Extended Reality (XR)-Technologien im Zusammenhang mit dem Datenschutz
Extended Reality (XR)-Technologien, zu denen Virtual Reality (VR), Mixed Reality (MR) und Augmented Reality (AR) gehören, werden immer beliebter und entwickeln sich rasant weiter. Einerseits bietet diese Technologie den Nutzern neue Möglichkeiten, ihr Leben zu verbessern, sich zu unterhalten und weiterzubilden. Andererseits ergeben sich daraus auch Bedenken hinsichtlich des Datenschutzes und der Sicherheit, insbesondere dann, wenn Künstliche Intelligenz (KI) zum Einsatz kommt. XR-Technologien benutzen und verwerten in der Regel eine Vielzahl an Daten von dem Nutzer und seiner Umgebung. Wie so oft, wenn es um datenschutzrechtliche Problemstellen geht, tritt der vieldiskutierte Konflikt zwischen dem Grundsatz der Datenminimierung (Artikel 5 (c) DSGVO) und der permanenten Herausforderung, die Leistung der Systeme zu verbessern, welche die Verarbeitung zahlloser Daten erfordert, auch hierbei in den Vordergrund.
Anwendungsfälle für VR, MR und AR
Durch den Einsatz von XR mit Hilfe von Kameras, Mikrofonen und Sensoren können Menschen virtuelle Umgebungen besuchen und Erfahrungen in einer realistischen und interaktiven Art und Weise sammeln, die mittlerweile fast dem entspricht, was sie in der realen Welt erleben könnten.
Wenn Sie an XR denken, stellen Sie sich wahrscheinlich jemanden vor, der ein VR-Headset trägt und ein Spiel spielt. VR und AR werden häufig in der Spieleindustrie eingesetzt. Aber es gibt noch viele weitere Bereiche, in denen XR eingesetzt werden kann, wie z. B.:
- Engineering und Herstellung, z.B. beim Design eines neuen Autos ist es möglich, eine 3D-Ansicht eines Produktdesigns zu erhalten, bevor es erstellt wurde;
- Medizin (z. B. MRT- und CT-Scans mit vollständiger 3D-Darstellung des menschlichen Körpers anstelle der herkömmlichen 2D-Bildgebung);
- virtuelle Besichtigungen von Immobilien;
- Schulwesen (z. B. die Möglichkeit, in den menschlichen Körper hineinzuschauen);
- Online-Shopping, bei dem man das Produkt in einer digitalen Umgebung erleben kann;
- Verteidigungsschulungen für das Militär unter Einsatz von VR, KI und biometrischer Tracking-Technik.
Potenzielle Datenschutz- und Sicherheitsrisiken
Die Headsets und Geräte können bei Benutzung (sensible) personenbezogene Daten über Sie und Ihre Umgebung sammeln. Durch die Einführung von KI in XR werden die Datenschutz- und Sicherheitsrisiken jedoch noch verstärkt, da die Geräte und Dienste Daten auf einem noch nie da gewesenen Niveau sammeln und analysieren. Diese sind z.B.:
- Verarbeitung sensibler Daten zu extensiven Zwecken
XR-Geräte sammeln, verarbeiten und teilen große Mengen an Daten über den Körper und die Umgebung der Nutzer. Diese Daten werden in erster Linie für die Bereitstellung von Diensten für den Nutzer verwendet, können aber auch Rückschlüsse auf sensible Aspekte des Lebens der Menschen, wie ihre sexuelle Orientierung oder ihren Gesundheitszustand, zulassen. Dies ist z. B. auf die Sensibilität von Blickbewegungsdaten, ihre potenzielle Rolle bei wichtigen Entscheidungen, welche die Nutzer betreffen, und die unbewusste Natur der Verhaltensweisen, aus denen einige dieser Daten abgeleitet werden, zurückzuführen.
