"Privacy by Design" wird so häufig zitiert, dass es eher wie ein Compliance-Slogan als wie eine technische Entscheidung klingt. Es ist eine technische Entscheidung. Der Begriff beschreibt eine Wahl, die getroffen wird, wenn ein System entworfen wird, bevor eine einzige Messung stattfindet: die am wenigsten eingriffsintensive Methode wählen, die die Aufgabe noch erfüllt, sodass Datenschutz eine Eigenschaft der Funktionsweise ist und nicht ein Satz von Kontrollen, die nachträglich hinzugefügt werden, um einzudämmen, was bereits erhoben wurde.

Für einen Personenzähler ist diese Unterscheidung nicht abstrakt. Sie entscheidet darüber, ob Sie die nächsten fünf Jahre damit verbringen, personenbezogene Daten zu sichern, zu minimieren und zu löschen, oder ob es schlicht nichts Personenbezogenes zu sichern gibt, weil nie etwas erfasst wurde. Dieser Beitrag erklärt, was Datenschutz durch Technikgestaltung (Privacy by Design) auf Sensorebene bedeutet, was DSGVO Art. 25 tatsächlich verlangt und warum eine kamerafreie Methode den Standard durch ihre Bauweise erreicht und nicht durch nachträgliches Flicken. Er ist ein Begleitbeitrag zu einem Datenschutz-Kurzprofil für den Sensor, der die Offenlegung als Ergebnis zeigt. Dieser Beitrag handelt von der Entwurfsentscheidung, die überhaupt erst zu einem sauberen Profil führt. Dies sind allgemeine Informationen, keine Rechtsberatung.
Was bedeutet Privacy by Design für einen Personenzähler?
Datenschutz durch Technikgestaltung (Privacy by Design) bedeutet, dass die am wenigsten eingriffsintensive Methode bereits in der Entwurfsphase gewählt wird, sodass Datenschutz in die Funktionsweise des Sensors eingebaut ist und nicht nachträglich aufgesetzt wird. DSGVO Art. 25 nennt dies Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen. Für die Personenzählung ist die stärkste Ausprägung ein Sensor, der von vornherein keine personenbezogenen Daten erfasst: Ariadne zählt mit Time-of-Flight-Tiefenmessung und patentierter Mobilfunksignal-Erkennung, erfasst also Geometrie und Bewegung ohne Gesicht, ohne Vorlage und ohne gespeicherten Identifikator. Es gibt keine personenbezogenen Daten, die nachträglich zu sichern, zu minimieren oder zu löschen wären, weil keine erhoben werden. Dies sind allgemeine Informationen, keine Rechtsberatung. Ihr Datenschutzbeauftragter sollte bestätigen, wie Art. 25 auf Ihren Einsatz zutrifft.
Der Rest dieses Beitrags entfaltet diese Antwort: was das Prinzip verlangt, die zwei sehr unterschiedlichen Wege, es zu erfüllen, und wie ein kamerafreier Sensor so gebaut ist, dass er es von Anfang an erfüllt.
DSGVO Art. 25, klar formuliert: Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen
DSGVO Art. 25 ist der Artikel, der Datenschutz durch Technikgestaltung ins Gesetz überführt und nicht nur als Empfehlung guter Praxis belässt. Klar formuliert verlangt er von einem Verantwortlichen, geeignete Datenschutzmaßnahmen bereits bei der Gestaltung einer Verarbeitungstätigkeit einzubauen und Voreinstellungen so zu setzen, dass nur die für einen bestimmten Zweck erforderlichen personenbezogenen Daten verarbeitet werden. Zwei Gedanken stecken darin. "Durch Technikgestaltung" ist der vorgelagerte Teil: über Datenschutz nachdenken, während Sie die Methode wählen, nicht nachdem Sie sie ausgerollt haben. "Durch Voreinstellungen" ist der Teil ab Werk: die am wenigsten eingriffsintensive Einstellung sollte diejenige sein, die Sie erhalten, ohne etwas konfigurieren zu müssen.
Der Artikel ist technikneutral verfasst und nennt daher weder Sensoren noch Kameras noch Zählung. Er formuliert ein Prinzip und überlässt die Anwendung der konkreten Verarbeitung. Das ist Absicht, und es ist auch der Grund, warum ein allgemeiner Erklärtext wie dieser das Prinzip beschreibt und kein konkretes Ergebnis für Ihren Einsatz nennt. Wie Art. 25 auf eine bestimmte Installation zutrifft, ist eine Beurteilung, die Ihr Datenschutzbeauftragter anhand der Fakten trifft, und genau für solche Fragen ist ein Datenschutzbeauftragter da.
