Hintergrund

Provider von Smart Home Geräten (Vernetzung von technischen Geräten; Internet of things) stehen durch neue (TTDSG) und alte Regelungen (DSGVO) vor dem Problem, dass sie die Zustimmung von Nutzer*innen für die Verwendung von Daten einholen müssen. Im Gegensatz zu bestehenden Consent Management Plattformen (CMP) für Webseiten oder Apps besitzen jedoch die smarten Geräte keine Benutzer*innenoberflächen. Es braucht also Lösungen, die ohne direktes Interface auskommen, und stattdessen auf das Interface der Steuerungsapp (App zur Bedienung des smarten Geräts) zugreifen.

Projektinhalt 

In einem Vorläuferprojekt wurden gemeinsam mit unterschiedlichen Stakeholdern die Anforderungen an eine Consent Management Plattform für Smart Home Provider bereits ausformuliert. Lösungsansätze wurden erarbeitet und ein erster Prototyp (MVP, minimal viable product) auf Grundlage der vielversprechendsten Ideen entwickelt. Im Zuge dieser Arbeiten wurde jedoch eine weitere Herausforderung erkannt. Auf der DSK (Datenschutzkonferenz) 2021 wurde verkündet, dass sie den Einsatz von (User) IDs als Verstoß ahnden wird, sofern für die Verwendung dieser IDs nicht ebenfalls die Zustimmung der Nutzer*innen eingeholt wurde. Trotz Verzicht auf IDs muss aber nachvollziehbar dargelegt werden können, zu welchem Zeitpunkt, von welcher Person und auf welchem Gerät eine Einwilligung (Consent) gegeben wurde. Ein solcher Nachweis ist mindestens für die Dauer der Verarbeitung der Daten zu erbringen. Daraus folgt, dass die Zustimmung zur Verwendung einer ID zwar nachvollziehbar aufgezeichnet werden muss, jedoch keine Verwendung von IDs erfolgen darf. In dem vorliegenden Projekt wird hierfür eine Lösung erarbeitet. 

Ziele und Ergebnis

Ziel des vorliegenden Projektes ist die Weiterentwicklung des minimal funktionsfähigen Produktes (MVP) aus einem vorangegangenen Impact Innovation Projekts des Unternehmens APOCRAT, zu einem rechtlich konformen Prototyp, der auf die Verwendung von User IDs bei der Speicherung von Nutzer*innen-Einwilligungen verzichtet. Dieser Aspekt wurde bislang nicht beachtet, ist jedoch ein relevanter und entscheidender Faktor für die Datenschutzkonformität der entwickelten Consent Management Lösung.