A quiet office desk with a printed multi-page Data Protection Impact Assessment document, fountain pen on the cover sheet,...
BlogPersonenzählung

DSFA Personenzählung: eine Startvorlage zur Anpassung mit Ihrer/Ihrem DSB

2. Juni 202617 Min. Lesezeit

Was diese Vorlage ist, und was sie nicht ist

Eine Datenschutz-Folgenabschätzung (DSFA, englisch DPIA) ist das Dokument, das ein Verantwortlicher schreibt, bevor er eine Technologie einsetzt, die die Rechte und Freiheiten natürlicher Personen berühren könnte. Nach der DSGVO ist sie vorgeschrieben, wenn eine Verarbeitung voraussichtlich ein hohes Risiko bedeutet. Personenzählung ist für sich genommen selten hochriskant, eine sorgfältige DSFA ist aber dennoch der sauberste Weg, einem Vorstand, einem Vermieter oder einer Aufsichtsbehörde zu zeigen, dass der Einsatz durchdacht ist. Personenzählung in einem Einzelhandelsgeschäft, einem Einkaufszentrum, einem Flughafen oder einem Museum berührt mehrere häufige Fehler: Die falsche Sensorwahl bringt Kameras, biometrische Verarbeitung oder Identifikatoren ins Spiel, die nie nötig waren. Eine DSFA ist der Ort, an dem das auf dem Papier abgefangen wird, bevor Hardware bestellt ist.

Infografik einer DPIA-Checkliste mit Symbolen für Personenzähler, Datenschutz, Risiko und Zusammenarbeit

Dieser Artikel ist informativ und stellt keine Rechtsberatung dar. Verwenden Sie ihn als Startvorlage, die Sie gemeinsam mit Ihrer/Ihrem Datenschutzbeauftragten (DSB) und Ihrer Rechtsberatung anpassen und freigeben. Aufsichtsrechtliche Erwartungen unterscheiden sich je nach Jurisdiktion und je nach konkretem Einsatz.

Die folgende Vorlage geht die Bewertung Zeile für Zeile für einen typischen kamerafreien Personenzähl-Einsatz durch. Jeder Abschnitt erklärt, was Aufsichtsbehörden und EDPB-Leitlinien üblicherweise erwarten, und liefert dann den tatsächlichen Wortlaut, den Sie übernehmen, anpassen und Ihrer/Ihrem DSB vorlegen können. Der Schlussabschnitt ist eine kopierfertige Version derselben Vorlage zum Einfügen in das eigene Dokument.

Wann eine DSFA erforderlich ist, und wann ein einfacheres Verzeichnis reicht

Artikel 35 DSGVO verlangt eine DSFA, wenn eine Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. Der Europäische Datenschutzausschuss (EDPB) hat Kriterien für die Identifikation hochriskanter Verarbeitungen veröffentlicht, und nationale Aufsichtsbehörden (zum Beispiel der BfDI in Deutschland, die CNIL in Frankreich, das ICO im Vereinigten Königreich) veröffentlichen eigene Listen von Vorgängen, die in jedem Fall eine DSFA benötigen. Übliche Merkmale für hohes Risiko sind die systematische Überwachung öffentlich zugänglicher Bereiche, die Verarbeitung biometrischer Daten, umfangreiche Verarbeitungen, die Bewertung natürlicher Personen und der Einsatz innovativer Technologien.

Ein kamerafreier Personenzähler, der standardmäßig keine Bilder, keine Gesichter und keine Geräte-Identifikatoren erfasst, fällt für sich genommen nicht in die strengsten Hochrisiko-Kategorien. Trotzdem sprechen zwei praktische Gründe dafür, eine DSFA zu schreiben:

  • Nachweis der Rechenschaftspflicht. Artikel 5 Absatz 2 DSGVO verpflichtet den Verantwortlichen, die Einhaltung nachzuweisen. Eine DSFA, auch wenn nicht streng vorgeschrieben, ist das sauberste Beweisstück, das auf Anforderung vorgelegt werden kann.
  • Interne Freigabe. Viele Vorstände, Vermieter und Einkaufsabteilungen geben einen neuen Sensor nicht frei, ohne eine DSFA gesehen zu haben. Eine kurze, gut begründete DSFA vorab erspart wochenlange Rückfragen.

