Cinematic shot of a single hand holding a smartphone displaying an indoor map (blue dot, route line) inside a modern airpo...
BlogPersonenzählung

Datenschutz bei Indoor-Positionierung: was eine Navigations-App tatsächlich über Sie weiß

2. Juni 202613 Min. Lesezeit

Zwei verschiedene Produkte, zwei verschiedene Datenschutzgeschichten

Indoor-Positionierung wird oft so diskutiert, als wäre sie eine einzige Kategorie. In der Praxis teilen sich zwei unterschiedliche Produkte dasselbe Gebäude und werden miteinander verwechselt. Das erste ist eine Indoor-Navigations-App, die ein Besucher herunterlädt, um ein Gate, einen Besprechungsraum oder eine Ambulanz zu finden. Der Besucher installiert sie, erteilt die Standortberechtigung und nutzt sie so, wie er draußen eine Karten-App nutzen würde. Das zweite ist ein Analyseprodukt des Standorts, das Besucher zählt und Verweildauer misst, damit der Betreiber das Gebäude führen kann. Besucher installieren dafür nichts und sehen es nicht.

Flache Vektorinfografik vergleicht Indoor-Navigations-App mit Standortfreigabe und Besucheranalyse per Decken-Sensoren

Diese beiden Produkte verarbeiten völlig unterschiedliche Daten auf völlig unterschiedlichen Rechtsgrundlagen. Die Navigations-App verarbeitet Standortdaten, die einer Person zugeordnet sind, die den Installationsbutton gedrückt und auf einem Berechtigungsdialog auf Akzeptieren getippt hat. Das Analyseprodukt verarbeitet, wenn es sauber gebaut ist, überhaupt keine personenbezogenen Daten. Jedes Gespräch zum Datenschutz bei Indoor-Positionierung wird in dem Moment klarer, in dem man diese beiden trennt.

Dieser Beitrag geht durch, was eine Navigations-App auf der Positionierungsseite tatsächlich über Sie weiß, was der Betreiber des Standorts sieht im Vergleich zum App-Anbieter, wie Standortdaten nach europäischem Recht aufbewahrt werden sollen und wie Ariadnes anonymes Zählprodukt vollständig auf der anderen Seite dieser Linie sitzt.

Die Navigationsseite: was eine Opt-in-App tatsächlich weiß

Wenn ein Besucher eine Navigations-App für ein Einkaufszentrum, ein Krankenhaus oder einen Flughafen installiert und sie im Gebäude öffnet, passieren mehrere Dinge nacheinander. Die App fragt die Standortberechtigung an. Das Betriebssystem, iOS oder Android, entscheidet, welche Funkschnittstellen die App nutzen darf und mit welcher Genauigkeit. Die App liest Funksignale, meist WLAN und Bluetooth Low Energy, manchmal Magnetometer und Bewegungssensoren, und wandelt diese Messwerte in eine Position auf dem Innenraumplan des Standorts um.

Es gibt zwei grundlegende Architekturentscheidungen, wie diese Position berechnet wird, und sie haben sehr unterschiedliche Datenschutzeigenschaften.

Reine Client-Inferenz

Bei einem reinen Client-Design erfasst das Telefon die Funksignale, gleicht sie mit einem Fingerprint oder einer Signalmusterkarte ab, die die App heruntergeladen hat, und berechnet die Position lokal. Das Telefon weiß, wo der Besucher ist. Der Server weiß es nicht, es sei denn, der Nutzer teilt es für eine bestimmte Funktion wie eine Routenführung oder einen gespeicherten Ort. Das ist das Muster mit dem leichtesten Fußabdruck. Die rohen Funkscans, die sensibel sein können, weil sie nahegelegene Netzwerke und Geräte offenlegen, verlassen das Telefon nie.

