Als 2018 heraus kam, dass Cambridge Analytica über 80 Millionen Daten von Facebook-Nutzern zur Erstellung psychologischer Profile verwendete, rückte das heißgehandelte Thema Datenschutz nochmal so richtig in den Fokus.

Mit Blick auf VR kamen auch dem letzten Optimisten Zweifel: schließlich mischt das zu Facebook gehörende Unternehmen Oculus VR ganz oben am Markt mit. Bislang laufen deshalb auch immer noch Untersuchungen des Bundeskartellamts.

Wie steht es also in Sachen Datenschutz bei VR-/AR-/MR-Anwendungen, welche Daten werden erhoben und wo genau liegt der Hase im Pfeffer?

VR-Anwender generieren extrem viele Daten

Vor einiger Zeit inszenierte das Weltwirtschaftsforum ein Schreckensszenario: zwanzig Minuten reichten aus, um einem VR-Nutzer ganze 2 Millionen Datenpunkte zu entziehen und seine Zukunft zu beeinflussen.

Eine VR-Applikation im Gedankenexperiment fordert beispielsweise den VR-Headset-Anwender auf, sich durch ein Labyrinth zu bewegen und bestimmte Handlungen zu vollziehen. Dabei interagiert er virtuellen mit Freunden in ihren jeweils eigenen häuslichen Umgebungen (kollaborative VR).

Für den Test-VR-Anwender könnte eine umfassende Datenerhebung in diesem Szenario verheerende Konsequenzen haben. Denn jene Datensätze, generiert durch die spezifischen Bewegungsabläufe und Interaktionen des Anwenders während der VR-Erfahrung, können an ein drittes Unternehmen verkauft werden.

Eine Versicherungsgesellschaft könnte sich beispielsweise bei einer späteren Ablehnung jenes VR-Spielers auf die durch die VR-App erhobenen Körperbewegungsdaten beziehen: Die Auswertung offenbart eine Demenz-Anfälligkeit des Anwenders und für das Versicherungsunternehmen ein hohes finanzielles Risiko, würde diese tatsächlich eine Krankenversicherung abschließen.

Obgleich es sich um ein hypothetisches Szenario handelt, ist die Versuchsbasis realistisch: allein zur Sicherstellung des VR-Raumtrackings werden eine Vielzahl an Nutzer-Daten gewonnen. Gestik, Mimik und andere Makro- und Mikrobewegungen können als wichtiges Daten-Feedback zur Gestaltung der und Interaktion mit der virtuellen Welt dienen. Diese Daten sind schließlich auch notwendig, um synchronisierte Bewegungsabläufe zwischen realen & virtuellen Welten zu ermöglichen und einen hohen Faktor an Immersion zu gewährleisten.

Durch Speicherung und Verknüpfung dieser Informationen ist es Unternehmen allerdings auch möglich, verhaltensbezogene Daten zu generieren, die konkretere Schlüsse über die psychische Verfasstheit jeweiliger Nutzer zulassen (behavioural outcomes) und mit Tracking-Daten Einblicke in den Gesundheitszustand von VR-/AR-/MR-Anwendern zu erlangen.

VR-Daten erheben & sammeln

Wie beim bereits geschilderten Datenmissbrauchs-Szenario geben sogenannte biometrische Daten gewisse Rückschlüsse auf die kognitive und körperliche Verfasstheit des VR-Nutzers. Beispielsweise wäre eine Unterscheidung zwischen hyperaktiver und depressiver Persönlichkeit anhand von Bewegungsmustern und Reaktionsdynamik möglich.

Durch verschiedene Studien und bestimmte Anwendungsbereiche wissen wir inzwischen auch, dass VR zu Therapieerfolgen beitragen kann und sogar als Diagnose-Tool eingesetzt wird.

Datenschutzrechtlich greifen, je nach konkreter Datenanwendung, verschiedene Rechtsgrundlagen. Wichtig ist dabei immer der Zweck der Datenerhebung. Das bleibt auch mit Blick auf die EU-Datenschutzgrundverordnung der Fall, die als „Verordnung“ zwar unmittelbare Gültigkeit hat, den einzelnen EU-Staaten jedoch Gestaltungsspielraum lässt.

Die EU-DSGVO trat im Mai 2018 in Kraft.