Wenn Ihre/Ihr DSB nach Durchgang dieser Vorlage zustimmt, dass das Restrisiko gering ist und die Verarbeitung außerhalb der Hochrisiko-Kategorien liegt, können Sie das Dokument statt einer vollständigen DSFA als Verzeichnis von Verarbeitungstätigkeiten nach Artikel 30 DSGVO führen. So oder so ist die Struktur dieselbe.

Abschnitt 1: Kontext der Verarbeitung

Der erste Abschnitt einer DSFA beschreibt in einfacher Sprache, was tatsächlich geschieht, bevor eine rechtliche Analyse beginnt. Hier bestehen die meisten Personenzähl-Einsätze die Datenschutzprüfung sauber, oder hier wird die falsche Sensorwahl sichtbar.

Vorgeschlagener Wortlaut:

Der Verantwortliche [Name der Organisation] betreibt [Einzelhandelsgeschäfte / Einkaufszentrum / Flughafenterminal / Museum] an [Liste der Standorte]. Zur Unterstützung von Kapazitätsmanagement, Ausstellungs- oder Filialleistungsberichten und Betriebsplanung setzt der Verantwortliche an Eingängen, Ausgängen und ausgewählten Zonen ein Personenzählsystem ein. Das System misst, wie viele Besucher jede Zone betreten und verlassen, wie viele zu einem bestimmten Zeitpunkt anwesend sind und wie lange sie im Durchschnitt bleiben. Das System erzeugt ausschließlich aggregierte Zählwerte. Es identifiziert keine einzelnen Besucher und wird nicht für Entscheidungen über einzelne Personen verwendet.

Wie die Messung tatsächlich funktioniert:

Ariadne misst dies mit Hybrid Fusion, der patentierten kamerafreien Methode. Time-of-Flight-Tiefensensorik zählt an den Eingängen jeden Besucher und erfasst Geometrie statt Bilder, während die patentierte Signalerfassung die Bewegung im Innenraum verfolgt und die Signale erkennt, die ein Telefon aussendet, selbst im Flugmodus. Der Sensor streamt beide Datenströme an Ariadne, wo Hybrid Fusion sie zu einer Trajektorie pro Besuch zusammenführt und Zählwerte, Verweildauer und Wege berechnet. Die Datenströme tragen keine Identifikatoren: keine MAC-Adresse, keine Geräte-ID, keine biometrischen Daten, und es ist keine Kamera beteiligt. Identifikatoren werden nur gespeichert, wenn ein Besucher ausdrücklich zustimmt, was die Methode datenschutzfreundlich und außerhalb des biometrischen Bereichs hält.

Listen Sie pro Standort die eingesetzten Sensoren, ihre Positionen und die abgedeckten Zonen auf. Geben Sie ausdrücklich an, ob eine weitere Sensortechnologie (Videoüberwachung, Gesichtserkennung, WLAN-MAC-Erfassung, Bluetooth-Identifikatoren, demografische Inferenz) Teil desselben Einsatzes ist. In der Konfiguration, die diese Vorlage annimmt, lautet die Antwort auf all das Nein.

Abschnitt 2: Verarbeitete Daten

Die Auflistung der Datenkategorien entscheidet meist über Erfolg oder Scheitern einer DSFA. Ein kamerabasiertes System muss Bilddaten ausweisen, die personenbezogen sind, sobald ein Gesicht identifizierbar ist. Ein Signal-Pattern-System, das MAC-Adressen speichert, muss Geräte-Identifikatoren ausweisen, die personenbezogen sind, sobald sie sich einer Person zuordnen lassen. Die folgende Vorlage nimmt die Konfiguration an, in der weder das eine noch das andere erfasst wird.

Vorgeschlagener Wortlaut:

  • Aggregierte Zählwerte. Anzahl der Eintritte, Austritte und aktuellen Belegung pro Zone, zentral aus den Sensordatenströmen berechnet. Keine personenbezogenen Daten.
  • Trajektoriengeometrie. Ein Weg durch das Gebäude, ausgedrückt als anonyme Koordinaten ohne angehängten Identifikator. Für sich genommen keine personenbezogenen Daten.
  • Verweildauer. Mittelwert und Verteilung der Zeit, die Besucher in jeder Zone verbringen, abgeleitet aus aggregierten Trajektorien. Keine personenbezogenen Daten.
  • Keine Bilder. Die Time-of-Flight-Erfassung nimmt Geometrie auf, keine Bilder, und im Messpfad ist keine Kamera beteiligt.
  • Keine biometrischen Daten. Kein Gesicht, kein Fingerabdruck, keine Iris, kein Stimmabdruck, keine Gang-Inferenz, keine demografische Erfassung (keine Schätzung von Alter, Geschlecht oder Emotion).
  • Standardmäßig keine Geräte-Identifikatoren. Keine MAC-Adresse, keine IMEI, keine Advertising-ID, keine Bluetooth-Adresse wird gespeichert. Identifikatoren werden nur dann gespeichert, wenn ein Besucher ausdrücklich zustimmt (etwa durch Annahme der Nutzungsbedingungen eines Gäste-WLAN), eine Funktion, die der Verantwortliche schlicht nicht aktivieren kann.

