Mit dem Inkrafttreten der DSGVO wurde eine Welle an datenschutzrechtlichen Reformen ausgelöst. Personenbezogene Daten dürfen nur noch verarbeitet werden, wenn die Einwilligung des Users vorliegt. Seit dem Inkrafttreten des TTDSGs im Dezember 2021 gilt diese Notwendigkeit einer Einwilligung nun ebenfalls, wenn es sich um den Zugriff auf und die Speicherung von Daten in Endeinrichtungen handelt (mehr dazu später). Natürlich nur, sofern es sich um Daten handelt, die nicht zwingend für die Erfüllung eines Vertrags oder der grundlegenden Funktionalität notwendig sind. Auf vielen Websites wird man daher direkt nach dem Aufruf der Seite mit sogenannten "Cookie Bannern" oder "Consent Bannern" konfrontiert. Hinter diesen Bannern agiert häufig eine Consent Management Software oder auch Consent Management Plattform, kurz CMP genannt. Solche CMPs sorgen dafür, dass die Nutzer*innen über die Verarbeitung ihrer Daten informiert werden und bestimmen können, ob diese Verarbeitung für sie in Ordnung geht (zugelassen wird) oder nicht (abgelehnt wird). Schlussendlich gibt es CMPs nicht nur Webseiten sondern für alle Endeinrichtungen und Dienste, die Daten sammeln - bspw. Apps, OTT, CTV oder für diverse smarte Geräte.
Wie funktioniert Consent Management?
Die Grundlage für Consent Management sind die zuvor bereits erwähnten Consent Banner. Nutzt man einen Dienst, der Daten verarbeiten möchte, so muss jeder Nutzer*in des Dienstes vorgelegt werden, welche Services welche Daten zu welchem konkreten Zweck verwenden möchten. Genau hierfür sind die Consent Banner da, welche somit die Schnittstelle zwischen dem technischen System im Hintergrund und den den Nutzerinnen als Datensubjekt bilden.
Die Nutzer*innen können nun entscheiden, welche Services und Verwendungszwecke zugelassen werden sollen und welche blockiert werden. Häufig - und im Sinne des Best Practice - gibt es zudem eine Option, alle Dienste abzulehnen und ggf. wird auch ein "Alles annehmen" Button angeboten. Anhaltspunkte für, wie ein solches Consent Banner gestaltet werden soll, liegen u.a. im folgenden Leitfaden vor: BVDW Leitfaden "Einwilligungsmanagement - Consent-Management in der Praxis"
Wichtig ist jedoch, dass das Consent Banner so gestaltet ist, dass eine "informierte, freiwillige, zweckgebundene, begründete, ausdrückliche (explizite), in klar und einfacher Sprache formulierte und jederzeit widerrufbare" Einholung der Zustimmung oder Ablehnung zur Dateneinholung und -verarbeitung möglich ist. Sogenannte "Dark Patterns" - also z.B. die farbliche Hervorhebung des "Alles akzeptieren" Buttons, das Verstecken der vertieften Consent Informationen sowie eine "Opt-Out" Lösung - behindern eine solche informierte, freiwillige und explizite Einholung der Zustimmung und beschränken die Gültigkeit eines Consents deutlich. Auch das einfache Scrollen auf einer Webseite bzw. die weitere Nutzung des Dienstes gilt nicht als gültiger Consent, da es sich hierbei um eine implizite und nicht explizite Zustimmung handelt. Zudem zeichnet es sich ab, dass solche Praktiken bald durch den Data Service Act gänzlich verboten werden. Es ist somit nicht ratsam, solche Dark Patterns einzusetzen.
