29.08.2022 — Online-Redaktion Verlag Dashöfer. Quelle: Verlag Dashöfer GmbH.
Dieser Beitrag fasst zusammen, was Sie über den Datenschutz in Virtual-Reality-Anwendungen wissen müssen – und woran Sie einen Anbieter erkennen, der Datenschutz ernst nimmt!
Hinweis: Dieser Beitrag ist keine verbindliche rechtliche Auskunft. Bitte verstehen Sie ihn nur als Orientierungshilfe, was Sie beim Datenschutz im Virtual-Reality-Training beachten sollten.
Brille auf, Anwendung starten, loslegen – und so richtig nachhaltig trainieren. Das ist die Vorstellung, die wir von Virtual-Reality-Training haben. Und sie entspricht auch der Realität! Doch damit auch im Hintergrund alles passt, müssen Unternehmen beim Einsatz von Virtual-Reality-Anwendungen ein ganz besonderes Augenmerk auf den Datenschutz legen.
Der Grund: VR- und AR-Anwendungen sammeln eine Vielzahl von Daten. Hier mal einige Beispiele, was eine Software je nach Einsatzbereich aufzeichnet, verarbeitet und speichert.
Wenn all diese Daten in die Hände von Unbefugten oder der Konkurrenz gelangen, wäre das fatal. Für das Unternehmen einerseits, das so interne Informationen preisgibt. Andererseits aber auch für den betreffenden User oder die Userin (oder, im Fall der Klinik, des Patienten/der Patientin), da so personenbezogene Daten in falsche Finger geraten.
Schwierig ist beim Datenschutz in Virtual Reality, dass sich die Daten nur schwer anonymisieren lassen. Schließlich geht es hier nicht um Klicks oder Buchstaben – sondern um Bewegungs-, Verhaltens- und Sprachmuster, die von Mensch zu Mensch verschieden sind.
Trotzdem gibt es im europäischen Datenschutzrecht noch keine konkrete Vorgabe, wie der Datenschutz in VR/AR geregelt wird. Wie geht’s jetzt also weiter?
Klarheit bekommen wir, wenn wir uns dem Virtual-Reality-Datenschutz mit der DSGVO in der Hand annähern. Viele Datenschutzbeauftragte fordern nämlich, die virtuell erhobenen Daten ganz klassisch als personenbezogene Daten einzuordnen. Das ergibt Sinn – denn Artikel 4 der DSGVO definiert personenbezogene Daten so:
„alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person […] beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann;“
Sie fahren also gut, wenn Sie sich beim Datenschutz in Ihren VR-/AR-Anwendungen an die Grundsätze der DSGVO und anderer Datenschutzrichtlinien halten. In der Regel entspricht das dem, worauf Sie sowieso schon bei der Datenverarbeitung in Ihrem Unternehmen achten müssen:
Achtung: Viele Unternehmen setzen bei VR-Software auf externe Dienstleister. Die Datenschutz-Pflicht verschiebt sich dann aber nicht automatisch auf den Partner. Sie müssen weiterhin prüfen bzw. sicherstellen, dass der Dienstleister die geltenden Datenschutz-Vorgaben umsetzt. Mehr dazu gleich.
Bei VR EasySpeech sind die Dienstleister beispielsweise auf Geheimhaltung und den Datenschutz verpflichtet. Im Falle von Auftragsverarbeitungen sind entsprechende Vereinbarungen abgeschlossen, um größtmöglichen Datenschutz und die Transparenz der Verarbeitung in unserer VR-Software sicherstellen zu können.
Abschließend möchten wir Ihnen noch einige Fragen mit auf den Weg geben. Mit diesen können Sie prüfen, wie ernst es der Anbieter Ihrer Virtual-Reality-Lösung mit Datenschutz meint – und ob Ihre Daten dort in guten Händen sind!
Server in Deutschland selbst oder in der EU sind datenschutztechnisch die beste Wahl. Länder außerhalb der EU – z.B. die USA – haben meist weniger strenge Datenschutzgesetze. Als Datenschutzverantwortliche müssten Sie dann besonders gut aufpassen, dass beim Datentransfer europäische Standards eingehalten werden.
➜ Die Server von VR Easy Speech stehen in Deutschland.
Die ISO/IEC 22237 bzw. EN 50600 gewährleistet die technische Seite des Datenschutzes in Ihrer Virtual-Reality-Anwendung. Nach diesen Normen zertifizierte Rechenzentren können unter anderem Stromausfälle überbrücken. Das schützt Sie bzw. Ihren Anbieter vor Datenverlusten.
➜ Wir speichern die Daten unserer Anwendung in ISO-zertifizierten Rechenzentren.
Nach ISO 27001 (bzw. ISO/IEC 27001:2013) zertifizierte Unternehmen treffen besondere Maßnahmen, um die Daten ihrer Kunden vor Cyberangriffen und Datendiebstahl zu schützen.
➜ Wir bereiten gerade die Zertifizierung nach ISO 27001 für unsere VR-Software vor! Bereits bei der Planung und auch in der Umsetzung sowie dem Betrieb unserer Services haben wir bei VR EasySpeech Sicherheitsaspekte im Rahmen der Security und Privacy by Design berücksichtigt.
Betroffene haben nach der DSGVO das „Recht auf Vergessenwerden“, können also das Löschen ihrer Daten einfordern. Unternehmen müssen die jeweiligen Daten dann unverzüglich löschen – sonst droht ein Bußgeld.
➜ Nutzerinnen und Nutzer von VR EasySpeech können über das Profil jederzeit einzelne oder sämtliche Daten unwiderruflich löschen.
Das HTTPS-Protokoll (oder SSL-Zertifikat) ist heute der Standard für die sichere Übermittlung aller Daten, die die Userin oder der User über die Software teilt.
➜ Das setzen wir natürlich um!
Wenn von Datenverarbeitung die Rede ist, schrillen bei vielen Unternehmen die Alarmglocken. Verständlich – niemand will schließlich ein Bußgeld kassieren.
Dennoch sollten Sie das nicht als Anlass nehmen, sich gegen VR-Software zu entscheiden. Digitale Weiterbildungstools sind essentiell, um Ihr Unternehmen auf die Zukunft vorzubereiten. Doch in der digitalisierten Welt geht es nicht ohne Datenverarbeitung. Deshalb aber diese Möglichkeit streichen und auf die gute alte Folienvorlesung setzen? Nicht nötig!
Halten Sie die Augen nach einem vertrauenswürdigen Anbieter offen und prüfen Sie – am besten in Absprache mit Datenschutzbeauftragten – genau, mit welchen Maßnahmen Sie die Anwendung rundum sicher gestalten können. Denn mit gutem Datenschutz ist ein Virtual-Reality-Training nicht nur wirkungsvoll, sondern auch sicherer für alle Beteiligten!
Ist Virtual Reality Training etwas für Sie oder Ihr Unternehmen? Gerne beraten wir dabei, wie VR EasySpeech nach den eigenen Bedürfnissen eingesetzt werden kann – kostenlos und unverbindlich.
Bild: Pixabay (Pexels, Pexels Lizenz)