Cinematic editorial still of a printed structured privacy-disclosure card laid flat on a clean desk, fountain pen alongside
BlogPersonenzählung

Das Datenschutz-Nährwertkennzeichen für Sensoren: 12 Fragen an jeden Anbieter

3. Juni 202613 Min. Lesezeit

Warum ein Datenschutzlabel auf einen Sensor gehört

Apples App Privacy Labels und Googles Datensicherheitsabschnitt zwangen Mobile-Apps dazu, in einem einzigen Panel offenzulegen, welche Daten sie erfassen, was sie weitergeben und was mit einer Nutzeridentität verknüpft ist. Das Format ist jedem vertraut, der eine App installiert hat: eine kurze, strukturierte Offenlegung, die ein Prüfer in der Beschaffung oder ein Kunde in unter einer Minute lesen kann. Sensoren, die an Decken und Türrahmen hängen, haben noch kein gleichwertiges Panel, und wahrscheinlich sollten sie eins haben. Ein Sensor ist ein dauerhaftes Stück Infrastruktur in einem Gebäude, und die Datenfragen, die er aufwirft, sind mindestens so ernst wie die, die eine App aufwirft.

Infografik eines Sensors mit zwölf Symbolen zu Datenschutzfragen bei Sensoren in farbigem Raster

Die folgenden Fragen sind keine Erfindung von Ariadne. Sie sind aus den öffentlichen Privacy-by-Design-Prinzipien gezogen (die sieben PbD-Prinzipien, die Ann Cavoukian aufgestellt hat und die in Artikel 25 DSGVO eingebaut sind), aus den App-Privacy-Label-Mustern von Apple und Google sowie aus den Leitlinien des Europäischen Datenschutzausschusses zu Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen. Es sind die Fragen, die jedes Beschaffungsteam jedem Anbieter von Personenzählung stellen sollte, einschließlich Ariadne. Die Antworten unten zeigen, wie eine kamerafreie, identifikatorfreie Gestaltung auf jede einzelne reagiert.

Dieser Artikel ist informativ und stellt keine Rechtsberatung dar. Bestätigen Sie Ihren konkreten Einsatz mit Ihrem Datenschutzbeauftragten und Ihrem Rechtsbeistand.

Wie diese Checkliste zu nutzen ist

Behandeln Sie die 12 Fragen als kurzen Fragebogen, den Sie einem in die engere Wahl gezogenen Anbieter schriftlich zusenden, neben einer üblichen Sicherheitsprüfung. Die Formulierung ist bewusst geschlossen, wo die regulatorische Antwort binär ist, und offen, wo die Antwort Textur hat. Drei Regeln machen die Übung nützlich.

  • Bitten Sie um schriftliche Antworten. Ein Anbieter, der zu den binären Fragen keine sauberen schriftlichen Antworten geben kann, sagt Ihnen etwas über sein Produkt oder seine interne Klarheit. So oder so ist es nützlich, das vor der Unterschrift zu wissen.
  • Fragen Sie nach der strukturellen Antwort, nicht nach der Konfigurationsantwort. Viele Datenschutzeigenschaften lassen sich in der Konfiguration einschalten und später wieder ausschalten. Eine Eigenschaft, die in die Hardware oder das Datenmodell eingebrannt ist, ist dauerhaft. Das Label sollte festhalten, was was ist.
  • Fragen Sie, was auf der 12-Monats-Roadmap steht. Ein Anbieter, der plant, im nächsten Release Gesichtserkennung, demografische Ableitungen oder die Erfassung von Identifikatoren hinzuzufügen, ist heute kein nicht-biometrischer Anbieter, auch wenn die aktuelle Version sauber ist.

Die 12 Fragen

Hier ist das Label, zwölf Fragen, gruppiert in vier Abschnitte: was erfasst wird, was gespeichert wird, wer es sehen kann und wie die Gestaltung mit Veränderung umgeht. Jeder Frage folgt die Antwort, die Ariadne gibt, die das Beschaffungsteam als Referenzmaßstab nutzen kann.