Laut Art. 4 Absatz 14 sind biometrische Daten „personenbezogene Daten, die aus einer bestimmten technischen Verarbeitung in Bezug auf die physischen, physiologischen oder verhaltensbezogenen Merkmale einer natürlichen Person resultieren und die eine eindeutige Identifizierung dieser natürlichen Person ermöglichen oder bestätigen, wie Gesichtsbilder oder daktyloskopische Daten“.

Bewegungsmuster sind hoch individuell. Die Erstellung von Bewegungsprofilen, die Nutzer eindeutig identifizieren, ist nicht auszuschließen. Daher wollen Datenschützer virtuell erhobene Personendaten auch als PII definiert sehen, d.h. als „persönlich identifizierbare Information“.

Die Deklarierung als PII scheint ein konsequenter Schritt in die richtige Richtung, da die Datenerhebung mit Blick auf VR-Nutzerumgebungen bislang von keiner offiziellen Stelle reguliert werden. Sammeln, verwenden und weitergeben von VR-Daten ist bislang gesetzlich ungeregeltes Terrain.

In den USA gibt es zu dieser Thematik schon ein paar mehr Anhaltspunkte.

So erarbeitete z.B. die XR Safety Initiative 2019 eine Art Datenschutz-Regelwerk für VR-/AR- & MR-Anwendungen. Konkretere Regelungen zum PII-Datenschutz sind im BIPA (Illinois Gesetz zum Schutz biometrischer Informationen/ Biometric Information Privacy Act) zusammengefasst, welcher sogar ein privates Klagerecht unter Sammelklagen vorsieht. Auch der im Januar 2020 erlassene California Consumer Privacy Act (CCPA) schreibt sich eine konkreter definierte Datenschutzpolitik auf die Fahnenstange.

Auch die Verwendung von AR-Brillen eröffnet viele Fragen in Sachen Datenschutz – nicht allein durch die Nutzung am Arbeitsplatz, sondern auch mit Blick auf den öffentlichen Raum. Dies könnte etwa remote-basierte Mixed-Reality- oder AR-Anwendungen betreffen, mit deren Hilfe Angestellte bestimmte Vorgänge aus der Distanz heraus prüfen und beheben. Hierbei können urheber- und datenschutzrechtliche Regelungen tangiert sein, sofern weitere Umgebungen im Sichtfeld des MR-/AR-Anwenders erfasst und ausgewertet werden – z.B. urheberrechtlich geschützte Werke & personenbezogene Daten Dritter.

Sieht man von der gesetzlich geregelten „Zustimmung“ zur Datenerhebung ab (geregelt in Art.7 & Art. 9 DSGVO), bleibt zudem ein hohes Restrisiko bei der Aufnahme von Bilddaten von Kindern. Über die eindrückliche Nutzereinwilligung hinaus wäre es deshalb nur angemessen, auch hier weitere Mindestsicherheitsstandards zum Schutz Minderjähriger zu schaffen.

Datenweitergabe an Dritte

Die DSGVO regelt PII-Datenmissbrauch und erhebt bei Verstoß Geldbußen bis zu einer Höhe von 20 Millionen Euro. Dabei ist gesetzlich festgelegt, dass Unternehmen öffentlich zugängliche Datenschutzhinweise mit angemessenen und genauen Angaben zu ihren Praktiken beim Umgang mit und bei Speicherung von PII erstellen müssen.

Vereinbarungen mit Auftragnehmern, die PII von EU-Bürgern verarbeiten, müssen die von der DSGVO geforderten Klauseln enthalten. Dafür tragen die Unternehmen Verantwortung.

In den USA ist die Weiterverwendung von PII-Daten jedoch noch eindringlicher geregelt. Die Erweiterung der CCPA, nämlich die 2023 in Kraft tretende, aber mit einer Rückwirkungsfrist zum 1.1. 2022 ausstaffierte CPRA (California Privacy Rights Act) sieht u.a. vor, verunsicherten Nutzern ein Recht zur Einholung von Informationen zu erteilen. Durch diese Regelung kann die Verwendung sensibler PII-Erhebungen im Nachhinein sogar komplett eingeschränkt werden.

Neu ist auch eine Definition zum Bereich sensibler Daten. Zu den sogenannten SPI (sensitive personal information) gehören z.B. Daten zu ethnischer und religiöser Herkunft, genetische und biometrische Daten, Gesundheitsdaten, finanzielle Information und die Sozialversicherungsnummer. Mit Blick auf Online-Verbraucher regelt das neue Gesetz die Möglichkeit, Offenlegungen von SPI einzuschränken und dem Verkauf bzw. der Weitergabe von PII zu widersprechen.

