VR, AR und MR

Die fantastischen Drei und das Datenschutzrecht

Die Digitalisierung von Veranstaltungen zukunftsorientiert und rechtssicher gestalten.

Mit der Corona-Krise muss der Wissensaustausch unter Menschen neu gedacht werden. Dank der technischen Möglichkeiten können Veranstaltungen heute einfach in den virtuellen Raum verlegt werden. Denkbar ist auch, einen physischen Raum um virtuelle Elemente, wie etwa Messestände, zu ergänzen. Hier können virtuell ausgestellte Bücher z.B. angetippt, in die Schwebe gebracht und durch Streichbewegungen durchgeblättert werden. Ein menschlich wirkender Avatar beantwortet Fragen oder trägt auf einer virtuell errichteten Bühne neue wissenschaftliche Erkenntnisse vor. Unternehmenseigene und -übergreifende Wissensaustauschforen, wissenschaftliche Kongresse und Produktmessen finden für die Teilnehmer dann mittels eigenem oder Fremdgerät statt. Sprecher erleben diese z.B. mit einer die physische Umgebung um Informationen ergänzenden oder sie ersetzenden Brille.

Welche Möglichkeiten bieten alternative Realitäten für innovative, wettbewerbsbewusste Unternehmen im Veranstaltungsbereich? Und vor allem,

Was sind VR, AR und MR?

Virtual Reality (VR) beschreibt eine mittels Computer erstellte dreidimensionale Umgebung, die über ein sog. Head-Mounted Display (HMD), ein Anzeigengerät zumeist in binokularer[1] und nicht durchsichtiger Brillenform, wahrgenommen wird. Der Nutzer taucht dabei vollständig in die virtuelle Welt ein. Die physische Umgebung wird dabei mit den Augen nicht mehr wahrgenommen. Die Interaktion mit der virtuellen Welt findet in Echtzeit statt, so dass der Nutzer diese ab einer gewissen Dauer als reale Welt empfinden kann.

Augmented Reality (AR) beschreibt eine Variante der VR, bei der der Nutzer die physische Umgebung weiterhin wahrnimmt, der physische Raum jedoch um virtuelle Elemente erweitert[2] wird. Diese virtuellen Elemente werden jedoch nur auf die reale Umgebung projiziert, etwa über eine Datenbrille mit transparentem Bildschirm. Möglich ist auch die Nutzung eines Geräts wie z.B. des Smartphones. Dessen Bildschirm ist zwar undurchsichtig, doch durch die Kameranutzung und Umgebungsdarstellung in Echtzeit wirkt er durchsichtig, wie ein Schlüsselloch zu einer anderen Welt.

Mixed Reality (MR) beschreibt die Vermengung von physischer Umgebung und virtuellen Elementen dergestalt, dass letztere im Rahmen der menschlichen Wahrnehmung mit der physischen Umgebung interagieren können. Sie wirken nicht mehr nur wie eine Projektion auf den physischen Raum, sondern erschaffen den Eindruck der völligen Integration. So können beispielsweise virtuelle Gegenstände auf einen physischen Gegenstand projiziert werden, wobei ersterer der Bewegung des physischen Gegenstands folgt. Doch auch menschlich wirkende Avatare können z.B. auf echten Stühlen virtuell Platz nehmen.

Die beschriebenen Technologien sind nicht neu. Vielmehr schaffen sie durch die langjährige Weiterentwicklung beeindruckend realistisch wirkende Welten. Ihr Einsatz im Veranstaltungsbereich, d.h. mit dem Schwerpunkt auf der Verarbeitung von personenbezogenen Daten, ist jedoch bedarfsbedingt neuartig. Mangels Erfahrung ist die Klärung von Rechtsfragen, insbesondere solcher des Datenschutzes, vor der Anwendung notwendig. Doch auch ethische Aspekte sollten nicht gänzlich unbeachtet bleiben.

