Datenminimierung ist eines jener DSGVO-Prinzipien, denen man leicht zustimmt und die schwer tatsächlich zu praktizieren sind, denn praktizieren heißt, zu Daten Nein zu sagen, die man hätte erheben können und eines Tages nützlich finden könnte. Das Prinzip stellt an jedes Feld, das Sie erheben, eine unmissverständliche Frage: Brauchen Sie das für den genannten Zweck, oder behalten Sie es, weil es da war. Für Frequenzanalysen hat diese Frage eine ungewöhnlich klare Antwort, denn die Frequenzberichterstattung braucht über einen Besucher weit weniger, als die meisten annehmen.

Dieser Beitrag nimmt das Minimierungsprinzip und wendet es auf echte Frequenzdaten an: was die Berichterstattung tatsächlich verbraucht, was sie unerhoben lassen kann und wie eine kamerafreie Methode durch ihre Bauweise minimiert statt durch Richtlinie. Er steht neben der Argumentation zur Entwurfsphase in Privacy by Design am Sensor. Jener Beitrag behandelt das Entwurfsprinzip, dieser die Minimierungspflicht, angewandt auf das, was die Zahlen wirklich brauchen. Dies sind allgemeine Informationen, keine Rechtsberatung.
Wie gilt Datenminimierung für Frequenzanalysen?
Datenminimierung, aus DSGVO Art. 5(1)(c), besagt, dass Sie nur die Daten erheben sollen, die Sie für den Zweck tatsächlich brauchen. Frequenzanalysen brauchen sehr wenig: wie viele Personen eingetreten sind, wie lange sie geblieben sind und die Form der Wege, die sie genommen haben. Sie brauchen nicht, wer sie waren. Ariadne erhebt nur die Zählung, die Verweildauer und die Trajektorie und erfasst kein Gesicht, keine biometrische Vorlage und standardmäßig keine MAC-Adresse, sodass die Identitätsdaten, die die Frequenzberichterstattung nie verwendet, schlicht nie erhoben werden. Ein Identifikator wird nur dann gespeichert, wenn ein Besucher ausdrücklich einwilligt. Dies sind allgemeine Informationen, keine Rechtsberatung. Ihr Datenschutzbeauftragter sollte die Minimierungslage für Ihren Einsatz bestätigen.
Der Rest dieses Beitrags geht das Prinzip durch und stellt es dann den tatsächlichen Eingaben gegenüber, die ein Frequenzbericht verbraucht, damit Sie die Lücke zwischen dem, was die Berichterstattung braucht, und dem, was eine datenhungrige Methode erheben würde, sehen können.
DSGVO Art. 5(1)(c) klar formuliert, und warum Minimierung eine lebendige Pflicht ist
Art. 5 der DSGVO legt die Grundsätze fest, die jede Verarbeitung personenbezogener Daten befolgen muss, und einer davon, in 5(1)(c), ist die Datenminimierung. Klar formuliert besagt er, dass personenbezogene Daten dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein müssen. Das Wort, das die Arbeit leistet, ist "notwendig". Nicht nützlich, nicht bequem, nicht potenziell später wertvoll: notwendig für den konkreten Zweck, den Sie benannt haben.
Das ist eine lebendige Pflicht, kein Nice-to-have. Minimierung ist einer der Grundsätze, deren Einhaltung ein Verantwortlicher nachweisen können muss, was bedeutet, dass "wir erheben nur, was wir brauchen" eine Behauptung ist, die Sie auf Verlangen belegen können sollten, kein allgemeines Streben. Es läuft auch einem verbreiteten Instinkt in der Analytik zuwider, nämlich jetzt breit zu erheben und später zu entscheiden, was nützlich ist. Unter Art. 5(1)(c) ist genau dieser Instinkt das, was das Prinzip zügeln soll: Sie sollen zuerst herausfinden, was der Zweck braucht, und darauf hin erheben, nicht umgekehrt.
Wie im Rest dieses Beitrags beschreibt dies das Prinzip in allgemeiner Form. Die Verordnung formuliert die Pflicht. Wie sie auf Ihren konkreten Einsatz zutrifft und ob ein bestimmtes Feld als notwendig gilt, ist eine Beurteilung, die Ihr Datenschutzbeauftragter anhand der Fakten trifft.