1. Welche Sensoren enthält das Gerät, und welche davon sind aktiv?

Jede in der Einheit vorhandene Sensormodalität gehört zur Datenschutzoberfläche, auch wenn sie heute nicht genutzt wird. Eine Einheit, die eine optische Kamera enthält, selbst eine, die derzeit deaktiviert ist, hat ein anderes Risikoprofil als eine, die überhaupt keine Kamera enthält. Bitten Sie um eine Liste jedes in der Hardware vorhandenen Sensors (Tiefe, RGB-Kamera, Mikrofon, Funk, Wärme, Beschleunigungssensor) und welche davon Daten erzeugen, die die Plattform tatsächlich liest.

Ariadne. Die Ariadne-Einheit enthält einen Time-of-Flight-Tiefensensor und einen patentierten Funksignal-Sensor. Es gibt keine optische Kamera und kein Mikrofon. Die Sensoren, die Daten erzeugen, sind die, die die Plattform liest; es gibt keine schlummernde Kamera, die auf ein Feature-Flag wartet.

2. Erfasst irgendein Sensor ein Bild, ein Video oder eine Tonaufnahme?

Dies ist die Frage, die ein Vorstand oder ein Datenschutzbeauftragter zuerst stellt, weil Bilder und Ton die Kategorien sind, die am klarsten in den biometrischen Anwendungsbereich der DSGVO und der EU-KI-Verordnung fallen. Die Antwort sollte ein klares Ja oder Nein sein, ohne Einschränkungen über lokale Verarbeitung oder geräteseitige Unschärfe.

Ariadne. Nein. Time-of-Flight liefert einen Tiefenwert zurück, kein Bild und kein Videoeinzelbild. Der Funksensor liest elektromagnetische Signale, keinen Ton. An keinem Punkt wird eine Kameraausgabe oder eine Mikrofonausgabe erfasst.

3. Welche Identifikatoren werden standardmäßig erfasst?

Identifikatoren umfassen MAC-Adressen, IMEIs, Werbe-IDs, Login-Tokens, Loyalty-IDs und jeden anderen Wert, der sich auf ein Gerät oder eine Person zurückführen lässt. Ein Zähler, der einen Identifikator speichert, verarbeitet personenbezogene Daten noch vor jeder biometrischen Frage, weil der Identifikator die Verbindung zwischen einer Messung und einem Menschen ist.

Ariadne. Standardmäßig keine. Der Funksensor sieht die Signale, die ein Telefon aussendet, auch im Flugmodus, und trianguliert die Position auf etwa 30 Zentimeter, aber die MAC-Adresse, die mit dem Paket kam, wird nicht gespeichert. Der Time-of-Flight-Sensor liest nur Geometrie. Identifikatoren werden nur gespeichert, wenn ein Besucher ausdrücklich zustimmt, etwa durch eine Anmeldung in einem Gäste-WLAN, und der Betreiber kann darauf verzichten, diese Option anzubieten.

4. Welche Datenkategorien verarbeitet die Plattform und zu welchem Zweck?

Dies ist die Apple-App-Privacy-Label-Frage, auf einen Sensor übertragen. Der Anbieter sollte jede Datenkategorie auflisten können, die die Plattform tatsächlich verarbeitet, und jede an einen Zweck binden. Wenn eine Kategorie zu einem anderen Zweck verarbeitet wird als zu dem, für den der Betreiber bezahlt hat, ist das die Offenlegung, die zählt.

Ariadne. Die Plattform verarbeitet Tiefenwerte (Eintritte und Austritte an gezählten Schwellen) und Funksignal-Vektoren (Positionen im Zeitverlauf im Gebäude). Sie nutzt sie, um Zählwerte, Verweildauern und Wege durch den Raum zu berechnen. Sie verarbeitet die Daten nicht für Werbung, nicht für Verhaltensprofile und nicht für irgendeinen Zweck außerhalb der Besucheranalysen, die der Betreiber beauftragt hat.

