer Daten nutzt, seien sie personenbezogen (DSGVO) oder nicht (TTDSG), der muss - sofern nicht für die Funktionsweise nötig - um den Consent der Nutzerinnen bitten. Tut man das nicht, zieht dies bis zu 300.000€, eine Unterlassungsklage (TTDSG) oder Strafen im Sinne der DSGVO von bis zu 20 Mio. € oder 4% der globalen, jährlichen Umsatzes mit sich.
Im Gegensatz zu Webseiten besitzen jedoch die meisten vernetzten Geräte keinen Screen, über die der Consent der Nutzer und Nutzerinnen gegeben werden kann. Der einzige Screen, mit dem die Nutzer*innen in Bezug auf ihre smarten Geräte agieren, ist der Screen ihres Smartphones, über das die Geräte häufig gesteuert werden. Zudem erfolgt die Zuordnung von Gerät und Nutzer*in nicht über Cookies, die im Browser gespeichert werden, sondern es werden Daten direkt zum Anbieter und Drittanbieter gesendet - und zwar sowohl über das intelligente Gerät selbst als auch über die Steuerungsapp am Smartphone. Es liegen also eigentlich zwei Geräte vor, die kontinuierlich Daten sammeln, generieren und verwerten - wobei eine Interaktion nur mit einem der Geräte - der Smartphone - möglich ist.
Des Weiteren muss angemerkt werden, dass es bereits auf Code-Ebene drastische Unterschiede zwischen Web und IoT gibt. Der hier vordergründige Unterschied ist wohl die Hohe Variabilität der Programmiersprachen im Bereich IoT. Während es im Web sowie für Apps wenige, klar definierte Programmiersprachen gibt, die sich durchgesetzt haben und auf Basis deren ein lückenloses Consent Management ermöglicht werden kann, ist dies bei smarten Geräten nicht der Fall. Aktuell zeichnet dich der IoT-Markt noch durch eine hohe Anzahl unterschiedlicher Programmiersprachen sowie Betriebssystem-Variationen aus. Somit muss die Technologie des Consent Managements hoch variable bzw. adaptiv sein.
Um nun also kompatibel mit aktuellen Datenschutzgrundlagen zu sein, benötigt man im Consent Management ein mehrteiliges, codebasiertes und adaptives System, das die Einholung des Consent am Smartphone ermöglicht aber gleichzeitig eine Umsetzung des Consents direkt am Gerät selbst zulässt. Und dies, noch bevor das Gerät im Sinne des TTDSGs zum ersten Mal Daten erhebt.
Sehen wir uns die Anforderungen für Consent Management bei IoT Geräten nun noch einmal komprimiert an:
Die Zustimmung muss bei der Einrichtung erfolgen
Die Technologie hinter der Consent Managementlösung muss mit diversen Programmiersprachen kompatibel sein
Die Nutzer*innen müssen über die Verwendung ihrer Daten umfassend und verständlich informiert werden und diesen explizit zustimmen können, wenn es sich um Daten abseits der Grundfunktion der Geräts handelt.
Dabei muss es sich um datenschutzkonforme Einholung handeln, bei der die Nutzer*innen alles selbst anwählen und bestätigen können
Es wird folglich klar, dass es sich bei Consent Management im Bereich IoT um eine gänzlich andere Technologie handelt als im üblichen Consent Management auf Webseiten. Und hier gibt es aktuell, außer APOCRAT, noch keine Unternehmen, die sich mit dieser Problematik beschäftigt und sie lösen kann.
APOCRAT schafft Abhilfe
Wer keine Ressourcen hat, sich dauerhaft mit den neuesten Bestimmungen und Urteilen im Datenschutz auseinanderzusetzen, verliert über kurz oder lang den Überblick zwischen Empfehlungen und Voraussetzungen. APOCRAT bietet die erste und beste Lösung für Consent Management im Internet of Things und unterstützt Sie zudem mit einem umfassenden Arsenal an datenschutzkonformen Werkzeugen.
Haben wir Ihr Interesse geweckt? Wir sind auf der Suche nach Entwicklungspartnern um Produkt- und Designtests zu pilotieren. Unser Sales & Partner Manager steht Ihnen gerne für ein Beratungsgespräch zur Verfügung.
Kontakt
Partner & Sales Manager: Paul Jelenik
E-Mail-Adresse: paul.jelenik@apocrat.at
Mobil: +43 676 4636255