Hat sich ein Nutzer bzw. eine Nutzerin nun für eine Auswahl an Services entschieden, so muss diese Information im Hintergrund permanent gespeichert werden - z.B. durch eine Consent Management Plattform. Auf Webseiten wird hierfür z.B. ein Cookie mit den jeweiligen Consent Informationen gesetzt. Zudem muss der jeweilige Dienste (z.B. Webseite) bzw. die jeweilige Endeinrichtung folglich alle anderen Dienste bzw. das Sammeln jener Daten blockieren, die der Nutzer bzw. die Nutzerin nicht zugelassen hat.
Schlussendlich ist eine solche Zustimmung zur Verarbeitung und Sammlung von Daten nicht unendlich gültig. In regelmäßigen Abständen muss die Zustimmung erneuert werden und folglich der Consent durch ein Consent Banner wiederholt abgefragt werden. Zudem können die Nutzer*innen die Einwilligung jederzeit widerrufen.
Alle diese Änderungen im Consent werden dann erneut auf der Consent Management Plattform im Hintergrund dokumentiert und können seitens des Betreibers des Dienstes oder der Endeinrichtung abgerufen werden. Dies ist u.a. für die Auskunft an die Nutzer*innen sowie Datenschutzorganisationen notwendig.
In wenigen Worten: Consent Management sorgt für Klarheit und den Schutz der Privatsphäre bei Personen, die digitale Dienste, wie beispielsweise Websites oder Apps, nutzen. Der Consent muss durch den User gegeben werden und gilt bis zum Widerruf oder der rechtlich notwendigen Erneuerung.
Warum brauche ich Consent Management?
Die DSGVO wurde bereits am Anfang kurz beschrieben. Sie ist wohl der zentralste Grund für die Notwendigkeit von Consent Management. Seit 2021 gibt es jedoch eine neue Regelung, die man beachten muss. Das Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) gilt seit dem 1. Dezember 2021 und verschärft die Sicherung des Privatsphärenschutzes. Besonderheiten zu diesem Gesetz werden in unserem Blogbeitrag "Das TTDSG und ich: Was Smart Home Unternehmen wissen müssen" behandelt. Bei Verstößen gegen die DSGVO oder das TTDSG drohen seit deren Inkrafttreten hohe Strafen, je nach Art des Verstoßes und Anzahl der Vergehen.
DSGVO | TTDSG |
Verarbeitung von personenbezogenen Daten | Speicherung von oder Zugriff auf Daten auf Endeinrichtungen |
Bis zu EUR 20 Mio. oder 4 % des weltweiten Jahresumsatzes | Bis zu EUR 300.000 bei Verstoß gegen § 25 Abs. 1 TTDSG (vgl. § 28 Abs. 1 Nr. 13, Abs. 2 TTDSG) |
Damit die DSGVO in einem Sachverhalt Anwendung findet, muss es sich um personenbezogene Daten handeln. Für das TTDSG ist diese Voraussetzung nicht zwingend, da alle Daten, sowohl personenbezogen als auch nicht-personenbezogen, darin geregelt werden. Die beiden Gesetze unterscheiden sich hauptsächlich darin, dass die DSGVO die Verarbeitung von personenbezogenen Daten behandelt, wohingegen das TTDSG die Speicherung von und den Zugriff auf Daten einer Endeinrichtung (smarter Staubsauger, smarte Glühbirne) regelt. Beide erfordern jedoch eine explizite Einwilligung bei der Sammlung und Nutzung von Daten, die nicht grundlegende notwendig für die Funktionsweise des Dienstes bzw. der Endeinrichtung sind.
So braucht man eine Einwilligungslösung beispielsweise dann, wenn man über ein Endgerät Daten sammelt, die für Werbezwecke verwendet werden. Die erteilte Einwilligung ermöglicht es dann, anhand der gesammelten und verarbeiteten Daten Werbung auszuspielen und ggf. auf die jeweilige Person zuzuschneiden. Je mehr Daten dafür vorhanden sind und je länger diese gespeichert werden, umso lukrativer für die Werbetreibenden und die Plattformen, auf denen sie online Werbemittel ausspielen.