5. Wo werden die Daten verarbeitet und wo liegen sie?

Datenresidenz ist eine Beschaffungs- und DSB-Frage. Der Anbieter sollte sagen können, wo auf der Welt die Verarbeitung stattfindet, wo die Speicherung sitzt und welche Rechtsräume die Daten auf ihrem Weg berühren.

Ariadne. Hybrid Fusion läuft zentral in der Ariadne-Plattform, nicht im Sensor selbst. Die Plattform wird in der Europäischen Union gehostet, und die Daten unterliegen für die gesamte Strecke dem EU-Datenschutzrecht. Der Sensor streamt seine Datenströme an die Plattform; die Fusion, die Analytik und die Speicherung finden alle innerhalb der EU statt.

6. Wie lange werden Daten aufbewahrt, und wie funktioniert die Löschung?

Aufbewahrung ist die häufigste Lücke auf einem realen Datenschutzlabel. Ein Anbieter, der keine dokumentierte Aufbewahrungsrichtlinie hat, sagt Ihnen, dass die Daten für immer liegen bleiben oder dass die Ingenieure später entscheiden. Beide Antworten scheitern an Artikel 5 Absatz 1 Buchstabe e DSGVO.

Ariadne. Die Aufbewahrung ist pro Deployment konfigurierbar und im mit dem Betreiber unterzeichneten Auftragsverarbeitungsvertrag dokumentiert. Die Standardposition für die Zählwerte ist, aggregierte Zeitreihendaten für den analytischen Horizont zu halten, den der Betreiber benötigt (typischerweise mehrere Jahre für Trendarbeit), und rohe Signalvektoren deutlich früher zu verwerfen. Löschung auf Anfrage wird über die Plattform unterstützt.

7. Wer kann auf die Rohdaten zugreifen, intern und extern?

Zugriff ist eine zweiteilige Frage. Innerhalb des Anbieters: welche Ingenieure und welches Betriebspersonal welche Felder lesen können, gegen welche Autorisierung. Außerhalb des Anbieters: welche Dritten (Unterauftragsverarbeiter, Hosting-Anbieter, Integrationspartner) die Daten berühren und unter welchen Verträgen. Eine saubere Antwort benennt jede externe Partei.

Ariadne. Intern sind rohe Signaldaten nur für Ingenieure des Plattform-Teams unter rollenbasierten Kontrollen und Auditprotokollen zugänglich. Extern ist die Liste der Unterauftragsverarbeiter im Auftragsverarbeitungsvertrag dokumentiert, mit Rolle und Rechtsraum jeder Partei. Keine Partei außerhalb dieser Liste hat Zugriff.

8. Führt das System eine biometrische Identifizierung oder biometrische Kategorisierung durch?

Dies ist die Frage zur EU-KI-Verordnung. Identifizierung bedeutet zu erkennen, wer eine Person ist. Kategorisierung bedeutet, ein Merkmal (Alter, Geschlecht, Ethnie, Emotion) aus einem biometrischen Merkmal abzuleiten. Wenn eine der beiden Antworten Ja lautet, fällt der Einsatz unter das Hochrisiko- oder Verbotsregime der KI-Verordnung, je nach Anwendung.

Infografik eines Datenschutz-Nährwertlabels für Sensoren mit Abschnitten zu gesammelten Daten, Datenweitergabe und

Ariadne. Nein. Die Plattform identifiziert keine Einzelpersonen, gleicht keine Gesichter ab, erstellt keine Gesichts-Templates und leitet keine demografischen oder emotionalen Merkmale ab. Es gibt keine Kameraeingabe, aus der irgendetwas davon gebaut werden könnte, sodass die Antwort strukturell und nicht konfigurierbar ist.

9. Kann ein Besucher über Besuche, Kameras oder Zonen hinweg wiedererkannt werden?

Wiedererkennung ist die Frage, die Apples Label mit "mit Ihnen verknüpfte Daten" erfasst. Ein Zähler, der einen stabilen Token (eine gehashte MAC, eine Körperform-Signatur, ein Verhaltens-Template) für denselben Besucher über Tage hinweg bildet, erzeugt identifizierte Daten, auch wenn er nie einen Namen sieht. Der Anbieter sollte klar sagen, ob das passiert.