Serverseitige Trilateration

Bei einem serverseitigen Design sendet das Telefon Funksignale an einen Positionierungsdienst, der die Position berechnet und zurücksendet. Das ist flexibler, erleichtert laufende Modellverbesserungen und erlaubt dem Betreiber des Standorts eine Live-Sicht darauf, wo Opt-in-Nutzer sich befinden. Es bedeutet auch, dass rohe Funkscans plus eine Positionsspur, beide an die Installations-Kennung und oft an ein Konto gebunden, auf einem Server gespeichert werden. Das sind Standortdaten im Sinne der DSGVO und benötigen das volle Set an Pflichten: Rechtsgrundlage, Aufbewahrungsfrist, Betroffenenrechte und eine klare Erläuterung in der Datenschutzerklärung.

Die meisten produktiven Wayfinding-Apps mischen beides: Die Positionierung wird lokal in der App berechnet, aber eine Spur wird an den Server gesendet, wenn der Nutzer einer bestimmten Funktion zustimmt, etwa einem Treffpunkt-Share, einem Friend-Finder oder einer Indoor-Analytics-Funktion, die der Nutzer akzeptiert. So oder so hat der Besucher zweimal eingewilligt. Einmal bei der Installation, die App überhaupt auf dem Telefon zu haben, und einmal beim Berechtigungsdialog des Betriebssystems, ihr das Lesen des Standorts zu erlauben.

Was der Betreiber des Standorts sieht, was der App-Anbieter sieht

Eine zweite Quelle der Verwirrung ist, wer genau was verarbeitet. Bei einer Standort-App sitzen drei Parteien im Datenfluss, und sie sehen nicht dasselbe.

  • Der Besucher. Sieht seine eigene Position, die gewählte Route und alle Funktionen, denen er zugestimmt hat. Kann den Standort jederzeit in den Einstellungen des Betriebssystems widerrufen und die App jederzeit deinstallieren.
  • Der App-Anbieter. Das Softwareunternehmen, das die App gebaut hat. Sieht alles, was die App an seine Server zurücksendet, was bei einer gut gestalteten App nicht mehr ist, als der Betreiber des Standorts braucht und der Besucher eingewilligt hat. Der App-Anbieter ist meist Auftragsverarbeiter, der auf Weisung des Standorts handelt, mit einem Auftragsverarbeitungsvertrag.
  • Der Betreiber des Standorts. Das Einkaufszentrum, das Krankenhaus oder der Flughafen, der die App beauftragt hat. Sieht aggregierte Kennzahlen dazu, wie die App genutzt wird (Routenbeliebtheit, Suchbegriffe, Umwandlung in gestartete Wegführungen) und kann, abhängig vom Opt-in, einzelne Routenspuren zur Unterstützung und Produktverbesserung sehen. Der Betreiber des Standorts ist der Verantwortliche für Besucherdaten, die durch seine App fließen.

Die saubere Position für eine Datenschutzerklärung ist, dass der Besucher dem Betreiber des Standorts die Verarbeitung seines Standorts erlaubt, der Betreiber des Standorts den App-Anbieter mit der technischen Arbeit beauftragt und die Rechtsgrundlage die Einwilligung ist. Diese Grundlage ist widerrufbar, was bedeutet, dass der Besucher die Verarbeitung jederzeit ohne Begründung stoppen kann. Das ist eine stärkere Position als das berechtigte Interesse und die, die die meisten großen Standort-Apps standardmäßig wählen.

Berechtigungen und die Betriebssystemebene

iOS und Android schieben eine Schicht zwischen die App und die Funkschnittstellen, die die App nicht umgehen kann. Der Besucher sieht standardisierte Berechtigungsdialoge und kann das, was die App bekommt, reduzieren, ohne sie zu deinstallieren. Die Wahlmöglichkeiten sehen plattformübergreifend ähnlich aus.