Was der Artikel klar macht, ist eine Stoßrichtung: Die Verordnung bevorzugt die Gestaltung, die weniger verarbeitet. Eine Methode, die die Erhebung personenbezogener Daten vollständig vermeidet, ist nicht nur konform mit der datenschutzfreundlichen Voreinstellung, sie ist deren reinstmöglicher Ausdruck. Es gibt ein verwandtes Prinzip, die Datenminimierung, das dasselbe aus einem anderen Blickwinkel sagt. Dieses wird gesondert behandelt in Datenminimierung bei Frequenzdaten.
Zwei Wege dorthin, und warum einer stärker ist
Es gibt grob zwei Wege, auf denen ein Zählsystem datenschutzfreundlich werden kann, und sie sind nicht gleich stark.
Der erste ist erheben-dann-schützen. Ein System erfasst reichhaltige Daten, oft Video, und wendet dann Kontrollen an, um die Datenschutzauswirkung zu verringern: Gesichter verpixeln, Aufnahmen nach kurzer Aufbewahrungsfrist löschen, Gespeichertes verschlüsseln, den Zugriff beschränken. Jede einzelne dieser Kontrollen ist eine echte Schutzmaßnahme. Doch jede ist auch eine Kontrolle, die versagen, falsch konfiguriert, unter Druck gelockert oder still und leise später ausgeweitet werden kann. Die personenbezogenen Daten existierten im Moment der Erfassung, was bedeutet, dass das Risiko existierte, und der Schutz ist ein Versprechen darüber, was als Nächstes geschieht. Eine Verpixelung lässt sich abschalten. Eine Aufbewahrungsfrist lässt sich verlängern. Eine Zugriffsliste kann wachsen. Die Schutzmaßnahmen sind nur so dauerhaft wie die Disziplin, die sie aufrechterhält.
Der zweite ist nichts-erheben. Die Methode ist so gestaltet, dass die personenbezogenen Daten nie erfasst werden, was bedeutet, dass es kein Video zu verpixeln, keine Aufnahmen zum fristgerechten Löschen und keinen Identifikator zu sichern gibt. Datenschutz ist keine Kontrolle, die auf die Daten aufgesetzt wird, sondern eine Folge davon, dass die Daten nicht existieren. Es gibt nichts, was falsch konfiguriert werden könnte, weil die sensible Eingabe von Anfang an nicht vorhanden war.
Beide Ansätze können an einem guten Tag ein System hervorbringen, das sich gut verhält. Der Unterschied zeigt sich an einem schlechten Tag. Wenn eine Kontrolle gelockert wird, eine Aufbewahrungseinstellung geändert wird oder eine Datenpanne offenlegt, was gespeichert war, dann hat erheben-dann-schützen personenbezogene Daten zu verlieren, und nichts-erheben hat sie nicht. Datenschutz durch Technikgestaltung, streng gelesen, bevorzugt den zweiten Weg: Die stärkste Schutzmaßnahme ist die, die sich nicht abschalten lässt, weil dahinter nichts ist, was offengelegt werden könnte.
Wie eine kamerafreie Methode Datenschutz von Anfang an einbaut
Ariadne misst dies mit Hybrid Fusion, der patentierten kamerafreien Methode. Time-of-Flight-Tiefensensorik zählt an den Eingängen jeden Besucher und erfasst Geometrie statt Bilder, während die patentierte Signalerfassung die Bewegung im Innenraum verfolgt und die Signale erkennt, die ein Telefon aussendet, selbst im Flugmodus, und diese Bewegung auf etwa einen Meter genau auflöst. Der Sensor streamt beide Datenströme an Ariadne, wo Hybrid Fusion sie zu einer Trajektorie pro Besuch zusammenführt und Zählwerte, Verweildauer und Wege berechnet. Die Datenströme tragen keine Identifikatoren: keine MAC-Adresse, keine Geräte-ID, keine biometrischen Daten, und es ist keine Kamera beteiligt. Identifikatoren werden nur gespeichert, wenn ein Besucher ausdrücklich zustimmt, was die Methode datenschutzfreundlich und außerhalb des biometrischen Bereichs hält.
