Augmented Privacy: Fortschritt mit Verantwortung

25.10.2021



Dieser Beitrag ist erschienen im Ergon Magazin SMART insights 2021. Magazin kostenlos bestellen ->


Die Pandemie hat unsere Kommunikation und das gemeinsame Arbeiten dauerhaft verändert. Dadurch gefördert, hat Augmented Reality (AR) von einem grossen Schub profitiert und die Marktreife erlaubt vielfältige Einsatzzwecke. Die dafür notwendigen Technologien kommen jedoch in Konflikt mit wichtigen Aspekten, insbesondere dem Datenschutz. Es ist in der Verantwortung des AR-einsetzenden Unternehmens, diese Risiken frühzeitig zu behandeln.

Im vergangenen Jahr haben sich die Zusammenarbeit und die sozialen Kontakte zunehmend in den virtuellen Raum verschoben. Durch das verteilte Arbeiten erleben digitale Kommunikationslösungen, Videokonferenzen und auch Projekte mit Augmented Reality einen Schub.

Die Angebote der Marktführer wie Microsoft, Apple, Google, Facebook und Amazon rücken die kommerzielle Nutzung in den Vordergrund und lassen auf das riesige Marktpotenzial schliessen. Neue AR-Anwendungen entstehen rasend schnell und verbessern oder vereinfachen bestehende Lösungen. Spannende Projekte werden umgesetzt und finden hohe Akzeptanz. Analyst:innen gehen sogar von einer jährlichen Wachstumsrate von 100% für Dienste aus, die sich AR zunutze machen.

Unbestritten bietet Augmented Reality viele Vorteile für Unternehmen und Privatanwender:innen. Leider bringen die neuen Technologien aber auch Risiken und potenzielle Verbindlichkeiten mit sich. Sie verwenden sensitive Personendaten, die einer Vielzahl von Gesetzen unterliegen können und Fragen zu Datenschutz und Datensicherheit aufwerfen. Es liegt in der Verantwortung der Unternehmen, dies frühzeitig in ihre digitale Strategie einzubinden.

Das Spiel mit den Daten

Durch den Einsatz von AR wird Nutzer: innen der Zugang zu digitalen Inhalten von Produkten und Dienstleistungen in vielen Branchen stark vereinfacht: Beispielsweise durch Detailinformationen zu Objekten in der Umgebung wie bei virtuellen Fremdenführer:innen in der Touristik, durch schnellere Positionierung von Konstruktionsteilen in der Industrie oder auch mittels Projektion von Computertomografiemodellen während Operationen.

Informationen von vielfältigen Sensoren fliessen in die Anreicherung der Realität mit ein. Neben Positionsdaten und Videoaufnahmen kommen auch biometrische Daten und andere persönliche Informationen zum Tragen. Deren Umfang und Verfügbarkeit bestimmen die Genauigkeit der virtuellen Welt und damit den Nutzen der Lösung.

In unserer Gesellschaft steigt das Datenbewusstsein zunehmend. Zudem reift die Erkenntnis, dass vermeintlich persönliche Situationen oder Konversationen in Wirklichkeit gar nicht so privat sind wie erwartet. Dies fördert Skepsis. Eine erste Begeisterungsphase kann abrupt beendet und die weitere Adaption der neuen Möglichkeiten gehemmt werden. Es entsteht Unsicherheit über die Verwendung anfallender Daten und die Zuverlässigkeit des Schutzes. Insbesondere wird unkontrollierte, missbräuchliche Nutzung in einem anderen, unbewilligten Kontext befürchtet. Oftmals werden auch Informationen über unbeteiligte Dritte erfasst, zum Beispiel, wenn in Bildaufnahmen fremde Gesichter erkennbar werden. Nutzer:innen möchten sich nicht plötzlich mit Verantwortlichkeitsklagen oder Schadensersatzforderungen konfrontiert sehen.

Urs Zurbuchen, Senior Security Consultant Airlock, Ergon

«Marktbeobachtung und stetige Anpassung des Umgangs mit Personendaten sichern die Profitabilität der Lösungen langfristig.»