Weicht Ihr konkreter Einsatz von dieser Liste ab (zum Beispiel, weil Sie ein Gäste-WLAN betreiben und beabsichtigen, opt-in-MAC-Adressen mit den Zähldaten zu verknüpfen), geben Sie das hier an und vermerken Sie, dass damit eine personenbezogene Verarbeitung beginnt, die separat zu bewerten ist.

Abschnitt 3: Rechtmäßigkeit der Verarbeitung (Artikel 6)

Wenn die Verarbeitung keine personenbezogenen Daten betrifft, gilt Artikel 6 formal nicht, weil es keine personenbezogenen Daten gibt, für die eine Rechtsgrundlage zu suchen wäre. Die DSFA sollte die Argumentation des Verantwortlichen hier trotzdem festhalten, einerseits weil die Frage so explizit beantwortet werden muss, andererseits weil interne Stakeholder danach fragen werden.

Vorgeschlagener Wortlaut:

Die oben beschriebene Verarbeitung umfasst keine personenbezogenen Daten im Sinne von Artikel 4 Nummer 1 DSGVO. Zählwerte, Trajektorien ohne Identifikatoren und aggregierte Verweildauer-Statistiken erlauben zusammengenommen die Identifikation keiner natürlichen Person. Eine Rechtsgrundlage nach Artikel 6 muss daher für die Zähltätigkeit selbst nicht herangezogen werden.

Sofern der Verantwortliche in einer künftigen Konfiguration die opt-in-Erfassung von Identifikatoren aktiviert (zum Beispiel eine Anmeldung im Gäste-WLAN), ist die Rechtsgrundlage die Einwilligung der betroffenen Person nach Artikel 6 Absatz 1 Buchstabe a DSGVO, am Opt-in-Punkt eingeholt und dokumentiert. Für den Zähl-Einsatz wird keine andere Rechtsgrundlage herangezogen.

Manche Verantwortliche bevorzugen es, ein berechtigtes Interesse nach Artikel 6 Absatz 1 Buchstabe f DSGVO als defensive Position zu dokumentieren, weil auch nicht personenbezogene Daten eine erklärte Grundlage haben sollten. Das ist ein vertretbarer Ansatz und mit der/dem DSB zu besprechen. Das berechtigte Interesse, soweit angegeben, ist das Interesse des Verantwortlichen am sicheren Betrieb, am korrekten Kapazitätsmanagement und an einer fundierten kaufmännischen Planung. Die Verarbeitung ist erforderlich, weil ohne Sensoren keine vergleichbare Messung verfügbar ist. Das Interesse wird nicht durch die Rechte der betroffenen Personen überwogen, weil von vornherein keine personenbezogenen Daten verarbeitet werden.

Abschnitt 4: Erforderlichkeit und Verhältnismäßigkeit

Artikel 5 Absatz 1 Buchstabe b und Artikel 5 Absatz 1 Buchstabe c DSGVO verlangen, dass die Verarbeitung auf festgelegte, eindeutige Zwecke beschränkt ist (Zweckbindung) und auf das beschränkt bleibt, was in Bezug auf diese Zwecke notwendig ist (Datenminimierung). Eine Personenzähl-DSFA sollte beide Punkte nacheinander adressieren.

Festgelegte Zwecke:

  • Einhaltung sicherer Belegung innerhalb der gesetzlich und betrieblich vereinbarten Kapazität jeder Zone.
  • Bericht über Besuche und Verweildauer für Betriebs-, Vertriebs- oder kuratorische Auswertung.
  • Informierte Personalplanung, Öffnungszeiten und Ressourcenplanung.
  • Unterstützung von Berichtspflichten gegenüber Förderern, Vermietern oder Vorstand, soweit zutreffend.