Ariadne. Nein. Die patentierte Signalerfassung speichert die MAC-Adresse standardmäßig nicht, sodass es kein stabiles Per-Gerät-Token gibt, um Besuche miteinander zu verknüpfen. Der Time-of-Flight-Strom erzeugt Geometrie-Ereignisse an Schwellen, keine Körperform-Templates. Hybrid Fusion fügt eine Trajektorie innerhalb eines einzelnen Besuchs zusammen und trägt sie nicht in andere Besuche hinüber.

10. Was ist die Rechtsgrundlage für die Verarbeitung, und wer ist der Verantwortliche?

Artikel 6 DSGVO verlangt eine Rechtsgrundlage. In einem Besucheranalyse-Einsatz ist der Verantwortliche üblicherweise der Betreiber (der Händler, das Center, das Museum oder die Stadt) und der Anbieter ist der Auftragsverarbeiter. Das Label sollte die Rollen ausdrücklich machen und die Grundlage benennen, auf die der Verantwortliche sich voraussichtlich stützen wird (berechtigte Interessen mit einem Abwägungstest in den meisten Zählungs-Deployments; Einwilligung in engeren Abläufen).

Ariadne. Der Betreiber ist der Verantwortliche und Ariadne ist der Auftragsverarbeiter. Die Standard-Auftragsverarbeiterbedingungen stehen im Auftragsverarbeitungsvertrag. Weil im Zählungsablauf standardmäßig keine personenbezogenen Daten (PII) erfasst werden, stützt sich der Betreiber für die Analytik typischerweise auf berechtigte Interessen, gestützt durch Transparenzhinweise am Standort. Jeder Opt-in-Identifikator (zum Beispiel eine Anmeldung im Gäste-WLAN) sitzt unter einer separaten Einwilligungsgrundlage, die der Betreiber führt.

11. Wie werden Besucher informiert, und wie können sie ihre Rechte ausüben?

Artikel 13 und 14 DSGVO verlangen transparente Informationen am Erhebungspunkt. Die Leitlinien des Europäischen Datenschutzausschusses zu Datenschutz durch Technikgestaltung empfehlen Beschilderung und eine geschichtete Datenschutzerklärung für jede Sensorik im Gebäude. Der Anbieter sollte beschreiben, welche Materialien er dem Betreiber bereitstellt (Beschilderungsvorlagen, Webtexte, mehrsprachige Versionen) und wie Anträge betroffener Personen behandelt werden.

Ariadne. Ariadne stellt Beschilderungs- und Hinweisvorlagen bereit, die der Betreiber an den Eingängen des Standorts in den Sprachen des Standorts ausspielt und die die kamerafreie, identifikatorfreie Natur der Messung beschreiben. Der Betreiber bearbeitet direkte Rechte-Anträge, mit Plattformunterstützung, um etwaige Opt-in-Identifikator-Datensätze zu finden und zu löschen.

12. Wie sieht die 12-Monats-Roadmap zur Datenerhebung aus?

Ein Label, das heute sauber ist, ist nächstes Jahr vielleicht nicht mehr sauber. Der Anbieter sollte Funktionen auf der öffentlichen 12-Monats-Roadmap offenlegen, die eine der obigen Antworten verändern würden: ein optionales Gesichtsmodul, ein demografisches Add-on, eine identifikatorbasierte Funktion. Eine Roadmap ohne Änderungen ist selbst eine aussagekräftige Offenlegung.

Ariadne. Auf der öffentlichen 12-Monats-Roadmap gibt es kein Gesichtsmodul, keine demografische Kategorisierung und keine identifikatorbasierte Zählfunktion. Die nicht-biometrische, PII-freie Haltung ist der dauerhafte Gestaltungspunkt, keine temporäre Konfiguration.

