16.02.2023

Dieses Startup verhindert, dass dein Saugroboter deine Daten klaut

Apocrat, das Consent-Management-Startup aus St. Pölten, bietet eine Plattform für Nutzer:innen und Unternehmen. Mit seiner Arbeit will es die Nutzung und Verarbeitung von Daten sicher und datenschutzkonform im Überblick ermöglichen. Sie fokussieren sich auf den Datenschutz bei Smart-Home-Devices.
/artikel/apocrat-startup
Das Apocrat-Founderteam (v.l.): Armin Huremagic (CTO), Laura Kaltenbrunner (CMO und Alexander Jürgens (CEO) © Apocrat
Das Apocrat-Founderteam (v.l.): Armin Huremagic (CTO), Laura Kaltenbrunner (CMO) und Alexander Jürgens (CEO) © Apocrat

Das niederösterreichische Startup Apocrat hat eine Consent Management Plattform (CMP) für IoT-Geräte (Internet of Things) entwickelt und wendet sich damit sowohl an Nutzer:innen als auch an Anbieter von Endgeräten. Konkret fokussiert sich Apocrat auf Smart-Home-Geräte wie Staubsauger oder Smartwatches. Anbieter sollen die Consent-Management-Lösung von Apocrat in ihre Geräte integrieren können, während Nutzer:innen einen Überblick über ihren Datenschutz erhalten. Im brutkasten-Interview erklärt Apocrat-Geschäftsführer und Co-Founder Alexander Jürgens, wieso ihre Lösung für Smart-Home-Devices notwendig ist und welche rechtlichen Komponenten für User:innen und Anbieter in Europa zu beachten sind.

Worum geht es bei eurer Arbeit genau?

Apocrat bietet eine Lösung für die gesetzeskonforme Einholung von User Consent bei Internet-of-Things-Geräten (IoT) an. Wir bewegen uns also sowohl im rechtlichen als auch im technischen Umfeld. Der Hintergrund, warum das Einholen von Consent bei smarten Geräten so wichtig ist, sind die rechtlichen Rahmenbedingungen in Deutschland, Österreich und der ganzen EU. Die DSGVO (Datenschutzgrundverordnung) ist wahrscheinlich vielen ein Begriff, seither hat sich in Bezug auf die Einholung von User-Consent aber einiges getan: Wir bemerken das täglich, wenn wir beim Cookie-Banner auf Websites auf „akzeptieren“ klicken.

Während die Vorgaben für Websites relativ eindeutig waren, haben sich IoT-Geräte noch lange im rechtlichen Graubereich bewegt. Nun erfordert auch die Datenerhebung bei IoT-Geräten eine Zustimmung der Nutzer:innen, was allerdings nicht so einfach ist wie für Websites.

Ein Staubsaugroboter oder eine smarte Lichtsteuerung haben kein Display, auf dem man seine Zustimmung geben kann. Und genau da kommt Apocrat ins Spiel: Wir bieten Anbietern eine Software-Lösung, die sie direkt in ihre Geräte und ihre Steuerungsapp integrieren können. Über die App-Steuerung können Nutzer:innen dann ihre Zustimmung verwalten. Bisher bietet das noch kein anderes Unternehmen an.

Wie seid ihr auf die Idee zur Gründung von Apocrat gekommen?

Das Founder-Trio besteht aus CTO Armin Huremagic, CMO Laura Kaltenbrunner und mir, Alexander Jürgens als CEO. Wir kennen uns aus unserer Zeit an der FH St. Pölten, wo wir studiert und geforscht haben. Ursprünglich haben wir an der Idee eines Hardwaregeräts zur Kontrolle von Informationsflüssen bei smarten Geräten gefeilt. Wir sind dann auf eine vielversprechendere Herangehensweise umgeschwenkt und uns auf die Entwicklung einer Consent Management Plattform (CMP) für IoT-Geräte konzentriert.

Was unterscheidet euch von der üblichen Cookie-Abfrage?