Warum diese Zwecke nicht mit weniger Daten erreichbar sind:

Manuelles Zählen (Klicker, Strichlisten, regelmäßige Begehungen) skaliert nicht auf ein Gebäude mit mehreren Zonen und liefert Schätzungen statt kontinuierlicher Werte. Eine kontinuierliche, sensorgestützte Zählung ist das Mindeste, was Live-Kapazitätsmanagement trägt. Innerhalb der Sensoroptionen ist eine Methode, die keine Bilder und keine Identifikatoren erfasst (dieser Einsatz), strikt weniger eingriffsintensiv als die Alternativen einer videobasierten Analyse oder einer Geräte-Identifikator-Verfolgung. Datenminimierung wird damit über die Sensorwahl erfüllt, nicht erst über eine Aufbewahrungsregel.

Verhältnismäßigkeit:

Der Eingriff der Verarbeitung liegt am unteren Ende der verfügbaren Optionen, und die betrieblichen, sicherheitsrelevanten und kaufmännischen Vorteile sind konkret. Aus Sicht des Verantwortlichen ist die Verarbeitung verhältnismäßig zu ihren Zwecken. Die/Der DSB sollte die eigene Bewertung hier schriftlich festhalten.

Abschnitt 5: Identifizierte Risiken

Auch eine wenig riskante Verarbeitung birgt Risiken, die einer Erfassung wert sind. Sinn dieses Abschnitts ist nicht, Risiken aufzubauschen, sondern zu zeigen, dass sie geprüft wurden. Für einen kamerafreien, identifikatorfreien Einsatz ist die Liste sinnvoller Risiken kurz.

  1. Risiko der Zweckausweitung. Ein künftiger Betreiber könnte versuchen, die Identifikator-Erfassung zu aktivieren, das Zählsystem mit Videoüberwachung zu verknüpfen oder die Daten zur Bewertung einzelner Besucher zu verwenden. Eintrittswahrscheinlichkeit: gering, wenn Governance existiert. Schwere: mittel, weil sich die verarbeitete Datenkategorie ändern würde.
  2. Risiko der Fehlwahrnehmung. Besucher und Mitarbeitende könnten jeden Deckensensor für eine Kamera halten und sich beobachtet fühlen, obwohl keine Kamera vorhanden ist. Eintrittswahrscheinlichkeit: mittel. Schwere: für die Person gering, für die Reputation des Verantwortlichen mittel.
  3. Risiko eines Anbieter- oder Subauftragnehmer-Vorfalls. Wird die Plattform des Anbieters kompromittiert, sind die exponierten Daten die Zähl- und Trajektoriendaten des Verantwortlichen. Ohne Identifikatoren, ohne Bilder und ohne biometrische Daten im Pfad ist der Schaden für betroffene Personen strukturell begrenzt. Eintrittswahrscheinlichkeit: gering. Schwere: für betroffene Personen gering, für die operativen Daten des Verantwortlichen mittel.
  4. Risiko jurisdiktionsbezogener Änderungen. Verarbeitungsorte und Subauftragnehmer-Vereinbarungen können sich über die Zeit ändern. Eintrittswahrscheinlichkeit: kurzfristig gering. Schwere: konfigurationsabhängig; adressiert durch den Auftragsverarbeitungsvertrag nach Artikel 28 und die unten dokumentierten Datenresidenz-Zusagen.
  5. Risiko für schutzbedürftige Gruppen. Kinder, Menschen mit Behinderung und andere Gruppen können die überwachten Zonen passieren. Da keine Identifikation und keine Bewertung einzelner Personen stattfindet, ergibt sich aus der Zähltätigkeit selbst kein spezifisches Zusatzrisiko für diese Gruppen. Das sollte dennoch dokumentiert werden.

Abschnitt 6: Abhilfemaßnahmen

Jedes identifizierte Risiko ist mit einer konkreten Abhilfemaßnahme zu beantworten. Die/Der DSB wird sehen wollen, dass die Maßnahmen operativ sind und nicht nur Worte.