  • Bei Nutzung der App. Der Standort ist nur verfügbar, wenn die App im Vordergrund ist. Das ist die richtige Voreinstellung für eine Indoor-Wayfinding-App und die häufigste Wahl.
  • Genau gegenüber ungefähr. Genau liefert die Funkschnittstellen, die die App braucht, um den Besucher auf dem Grundriss zu positionieren. Ungefähr reicht für eine Standortsuche oder einen groben Stadtfilter, kann aber keine Indoor-Wegführung antreiben.
  • Bluetooth. Indoor-Positionierung, die BLE-Signalmuster oder Beacons nutzt, braucht die Bluetooth-Berechtigung des Betriebssystems separat. Ein Nutzer, der sie ablehnt, kann noch von einer statischen Karte aus navigieren, verliert aber den Live-Blauen-Punkt.
  • Geräte in der Nähe. Unter Android steuert dies, ob die App nach Bluetooth-Geräten scannen kann, ohne den Standort zu beanspruchen. Apps, die sich zur Positionierung darauf stützen, sollten erklären, warum sie es brauchen; Nutzer lehnen pauschale Dialoge zunehmend ab.

Ein praktischer Test für jede Standort-App ist, ob sie auch dann anständig funktioniert, wenn der Besucher Berechtigungen reduziert. Eine App, die ohne die weitestgehende Einstellung unbrauchbar wird, verlangt mehr, als sie braucht. Eine gut gebaute App nimmt erkennbar ab (kein Blauer Punkt, weniger Funktionen), hilft dem Besucher aber trotzdem, sein Gate zu finden.

Aufbewahrung von Standortdaten

Sobald eine Standort-App Standortdaten erhebt, ist die DSGVO-Frage nicht mehr, ob sie das darf, sondern wie lange sie sie behält und was sie damit macht. Drei Grundsätze decken den größten Teil des Gestaltungsraums ab.

  1. Zweckbindung. Standortdaten, die zur Wegführung erhoben wurden, können zur Wegführung genutzt werden. Dieselben Daten für Marketing-Profiling, Mitarbeiterüberwachung oder Drittwerbung zu nutzen, ist ein separater Zweck und braucht eine eigene Grundlage und Information.
  2. Speicherbegrenzung. Rohe Spuren sollten so kurz wie möglich für den angegebenen Zweck gespeichert werden. Ein gängiges Muster ist, rohe Spuren für ein kurzes Fehlerbehebungsfenster aufzubewahren (Tage, nicht Monate), und sie dann zu nicht identifizierenden Statistiken zu aggregieren, die länger gespeichert werden.
  3. Betroffenenrechte. Der Besucher sollte fragen können, was die App über ihn hat, eine Kopie anfordern und löschen lassen können, ohne dass der Betreiber des Standorts einen Sonderworkflow braucht. In der Praxis heißt das, die Speicherung so zu gestalten, dass die Spuren eines Nutzers über die Kennung gefunden und entfernt werden können.

Eine Datenschutzerklärung, die all das klar erläutert, in der eigenen Datenschutzerklärung des Standorts oder in einem von der Installationsanzeige der App verlinkten Hinweis, ist das, worauf ein Datenschutzbeauftragter achtet. Je kürzer der Hinweis, desto leichter ist die beschriebene Praxis zu verteidigen.

Das andere Produkt: anonymes Zählen am Standort

All das gilt für eine Opt-in-App, die ein Besucher selbst installiert hat. Das andere Produkt, die Personenzählung am Standort, läuft fortlaufend, sieht jeden Besucher und ist die Grundlage für operative Entscheidungen wie Personalplanung, Kapazitätsmanagement und Reinigungstakte. Manche nehmen an, weil es immer läuft, müsse es das invasivere der beiden sein. Das Gegenteil ist der Fall, wenn das System sauber gebaut ist.

Ariadne misst dies mit Hybrid Fusion, der patentierten kamerafreien Methode. Time-of-Flight-Tiefensensorik zählt an den Eingängen jeden Besucher und erfasst Geometrie statt Bilder, während die patentierte Signalerfassung die Bewegung im Innenraum verfolgt und die Signale erkennt, die ein Telefon aussendet, selbst im Flugmodus. Der Sensor streamt beide Datenströme an Ariadne, wo Hybrid Fusion sie zu einer Trajektorie pro Besuch zusammenführt und Zählwerte, Verweildauer und Wege berechnet. Die Datenströme tragen keine Identifikatoren: keine MAC-Adresse, keine Geräte-ID, keine biometrischen Daten, und es ist keine Kamera beteiligt. Identifikatoren werden nur gespeichert, wenn ein Besucher ausdrücklich zustimmt, was die Methode datenschutzfreundlich und außerhalb des biometrischen Bereichs hält.