Urs Zurbuchen Senior Security Consultant Airlock, Ergon

Dieser Privacy-Aspekt des Datenschutzes ist nicht neu. Im Gegenteil, sensitive Daten werden täglich bewusst und unbewusst bei Social Media, Wearables, Smartphones, Internet-of-Things-Lösungen oder Smart Homes verarbeitet und gespeichert. Aus solchen Sensordaten, Bildern und Videos lesen Machine-Learning-Algorithmen erkennbare Muster und treffen Annahmen und Entscheidungen. Viele haben sich mittlerweile an diesen Umstand gewöhnt und sind bereit, mögliche Risiken einzugehen, um im Gegenzug mehr Komfort zu erhalten: Die Software erleichtert schliesslich ihre Aufgabe. Der Ruf eines Unternehmens spielt hierbei eine wichtige Rolle. Je ethischer und glaubwürdiger das Firmenversprechen, umso grösser sind Bereitschaft und Vertrauen, persönliche Informationen zu teilen.

Auch bei AR sind viele Funktionen ohne solche Personendaten nicht umsetzbar. Was diese Lösungen aber einzigartig macht, ist die Kombination aller Daten in einer einzigen Plattform. Diese Aggregation mündet in höherer Genauigkeit und Qualität der gesammelten Daten, zum Beispiel für Gesichtserkennung oder Positionsverfolgung. Im Gegensatz zu anderen Szenarien zeichnen die Sensoren bei AR konstant und in Echtzeit auf und nicht nur punktuell in vorbestimmten Situationen. Weil dabei nicht nur Reaktionen und Aktionen der Nutzer:innen erfasst, sondern auch die auslösenden Situationen und der Kontext festgehalten werden, lassen sich sogar Rückschlüsse auf unbewusstes Verhalten oder passive Handlungen ziehen.

Nicht nur eine Frage der Ethik

Setzt ein Unternehmen AR zur Optimierung der eigenen Prozesse oder als Teil seines Marktangebots ein, nimmt die Pflicht für eine umsichtige Datenverantwortung zu. Wichtig ist, transparent zu kommunizieren, wie der Schutz und die Verwendung von gesammelten Daten gehandhabt werden. So können Befürchtungen reduziert und Vertrauen aufgebaut werden.

Verlässliche und vor allem auch in fernerer Zukunft noch gültige Leitplanken sind dafür nicht auszumachen. Regulatorien und Sicherheitsstandards sind je nach Region in unterschiedlichen Entwicklungsstadien und Ausprägungen präsent. Die weiter steigende Sensibilität für Datenschutz lässt darauf schliessen, dass die öffentliche Meinung noch nicht gefestigt ist. Was heute akzeptiert wird, kann morgen in einem «Shit-storm» enden.

Selbstregulierungsbestrebungen von Organisationen wie XR Safety Initiative (XRSI) oder OpenARCloud fördern die Aufklärung und bieten Best Practices. Ein bewusster und proaktiver Umgang mit Fragen des Schutzes persönlicher Daten ist dabei zentral für die nachhaltige Wirtschaftlichkeit von AR-Lösungen. Es geht darum, die Innovation zuzulassen, aber einen drohenden Reputationsschaden abzuwenden und die Investitionen respektive den Profit daraus zu sichern.

Es empfiehlt sich, als Unternehmen für AR-Projekte auf «Privacy by Design» zu setzen. Dabei wird der Schutz sensitiver Daten bereits in der Konzeptions- und Entwicklungsphase von Anwendungen nicht nur berücksichtigt, sondern gewährleistet. Die gesammelten Daten werden auf das Erlaubte, Notwendige und Sinnvolle reduziert und nicht abgespeichert, sofern sie nur unmittelbar gebraucht werden. Zugriffskontrollen und Verschlüsselung sind zentrale Funktionen: Nur berechtigte Rollen dürfen auf die entsprechenden Daten zugreifen.

Daniel Neubig, AR Technical Lead, Ergon

«Dank Transparenz und bewusster Entscheidung können Nutzer:innen zugunsten eines für sie vorteilhafteren Risikoprofils auf Funktionen oder Genauigkeit verzichten.»

Daniel Neubig AR Technical Lead, Ergon

Informed Consent

Eine der wichtigsten Massnahmen ist, Transparenz über die aufgezeichneten Daten und deren Verwendung herzustellen. Dies gelingt am besten, indem Nutzer:innen einbezogen werden und selbst mitentscheiden können. Sie sollen die Wahl haben, zugunsten eines für sie vorteilhafteren Risikoprofils auf Funktionen oder Genauigkeit zu verzichten. Je nach Szenario kann dieser «Informed Consent» sogar situationsspezifisch eingeholt werden, im Sinne von: «Darf das Videobild für die nächsten 5 Minuten vom Cloud-Dienst Facial Recognition analysiert werden? Ja/nein – mehr Infos».