Consent Management ist bei IoT-Geräten deutlich komplexer. Abgesehen davon, dass wir die User Experience transparent gestalten, werden bei IoT-Geräten gar keine Cookies verwendet, Apocrat arbeitet daher traffic-basiert. Die Software entscheidet dann, ob eine Datenabfrage eines Smart-Home-Geräts anhand der persönlichen User-Einstellungen erlaubt ist oder nicht. Die Consent-Einstellungen werden dafür zentral für jedes Endgerät in der Apocrat-Plattform gespeichert und in Regeln umformuliert, die wiederum an das Endgerät gesendet und von diesem für die Filterung des Traffics verwendet werden.

Warum der Fokus auf Smart-Home-Devices?

Mit dem Beschluss der DSGVO war der Umgang von personenbezogenen Daten
bei Smart-Home-Geräten zwar grundsätzlich geregelt, allerdings lag der Fokus auf Websites und weniger auf IoT-Geräten. Durch das TTDSG (Telekommunikation-Telemedien-Datenschutz-Gesetz) hat sich das geändert, jetzt wird verstärkt auch auf Smart-Home-Geräte geachtet – und dabei auch auf nicht-personenbezogene Daten. Mit unserem Produkt wollen wir den Nutzer:innen die Entscheidungshoheit über ihre Daten zurückgeben.

Habt ihr konkrete Beispiele, wofür Nutzer:innen ihre Zustimmung geben?

Nehmen wir wieder das Beispiel des Staubsaugroboters her. User:innen können zustimmen, dass durch die Verarbeitung der Nutzungsdaten der Staubsauger laufend verbessert und für den Einsatz im Wohnraum optimiert wird. Darüber hinaus können sie auch angeben, ob sie relevante Angebote und personalisierte Werbung basierend auf ihrem Verhalten bekommen möchten. In unserer Lösung werden alle Punkte einzeln und übersichtlich abgefragt, sodass User:innen völlig transparent einzelnen Punkten zustimmen und andere ablehnen können.

Die Zustimmung zur Datenerhebung und -verarbeitung wird klar über die App-Steuerung des smarten Geräts abgefragt. User:innen werden dabei nacheinander gefragt, zu welcher Datennutzung sie zustimmen möchten. Die individuellen Präferenzen werden auf der Apocrat-Plattform gespeichert und können dort bearbeitet werden.

Auch in der IT wird die Sicherheit bei Smart-Home-Devices kritisiert, da sie leicht zu hacken sind. Wie seht ihr das?

Tatsächlich stellen die vielen Daten, die IoT-Geräte generieren, oftmals auch ein Sicherheitsrisiko dar: Stellen Sie sich vor, Sie haben fünf smarte Geräte zu Hause, zum Beispiel einen Staubsaugroboter, einen Home-Assistenten wie Alexa, einen Lautsprecher, ein Fitnessarmband und eine intelligente Lichtsteuerung. Alle Geräte sammeln Daten, und Sie können ihre Zustimmung zur Datenverarbeitung nicht zentral verwalten.

Die Geräte sprechen auch miteinander, dadurch gibt es hier potenziell weitere Informationsflüsse. Somit kann viel leichter nachvollzogen werden, dass alle Geräte einer Person gehören, auch ohne, dass diese personenbezogene Daten verarbeiten. Und: Der Zugriff auf ein ungesichertes Gerät reicht aus, um Personen zielgenau zu identifizieren und beispielsweise über ein Fitnessarmband zu tracken. Staubsaugroboter wiederum verfügen über Pläne der gesamten Wohnung – auch diese Daten sollten nicht unkontrolliert weiterverbreitet werden.

Was sind aktuelle Herausforderungen für euer Startup?

Da wir die ersten Klagen basierend auf dem TTDSG schon im zweiten Halbjahr von 2023 erwarten, ist der Zeithorizont recht knapp. Um diesen Rückenwind zu nutzen, müssen wir die letzten Kinderkrankheiten beheben, die im Technikbereich oft bestehen. Nicht zuletzt sind wir aktuell auf der Suche nach Entwicklungspartnern bzw. Anbietern von smarten Geräten.

