Datenschutz bei Virtual Reality: Tipps für den DSGVO-konformen Einsatz

Dieser Beitrag fasst zusammen, was Sie über den Datenschutz in Virtual-Reality-Anwendungen wissen müssen – und woran Sie einen Anbieter erkennen, der Datenschutz ernst nimmt!

Hinweis: Dieser Beitrag ist keine verbindliche rechtliche Auskunft. Bitte verstehen Sie ihn nur als Orientierungshilfe, was Sie beim Datenschutz im Virtual-Reality-Training beachten sollten.

Welche Bedenken gibt es beim Datenschutz in VR- und AR-Anwendungen?

Brille auf, Anwendung starten, loslegen – und so richtig nachhaltig trainieren. Das ist die Vorstellung, die wir von Virtual-Reality-Training haben. Und sie entspricht auch der Realität! Doch damit auch im Hintergrund alles passt, müssen Unternehmen beim Einsatz von Virtual-Reality-Anwendungen ein ganz besonderes Augenmerk auf den Datenschutz legen.

Der Grund: VR- und AR-Anwendungen sammeln eine Vielzahl von Daten. Hier mal einige Beispiele, was eine Software je nach Einsatzbereich aufzeichnet, verarbeitet und speichert.

• Ein Unternehmen nutzt VR, um Mitarbeitende in den Umgang mit einer neuen, eigens entwickelten Maschine einzuführen. Diese Maschine soll den Wettbewerbsvorsprung ausbauen. In der VR-Anwendung sind der Aufbau der Maschine, die Funktion sowie die möglichen Handgriffe hinterlegt. Die Software analysiert darüber hinaus Handbewegungen und Blickrichtung des Users.
• Ein Krankenhaus setzt eine AR-Brille ein, um Patientendaten auf einen Blick zur Verfügung zu stellen. Mittels Raumtracking, GPS oder QR-Codes am Bett erkennt die Brille, vor welcher Patientin/welchem Patienten die Pflegekraft gerade steht und blendet alle relevanten Gesundheitsinformationen ein.
• Ein drittes Unternehmen nutzt Virtual Reality, damit die Mitarbeitenden ihre Rhetorik ausbauen und wichtige Präsentationen im Vorfeld trainieren können. Mitarbeiter laden ihre Präsentationen in die VR-Umgebung hoch. Die Software zeichnet die Blickbewegung auf, analysiert aber auch den gesprochenen Text selbst.

Wenn all diese Daten in die Hände von Unbefugten oder der Konkurrenz gelangen, wäre das fatal. Für das Unternehmen einerseits, das so interne Informationen preisgibt. Andererseits aber auch für den betreffenden User oder die Userin (oder, im Fall der Klinik, des Patienten/der Patientin), da so personenbezogene Daten in falsche Finger geraten.

Schwierig ist beim Datenschutz in Virtual Reality, dass sich die Daten nur schwer anonymisieren lassen. Schließlich geht es hier nicht um Klicks oder Buchstaben – sondern um Bewegungs-, Verhaltens- und Sprachmuster, die von Mensch zu Mensch verschieden sind.

Den Datenschutz für Virtual-Reality-Anwendungen sollten Sie wie den grundsätzlichen Datenschutz handhaben

Trotzdem gibt es im europäischen Datenschutzrecht noch keine konkrete Vorgabe, wie der Datenschutz in VR/AR geregelt wird. Wie geht’s jetzt also weiter?

Klarheit bekommen wir, wenn wir uns dem Virtual-Reality-Datenschutz mit der DSGVO in der Hand annähern. Viele Datenschutzbeauftragte fordern nämlich, die virtuell erhobenen Daten ganz klassisch als personenbezogene Daten einzuordnen. Das ergibt Sinn – denn Artikel 4 der DSGVO definiert personenbezogene Daten so:

„alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person […] beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann;“

Sie fahren also gut, wenn Sie sich beim Datenschutz in Ihren VR-/AR-Anwendungen an die Grundsätze der DSGVO und anderer Datenschutzrichtlinien halten. In der Regel entspricht das dem, worauf Sie sowieso schon bei der Datenverarbeitung in Ihrem Unternehmen achten müssen:

• Einhaltung der Datenschutz-Grundsätze (Rechtmäßigkeit, Transparenz, Zweckbindung, Datenminimierung, Rechenschaftspflicht, Speicherbegrenzung etc.).
• Schutz aller personenbezogenen Daten der Userinnen und User Ihrer Anwendung – das können Mitarbeitende sein, aber auch Interessenten, die Ihre Software an einem Messestand ausprobieren.
• Aktive, informierte Einwilligung zur Datenerhebung.
• Belehrung über die Betroffenenrechte.
• Regelung der Datenweitergabe an Dritte.