Am Test für Privacy by Design gemessen, fügen sich die Entwurfsentscheidungen Punkt für Punkt ein. Die Time-of-Flight-Messung erfasst die Form und die Entfernung von Objekten, nicht ihr Aussehen, sodass es kein Bild eines Gesichts zu verpixeln oder zu löschen gibt: Die sensible Eingabe, die eine Kamera erzeugen würde, wird nie erzeugt. Die Signal-Erkennung stellt fest, dass ein Telefon vorhanden ist und wie es sich bewegt, ohne standardmäßig eine MAC-Adresse zu lesen, sodass der dauerhafte Identifikator, der eine Bewegung in eine nachverfolgte Person verwandeln würde, nicht erhoben wird. Beide Datenströme verlassen den Sensor ohne Identität, und die Fusion, die sie in eine Trajektorie verwandelt, geschieht zentral innerhalb der Ariadne-Plattform, nicht auf dem Sensor und nicht am Rand des Netzwerks. Nichts auf diesem Weg speichert, wer eine Person ist. Die Gestaltung ist die Schutzmaßnahme.
Der Punkt der Einwilligung zählt hier ebenfalls. Ein Identifikator wird nur dann gespeichert, wenn ein Besucher sich ausdrücklich dafür entschieden hat, erkannt zu werden, für einen Dienst, der ihn wirklich benötigt. Der Standardzustand, der ohne jede Konfiguration eintritt, ist der am wenigsten eingriffsintensive. Genau das verlangt "durch Voreinstellungen" in Art. 25: Die datenschutzfreundliche Einstellung ist der Standard und keine Option, an die ein sorgfältiger Administrator denken muss.
Warum "keine personenbezogenen Daten bei der Erfassung" besser ist als "nachträglich anonymisiert"
Es gibt eine verlockende Abkürzung im Datenschutzmarketing: zu sagen, ein System "anonymisiere" die Daten, die es erhebt. Das klingt beruhigend, und für manche Systeme beschreibt es einen echten Vorgang zutreffend. Aber es beschreibt erheben-dann-schützen und trägt dieselbe Anfälligkeit in sich. Anonymisierung ist etwas, das mit personenbezogenen Daten geschieht, nachdem sie erfasst wurden, was bedeutet, dass die personenbezogenen Daten zuerst existierten und die Anonymisierung ein Schritt ist, der gut oder schlecht ausgeführt oder rückgängig gemacht werden kann, wenn genug Kontext daneben aufbewahrt wird.
Ariadne anonymisiert nicht, weil es nichts zu anonymisieren gibt. Die Methode erfasst kein Gesicht, keine biometrische Vorlage und standardmäßig keine MAC-Adresse, sodass keine personenbezogenen Daten ins System gelangen, denen später die Identität entzogen werden müsste. Der Unterschied ist kein Wortspiel: "nachträglich anonymisiert" hat immer noch einen Moment, in dem die rohen personenbezogenen Daten existierten und im Prinzip hätten aufbewahrt oder abgegriffen werden können, während "keine personenbezogenen Daten bei der Erfassung" keinen solchen Moment hat. Warum diese Betrachtung die richtige ist und wo die Sprache der "Anonymisierung" leise in die Irre führt, lesen Sie in warum Anonymisierung der falsche Rahmen ist. Dieselbe Argumentation liegt dem Umstand zugrunde, dass die Methode bequem in die Kategorie der nicht-biometrischen Zählung fällt: Sie können keine biometrischen Daten verarbeiten, die Sie nie erfasst haben.
Wie man Privacy by Design für Prüfer und Einkäufer dokumentiert
Datenschutz einzubauen ist die halbe Arbeit. Ihn belegen zu können ist die andere Hälfte, denn ein Prüfer, ein Einkaufsteam oder ein Datenschutzbeauftragter wird nach Nachweisen fragen, nicht nach Zusicherungen. Die gute Nachricht ist, dass eine Nichts-erheben-Gestaltung eine kurze, saubere Beweiskette erzeugt, weil die meisten Fragen, die ein Prüfer zu gespeicherten personenbezogenen Daten stellen würde, schlicht nicht zutreffen.
Ein belastbarer Privacy-by-Design-Nachweis für einen Personenzähler-Einsatz hat üblicherweise einige Bestandteile:
- Eine Methodenbeschreibung. Eine klare Beschreibung dessen, was der Sensor erfasst (Geometrie und Signalzählungen) und was nicht (kein Video, kein Gesicht, standardmäßig keine MAC), sodass die Entwurfsentscheidung festgehalten und nicht nur unterstellt ist.
- Eine Datenkarte. Welche Daten vom Sensor fließen, wo die Fusion geschieht, was berechnet wird und was aufbewahrt wird. Bei einer Nichts-erheben-Gestaltung ist diese Karte kurz, weil die sensiblen Kategorien schon durch die Bauweise fehlen.