Die personenbezogenen Daten des Nutzers

Wird eine Interaktion von Menschen oder Menschen mit Gegenständen ganz oder teilweise auf die virtuelle Ebene verlagert, müssen zwangsläufig personenbezogene Daten erhoben und verarbeitet werden. Das können beispielsweise der Identifizierung dienende Anmeldedaten, von der E-Mailadresse über den Namen bis hin zur Wohnanschrift, und Standortdaten sowie Smartphone-Daten zum Empfang und Austausch von Informationen im physischen Veranstaltungsraum sein. Sogar besondere Merkmale als Ausprägung personenbezogener Daten im Sinne des Art. 4 Nr. 1 der Datenschutzgrundverordnung (DSGVO) können erhoben und verarbeitet werden, um die individuelle Nutzung überhaupt erst zu ermöglichen. Dabei ist insbesondere an die Physis (z.B. Brillenträgereigenschaft und damit eingeschränkte Sehkraft), die Physiologie des Nutzers (z.B. Reaktionsgeschwindigkeit) und die Psyche (z.B. Angst vor Höhe oder Enge) zu denken. Es ist vorstellbar, im Rahmen einmaliger Nutzung eine Art digitalen Zwilling mit den echten Bedürfnissen eines Menschen erschaffen zu können. Ein solcher weckt natürlich Begehrlichkeiten. Wo im Rahmen virtueller Kongresse Werbemöglichkeiten neu gedacht werden müssen, kann der einzelne Mensch nun selbst zur Werbefläche werden.

Die personenbezogenen Daten des Referenten

Doch nicht nur der Nutzer als „Reality Hopper“ wird zum möglicherweise unfreiwilligen Datenspender. Auch Referenten liefern neben ihrem Fachwissen vor allem Informationen über sich als Person aus Fleisch und Blut. Bislang befassten sich Referentenverträge, neben den gegenseitigen Leistungspflichten, vor allem mit Urheberrechten an Folieninhalten und Rechtsfragen im Hinblick auf eine Videoaufnahme sowie deren Verwendung (Datenschutz, Recht am eigenen Bild). Nunmehr stellt sich die Frage, welche personenbezogenen Daten daneben „mit“fließen und ob sie wirklich notwendig sind, um die neuartige Form der virtuellen Wissensvermittlung anbieten zu können. Besonders interessant ist diese Fragestellung im Hinblick auf die Computergenerierung eines Avatars, der dem menschlichen Referenten sehr ähnlich sieht. Um diese Ähnlichkeit herstellen zu können, ist die Verarbeitung besonderer Merkmale im Sinne des Art. 4 Nr. 1 DSGVO, neben der Stimme v.a. des Gesichts und der Gesichtscharakteristika (i.e. biometrische Daten im Sinne des Art. 9 Abs. 1 DSGVO), unverzichtbar. Es mutet paradox an, dass zielgerichtet eine Grundlage für die Identifizierbarkeit einer Person mittels Software geschaffen wird, während die Gesichtserkennung aufgrund von ethischen sowie rechtlichen Bedenken in der Breite abgelehnt wird. Wer besondere Kategorien personenbezogener Daten verarbeitet, weckt Begehrlichkeiten, die weit über Werbeinteressen hinausgehen.

Die personenbezogenen Daten des Arbeitnehmers

Doch auch Arbeitnehmer können durch Innovationsbestrebungen des Arbeitgebers betroffen sein. Denkbar ist, dass der Arbeitnehmer aufgrund einer Weisung des Arbeitgebers unter Verwendung o.g. Technologien interne Schulungen für andere Arbeitnehmer abhält. Setzt der Arbeitgeber hier z.B. Technologien ein, welche personenbezogene Daten des Arbeitnehmers in der Cloud und damit auf Servern eines Dritten (gar in einem Drittland) verarbeitet, wird es unter Umständen kritisch. Denn sehr wahrscheinlich kann der Arbeitgeber den Arbeitnehmer nicht in dem Umfang über die Verarbeitung seiner personenbezogenen Daten informieren, wie es für die Wirksamkeit einer Einwilligung nach Art. 6 Abs. 1 S. 1 lit. a bzw. Art. 9 Abs. 2 lit. a DSGVO erforderlich ist. Ohne wirksame Einwilligung ist die Datenverarbeitung rechtswidrig, vgl. Art. 6 Abs. 1 S. 1 bzw. Art. 9 Abs. 1 DSGVO. Das bedeutet, die zuständige Aufsichtsbehörde kann auf der Grundlage von Art. 83 Abs. 5 lit. a DSGVO ein Bußgeld verhängen. Wird das nicht-öffentlich gesprochene Wort unbefugt aufgenommen, die erstellte Aufnahme gebraucht oder einem Dritten zugänglich gemacht, kommt sogar eine Straftat nach § 201 Abs. 1 Strafgesetzbuch (StGB) in Betracht.