Flache Vektorinfografik zeigt Indoor-Positionierung per Besucher-App mit Standortfreigabe versus Besucheranalyse-Sensoren

Drei Eigenschaften dieses Designs lohnt es sich in einem Datenschutzgespräch herauszuheben. Die Messung ist kamerafrei, es gibt also kein Bild eines Besuchers, das aufbewahrt werden müsste. Die Datenströme tragen standardmäßig keine Identifikatoren, es fließt also keine MAC-Adresse und keine Geräte-ID zum Standort. Und die gespeicherte Geometrie liegt auf der Ebene von Zählwerten, Verweildauer und Wegen, nicht auf der Ebene einer Person, sodass ein Besucher später nicht aus den Daten herausgegriffen werden kann. Das ist ein anderer Datenschutz-Fußabdruck als Standortdaten auf einem Telefon, und es ist ein stärkerer.

Warum die Navigationsseite und die Analyseseite nicht dieselben Daten sind

Es lohnt sich, eine Frage explizit zu beantworten, die in der Beschaffung am Standort aufkommt: Kennt die App die Analytik? Kennt das Analyseprodukt die App-Nutzer? Die Antwort in einem sauberen Design ist auf beiden Seiten Nein.

  • Unterschiedliche Produkte. Die Navigations-App und Ariadnes Zählsystem sind getrennte Produkte. Sie können im selben Gebäude eingesetzt werden, ohne Daten zu teilen, und sind es in den meisten Fällen.
  • Unterschiedliche Daten. Die App speichert Standortspuren, die an eine Installations-Kennung gebunden sind, mit Einwilligung. Das Zählsystem speichert Zählwerte und Verweildauer ohne personenbezogene Kennung. Es gibt zwischen beiden nichts zu verknüpfen, selbst wenn jemand wollte.
  • Unterschiedliche Einwilligung. Die Grundlage der App ist die Einwilligung des installierten Nutzers. Das Zählsystem verarbeitet keine personenbezogenen Daten, braucht also keine Einwilligung im Sinne der DSGVO; die Beschilderung und Datenschutzerklärung des Standorts erläutert es trotzdem, um Erwartungen der Besucher zu setzen.

Wenn ein Standort Einsichten aus beidem verbinden möchte, ist das verantwortliche Muster, sie nebeneinander im Dashboard des Betreibers darzustellen, nicht Nutzerdaten zusammenzuführen. Aggregierte Frequenz aus dem Zählsystem kann neben aggregierter Routenbeliebtheit aus der App stehen; der Betreiber bekommt beide Sichten, ohne dass jemand einen Besucher reidentifiziert.

DSGVO-Eignung

Wenn man beide Seiten zusammenführt, sieht eine ehrliche DSGVO-Prüfung des Pakets so aus.

  • Navigations-App. Verarbeitet Standortdaten von Opt-in-Nutzern auf Basis der Einwilligung. Der Betreiber des Standorts ist Verantwortlicher, der App-Anbieter Auftragsverarbeiter, und die Betroffenenrechte sind über die üblichen Kanäle des Standorts ausübbar. Die Aufbewahrung ist kurz für rohe Spuren, länger für aggregierte Statistiken.
  • Analysesystem. Verarbeitet standardmäßig keine personenbezogenen Daten. Keine Bilder, keine Gesichter, keine MAC-Adressen, keine Geräte-IDs. Die schwersten DSGVO-Pflichten greifen für die Messung nicht, weil es keine identifizierenden Erfassungen gibt, an die sie sich knüpfen ließen. Der Standort weist das System trotzdem in seiner Beschilderung vor Ort und in der Datenschutzerklärung aus, weil das gute Praxis ist, nicht weil das Gesetz einen Einwilligungsbanner für einen nicht personenbezogenen Datenfluss erzwingt.