  • Sensorwahl. Kameras werden nicht eingesetzt. Time-of-Flight-Tiefensensorik erfasst Geometrie, keine Bilder. Die Signalerfassung erfasst standardmäßig keine MAC-Adresse. Das ist die strukturelle Maßnahme, die die meisten anderen Maßnahmen erleichtert.
  • Konfigurations-Sperre. Eine opt-in-Erfassung von Identifikatoren, sofern verfügbar, ist standardmäßig deaktiviert und nur über einen dokumentierten, von der/dem DSB freigegebenen Change-Request aktivierbar. Das DSB-Register sollte die aktuelle Konfiguration je Standort widerspiegeln.
  • Beschilderung und Transparenz. Sichtbare Beschilderung an Eingängen sollte in einfacher Sprache erläutern, dass das Gebäude eine identifikatorfreie Zählung nutzt, dass keine Kameras und keine Gesichter beteiligt sind und dass keine Identifikatoren gespeichert werden. Der Datenschutzhinweis sollte auf die ausführliche Erklärung des Verantwortlichen und auf die Datenschutzerklärung des Anbieters verlinken.
  • Schulung der Mitarbeitenden. Mitarbeitende, die Besucherfragen beantworten, sollten wissen, was die Sensoren tun und was nicht. Ein einseitiges Briefing, jährlich aktualisiert, reicht meist aus.
  • Auftragsverarbeitungsvertrag (Artikel 28). Auch wenn die Verarbeitung keine personenbezogenen Daten umfasst, sollte der Verantwortlichen-Auftragsverarbeiter-Vertrag bestehen, weil Konfigurationsänderungen künftig personenbezogene Daten in den Anwendungsbereich bringen könnten. Der Vertrag sollte Datenresidenz, Subauftragnehmer, Sicherheitsmaßnahmen, Auditrechte und Fristen für die Meldung von Vorfällen festlegen.
  • Datenresidenz. Sofern der Verantwortliche in der EU oder im Vereinigten Königreich niedergelassen ist, sollte die Verarbeitung auf EU- oder UK-Infrastruktur erfolgen. Etwaige Drittlandübermittlungen sollten sich auf einen geeigneten Übermittlungsmechanismus nach Kapitel V DSGVO stützen.
  • Aufbewahrung. Aggregierte Zählwerte und Trajektorien ohne Identifikatoren können für den Zeitraum aufbewahrt werden, den der Verantwortliche für Berichte und Auswertungen benötigt. Legen Sie die Aufbewahrungsfrist hier ausdrücklich fest (zum Beispiel 24 Monate für feingranulare Trajektoriendaten, länger für Tagesaggregate). Benennen Sie die Person, die für die Durchsetzung der Regel zuständig ist.
  • Zugriffskontrolle. Der Zugriff auf Dashboard und Exporte ist auf namentlich benannte Nutzer mit dokumentierten Rollen beschränkt. Zugriffsüberprüfungen erfolgen nach dem bestehenden Turnus des Verantwortlichen.
  • Vorfallsmanagement. Wird ein Sicherheitsvorfall auf der Zählplattform festgestellt, informiert der Anbieter den Verantwortlichen innerhalb der vereinbarten Frist, und der Verantwortliche prüft, ob eine Meldepflicht ausgelöst wird. Angesichts der beteiligten Datenkategorien ist das unwahrscheinlich.

Abschnitt 7: Restrisiko

Nach den oben genannten Maßnahmen ist das Restrisiko für die Rechte und Freiheiten natürlicher Personen aus der Zähltätigkeit selbst strukturell gering. Es lohnt sich, das im Dokument genau zu begründen, statt sich auf ein einzelnes farbcodiertes Label zu verlassen.

Vorgeschlagener Wortlaut:

Das Restrisiko für betroffene Personen aus der Zähltätigkeit wird als gering bewertet. Die strukturellen Gründe sind, dass das System standardmäßig keine Bilder, keine biometrischen Daten und keine Geräte-Identifikatoren verarbeitet und der Besucher aus den entstehenden aggregierten Zählwerten, der Trajektoriengeometrie oder den Verweildauer-Statistiken nicht identifiziert werden kann. Operative Risiken (Anbieterausfall, Konfigurationsdrift, Fehlwahrnehmung) werden durch die Maßnahmen aus Abschnitt 6 adressiert. Die/Der DSB hat das Restrisiko geprüft und akzeptiert.

Wenn das Restrisiko nach einer ehrlichen Durchsicht von Abschnitt 5 nicht gering ist (etwa weil Sie die opt-in-Erfassung von Identifikatoren tatsächlich aktivieren wollen oder weil Ihre Standorte ungewöhnlich groß skalieren), darf die DSFA nicht als Checkliste behandelt werden. Öffnen Sie die Abschnitte 1 bis 4 erneut und ändern Sie entweder die Konfiguration, um das Risiko zu beseitigen, oder dokumentieren Sie weitere Maßnahmen, bis die/der DSB zufrieden ist.