Wie Ariadne die zugrundeliegende Messung handhabt

Die Antworten oben hängen an einer Messarchitektur, die kamerafrei durch Konstruktion ist, nicht durch Konfiguration. Es lohnt sich, diese Architektur in einem Absatz festzuhalten, damit das Label eine strukturelle Referenz hat.

Ariadne misst dies mit Hybrid Fusion, der patentierten kamerafreien Methode. Time-of-Flight-Tiefensensorik zählt an den Eingängen jeden Besucher und erfasst Geometrie statt Bilder, während die patentierte Signalerfassung die Bewegung im Innenraum verfolgt und die Signale erkennt, die ein Telefon aussendet, selbst im Flugmodus. Der Sensor streamt beide Datenströme an Ariadne, wo Hybrid Fusion sie zu einer Trajektorie pro Besuch zusammenführt und Zählwerte, Verweildauer und Wege berechnet. Die Datenströme tragen keine Identifikatoren: keine MAC-Adresse, keine Geräte-ID, keine biometrischen Daten, und es ist keine Kamera beteiligt. Identifikatoren werden nur gespeichert, wenn ein Besucher ausdrücklich zustimmt, was die Methode datenschutzfreundlich und außerhalb des biometrischen Bereichs hält.

Die Architektur ist der Grund, warum die Antworten auf das Datenschutzlabel so ausfallen, wie sie ausfallen. Time-of-Flight liefert Geometrie zurück, keine Bildpunkte einer Person, sodass es kein Bild gibt, das wiedererkannt werden könnte. Die patentierte Signalerfassung liest Funkpakete und verwirft die Adresse, die mit ihnen kam, sodass im Datensatz keine Geräte-Identifikation steckt. Die Fusion geschieht zentral in der Ariadne-Plattform, nicht im Sensor selbst, was den Verarbeitungspfad und die Auditspur an einem Ort hält. Das System wird im Detail auf der Seite Wie es funktioniert beschrieben, und die Datenverarbeitung sitzt in der Datenschutzerklärung. Die Hardware-Aufstellung findet sich auf der Ariadne-Sensorseite, und die Lösungsoberfläche ist die Personenzählungsseite, wobei die Analytik-Plattform selbst unter Ariadne Analytics dokumentiert ist.

Wie man einen Anbieter gegen das Label bewertet

Sobald der Fragebogen ausgefüllt ist, ist die Bewertung unkompliziert. Drei Muster sind in jeder Prüfung wert, hervorgehoben zu werden.

  1. Strukturell schlägt konfigurierbar. Wenn die saubere Antwort eines Anbieters auf Frage 2 (kein Bild erfasst) oder Frage 8 (keine biometrische Verarbeitung) von einer Einstellung abhängt, die ein Administrator ändern könnte, hängt die Einstufung des Einsatzes von der Konfigurationsprüfung ab. Eine strukturelle Antwort (die Hardware enthält keine Kamera) nimmt diese laufende Last weg.
  2. Der Standardzustand zählt mehr als die maximale Fähigkeit. Frage 3 (standardmäßig erfasste Identifikatoren) und Frage 6 (Aufbewahrung) sind die Stellen, an denen viele Anbieter einen Bestcase beschreiben, der nicht der ausgelieferte Standard ist. Heften Sie die Antwort an die Konfiguration, die der Betreiber am ersten Tag tatsächlich fahren wird.
  3. Die Roadmap gehört zum Label. Frage 12 ist der Unterschied zwischen einem Anbieter, der heute zufällig sauber ist, und einem Anbieter, dessen Produktstrategie ihn sauber hält. Letzteres ist das, was ein langlebiger Vertrag braucht.

Was nicht auf dem Label steht und warum

Zwei Fragen sitzen bewusst nicht auf dem Datenschutzlabel, weil sie eher Genauigkeits- und Sicherheitsfragen sind als Datenschutzfragen, und ihre Vermischung die Offenlegung schwächt.