Die in der CPRA geregelten Rechte umfassen also das Recht auf Berichtigung (SPI/PII), das Recht auf Widerspruch gegen automatisierte Entscheidungsfindung (z.B. SPI-/ PII-Nutzung für verhaltensorientierte Online-Werbung, d.h. z.B. via Kaufhistorie/ „Recht auf Opt-Out“), das Recht auf Information automatisierter Entscheidungsfindungen und das Recht auf Einschränkung sensibler persönlicher Daten (insbesondere mit Weitergabe an Dritte).

Nutzer können nun auch explizit die Löschung eigener Daten verlangen. Das Vertrags-Unternehmen selbst muss in dem Fall auch dritte Unternehmen über eine Löschung belehren.

In Bezug auf Datenminimierung, Speicherbegrenzung & Zweckbindung wird sich der CPRA an der DSGVO orientieren.

Hinsichtlich der Datenminimierung läuft z.B. der obige Facebook-Case, nämlich eine VR-Nutzung mit einem validen Facebook-Account zu verbinden, auch dem Grundsatz von Art. 7 Abs.3 DSGVO zuwider. Um eine freiwillige Einwilligung vornehmen zu können, muss (hier) der VR-Nutzer eine Wahlmöglichkeit haben. Diese Wahl ist nicht gegeben, wenn VR-Headset-Anwender ohne einen Facebook-Account keine Möglichkeit haben, Oculus VR weiterhin zu nutzen. Zudem ist es nach dem in der DSGVO geregelten „Kopplungsverbot“ unzulässig, diese Einwilligung von der Weiterverarbeitung personenbezogener Daten abhängig zu machen.

Das Kopplungsverbot soll nämlich gerade vermeiden, dass Kunden bei Geschäftsabschluss (hier: Nutzung von Oculus VR) eine automatische Einwilligung zur Datenerhebung abgeben. Die zwangsweise Einrichtung eines Facebook-Accounts wäre aber von diesem Verbot berührt.

Gerade auch mit Blick auf die Verbesserung von VR-Technologien sollten Nutzer sensibilisiert sein und bleiben. Vom Gesetzgeber müssen in Zukunft stärkere Regelungen initiiert werden. So könnte z.B. festgelegt werden, dass Eyetracking-Rohdaten ohne Einwilligung weder gespeichert, noch übertragen werden oder Verhaltensmodellierungen grundsätzlich nicht an Dritte weitergegeben werden dürfen.

Um dem Datenmissbrauch mit immersiven Technologien sicher vorzubeugen und auch in Zukunft Einhalt bieten zu können, heißt es weiterhin: mehr Selbstregulierung in Unternehmen & Datenschutz stärken – unbedingt!

Immersive Technologien besitzen riesiges Potential – gerade auch durch die hohe Dichte an erhobenen Informationen (beispielsweise können die Daten ohne Speicherung direkt softwareseitig ausgewertet werden und dem Nutzer somit immersive Interaktionsmöglichkeiten bieten – diesen Grundsatz verfolgen wir mit unserer hauseigenen HRVR-Technologie). Es ist aber unabdingbar, mit Nutzerdaten verantwortungsvoll umzugehen. VR-Anwender sollten stets über sämtliche gespeicherte Daten informiert werden und eine ausdrückliche und nicht aufgezwungene Zustimmung erteilen. Sensible Daten dürfen auf keinen Fall zu einem anderen als den kommunizierten Zweck verwendet oder an Dritte weitergegeben werden. Mit einem solch bewussten Umgang mit Daten sind schon jetzt eine unglaubliche Vielfalt an innovativen Anwendungsbereichen möglich. Wir von der Aspekteins GmbH sind überzeugte VR-Enthusiasten und beschäftigen uns – nicht zuletzt durch unser zweites Standbein, der Entwicklung von Langzeit-Zeitraffer-Systemen – schon lange intensiv mit Datenschutz und Anonymisierung. Mit diesen beiden Kompetenzen sind wir Ihr optimaler Partner für die Umsetzung Ihrer VR-/AR-/MR-/HRVR-Applikation und stehen Ihnen und Ihrem Unternehmen selbstverständlich gerne zur Verfügung.

HIER KLICKEN FÜR IHR VR-/360°-PROJEKT

Bildrechte Titelbild: © nuclear_lily – Adobe Stock

Bewegungsdaten, Datenerfassung, Datenschutz, Datensicherheit, DSGVO, HRVR, VR/AR/MR