- Der Einwilligungsablauf. Wie und wann ein Identifikator gespeichert wird, welche Einwilligung erfasst wird und was einem Besucher mitgeteilt wird, sodass der eine Weg, auf dem Identität doch ins System gelangt, dokumentiert und begrenzt ist.
- Ein Nachweis der Entwurfsentscheidung. Warum die kamerafreie Methode gegenüber einer datenhungrigeren gewählt wurde, was die eigentliche "durch Technikgestaltung"-Entscheidung ist, die Art. 25 von Ihnen nachweisbar verlangt.
Zwei dieser Bestandteile haben Begleitbeiträge. Das Offenlegungsformat, die einseitige Zusammenfassung dessen, was der Sensor erhebt, wird in einem Datenschutz-Kurzprofil für den Sensor behandelt. Die förmliche Bewertung, die die Entwurfsentscheidung mit einer dokumentierten Risikoanalyse verknüpft, wird in Dokumentation der Bewertung behandelt. Zusammen verwandeln sie eine Entwurfsentscheidung in etwas, das ein Einkäufer oder Prüfer überprüfen kann, statt es auf Vertrauen zu nehmen.
Wenn Sie ein System bewerten, statt ein bereits gewähltes zu dokumentieren, ist der kürzeste Weg zum selben Nachweis, einen Anbieter zu bitten zu beschreiben, was der Sensor im Moment der Erfassung erfasst, vor jeder Verarbeitung, und klar zu sagen, ob das ein Gesicht, ein Bild oder einen Geräte-Identifikator einschließt. Eine kamerafreie Personenzählung sollte mit einem klaren Nein antworten können und Ihnen anhand ihrer eigenen Architektur zeigen können, warum. Die Antwort auf diese eine Frage sagt Ihnen, welchen der beiden Ansätze, nichts-erheben oder erheben-dann-schützen, Sie tatsächlich kaufen.
FAQ
Brauche ich Kameras, um Personen genau zu zählen?
Nein. Ariadne zählt mit Hybrid Fusion: Time-of-Flight-Tiefenmessung plus patentierte Mobilfunksignal-Erkennung, nie Kameras. Time-of-Flight erfasst Geometrie statt Bilder, und die Signal-Erkennung erfasst standardmäßig keine MAC-Adresse, sodass die Messung ohne Video, ohne Gesichter und ohne biometrische Daten auskommt.
Erhebt ein Personenzähler personenbezogene Daten?
Eine kamerafreie Methode wie die von Ariadne erhebt standardmäßig keine personenbezogenen Daten. Sie erfasst Geometrie und Bewegung, ohne Gesicht, ohne biometrische Vorlage und ohne MAC-Adresse, sodass bei der Erfassung keine personenbezogenen Daten entstehen. Ein Identifikator wird nur dann gespeichert, wenn ein Besucher ausdrücklich für einen Dienst einwilligt, der ihn benötigt.
Ist Privacy by Design eine gesetzliche Pflicht?
DSGVO Art. 25 legt Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen als Pflicht der Verantwortlichen nach der Verordnung fest. Wie das auf eine bestimmte Verarbeitungstätigkeit zutrifft, ist eine Beurteilung, die ein Datenschutzbeauftragter anhand der Fakten trifft. Dies sind allgemeine Informationen, keine Rechtsberatung. Klären Sie die Lage für Ihren Einsatz mit Ihrem Datenschutzbeauftragten und Rechtsberatung.
Was ist der Unterschied zwischen Privacy by Design und Anonymisierung?
Datenschutz durch Technikgestaltung wählt eine Methode, die die Erhebung personenbezogener Daten von vornherein vermeidet, sodass es nichts zu anonymisieren gibt. Anonymisierung ist ein Schritt, der auf personenbezogene Daten angewendet wird, nachdem sie erfasst wurden. Der erste Ansatz hat keinen Moment, in dem die rohen personenbezogenen Daten existierten, der zweite hat einen.
Wo geschieht die Datenfusion bei einem kamerafreien Zähler?
Bei Ariadne streamt der Sensor zwei Datenströme, die keinen Identifikator tragen, und Hybrid Fusion führt sie zentral innerhalb der Ariadne-Plattform zu einer Trajektorie pro Besuch zusammen, nicht auf dem Sensor und nicht am Rand des Netzwerks. Die Zählungen, die Verweildauer und die Wege werden dort berechnet.

---