Ein Blick in die Praxis
Soviel zur Theorie, in der Praxis können jedoch bei der Umsetzung Fehler passieren, die möglicherweise die Rechtskonformität der CMP beeinträchtigen. Zum Beispiel muss sichergestellt werden, dass keine Daten gesammelt werden, bis die Einwilligung gegeben und gespeichert wurde. Eine Untersuchung von e-dialog im Jahr 2020 hat ergeben, dass 76% der darin betrachteten Unternehmen fehlerhaftes Consent Management betreiben. Bei den beschriebenen Mängeln handelt es sich zum einen häufig um ein Sammeln von Daten noch bevor ein Consent erteilt wurde, zum anderen wird auch die Gestaltung der Optionen kritisiert. Zudem wird häufig nicht mit einem expliziten, sondern mit einem impliziten Consent, also der weiteren Nutzung des Dienstes, die Einwilligung erteilt, welches jedoch nicht rechtskonform ist. Wer diese Punkte missachtet und bei der Consent Management an den falschen Enden spart, muss mit Konsequenzen rechnen, da damit ein hohes rechtliches Risiko verbunden ist.
Mittlerweile haben sich mehrere Unternehmen auf Consent Management spezialisiert und bieten Lösungen an, um auf Websites, Apps sowie bei diversen Geräten (Endeinrichtungen) die Einwilligung der Nutzer*innen einzuholen und sicher zu verwalten. Diese Lösungen gestalten sich für Unternehmen meist attraktiver, als ein eigenes Consent Management System aufzubauen. Ein Grund dafür ist die Rechtslage, die aktuell vielen Änderungen unterworfen ist. Mit dem TTDSG sind Smart Home Devices als Endeinrichtungen erstmals gesetzlich im Hinblick auf Datenschutz geregelt, was viele Hersteller und Vendoren vor neue Herausforderungen stellt, um weiterhin gesetzeskonform zu agieren.
Mit APOCRAT in bester Gesellschaft
Smarte Geräte im Haushalt wissen viel mehr über unseren Alltag, als wir wahrhaben möchten. Dieses Wissen ist für Hersteller und weitere Parteien, die von diesen Daten profitieren, ein wertvolles Gut. Im TTDSG werden intelligente Haushaltsgeräte erstmals in Artikel 25 geregelt, wenn es um die Sammlung, Übermittlung und Verarbeitung von Daten geht.
Das Bedeutet: Bei der Einrichtung oder Inbetriebnahme von Smart Home Devices muss ebenfalls das Einverständnis eingeholt werden und die das Gerät nutzende Person umfassend über die Möglichkeiten der Verwendung Ihrer Daten informiert werden.
Strafzahlungen für unrechtmäßig verarbeitete Daten kann man als Unternehmen mittlerweile mit wenig Aufwand vermeiden. Wer sich rechtlich absichert und die aktuelle Gesetzeslage kennt, kann ganz einfach und rechtskonform die benötigten Zustimmungen einholen. Gerade im Smart Home Bereich gestaltet sich die Lage dynamisch und kann für Unternehmen, die nicht gesetzeskonform arbeiten, sogar mit der Unterlassung ihrer Dienste enden. Um hohen Strafen und einem Imageverlust vorzubeugen, lohnt es sich, nach sauberen Lösungen zu suchen. Mit den Lösungen von APOCRAT erhalten unsere Kund*innen einen Werkzeugkoffer, mit dem sie personalisierte Lösungen schaffen, die vor Strafen gegen unsachgemäße Datenverarbeitung schützen.
Haben wir Ihr Interesse geweckt? Wir sind auf der Suche nach Entwicklungspartnern um Produkt- und Designtests zu pilotieren. Unser Sales & Partner Manager steht Ihnen gerne für ein Beratungsgespräch zur Verfügung.
Kontakt
Partner & Sales Manager: Alexander Jürgens
E-Mail-Adresse: office@apocrat.at
Mobil: +43 676 4025255