Die Kombination ist gegenüber einem Datenschutzbeauftragten ungewöhnlich klar zu erklären, weil die Linie zwischen den beiden Systemen scharf ist. Eines verarbeitet personenbezogene Daten mit Einwilligung und Aufbewahrungssteuerung. Das andere verarbeitet überhaupt keine personenbezogenen Daten.

Einordnung in der EU-KI-Verordnung

Die EU-KI-Verordnung legt eine zweite Ebene über die DSGVO. Zwei ihrer Bestimmungen sind für Indoor-Positionierung direkt relevant.

  • Biometrische Kategorisierung. Systeme, die aus biometrischen Daten Identität oder sensible Attribute ableiten, unterliegen strengen Pflichten, und einige Anwendungen sind ganz verboten. Ariadnes Messung erfasst keine biometrischen Daten: kein Gesicht, keine Stimme, kein Gang, keine Iris. Es gibt nichts Biometrisches in der Pipeline, worauf kategorisiert werden könnte.
  • Emotionserkennung und demografische Ableitung. Systeme, die in öffentlichen Räumen Emotionen oder sensible demografische Attribute ableiten, sind beschränkt. Ariadne leitet weder Alter, Geschlecht, Ethnie noch emotionalen Zustand ab. Es zählt Besucher und misst, wie lange sie bleiben. Das sind keine geschützten Attribute.

Die strukturelle Eigenschaft, die hier die Arbeit macht, ist, dass am Sensor keine personenbezogenen Daten erfasst werden. Das ist dieselbe Eigenschaft, die das DSGVO-Gespräch kurz macht. Sie hält die Analyseseite auch außerhalb der KI-Verordnungs-Bestimmungen, die sonst greifen würden, weil es keine biometrischen oder demografischen Daten gibt, mit denen ein Modell gefüttert würde. Die Navigationsseite ist eine andere Frage zum Anwendungsbereich: Eine Indoor-Wayfinding-App ist weder biometrisch noch demografisch, also greifen die KI-Verordnungs-Bestimmungen zur biometrischen Kategorisierung auch nicht auf sie zu.

Eine Käufer-Checkliste für Datenschutz am Standort

Wenn Sie einen Indoor-Positionierungs-Einsatz für ein Einkaufszentrum, ein Krankenhaus oder einen Flughafen prüfen, lohnt es sich, diese Fragen vor der Unterschrift zu stellen. Die Hälfte sollte sich an den Anbieter der Navigations-App richten und die Hälfte an den Analyse-Anbieter; in den meisten Beschaffungen sind es verschiedene Firmen.

  1. Ist die Positionierung reine Client-Inferenz oder serverseitig? Zu wissen, wo die rohen Funkscans liegen, sagt Ihnen, welche Datenmenge der Betreiber des Standorts zu steuern hat.
  2. Was ist die Rechtsgrundlage für die Standortverarbeitung der App? Die Einwilligung ist die sauberste Antwort für eine Standort-App. Berechtigtes Interesse ist für den Besucherstandort schwerer zu verteidigen.
  3. Wie lange werden rohe Spuren aufbewahrt und wie lange Aggregate? Kurz für rohe Daten, länger für Aggregate ist das verteidigbare Muster; alles andere braucht eine spezifische Begründung.
  4. Erfasst das Analysesystem irgendwelche personenbezogenen Daten? Keine Bilder, keine Gesichter, keine MAC-Adressen, standardmäßig keine Geräte-IDs ist die Antwort, nach der man sucht. Identifikatoren sollten nur bei ausdrücklichem Opt-in eines Besuchers auftauchen.
  5. Ist irgendwo in der Analyse-Pipeline eine Kamera? Ein kamerafreies Design, gebaut auf Time-of-Flight-Tiefensensorik und Signalerfassung, ist die sauberste Antwort, die man einem Vorstand oder einem Datenschutzbeauftragten geben kann.
  6. Können die beiden Systeme Daten auf Nutzerebene teilen? Die Antwort sollte standardmäßig Nein sein. Aggregierte Berichterstattung nebeneinander ist die verantwortungsvolle Alternative.

