Das niederösterreichische Startup Apocrat hat eine Consent Management Plattform (CMP) für IoT-Geräte (Internet of Things) entwickelt und wendet sich damit sowohl an Nutzer:innen als auch an Anbieter von Endgeräten. Konkret fokussiert sich Apocrat auf Smart-Home-Geräte wie Staubsauger oder Smartwatches. Anbieter sollen die Consent-Management-Lösung von Apocrat in ihre Geräte integrieren können, während Nutzer:innen einen Überblick über ihren Datenschutz erhalten. Im brutkasten-Interview erklärt Apocrat-Geschäftsführer und Co-Founder Alexander Jürgens, wieso ihre Lösung für Smart-Home-Devices notwendig ist und welche rechtlichen Komponenten für User:innen und Anbieter in Europa zu beachten sind.

Worum geht es bei eurer Arbeit genau?

Apocrat bietet eine Lösung für die gesetzeskonforme Einholung von User Consent bei Internet-of-Things-Geräten (IoT) an. Wir bewegen uns also sowohl im rechtlichen als auch im technischen Umfeld. Der Hintergrund, warum das Einholen von Consent bei smarten Geräten so wichtig ist, sind die rechtlichen Rahmenbedingungen in Deutschland, Österreich und der ganzen EU. Die DSGVO (Datenschutzgrundverordnung) ist wahrscheinlich vielen ein Begriff, seither hat sich in Bezug auf die Einholung von User-Consent aber einiges getan: Wir bemerken das täglich, wenn wir beim Cookie-Banner auf Websites auf „akzeptieren“ klicken.

Während die Vorgaben für Websites relativ eindeutig waren, haben sich IoT-Geräte noch lange im rechtlichen Graubereich bewegt. Nun erfordert auch die Datenerhebung bei IoT-Geräten eine Zustimmung der Nutzer:innen, was allerdings nicht so einfach ist wie für Websites.

Ein Staubsaugroboter oder eine smarte Lichtsteuerung haben kein Display, auf dem man seine Zustimmung geben kann. Und genau da kommt Apocrat ins Spiel: Wir bieten Anbietern eine Software-Lösung, die sie direkt in ihre Geräte und ihre Steuerungsapp integrieren können. Über die App-Steuerung können Nutzer:innen dann ihre Zustimmung verwalten. Bisher bietet das noch kein anderes Unternehmen an.

Wie seid ihr auf die Idee zur Gründung von Apocrat gekommen?

Das Founder-Trio besteht aus CTO Armin Huremagic, CMO Laura Kaltenbrunner und mir, Alexander Jürgens als CEO. Wir kennen uns aus unserer Zeit an der FH St. Pölten, wo wir studiert und geforscht haben. Ursprünglich haben wir an der Idee eines Hardwaregeräts zur Kontrolle von Informationsflüssen bei smarten Geräten gefeilt. Wir sind dann auf eine vielversprechendere Herangehensweise umgeschwenkt und uns auf die Entwicklung einer Consent Management Plattform (CMP) für IoT-Geräte konzentriert.

Was unterscheidet euch von der üblichen Cookie-Abfrage?

Consent Management ist bei IoT-Geräten deutlich komplexer. Abgesehen davon, dass wir die User Experience transparent gestalten, werden bei IoT-Geräten gar keine Cookies verwendet, Apocrat arbeitet daher traffic-basiert. Die Software entscheidet dann, ob eine Datenabfrage eines Smart-Home-Geräts anhand der persönlichen User-Einstellungen erlaubt ist oder nicht. Die Consent-Einstellungen werden dafür zentral für jedes Endgerät in der Apocrat-Plattform gespeichert und in Regeln umformuliert, die wiederum an das Endgerät gesendet und von diesem für die Filterung des Traffics verwendet werden.

Warum der Fokus auf Smart-Home-Devices?

Mit dem Beschluss der DSGVO war der Umgang von personenbezogenen Daten
bei Smart-Home-Geräten zwar grundsätzlich geregelt, allerdings lag der Fokus auf Websites und weniger auf IoT-Geräten. Durch das TTDSG (Telekommunikation-Telemedien-Datenschutz-Gesetz) hat sich das geändert, jetzt wird verstärkt auch auf Smart-Home-Geräte geachtet – und dabei auch auf nicht-personenbezogene Daten. Mit unserem Produkt wollen wir den Nutzer:innen die Entscheidungshoheit über ihre Daten zurückgeben.

Habt ihr konkrete Beispiele, wofür Nutzer:innen ihre Zustimmung geben?

Nehmen wir wieder das Beispiel des Staubsaugroboters her. User:innen können zustimmen, dass durch die Verarbeitung der Nutzungsdaten der Staubsauger laufend verbessert und für den Einsatz im Wohnraum optimiert wird. Darüber hinaus können sie auch angeben, ob sie relevante Angebote und personalisierte Werbung basierend auf ihrem Verhalten bekommen möchten. In unserer Lösung werden alle Punkte einzeln und übersichtlich abgefragt, sodass User:innen völlig transparent einzelnen Punkten zustimmen und andere ablehnen können.

Die Zustimmung zur Datenerhebung und -verarbeitung wird klar über die App-Steuerung des smarten Geräts abgefragt. User:innen werden dabei nacheinander gefragt, zu welcher Datennutzung sie zustimmen möchten. Die individuellen Präferenzen werden auf der Apocrat-Plattform gespeichert und können dort bearbeitet werden.

Auch in der IT wird die Sicherheit bei Smart-Home-Devices kritisiert, da sie leicht zu hacken sind. Wie seht ihr das?

Tatsächlich stellen die vielen Daten, die IoT-Geräte generieren, oftmals auch ein Sicherheitsrisiko dar: Stellen Sie sich vor, Sie haben fünf smarte Geräte zu Hause, zum Beispiel einen Staubsaugroboter, einen Home-Assistenten wie Alexa, einen Lautsprecher, ein Fitnessarmband und eine intelligente Lichtsteuerung. Alle Geräte sammeln Daten, und Sie können ihre Zustimmung zur Datenverarbeitung nicht zentral verwalten.

Die Geräte sprechen auch miteinander, dadurch gibt es hier potenziell weitere Informationsflüsse. Somit kann viel leichter nachvollzogen werden, dass alle Geräte einer Person gehören, auch ohne, dass diese personenbezogene Daten verarbeiten. Und: Der Zugriff auf ein ungesichertes Gerät reicht aus, um Personen zielgenau zu identifizieren und beispielsweise über ein Fitnessarmband zu tracken. Staubsaugroboter wiederum verfügen über Pläne der gesamten Wohnung – auch diese Daten sollten nicht unkontrolliert weiterverbreitet werden.

Was sind aktuelle Herausforderungen für euer Startup?

Da wir die ersten Klagen basierend auf dem TTDSG schon im zweiten Halbjahr von 2023 erwarten, ist der Zeithorizont recht knapp. Um diesen Rückenwind zu nutzen, müssen wir die letzten Kinderkrankheiten beheben, die im Technikbereich oft bestehen. Nicht zuletzt sind wir aktuell auf der Suche nach Entwicklungspartnern bzw. Anbietern von smarten Geräten.