AR-Brillen mit integrierter KI sind mobile Überwachungssysteme. Diese Feststellung klingt drastisch, beschreibt aber die technische Realität präzise.
Problem: Permanente Datenerfassung trifft auf unklare Rechtslage
Ein AR-Headset mit KI-gestützter Objekterkennung erfasst kontinuierlich die Umgebung. Kameras zeichnen auf, Sensoren tracken Bewegungen, Mikrofone nehmen Audio auf. Die dabei generierten Daten haben erhebliche datenschutzrechtliche Implikationen.
1. Biometrische Daten werden unbeabsichtigt erfasst
Computer-Vision-Systeme erkennen nicht nur Objekte. Gesichter von Kollegen erscheinen in jedem Frame. Moderne KI-Modelle extrahieren biometrische Merkmale automatisch – auch wenn die Anwendung das nicht intendiert. Nach DSGVO Artikel 9 sind biometrische Daten besonders geschützt.
Das Problem: Die meisten AR-Systeme speichern Rohdaten für Debugging und Modellverbesserung. Diese Speicherung erfasst Gesichter, Gangarten, Verhaltensweisen. Rechtliche Basis? Oft nicht vorhanden. Betriebsratszustimmung? Wurde nicht eingeholt. Informationspflicht gegenüber Betroffenen? Nicht erfüllt.
2. Verhaltensanalyse überschreitet Zweckbindung
KI-Systeme analysieren Arbeitsabläufe zur Prozessoptimierung. Dabei entstehen detaillierte Bewegungsprofile: Wie lange steht ein Mitarbeiter an welcher Station? Wie oft werden Pausen gemacht? Wie schnell arbeitet Person A verglichen mit Person B?
Diese Daten wurden zur Qualitätssicherung erhoben. Die Verwendung für Leistungsbeurteilungen oder Personalentscheidungen ist datenschutzrechtlich problematisch. Die Zweckbindung wird verletzt. Technisch ist die Trennung schwierig – die Daten existieren bereits.
3. Cloud-Processing verschiebt Datenhoheit
Rechenintensive KI-Tasks laufen auf Cloud-Servern. AR-Headsets übertragen Video-Streams an AWS, Azure oder Google Cloud. Serverstandorte? Oft USA. Datenschutzabkommen? Privacy Shield ist ungültig, Standard Contractual Clauses werden gerichtlich angezweifert.
Unternehmen verlieren physische Kontrolle über sensible Produktionsdaten. Patentrelevante Verfahren, Geschäftsgeheimnisse, Personendaten – alles fließt durch externe Infrastruktur. Verschlüsselung hilft begrenzt, da Server für Verarbeitung entschlüsseln müssen.
4. Persistente Speicherung ohne Löschkonzept
Trainingsdaten für KI-Modelle werden langfristig gespeichert. Datensätze wachsen kontinuierlich – mehr Daten verbessern Modelle. Aber: DSGVO fordert Speicherbegrenzung und Löschfristen.
Praktisches Dilemma: Einzelne Datenpunkte aus Trainingsdatensätzen zu entfernen, degradiert Modellqualität. Komplette Datensätze nach festen Fristen zu löschen, erfordert regelmäßiges Retraining mit neuen Daten. Die meisten Organisationen haben keine Prozesse für systematische Datenlöschung in ML-Pipelines.
Lösung: Privacy by Design und rechtliche Vorabklärung
Implementieren Sie Edge-Processing wo möglich. Anonymisieren Sie Daten vor Cloud-Upload. Erstellen Sie DSGVO-konforme Dokumentation mit Datenschutzbeauftragten. Holen Sie Betriebsratszustimmung vor Rollout ein. Entwickeln Sie Löschkonzepte für Trainingsdaten.
Ergebnis: Rechtssichere Systeme statt Compliance-Risiken
Datenschutzverstöße kosten 2-4% des Jahresumsatzes gemäß DSGVO. Die präventive Klärung verhindert sechsstellige Bußgelder und Reputationsschäden. Projekte ohne Datenschutzkonzept sollten nicht starten.