Die Sensor-Hardware von Ariadne findet sich im Ariadne-Sensorportfolio, und die Datenverarbeitung ist in der Datenschutzerklärung dargelegt.

FAQ

Verfolgt mich eine Indoor-Navigations-App auch, wenn ich sie nicht nutze?

Nur, wenn Sie der App eine Hintergrund- oder Immer-aktiv-Standortberechtigung erteilen und nur solange diese erteilt bleibt. Die Voreinstellung der meisten Standort-Apps ist Bei Nutzung, das heißt, der Standort stoppt in dem Moment, in dem die App in den Hintergrund geht. Sie können die Berechtigung jederzeit in den Einstellungen Ihres Betriebssystems widerrufen, ohne die App zu deinstallieren.

Sieht der Betreiber des Standorts meinen Standort?

Das hängt vom App-Design ab und davon, welchen Funktionen Sie zugestimmt haben. Ein Design mit reiner Client-Inferenz behält Ihren rohen Standort auf Ihrem Telefon, und der Betreiber sieht nur, was Sie teilen, etwa Ihre Routenwahl oder einen gespeicherten Ort. Ein serverseitiges Design sendet Positionsdaten an den Dienst des Standorts. Die Datenschutzerklärung der App sollte sagen, welches Modell verwendet wird; tut sie es nicht, ist das ein Grund nachzufragen.

Sieht Ariadnes anonymes Zählsystem App-Nutzer anders?

Nein. Das Zählsystem ist ein getrenntes Produkt, das keine personenbezogenen Daten erfasst und nicht weiß, ob ein Besucher die Navigations-App installiert hat. Es kann seine Daten nicht mit den Daten der App verknüpfen, weil es auf seiner Seite keinen gemeinsamen Identifikator gibt. Die beiden Produkte laufen im selben Gebäude, ohne die Nutzer des jeweils anderen zu sehen.

Werden irgendwo in der Messung Kameras verwendet?

Nein. Ariadne zählt mit Hybrid Fusion: Time-of-Flight-Tiefensensorik plus patentierte Signalerfassung, nie mit Kameras. Time-of-Flight erfasst Geometrie statt Bilder, und die Signalerfassung erfasst standardmäßig keine MAC-Adresse, sodass die Messung ohne Video, ohne Gesichter und ohne biometrische Daten auskommt.

Leitet Ariadne Alter, Geschlecht oder Emotion ab?

Flache Infografik vergleicht Besucher-Indoor-Positionierung per Smartphone-Standort mit Besucheranalyse per Decken-Sensoren

Nein. Das System zählt Besucher und misst, wie lange sie bleiben. Es klassifiziert nicht nach Alter, Geschlecht, Ethnie oder Emotion. Solche Ableitungen würden biometrische Daten brauchen, die das System nicht erfasst, und fallen unter Bestimmungen der EU-KI-Verordnung, außerhalb derer das Design absichtlich bleibt.

Verwandte Artikel

Mehr zu Personenzählung:

Personenzählungs-Plattformseite

Sprechen Sie mit uns

Zwei Fragen, zwanzig Minuten, ein echter Walkthrough Ihrer Standortfrequenz.

Was Sie erwartet

  • 20-minütiger Screen-Share, durchgegangen auf Ihrer Standortkarte
  • Live-Walkthrough der Hybrid-Fusion-Sensor-Outputs
  • Wo Ariadne passt und wo nicht

Andere Frage?

Senden Sie uns eine Nachricht

Alles, was kein Verkaufsgespräch ist. Wir leiten es an die richtige Person weiter und melden uns innerhalb eines Werktags.