Achtung: Viele Unternehmen setzen bei VR-Software auf externe Dienstleister. Die Datenschutz-Pflicht verschiebt sich dann aber nicht automatisch auf den Partner. Sie müssen weiterhin prüfen bzw. sicherstellen, dass der Dienstleister die geltenden Datenschutz-Vorgaben umsetzt. Mehr dazu gleich.

Bei VR EasySpeech sind die Dienstleister beispielsweise auf Geheimhaltung und den Datenschutz verpflichtet. Im Falle von Auftragsverarbeitungen sind entsprechende Vereinbarungen abgeschlossen, um größtmöglichen Datenschutz und die Transparenz der Verarbeitung in unserer VR-Software sicherstellen zu können.

Einige Fragen, um das Datenschutz-Level Ihres Virtual-Reality-Anbieters zu prüfen

Abschließend möchten wir Ihnen noch einige Fragen mit auf den Weg geben. Mit diesen können Sie prüfen, wie ernst es der Anbieter Ihrer Virtual-Reality-Lösung mit Datenschutz meint – und ob Ihre Daten dort in guten Händen sind!

Wo stehen die Server Ihres Anbieters?

Server in Deutschland selbst oder in der EU sind datenschutztechnisch die beste Wahl. Länder außerhalb der EU – z.B. die USA – haben meist weniger strenge Datenschutzgesetze. Als Datenschutzverantwortliche müssten Sie dann besonders gut aufpassen, dass beim Datentransfer europäische Standards eingehalten werden.

➜ Die Server von VR Easy Speech stehen in Deutschland.

Sind die Server Teil eines ISO-zertifizierten Rechenzentrums?

Die ISO/IEC 22237 bzw. EN 50600 gewährleistet die technische Seite des Datenschutzes in Ihrer Virtual-Reality-Anwendung. Nach diesen Normen zertifizierte Rechenzentren können unter anderem Stromausfälle überbrücken. Das schützt Sie bzw. Ihren Anbieter vor Datenverlusten.

➜ Wir speichern die Daten unserer Anwendung in ISO-zertifizierten Rechenzentren.

Ist der Software-Anbieter selbst ISO-zertifiziert?

Nach ISO 27001 (bzw. ISO/IEC 27001:2013) zertifizierte Unternehmen treffen besondere Maßnahmen, um die Daten ihrer Kunden vor Cyberangriffen und Datendiebstahl zu schützen.

➜ Wir bereiten gerade die Zertifizierung nach ISO 27001 für unsere VR-Software vor! Bereits bei der Planung und auch in der Umsetzung sowie dem Betrieb unserer Services haben wir bei VR EasySpeech Sicherheitsaspekte im Rahmen der Security und Privacy by Design berücksichtigt.

Gibt es Löschkonzepte?

Betroffene haben nach der DSGVO das „Recht auf Vergessenwerden“, können also das Löschen ihrer Daten einfordern. Unternehmen müssen die jeweiligen Daten dann unverzüglich löschen – sonst droht ein Bußgeld.

➜ Nutzerinnen und Nutzer von VR EasySpeech können über das Profil jederzeit einzelne oder sämtliche Daten unwiderruflich löschen.

Ist die Datenübertragung HTTPS-verschlüsselt?

Das HTTPS-Protokoll (oder SSL-Zertifikat) ist heute der Standard für die sichere Übermittlung aller Daten, die die Userin oder der User über die Software teilt.

➜ Das setzen wir natürlich um!

Die Datenverarbeitung ist kein Ausschlusskriterium für VR-Software!

Wenn von Datenverarbeitung die Rede ist, schrillen bei vielen Unternehmen die Alarmglocken. Verständlich – niemand will schließlich ein Bußgeld kassieren.

Dennoch sollten Sie das nicht als Anlass nehmen, sich gegen VR-Software zu entscheiden. Digitale Weiterbildungstools sind essentiell, um Ihr Unternehmen auf die Zukunft vorzubereiten. Doch in der digitalisierten Welt geht es nicht ohne Datenverarbeitung. Deshalb aber diese Möglichkeit streichen und auf die gute alte Folienvorlesung setzen? Nicht nötig!

Halten Sie die Augen nach einem vertrauenswürdigen Anbieter offen und prüfen Sie – am besten in Absprache mit Datenschutzbeauftragten – genau, mit welchen Maßnahmen Sie die Anwendung rundum sicher gestalten können. Denn mit gutem Datenschutz ist ein Virtual-Reality-Training nicht nur wirkungsvoll, sondern auch sicherer für alle Beteiligten!

Ist Virtual Reality Training etwas für Sie oder Ihr Unternehmen? Gerne beraten wir dabei, wie VR EasySpeech nach den eigenen Bedürfnissen eingesetzt werden kann – kostenlos und unverbindlich.