Deine ungelesenen Artikel:
07.07.2026

„Sprungbrett statt Schutzwall“: Sieben Leitbetriebe starten Initiative für digitale Souveränität

Sieben österreichische Leitbetriebe wollen Europas technologische Unabhängigkeit vorantreiben – nicht als Abschottung, sondern als Standortchance. Heute wurde in Wien die „Initiative Digitale Souveränität" vorgestellt. Ihr konkretester Vorschlag: ein Gütesiegel für digitale Souveränität in der öffentlichen Beschaffung.
/artikel/sprungbrett-statt-schutzwall-sieben-leitbetriebe-starten-initiative-fuer-digitale-souveraenitaet
07.07.2026

„Sprungbrett statt Schutzwall“: Sieben Leitbetriebe starten Initiative für digitale Souveränität

Sieben österreichische Leitbetriebe wollen Europas technologische Unabhängigkeit vorantreiben – nicht als Abschottung, sondern als Standortchance. Heute wurde in Wien die „Initiative Digitale Souveränität" vorgestellt. Ihr konkretester Vorschlag: ein Gütesiegel für digitale Souveränität in der öffentlichen Beschaffung.
/artikel/sprungbrett-statt-schutzwall-sieben-leitbetriebe-starten-initiative-fuer-digitale-souveraenitaet
Foto: A1 Telekom Austria/APA-Fotoservice/Martin Hörmandinger

Bei Energie und bei Verteidigung hat Europa spät und teuer gelernt, was strategische Abhängigkeit kostet. Im Digitalen – bei Betriebssystemen, Cloud und Künstlicher Intelligenz – ist die Abhängigkeit von wenigen außereuropäischen Anbietern mindestens genauso groß. Genau dort will eine neue Allianz heimischer Leitbetriebe gegensteuern.

Getragen wird die „Initiative Digitale Souveränität“ von A1 Telekom, Anexia, Erste Bank, Keba Group, Spar ICS, Umdasch Group und der Vienna Insurance Group – sieben Unternehmen aus sieben Branchen. Gemeinsam wollen sie Initiativen und Pilotprojekte vorantreiben, um den Digitalstandort Österreich und Europa zu stärken, mit besonderem Fokus auf den Schutz kritischer Infrastruktur.

Die Stoßrichtung ist dabei ausdrücklich keine defensive. „Digitale Souveränität bedeutet nicht Abschottung, sondern Wahlfreiheit und europäische Alternativen — besonders bei kritischen Daten“, sagte A1-Deputy-CEO Thomas Arnoldner. Souveränität sei kein Schutzwall, sondern ein Sprungbrett – und man müsse sie aufbauen, bevor man sie brauche.

Vorschlag: ein Gütesiegel für die öffentliche Beschaffung

Der konkreteste Vorschlag steht im Positionspapier selbst: ein „Gütesiegel für Souveränität“ für die öffentliche Beschaffung. Es soll verlässliche Qualitätsstandards im Cloud-Bereich sichtbar machen, Transparenz schaffen und sogenanntem „Sovereign-Washing“ vorbeugen – also dem bloßen Etikett „souverän“ ohne echte Substanz. Zugleich soll digitale Souveränität in den Bewertungskriterien öffentlicher Vergaben verankert werden; für besonders sensible Daten aus Verwaltung, Gesundheit oder Bildung schlägt die Initiative europäische beziehungsweise österreichische „Souveränitätszonen“ vor.