Textlastige Zustimmungserklärungen und AGB haben in diesem Zusammenhang nichts verloren. Die Wahrscheinlichkeit, dass Nutzer:innen diese lesen, ist sehr gering. Vorzuziehen sind animiert gestaltete, möglicherweise sogar interaktive Anleitungen und Tutorials im direkten Anwendungskontext. Gleichzeitig publiziert das Unternehmen relevante Richtlinien und «Codes of Conduct» und verpflichtet sich, diese Spielregeln ebenfalls einzuhalten. Heute sind solche Konzepte vor allem in kommunikativen Plattformen und sozialen Medien verbreitet. In Zukunft werden auch andere Anwendungen formulieren, wie die Zusammenarbeit und der Umgang miteinander gesteuert werden.

Auf Stärken fokussieren

Augmented Reality hat die Fähigkeit, das Erlebnis der Nutzer:innen auf das nächste Level zu heben und dadurch entsprechende Markterfolge zu erzielen. Die Risiken, die mit AR einhergehen, sind jedoch vielfältig, insbesondere in Bezug auf Personendaten und in einer längerfristigen Betrachtung. Deshalb ist es notwendig, transparent und verständlich über die Verwendung persönlicher Daten zu informieren und den Nutzer:innen die Entscheidungsfreiheit zu belassen. Die Datensensibilität unserer Gesellschaft wird weiterwachsen. Kritische Hinterfragungen entstehen damit unter Umständen erst, nachdem ein Produkt bereits eingeführt wurde. Um derartigen Veränderungen vorzugreifen oder adäquat darauf zu reagieren, übertragen Unternehmen die Marktbeobachtung an Expert:innen, die nah am Puls sind und Auswirkungen auf Security und Schutz der Privatsphäre schnell einordnen können.

Dieser Beitrag wurde verfasst von Daniel Neubig, AR Technical Lead, und Urs Zurbuchen, Senior Security Consultant Airlock.

Die Vorteile von Augmented Reality

Business Case Nutzen und Beispiele
AR-Navigation
  • Einfache Orientierung, Sehenswürdigkeiten finden
  • Wegleitung, z.B. zum Restaurant oder in einem grossen Gebäude
Zusätzliche Information zur realen Welt
  • Nutzer:innenintention Erkennen, um Informationen an die Situation anzupassen
  • Schnellere Interaktion mit Objekten und Funktionen – einfachere, kontextsensitive Bedienung, z.B. Inneneinrichtung planen
  • Informationen vor Ort zugänglich machen (Lagerhaltung im Retail, Wartung und Betrieb von IoT-Geräten)
Unterhaltung
  • Ortsabhängiger, virtueller Inhalt, z.B. Pokémon Go
  • Shared Content
Remote Collaboration
  • Remote Collaboration mit virtueller Präsenz
  • Die eigene Sicht teilen und im Team arbeiten – aus sicherer Distanz
  • Schnelle und kostengünstige Expert:innenhilfe, z.B. Telemedizin oder Wartung und Betrieb von Maschinen
Schulung und Training
  • Immersive Interaktion im virtuellen Raum
  • Extremsituationen können simuliert werden
  • Persönliche Erfahrung verbessert das Trainingsergebnis
  • Psychologisches Training, z.B. Angsttraining


Risiken in Augmented-Reality-Anwendungen

Ursprung Risiken bei ungewünschter Nutzung von Daten
Person/Customer Identifying Data (PID/CID)
  • Genaue Bewegungsdaten
  • Personal Identifying / biometrische Daten – z.B. sensitive Patient:innendaten
  • Fake Impersonation – Hijacking Profile und Avatar
  • Social Engineering – Profiling und Targeting
  • Attention Targeting – Manipulation von Personen
Räumlicher Kontext
  • Öffentlicher Raum und Arbeitsumfeld
  • Privater/halbprivater Raum mit persönlichen Details
  • Vermessung und Aufnahme von Orten und Räumen
Situativer Kontext
  • Unbewusstes Teilen von privaten oder geschützten Inhalten
  • Sensitive Aufnahmen im Businessumfeld von Orten, Produkten, Konversationen
Unbeteiligte Dritte
  • Persönlichkeitsrechte von Passant:innen
Virtueller Inhalt
  • Verletzung von Urheberrecht
  • Online Harassment
  • Abusive Content
Crowd Sourcing
  • Content Moderation
  • Filterung
  • Urheber- und Eigentumsrecht

Lust auf mehr?

Digitalisierungs­vorhaben
Zukunftsmacher
Tech-Trends

Jetzt bestellen →
Titelbild SMART insights 2021