- Digitaler Fingerabdruck
Das Tracking der Körper von Nutzern und Umstehenden könnte einen digitalen Fingerabdruck und den Verlust der Anonymität in XR-Umgebungen bedeuten. Dies ist etwa auf Sensoren zurückzuführen, die die Körperbewegungen eines Benutzers registrieren.
- Erhebung von Daten von Dritten
Andere Personen, die sich in der Nähe der XR-Technologie befinden, sind sich darüber hinaus möglicherweise einerseits nicht bewusst, dass die gerade verwendete Technologie Daten über sie sammelt und verarbeitet, andererseits nicht, zu welchen Zwecken und mit wem die Technologie diese Informationen teilt. Wie die Nutzer können auch Dritte die unbewussten Verhaltensweisen, welche die Sensordaten für die XR-Erfahrungen liefern, nicht kontrollieren.
Aktuelle Gesetzgebung in Bezug auf die XR-Technologie
Gemäß der Datenschutzgrundverordnung (DSGVO) werden Informationen, die sich auf eine identifizierte oder identifizierbare Person beziehen, als „personenbezogene Daten“ definiert. Die meisten Daten, die mit XR-Technologien von Nutzern (und meist auch von Dritten) erhoben werden, sind personenbezogene Daten. In einigen Fällen können sie sogar als besondere Kategorie personenbezogener Daten klassifiziert werden (biometrische Daten). Bewegungsmuster sind sehr individuell. Die Erstellung von Bewegungsprofilen, welche den Nutzer eindeutig identifizieren, ist nicht auszuschließen. Daher sollten auch virtuell gesammelte personenbezogene Daten, die sich auf eine individuelle Person beziehen, wie Blicke und Bewegungsmuster, als personenbezogene Daten betrachtet werden. Daher unterliegt eine Organisation, welche eben diese Daten aufzeichnet, sammelt, bewertet oder auf andere Weise verwendet, den Verpflichtungen der DSGVO, also z. B. den Rechtsgrundsätzen der Rechtmäßigkeit (legitime Rechtsgrundlage für die Verarbeitung von Daten), der Transparenz, Treu und Glauben, der Datenminimierung oder der Speicherbegrenzung. Zur Legitimierung vieler Datenverarbeitungsvorgänge, die im Rahmen der XR-Verarbeitung stattfinden, kann zudem eine ausdrückliche Einwilligung erforderlich sein (besondere Aufmerksamkeit dabei sollte der Einholung einer Einwilligung von Kindern geschenkt werden).
Kommerzielle Anbieter von XR-Technologien, die personenbezogene Daten von EU-Bürgern verarbeiten, unterliegen ebenfalls der ePrivacy-Richtlinie.
In Zukunft werden die Anbieter von XR-Technologien, welche KI in ihre Systeme einführen, die Verpflichtungen berücksichtigen müssen, die sich aus dem AI Act (derzeit noch als Entwurf) ergeben.
Anbieter von XR-Technologien können des Weiteren unter die Bestimmungen des Digital Markets Act und des Digital Services Act fallen. Auch dies ist zu beachten.
Wie können die Risiken minimiert werden?
Organisationen, die XR-Technologien einsetzen, können eine Reihe von Strategien anwenden, um die Risiken im Zusammenhang mit der Erhebung, Nutzung und Weitergabe von XR-Daten zu verringern. Diese sind unter anderem:
- Berücksichtigung der Grundsätze der Zweckbindung und Datenminimierung (Art. 5 (b) (c) DSGVO)
Die Unternehmen sollten die Erhebung, Speicherung und Nutzung von Daten, einschließlich der Nutzung durch Dritte, auf bestimmte, festgelegte Zwecke beschränken. Die Nutzung der in XR erhobenen personenbezogenen Daten für neue Zwecke muss einem strengen Kompatibilitätstest unterliegen (Artikel 6 (4) DSGVO).