Was die Frequenzberichterstattung tatsächlich verbraucht: Zählungen, Verweildauer, Wegform
Reduziert man ein Frequenzanalyse-Programm auf das, worauf seine Berichte und Entscheidungen tatsächlich laufen, ist die Liste kurz. Fast alles, was ein Einzelhändler, ein Flughafen oder ein Einkaufszentrum mit Frequenzdaten macht, lässt sich auf eine Handvoll Eingaben zurückführen:
- Zählungen. Wie viele Personen einen Raum, eine Zone oder eine Filiale in einem gegebenen Zeitraum betreten haben. Das ist die Basiskennzahl, aus der sich fast alles Weitere ableitet, und für sich genommen enthält sie nichts darüber, wer jemand war.
- Verweildauer. Wie lange Personen geblieben sind, im Raum insgesamt oder in einer bestimmten Zone. Verweildauer ist eine Dauer, die an einen Ort und eine Zeit geknüpft ist, nicht an eine Person.
- Wegform. Die Form der Routen, die Personen durch den Raum genommen haben: welche Zonen verbunden sind, wo sich der Fluss konzentriert, wo er ins Stocken gerät. Ein Weg ist eine Geometrie, eine Abfolge von Positionen über die Zeit, und er beschreibt Bewegung, ohne den Bewegenden benennen zu müssen.
- Erfassungsquote. Welcher Anteil der Passanten tatsächlich hereinkam, was eine Zählung außen mit einer Zählung innen kombiniert. Zu verstehen, wie zuverlässig eine Methode diese Zählungen erfasst, ist ein eigenes Thema. Siehe wie genau Personenzähler sind dazu, was sie beeinflusst und wie sie gemessen wird.
Beachten Sie, was all diese Eingaben gemeinsam haben: Keine davon betrifft Identität. Eine Zählung ist eine Zahl. Eine Verweildauer ist eine Dauer. Ein Weg ist eine Geometrie. Sie können einen vollständigen Frequenzbericht erstellen, eine Konversionsanalyse durchführen, die Personalplanung machen und eine Layout-Änderung bewerten, ohne je zu wissen, wer ein einziger Besucher war, weil die Analyse auf Aggregaten und Formen arbeitet, nicht auf Personen.
Was Frequenzanalysen nicht brauchen und daher nicht erheben sollten
Wenn die Berichterstattung auf Zählungen, Verweildauer und Wegform läuft, dann ist eine große Kategorie von Daten, die manche Zählmethoden erheben, für Frequenzzwecke unnötig. Nach einem Minimierungsverständnis sind unnötige Daten Daten, die Sie nicht erheben sollten. Die wichtigsten Kategorien, die Frequenzanalysen nicht brauchen:
- Identität. Ein Name, ein Gesicht oder irgendein stabiler Identifikator, der einen Besuch an eine bestimmte Person bindet. Frequenzberichterstattung betrifft das Aggregat, sodass die Identität eines einzelnen Besuchers keine Eingabe dafür ist.
- Demografie. Abgeleitetes Alter, Geschlecht oder ähnliche Merkmale. Manche kamerabasierten Systeme schätzen diese, aber Frequenzzählung und Flussanalyse benötigen sie nicht, und ihre Ableitung ist eine zusätzliche Verarbeitung genau der Art, die die Minimierung hinterfragen soll.
- Gesichter und biometrische Vorlagen. Ein Gesichtsbild oder eine biometrische Vorlage gehört zu den sensibelsten Kategorien personenbezogener Daten, und keine der zentralen Frequenzkennzahlen braucht eines, um erzeugt zu werden.
- Dauerhafte Geräte-IDs. Eine MAC-Adresse oder ein ähnlicher Geräte-Identifikator, dauerhaft genug, um dasselbe Telefon über Besuche hinweg wiederzuerkennen, verwandelt eine Zählung in eine nachverfolgte Person. Frequenzzählungen brauchen diese Dauerhaftigkeit nicht, und ihre Erhebung ist ein häufiger Weg, auf dem eine Zählmethode dazu abdriftet, weit mehr zu erheben, als der Zweck verlangt. Diese Über-Erhebung ist genau das Problem älterer Signalmethoden. Siehe warum WLAN-Probe-Sniffing zu viel erhebt dazu, wie MAC-basiertes Sniffing dauerhafte Identifikatoren sammelt, die die Berichterstattung nie verwendet.