Besondere Bedeutung der Cybersicherheit

Wer besonders wertvolle personenbezogene Daten vorhält, hier v.a. solche besonderer Kategorien im Sinne des Art. 9 DSGVO, weckt Begehrlichkeiten. Sog. Deep Fakes, also realistisch wirkende Videos von Menschen, an denen sie nie mitgewirkt haben, und sog. Identitätsdiebstahl sind nur zwei Varianten möglichen Missbrauchs. Je mehr sich unsere Gesellschaft in die Richtung digitaler Identitäten, gespeichert auf einem mit (weiteren) biometrischen Daten entsperrbaren Smartphone, bewegt, desto gefährlicher wird die verbreitete Verarbeitung von biometrischen Daten. Ein verloren gegangener, auch nur potentiell missbrauchter Fingerabdruck kann nicht wie ein Passwort ersetzt werden. Unsere Stimme und v.a. unser Gesicht können (jedenfalls ohne chirurgischen Eingriff) ebenso wenig verändert werden. Der Gesichtsverlust bekommt in der datengetriebenen realen Welt eine völlig neue Bedeutung. Denn auch ein Bußgeld macht den Verlust von Identitätsmerkmalen nicht ungeschehen. Art. 5 Abs. 1 lit. f DSGVO schreibt daher vor, dass personenbezogene Daten in einer Weise verarbeitet werden, die eine angemessene Sicherheit gewährleistet, einschließlich des Schutzes vor unbefugter oder unrechtmäßiger Verarbeitung durch geeignete technische und organisatorische Maßnahmen. Personenbezogene Daten besonderer Kategorien im Sinne des Art. 9 DSGVO benötigen schon dem Wortlaut nach besonderen Schutz. Ungeachtet der Fehlbarkeit von technischen und organisatorischen Maßnahmen ist ihre Verarbeitung in Art. 9 Abs. 1 DSGVO entsprechend untersagt. Das bedeutet, sie werden am besten gar nicht erst erhoben und verarbeitet.

Datenschutz-Compliance ermöglichen durch Datenschutz-Folgenabschätzung

Es ist schwer, die VR, AR und MR innewohnenden Sicherheits- und Datenschutzrisiken umfassend darzustellen. Dies insbesondere, weil die Möglichkeiten und datenschutzrechtlichen Unmöglichkeiten des Einsatzes dieser Technologien vielschichtig und infolge verschiedener Angebote wenig generalisierbar sind. Für den Einzelnen können sie unter Umständen gar hochriskant sein und z.B. ein behördliches Verbot nach Art. 58 Abs. 2 lit. f DSGVO bedeuten.

Jeder, der diese Technologien einsetzen möchte, hat sich daher gemäß Art. 35 DSGVO vorab im Rahmen einer sog. Datenschutz-Folgenabschätzung umfassend mit den Verarbeitungsvorgängen personenbezogener Daten zu beschäftigen. Gegebenenfalls ist die Aufsichtsbehörde gemäß Art. 36 DSGVO zu konsultieren. Erst wer wirklich versteht, welche Technologie er einsetzt, vermag sie verantwortungsbewusst zu beherrschen und sich in die Lage zu versetzen, diese v.a. im Sinne der DSGVO rechtmäßig einzusetzen.

Sollten Sie hierbei Unterstützung benötigen, sprechen Sie mich gerne jederzeit an.

V

V

[1] D.h. zwei Augen bedeckend.

[2] Von to augment, daher auch missverständlich „erweiterte Realität“ genannt.