- Befolgung des „Data Protection by Design and by Default“-Konzepts (Art. 25 (1) DSGVO)
Die Unternehmen sollten darüber hinaus Privacy Enhancing Technologies in ihrem Design implementieren. Dies können beispielsweise Maßnahmen wie Verschlüsselung und Differential Privacy darstellen, welche eine datenschutzkonforme Datenanalyse und -weitergabe ermöglichen. Als Alternative zur Analyse von Echtdaten können die Entwickler etwa synthetische Daten verwenden.
- Entwicklung von XR-Geräten zum Schutz der Daten von Dritten.
Es muss außerdem sichergestellt werden, dass solche Daten nicht unrechtmäßig gesammelt werden. Dies könnte z. B. die automatische Unkenntlichmachung der Gesichter von Zuschauern beinhalten.
Die komplexen XR-Funktionen werfen folglich durchaus Sicherheits- und Datenschutzbedenken auf. XR-Geräte sind technisch in der Lage, eine Vielzahl (sensibler) personenbezogener Daten zu verarbeiten, die von Nutzern und Dritten nicht ausreichend kontrolliert werden können. Werden diese Daten nicht ausreichend verwaltet, könnten sie zu Zwecken verwendet werden, welche sich nachteilig auf den Einzelnen auswirken. Die derzeitige Gesetzgebung bietet einige Garantien für die Nutzer von XR. Es muss jedoch überwacht werden, wie die Gesetze in der Praxis von den XR-Anbietern umgesetzt werden und ob die bestehenden (und geplanten) Vorschriften ausreichen, um die Rechte und Freiheiten natürlicher Personen zu schützen.
Neueste Beiträge
Wenn personenbezogenen Daten in ein Drittland übermittelt bzw. dort verarbeitet werden, müssen Verantwortliche bzw. Auftragsverarbeiter prüfen, ob die allgemeinen Voraussetzungen der DSGVO für eine Datenübermittlung erfüllt sind. Seitdem der Europäische Gerichtshof (EuGH) in seinem Urteil vom 16. Juli 2020 den Beschluss der Europäischen Kommission (2016/1250) zur Übermittlung personenbezogener Daten in die USA (sog. „Privacy Shield“) für unwirksam erklärt hat, herrscht viel Unsicherheit in Bezug auf die notwendigen Schritte und Maßnahmen, die ab diesem Zeitpunkt zu treffen waren, um weiterhin eine datenschutzkonforme Übermittlung oder Verarbeitung personenbezogener Daten in die USA zu ermöglichen.
Bilderkennungstechnologien haben in den letzten Jahren enorme Fortschritte gemacht. Durch den Einsatz von künstlicher Intelligenz („KI“) und maschinellem Lernen sind Systeme entstanden, die in der Lage sind, Personen, Objekte und sogar Emotionen auf Fotos oder in Echtzeit-Videos zu erkennen. Während diese Technologien viele positive Anwendungen finden, wie zum Beispiel in der Medizin oder im Verkehrswesen, gibt es auch ernsthafte Bedenken hinsichtlich des Datenschutzes und der Privatsphäre von Personen, welche durch solche Systeme identifiziert werden können. In diesem Beitrag wird erläutert, wie Bilderkennungstechnologien genutzt werden können, um Personen zu identifizieren, und welche Datenschutzprobleme damit verbunden sind.
Vertrauen braucht Konsistenz. Es wird durch viele Handlungen im Laufe der Zeit aufgebaut und bewahrt. Es erfordert ein echtes Interesse und sichtbare Beispiele.
5 Jahre der Datenschutz-Grundverordnung25. Mai 2023 - 8:03Die Datenschutz-Grundverordnung (DSGVO) setzte einen neuen Standard für den Datenschutz, da sie einen umfassenden Regelungsrahmen für die Verarbeitung personenbezogener Daten geschaffen hat. In den vergangenen Jahren hat die DSGVO sowohl in Europa als auch außerhalb seiner Grenzen spürbare Auswirkungen gehabt.