Der Punkt ist nicht, dass diese Datentypen immer verboten wären. Der Punkt ist, dass Frequenzanalysen sie für ihren Zweck nicht brauchen, sodass ein Frequenzsystem unter der Minimierung sie nicht erheben sollte. Wenn ein System sie doch erhebt, verschiebt sich die Last: Der Betreiber hält nun sensible personenbezogene Daten, die die Berichterstattung selbst nie verbraucht, was nahe an der Definition des Problems liegt, das Art. 5(1)(c) verhindern soll.
Wie eine kamerafreie Methode durch ihre Bauweise minimiert
Ariadne misst dies mit Hybrid Fusion, der patentierten kamerafreien Methode. Time-of-Flight-Tiefensensorik zählt an den Eingängen jeden Besucher und erfasst Geometrie statt Bilder, während die patentierte Signalerfassung die Bewegung im Innenraum verfolgt und die Signale erkennt, die ein Telefon aussendet, selbst im Flugmodus, und diese Bewegung auf etwa einen Meter genau auflöst. Der Sensor streamt beide Datenströme an Ariadne, wo Hybrid Fusion sie zu einer Trajektorie pro Besuch zusammenführt und Zählwerte, Verweildauer und Wege berechnet. Die Datenströme tragen keine Identifikatoren: keine MAC-Adresse, keine Geräte-ID, keine biometrischen Daten, und es ist keine Kamera beteiligt. Identifikatoren werden nur gespeichert, wenn ein Besucher ausdrücklich zustimmt, was die Methode datenschutzfreundlich und außerhalb des biometrischen Bereichs hält.
Stellt man das den beiden Listen oben gegenüber, ist die Passung exakt. Die Methode erzeugt die drei Dinge, die die Frequenzberichterstattung braucht, Zählungen, Verweildauer und Wege, und sie tut das, ohne eines der vier Dinge zu sammeln, die sie nicht braucht. Time-of-Flight erfasst Geometrie, also kein Gesicht und kein Bild. Die Signal-Erkennung liest standardmäßig keine MAC-Adresse, also keinen dauerhaften Geräte-Identifikator. Es gibt keine demografische Ableitung, weil es kein Bild gibt, aus dem abzuleiten wäre. Und die Fusion, die eine Trajektorie zusammensetzt, geschieht zentral innerhalb der Ariadne-Plattform, arbeitet an Datenströmen, die bereits keine Identität tragen, nicht auf dem Sensor und nicht am Rand des Netzwerks.
Das ist es, was "durch ihre Bauweise minimiert" bedeutet. Das System erhebt nicht das vollständige Bild und verwirft dann die Identität, was immer noch erheben-dann-verwerfen wäre. Es sammelt die sensiblen Kategorien von vornherein nicht, sodass es nichts zu verwerfen gibt. Die stärkste Form der Datenminimierung ist, die personenbezogenen Daten überhaupt nicht zu erheben, und eine Methode, die Geometrie und Signalzählungen statt Identität erfasst, erreicht diese Form durch ihre Bauweise. Der Einwilligungsweg ist die einzige, begrenzte Ausnahme: Ein Identifikator wird nur dann gespeichert, wenn ein Besucher ausdrücklich darum gebeten hat, erkannt zu werden, was der eine Fall ist, in dem seine Speicherung für den vom Besucher gewählten Zweck notwendig ist.
Eine Minimierungs-Checkliste für einen Personenzähler-Einsatz
Minimierung lässt sich am leichtesten in dem Moment durchsetzen, in dem Sie ein System wählen, denn dann sind die Erhebungsentscheidungen noch offen. Ist eine Methode einmal installiert, ist ihr Datenhunger weitgehend festgelegt. Ein kurzer Satz von Fragen, die Sie einem Anbieter vor dem Kauf stellen, bringt zutage, ob ein System minimiert oder über-erhebt:
- Was erfasst der Sensor im Moment der Erfassung, vor jeder Verarbeitung? Die ehrliche Antwort ist entweder ein Bild oder sie ist es nicht. Wenn es ein Bild ist, fragen Sie, was mit dem Gesicht darin geschieht und wann.