Abschnitt 8: Konsultation

Artikel 35 Absatz 9 DSGVO sieht vor, dass Verantwortliche gegebenenfalls die Auffassungen der betroffenen Personen oder ihrer Vertreter einholen. Für ein öffentlich zugängliches Gebäude bedeutet das in der Regel eine kurze Konsultation mit dem Betriebsrat oder den Arbeitnehmervertretungen und die Berücksichtigung von Rückmeldungen aus den üblichen Besucherkanälen (Website, Kundenservice, Beschilderung).

Kommen der Verantwortliche und die/der DSB gemeinsam zu dem Schluss, dass keine Konsultation angemessen ist, halten Sie die Begründung fest. Eine Konsultation der Aufsichtsbehörde nach Artikel 36 Absatz 1 DSGVO ist nur erforderlich, wenn das Restrisiko nach Maßnahmen weiterhin hoch ist. Die in dieser Vorlage beschriebene Konfiguration erreicht diese Schwelle nach Einschätzung des Verantwortlichen nicht.

Abschnitt 9: Freigabe und Überprüfungsrhythmus

Eine DSFA ist ein lebendes Dokument. Der Schlussabschnitt benennt, wer es freigegeben hat, wann und wann es überprüft wird.

  • Freigabe durch den Verantwortlichen. Name, Rolle, Datum. In der Regel die zuständige Führungsperson des Verantwortlichen für den Einsatz.
  • DSB-Stellungnahme. Name, Datum und eine einseitige schriftliche Stellungnahme der/des DSB. Artikel 39 Absatz 1 Buchstabe c DSGVO verlangt von der/dem DSB auf Anfrage eine Beratung zur DSFA.
  • Auslösende Ereignisse für eine Überprüfung. Änderungen, die eine erneute Überprüfung auslösen sollten: jede Änderung des Sensortyps, jeder neue Standort, die Aktivierung einer opt-in-Identifikator-Erfassung, jeder Wechsel des Auftragsverarbeiters, jede Änderung von Subauftragnehmern oder Datenresidenz, jeder Vorfall auf der Plattform.
  • Geplante Überprüfung. Ohne auslösendes Ereignis ist eine geplante Überprüfung alle 12 bis 24 Monate übliche Praxis. Legen Sie den Rhythmus hier fest.

Kopier-und-Einfügen-Startvorlage

Der folgende Block ist eine kompakte Fassung der Vorlage von oben, geeignet zum Einfügen in das eigene Dokument und zur Anpassung mit der/dem DSB. Ersetzen Sie Inhalte in eckigen Klammern durch Ihre Angaben und entfernen Sie Abschnitte, die für Ihre Konfiguration nicht zutreffen. Wie oben gilt: Dies ist informativ und keine Rechtsberatung.

DSFA: Personenzähl-Einsatz

1. Verantwortlicher und DSB

  • Verantwortlicher: [Organisation]
  • Standorte im Geltungsbereich: [Liste]
  • DSB: [Name, Kontakt]
  • Datum der Bewertung: [Datum]

2. Kontext der Verarbeitung

Der Verantwortliche setzt an [Standorten] ein Personenzählsystem ein, um Kapazitätsmanagement, Besucherberichte und Betriebsplanung zu unterstützen. Das System berichtet Eintritte, Belegung und Verweildauer je Zone. Es identifiziert keine einzelnen Besucher. Die Messmethode ist Time-of-Flight-Tiefensensorik an den Eingängen plus patentierte Signalerfassung im Innenraum, zentral auf der Anbieterplattform fusioniert. Keine Kameras, keine Gesichtserkennung, standardmäßig keine MAC-Erfassung, keine biometrischen Daten, keine demografische Inferenz.

3. Verarbeitete Daten

  • Aggregierte Zählwerte pro Zone.
  • Trajektoriengeometrie, ohne angehängten Identifikator.
  • Verweildauer pro Zone, aggregiert.
  • Keine Bilder. Keine biometrischen Daten. Standardmäßig keine Geräte-Identifikatoren.

4. Rechtsgrundlage (Artikel 6)

Die beschriebene Verarbeitung umfasst keine personenbezogenen Daten; Artikel 6 ist formal nicht einschlägig. Wird später eine opt-in-Identifikator-Erfassung aktiviert, ist die Rechtsgrundlage die Einwilligung nach Artikel 6 Absatz 1 Buchstabe a DSGVO.