  • Genauigkeit. Wie genau der Zähler ist, wie er sich in Gruppen verhält und wie er Sonderfälle behandelt (Kinder, Rollstühle, Warteschlangen), gehört in eine separate Genauigkeitsoffenlegung. Sie mit dem Datenschutzlabel zu mischen, lädt zur Antwort "wir sind 99 Prozent genau" ein, was keine Datenschutzeigenschaft ist.
  • Sicherheit. Netzwerksicherheit, Schlüsselverwaltung und Incident Response gehören in eine Sicherheitsprüfung. Das Datenschutzlabel berührt Sicherheit bei den Zugriffskontrollen (Frage 7), sollte aber nicht versuchen, eine ISO-27001- oder SOC-2-Prüfung zu ersetzen.

FAQ

Ist dieses Label ein Ariadne-Framework?

Nein. Die 12 Fragen sind aus öffentlichen Privacy-by-Design-Prinzipien, den App-Privacy- und Datensicherheits-Label-Mustern von Apple und Google sowie aus Leitlinien des Europäischen Datenschutzausschusses gezogen. Jedes Beschaffungsteam kann sie mit jedem Anbieter verwenden. Ariadne wendet sie in diesem Artikel auf sich selbst an, um zu zeigen, wie eine kamerafreie, identifikatorfreie Gestaltung auf jede einzelne antwortet.

Woher kommt der Privacy-by-Design-Rahmen?

Privacy by Design wurde in den 1990er Jahren von Ann Cavoukian am Information and Privacy Commissioner of Ontario als sieben Prinzipien aufgestellt und als regulatorische Erwartung in Artikel 25 DSGVO (Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen) übernommen. Der Europäische Datenschutzausschuss hat Leitlinien zur Auslegung dieses Artikels herausgegeben, die einen Großteil des Fragebogens hier untermauern.

Nutzt das System Kameras?

Nein. Ariadne zählt mit Hybrid Fusion: Time-of-Flight-Tiefensensorik plus patentierte Signalerfassung, nie mit Kameras. Time-of-Flight erfasst Geometrie statt Bilder, und die Signalerfassung erfasst standardmäßig keine MAC-Adresse, sodass die Messung ohne Video, ohne Gesichter und ohne biometrische Daten auskommt.

Was, wenn mein Einsatz Identifikatoren für eine bestimmte Funktion braucht?

Identifikatoren werden über einen Opt-in-Pfad unterstützt, zum Beispiel eine Gäste-WLAN-Anmeldung, bei der der Besucher wissentlich eine Anmeldeinformation bereitstellt. Dieser Ablauf hat seine eigene Einwilligungsgrundlage und seine eigenen Aufbewahrungsregeln und ist vom standardmäßigen Zählablauf getrennt. Der Betreiber kann darauf verzichten, ihn anzubieten.

Ist dieser Artikel eine Rechtsberatung?

Infografik einer Checkliste für Datenschutz-Nährwertlabels bei Sensoren mit Symbolen zu Datentypen, Compliance und schneller

Nein. Der Artikel ist nur informativ. Klären Sie Einstufung, Rechtsgrundlage und Aufbewahrung mit Ihrem Datenschutzbeauftragten und Ihrem Rechtsbeistand, die die Analyse an Ihren Rechtsraum und Ihre konkrete Konfiguration anpassen.

Verwandte Artikel

Mehr zu Personenzählung:

Personenzählungs-Plattformseite

Sprechen Sie mit uns

Zwei Fragen, zwanzig Minuten, ein echter Walkthrough Ihrer Standortfrequenz.

Was Sie erwartet

  • 20-minütiger Screen-Share, durchgegangen auf Ihrer Standortkarte
  • Live-Walkthrough der Hybrid-Fusion-Sensor-Outputs
  • Wo Ariadne passt und wo nicht

Andere Frage?

Senden Sie uns eine Nachricht

Alles, was kein Verkaufsgespräch ist. Wir leiten es an die richtige Person weiter und melden uns innerhalb eines Werktags.