In Deutschland trifft das Internet der Dinge mit dem TTDSG und der DSGVO auf gleich mehrere Datenschutz-Grundpfeiler. Während das TTDSG nur auf nationaler Ebene gilt, ist die DSGVO EU-weit verpflichtend umzusetzen. Großer medialer Fokus im Zusammenhang mit hohen Strafen und nervenden Cookie-Banner auf Webseiten lassen dabei oft vergessen, dass auch Produkte und Applikationen im Smart Home DSGVO-konform konzipiert werden müssen. In diesem Blogbeitrag erfahren Sie, warum das so ist und wie gutes Consent Management dabei helfen kann, Strafen vorzubeugen.
Der folgende Absatz fasst die relevantesten Informationen für Sie kurz zusammen, eine ausführliche Erläuterung erfolgt darunter:
Die DSGVO ist eine EU-weit geltende Verordnung, durch die der Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten zum Grundrecht wird.
Personenbezogene Daten sind u.a. der Name, das Geburtsdatum, die E-Mail- oder IP-Adresse.
Findet die Verarbeitung von Daten im Rahmen von in der Europäischen Union niedergelassenen Verantwortlichen oder Auftragsverarbeitern statt, gilt die DSGVO.
Die Rechtmäßigkeit der Verarbeitung von personenbezogene Daten ist u.a. durch eine Einwilligung der Nutzer*innen gegeben.
Bei Nichteinhaltung drohen Geldbußen von bis zu 20 Millionen Euro oder 4% des gesamten weltweit erzielten Jahresumsatzes.
Das Smart Home als Teil des Internet of Things sammelt und verarbeitet eine Vielzahl an personenbezogenen Daten – die DSGVO gilt demnach auch hier
Gutes Consent Management eliminiert das Risiko von Strafen und baut Vertrauen auf.
Die Datenschutz-Grundverordnung (DSGVO) wurde am 4. Mai 2016 veröffentlicht und wird seit dem 25. Mai 2018 angewandt. Der Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten wird dadurch als Grundrecht anerkannt. Die Verarbeitung meint mitunter das Erheben, Erfassen, die Speicherung, Anpassung oder Verwendung von Informationen. Personenbezogene Daten sind all jene Informationen, die sich auf identifizierte oder identifizierbare natürliche Personen beziehen. Beispiele hierfür sind u.a. der Name, das Geburtsdatum, die E-Mail- oder IP-Adresse.
Findet die nichtautomatisierte, teilweise automatisierte oder ganz automatisierte Verarbeitung von Daten im Rahmen von in der Europäischen Union niedergelassenen Verantwortlichen oder Auftragsverarbeitern statt, gilt die DSGVO. Die tatsächliche Verarbeitung der Daten muss dabei nicht in der EU durchgeführt werden. Eine Ausnahme erfolgt u.a. dann, wenn die Daten für die Verfolgung und Aufdeckung von Straftaten erforderlich sind. Verantwortliche sind Unternehmen, die über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheiden. Auftragsverarbeiter sind Unternehmen, die im Auftrag der Verantwortlichen Daten verarbeiten.
Die Verarbeitung von personenbezogene Daten ist nur dann rechtmäßig, wenn zumindest eine der nachfolgenden Bedingungen erfüllt ist:
Es liegt die Einwilligung der Nutzer*innen vor
Die Verarbeitung ist für Erfüllung eines Vertrages oder einer rechtlichen Verpflichtung erforderlich
Die Verarbeitung ist für den Schutz von lebenswichtigen Interessen erforderlich
Die Verarbeitung ist zur Wahrnehmung einer Aufgabe im öffentlichen Interesse erforderlich
Die Verarbeitung ist zur Wahrnehmung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich
Wenn die Verarbeitung von personenbezogenen Daten unrechtmäßig stattfindet, hat jede betroffene Person das Recht auf Beschwerde bei einer Aufsichtsbehörde. Am 28. April 2022 hat der Europäische Gerichtshof (EuGH) das Urteil gefällt, dass zusätzlich Verbraucherschutzverbände Klage bei Verstoß gegen die DSGVO erheben dürfen. Dafür braucht es weder den Auftrag eines Verbrauchers / einer Verbraucherin noch den Nachweis einer konkreten Rechtsverletzung. Sofern die Klage Erfolg hat, drohen Geldbußen von bis zu 20 Millionen Euro oder 4% des gesamten weltweit erzielten Jahresumsatzes des vorangegangen Geschäftsjahres, je nachdem, welcher Betrag höher ist.
Consent Management: Das Problem wird zur Chance
Das Internet der Dinge umfasst neben Industrial IoT und autonomen Fahrzeugen den Bereich Smart Home. Smart Home Geräte wie vernetzte Glühbirnen, schlaue Staubsauger oder die intelligente Klimasteuerung sammeln große Kapazitäten an Daten. Einige, etwa das Bewegungsprofil oder der Standort einer Person, die IP-Adresse oder die bei Smart Watches gemessene Herzfrequenz, fallen unter die Kategorie der personenbezogenen Daten. Damit muss im vernetzten Zuhause ebenfalls eine DSGVO-konforme Grundlage für die Verarbeitung dieser Daten geschaffen werden.
Eine viel genutzte Möglichkeit dafür ist das Einholen der Einwilligung der Nutzer*innen mittels Consent Management. Damit sind einige Vorschriften verbunden. Verantwortliche müssen nachweisen können, dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten freiwillig eingewilligt hat. Sofern die Einwilligung durch eine schriftliche Erklärung erfolgt, muss das Ersuchen um Einwilligung in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache vollzogen werden und sich deutlich von anderen Sachverhalten abgrenzen. Die betroffene Person muss schließlich jederzeit die Möglichkeit haben, ihre Einwilligung zu widerrufen.
Werden die Vorschriften eingehalten, wird die Einwilligung auf rechtskonforme, transparente, informierte und explizite Weise eingeholt. Das eliminiert das Risiko von Strafen und baut Vertrauen bei Nutzer*innen auf. Dafür braucht es eine Consent Management Plattform, die es Smart Home Unternehmen ermöglicht, die Einwilligung (Consent) der Nutzerinnen einzuholen, ihn auf ihren Geräten durchzusetzen und für Datenschutzbehörden zu dokumentieren. APOCRAT hat eine Consent Management Plattform entwickelt, die den genannten Bedürfnissen nachkommt und es Smart Home Unternehmen damit ermöglicht, das volle Potential an Daten auszuschöpfen. Gerne stehen wir Ihnen diesbezüglich für ein Beratungsgespräch zur Verfügung. Lernen sie hier mehr über APOCRAT und zu unserer Lösung.
Kontakt
Partner & Sales Manager: Alexander Jürgens
E-Mail-Adresse: office@apocrat.at
Mobil: +43 676 4025255