5. Erforderlichkeit und Verhältnismäßigkeit

Zwecke: sichere Belegung, Besucherberichte, Betriebsplanung, Berichterstattung gegenüber Sponsoren oder Förderern. Keine weniger eingriffsintensive Methode liefert kontinuierliche Werte je Zone. Die gewählte Methode erfasst weder Bilder noch Identifikatoren, was unter den verfügbaren Sensoroptionen den geringsten Eingriff darstellt.

6. Identifizierte Risiken

  • Zweckausweitung in Richtung Identifikator-Erfassung oder Videointegration.
  • Fehlwahrnehmung der Sensoren als Kameras durch Besucher.
  • Sicherheitsvorfall bei Anbieter oder Subauftragnehmer.
  • Änderung des Verarbeitungsorts.
  • Auswirkungen auf schutzbedürftige Gruppen (kein spezifisches Zusatzrisiko identifiziert).

7. Abhilfemaßnahmen

  • Kamerafreie Sensoren; standardmäßig keine MAC-Erfassung.
  • Konfigurationsänderungen nur über dokumentierten, von der/dem DSB freigegebenen Prozess.
  • Beschilderung und Datenschutzhinweis an Eingängen; Schulung der Mitarbeitenden.
  • Auftragsverarbeitungsvertrag nach Artikel 28, EU- oder UK-Datenresidenz, Subauftragnehmerliste.
  • Aufbewahrungsregel: [Frist für Trajektoriendaten], [Frist für Aggregate].
  • Zugriffskontrolle, namentlich benannte Nutzer, regelmäßige Überprüfung.
  • Meldung von Vorfällen innerhalb [vereinbarter Frist].

8. Restrisiko

Als gering bewertet. Das System verarbeitet standardmäßig keine Bilder, keine biometrischen Daten und keine Geräte-Identifikatoren; der Besucher kann aus den entstehenden Daten nicht identifiziert werden. Die/Der DSB hat das Restrisiko geprüft und akzeptiert.

9. Konsultation

Interne Konsultation: [Arbeitnehmervertretung, Betriebsrat, soweit zutreffend]. Eine vorherige Konsultation der Aufsichtsbehörde nach Artikel 36 Absatz 1 DSGVO ist auf diesem Restrisiko-Niveau nicht erforderlich.

10. Freigabe und Überprüfung

  • Freigabe des Verantwortlichen: [Name, Rolle, Datum].
  • DSB-Stellungnahme: [Name, Datum, einseitige Sicht].
  • Auslöser für Überprüfung: Sensor- oder Standortwechsel, Aktivierung der opt-in-Erfassung, Wechsel von Auftragsverarbeiter oder Subauftragnehmer, Änderung der Residenz, Sicherheitsvorfall.
  • Geplante Überprüfung: alle [12 bis 24] Monate.

Wie Ariadne in diese Vorlage passt

Viele DSFAs werden im Abschnitt 2 (verarbeitete Daten) und im Abschnitt 5 (Risiken) schwierig, weil die Sensorwahl den Verantwortlichen zwingt, Bilddaten, biometrische Daten oder Geräte-Identifikatoren auszuweisen. Der Ariadne-Einsatz, von dem diese Vorlage ausgeht, ist so aufgebaut, dass diese Angaben kurz bleiben.

Nein. Ariadne zählt mit Hybrid Fusion: Time-of-Flight-Tiefensensorik plus patentierte Signalerfassung, nie mit Kameras. Time-of-Flight erfasst Geometrie statt Bilder, und die Signalerfassung erfasst standardmäßig keine MAC-Adresse, sodass die Messung ohne Video, ohne Gesichter und ohne biometrische Daten auskommt.

Konkret: Im Messpfad sind keine Kameras, sodass Abschnitt 2 keine Bilddaten ausweisen muss. Es findet keine Gesichts-, Gang- oder demografische Inferenz statt, also fallen biometrische Daten nicht in den Anwendungsbereich. Standardmäßig wird keine MAC-Adresse, IMEI oder Advertising-ID erfasst, also fallen Geräte-Identifikatoren nicht in den Anwendungsbereich. Die Fusion läuft zentral auf der Ariadne-Plattform, sodass der Verantwortliche im Vertrag nach Artikel 28 eine EU- oder UK-Datenresidenz fordern und in Abschnitt 6 dokumentieren kann. Nichts davon nimmt die Pflicht ab, die DSFA zu schreiben, aber es macht den größten Teil der schweren Abschnitte ehrlich und kurz beantwortbar. Der Rest ist Governance: Konfigurations-Sperre, Beschilderung, Schulung, Aufbewahrung, Zugriffskontrolle und Überprüfungsrhythmus.