- Lesen Sie standardmäßig eine MAC-Adresse oder irgendeinen dauerhaften Geräte-Identifikator? "Standardmäßig" ist der entscheidende Ausdruck. Ein System, das eine dauerhafte ID erhebt, sofern Sie sie nicht abschalten, erhebt sie.
- Leiten Sie Demografie wie Alter oder Geschlecht ab? Wenn ja, fragen Sie, welche Frequenzkennzahl diese Ableitung benötigt, denn die zentralen tun es nicht.
- Was davon wird gespeichert, und wie lange? Daten, die erfasst und sofort verworfen werden, unterscheiden sich von Daten, die aufbewahrt werden, und beide unterscheiden sich von Daten, die nie erfasst werden.
- Wo geschieht die Verarbeitung, die die Daten zusammenführt, und trägt dieser zusammengeführte Datensatz eine Identität? Das bringt zutage, ob Identität nachgelagert rekonstruiert wird, selbst wenn der Sensor sie nicht erfasst hat.
- Was ist das Minimum an Daten, das die Berichterstattung tatsächlich verwendet? Wenn ein Anbieter nicht jedes erhobene Feld einem Bericht zuordnen kann, der es verbraucht, dann sind die Felder ohne Verbraucher diejenigen, die die Minimierung hinterfragt.
Für einen umfassenderen Beschaffungsrahmen, der diese in eine vollständige Bewertung einbettet, siehe was Sie einen Anbieter von Personenzählern fragen sollten. Und um die Antworten in eine dokumentierte Risikobewertung zu überführen, die Ihr Datenschutzbeauftragter freigeben kann, geht eine DSFA-Vorlage dasselbe Terrain in dem Format durch, das eine Bewertung erwartet. Eine Methode, die für kamerafreie Personenzählung gebaut ist, sollte jede Frage oben mit der minimierenden Antwort beantworten können und es in der Architektur zeigen, statt es in einem Datenblatt zu behaupten.
FAQ
Brauche ich Kameras, um Personen genau zu zählen?
Nein. Ariadne zählt mit Hybrid Fusion: Time-of-Flight-Tiefenmessung plus patentierte Mobilfunksignal-Erkennung, nie Kameras. Time-of-Flight erfasst Geometrie statt Bilder, und die Signal-Erkennung erfasst standardmäßig keine MAC-Adresse, sodass die Messung ohne Video, ohne Gesichter und ohne biometrische Daten auskommt.
Sind Frequenzdaten personenbezogene Daten?
Die zentralen Frequenzkennzahlen, Zählungen, Verweildauer und Wegform, sind Aggregate und Geometrien, die niemanden identifizieren, sodass eine Methode, die kein Gesicht und keinen dauerhaften Identifikator erfasst, Frequenzdaten erzeugt, die keine personenbezogenen Daten sind. Ob eine bestimmte Umsetzung personenbezogene Daten verarbeitet, hängt davon ab, was sie tatsächlich erhebt. Ihr Datenschutzbeauftragter sollte die Lage für Ihren Einsatz bestätigen.
Speichern Personenzähler, wer zu Besuch war?
Eine kamerafreie Methode wie die von Ariadne tut das nicht. Sie erfasst Zählungen, Verweildauer und Wege ohne Gesicht und standardmäßig ohne MAC-Adresse, sodass es keinen Datensatz darüber gibt, wer zu Besuch war. Ein Identifikator wird nur dann gespeichert, wenn ein Besucher ausdrücklich für einen Dienst einwilligt, der ihn benötigt.
Was ist die stärkste Form der Datenminimierung?
Die personenbezogenen Daten überhaupt nicht zu erheben. Kontrollen auf personenbezogene Daten anzuwenden, nachdem sie erfasst wurden, ist eine Schutzmaßnahme, aber die personenbezogenen Daten existierten dennoch am Punkt der Erhebung. Eine Methode, die nur Zählungen, Verweildauer und Wege erfasst und keine Identität, erreicht Minimierung, indem sie die personenbezogenen Daten von vornherein nicht sammelt.
Welche Daten brauchen Frequenzanalysen tatsächlich?

Zählungen, Verweildauer, Wegform und Erfassungsquote. Jeder gängige Frequenzbericht und jede gängige Entscheidung leitet sich aus diesen Eingaben ab, von denen keine die Identität, die Demografie, das Gesicht oder die dauerhafte Geräte-ID eines einzelnen Besuchers benötigt.