Foto: A1 Telekom Austria/APA-Fotoservice/Martin Hörmandinger

Keba-CEO Christoph Knogler führte den Gedanken bei der Pressekonferenz aus Industriesicht aus: Ein solches Siegel müsse nachvollziehbar ausweisen, wo Daten gespeichert und verarbeitet werden, wer die Infrastruktur betreibt und in welchem Rechtsraum das geschieht. Berücksichtige die öffentliche Hand Souveränität bei ihren Vergaben, sei das kein bürokratisches Zusatzmerkmal, sondern ein Qualitätskriterium. Zusätzlich warb Knogler dafür, nicht jede Anwendung in der Cloud zu betreiben: On-Device- und On-Edge-KI könnten sensible Daten direkt an Gerät oder Maschine verarbeiten.

Hinter der Debatte steht ein juristischer Kern. Auf Nachfrage aus dem Publikum verwiesen die Initiatoren auf den US Cloud Act als zentrales Problem bei der Frage, welchem Rechtsraum in Europa verarbeitete Daten unterliegen. Fertige Kriterien für das Gütesiegel gebe es noch nicht – die Arbeit laufe auf europäischer wie nationaler Ebene.

Anexia-CEO Alexander Windbichler brachte einen regulatorischen Vergleich ins Spiel: Wie einst im Telekom- und Energiemarkt die Netze geöffnet wurden, ohne Produkte vorzuschreiben, könnte im Cloud-Bereich eine klare Trennung zwischen Software und Betrieb – samt offener Schnittstellen – für fairen Wettbewerb sorgen.

Toll dass du so interessiert bist!
Hinterlasse uns bitte ein Feedback über den Button am linken Bildschirmrand.
Und klicke hier um die ganze Welt von der brutkasten zu entdecken.

brutkasten Newsletter

Aktuelle Nachrichten zu Startups, den neuesten Innovationen und politischen Entscheidungen zur Digitalisierung direkt in dein Postfach. Wähle aus unserer breiten Palette an Newslettern den passenden für dich.

Montag, Mittwoch und Freitag

AI Summaries

Dieses Startup verhindert, dass dein Saugroboter deine Daten klaut

AI Kontextualisierung

Welche gesellschaftspolitischen Auswirkungen hat der Inhalt dieses Artikels?

Leider hat die AI für diese Frage in diesem Artikel keine Antwort …

Dieses Startup verhindert, dass dein Saugroboter deine Daten klaut

AI Kontextualisierung

Welche wirtschaftlichen Auswirkungen hat der Inhalt dieses Artikels?

Leider hat die AI für diese Frage in diesem Artikel keine Antwort …

Dieses Startup verhindert, dass dein Saugroboter deine Daten klaut

AI Kontextualisierung

Welche Relevanz hat der Inhalt dieses Artikels für mich als Innovationsmanager:in?

Leider hat die AI für diese Frage in diesem Artikel keine Antwort …

Dieses Startup verhindert, dass dein Saugroboter deine Daten klaut

AI Kontextualisierung

Welche Relevanz hat der Inhalt dieses Artikels für mich als Investor:in?

Leider hat die AI für diese Frage in diesem Artikel keine Antwort …

Dieses Startup verhindert, dass dein Saugroboter deine Daten klaut

AI Kontextualisierung

Welche Relevanz hat der Inhalt dieses Artikels für mich als Politiker:in?

Leider hat die AI für diese Frage in diesem Artikel keine Antwort …

Dieses Startup verhindert, dass dein Saugroboter deine Daten klaut

AI Kontextualisierung

Was könnte das Bigger Picture von den Inhalten dieses Artikels sein?

Leider hat die AI für diese Frage in diesem Artikel keine Antwort …

Dieses Startup verhindert, dass dein Saugroboter deine Daten klaut

AI Kontextualisierung

Wer sind die relevantesten Personen in diesem Artikel?

Leider hat die AI für diese Frage in diesem Artikel keine Antwort …

Dieses Startup verhindert, dass dein Saugroboter deine Daten klaut

AI Kontextualisierung

Wer sind die relevantesten Organisationen in diesem Artikel?

Leider hat die AI für diese Frage in diesem Artikel keine Antwort …

Dieses Startup verhindert, dass dein Saugroboter deine Daten klaut