Wenn Sie zur DSFA eine anbieterseitige Sicht beifügen möchten, sind die Verarbeitungsdetails in der Ariadne-Datenschutzerklärung dargelegt, und der Lösungsüberblick steht auf der Seite zur Personenzählung.

FAQ

Ist eine DSFA für einen Personenzähler immer vorgeschrieben?

Nicht immer. Artikel 35 DSGVO verlangt eine DSFA dort, wo eine Verarbeitung voraussichtlich ein hohes Risiko bedeutet. Ein kamerafreier, identifikatorfreier Personenzähler fällt für sich genommen nicht in die strengsten Hochrisiko-Kategorien, die Aufsichtsbehörden veröffentlichen. Auch wenn eine DSFA nicht streng erforderlich ist, ist das Verfassen einer DSFA der sauberste Weg, die Rechenschaftspflicht nach Artikel 5 Absatz 2 DSGVO nachzuweisen und Vorstände, Vermieter und Einkaufsteams zufriedenzustellen. Sprechen Sie mit Ihrer/Ihrem DSB darüber, ob für Ihren Fall eine vollständige DSFA oder ein leichteres Verzeichnis nach Artikel 30 DSGVO das richtige Artefakt ist.

Werden überhaupt personenbezogene Daten verarbeitet?

In der Konfiguration, die diese Vorlage beschreibt, nein. Aggregierte Zählwerte, Trajektoriengeometrie ohne Identifikatoren und aggregierte Verweildauer erlauben zusammengenommen die Identifikation keiner natürlichen Person. Wenn Sie die opt-in-Identifikator-Erfassung aktivieren (zum Beispiel eine Anmeldung im Gäste-WLAN), beginnt damit eine personenbezogene Verarbeitung, die in einem eigenen DSFA-Abschnitt zu bewerten ist.

Müssen wir die Aufsichtsbehörde konsultieren?

Eine vorherige Konsultation nach Artikel 36 Absatz 1 DSGVO ist nur erforderlich, wenn die DSFA ergibt, dass die Verarbeitung ohne Schutzmaßnahmen ein hohes Risiko zur Folge hätte. Die in dieser Vorlage beschriebene Konfiguration erreicht diese Schwelle nach Einschätzung des Verantwortlichen nicht. Ihre/Ihr DSB wird sich eine eigene Auffassung bilden und sie schriftlich festhalten.

Wie oft sollte die DSFA überprüft werden?

Anlassbezogen und geplant. Auslösende Ereignisse sind Änderungen des Sensortyps, neue Standorte, die Aktivierung einer opt-in-Identifikator-Erfassung, Wechsel von Auftragsverarbeiter oder Subauftragnehmer, Änderungen der Datenresidenz und Sicherheitsvorfälle auf der Plattform. Ohne auslösendes Ereignis ist eine geplante Überprüfung alle 12 bis 24 Monate übliche Praxis. Halten Sie den Rhythmus im Schlussabschnitt fest, damit die nächste prüfende Person weiß, was vereinbart wurde.

Ist dieser Artikel eine Rechtsberatung?

Nein. Dieser Artikel ist ausschließlich informativ. Verwenden Sie ihn als Ausgangspunkt für ein Gespräch mit Ihrer/Ihrem Datenschutzbeauftragten und Ihrer Rechtsberatung, die den Wortlaut an Ihre Jurisdiktion, Ihre konkrete Konfiguration und den bestehenden Datenschutzrahmen Ihrer Organisation anpassen werden.

Verwandte Artikel

Mehr zu Personenzählung:

Personenzählungs-Plattformseite

Sprechen Sie mit uns

Zwei Fragen, zwanzig Minuten, ein echter Walkthrough Ihrer Standortfrequenz.

Was Sie erwartet

  • 20-minütiger Screen-Share, durchgegangen auf Ihrer Standortkarte
  • Live-Walkthrough der Hybrid-Fusion-Sensor-Outputs
  • Wo Ariadne passt und wo nicht

Andere Frage?

Senden Sie uns eine Nachricht

Alles, was kein Verkaufsgespräch ist. Wir leiten es an die richtige Person weiter und melden uns innerhalb eines Werktags.