In den letzten anderthalb Jahren habe ich an einem spannenden Projekt gearbeitet, das von NESTA, der Cities‘ Coalition for Digital Rights (CC4DR) und der Stadt Amsterdam in Auftrag gegeben wurde. Dieser Blogeintrag stellt eine Zusammenfassung des daraus resultierenden Berichts dar, der auf den Seiten NESTAs veröffentlicht worden ist. Er beleuchtet eine aktuelle Entwicklung, die von vielen Städten noch nicht vollständig erkannt worden ist: Die Verwendung von die Privatsphäre verletzenden Sensoren durch kommerzielle Akteure in einem Bereich, der zunehmend als „digitaler öffentlicher Raum“ bekannt wird.
Dieser Begriff soll verdeutlichen, wie physische öffentliche Bereiche – Stadtplätze, Fußgängerzonen, aber auch Einkaufszentren und Bushaltestellen – zunehmend einer uneingeschränkten Digitalisierung unterworfen werden. Solche kommerziellen Sensoren sind potenziell in der Lage Pupillenbewegungen zu verfolgen (eye-tracking) und so Reaktionen auf Werbeplakate zu analysieren. Ein Schwerpunkt liegt dabei auf öffentlich genutzten Räumen in Privatbesitz, im englischen auch bekannt unter der Abkürzung POPS („privately owned public spaces“). Diese Unterscheidung ist insofern wichtig, als sie sich darauf auswirkt, wie gut die Datenschutz-Grundverordnung (DSGVO) als einschlägige Regulierung in diesem Bereich tatsächlich befolgt wird, da es im privaten Sektor eine bekannte und gut dokumentierte Durchsetzungslücke gibt.
Da Massenproduktion und technologische Innovation zu immer geringeren Kosten führen, haben Unternehmen in den letzten Jahren verstärkt Sensoren in physischen Räumen eingesetzt. Neue Dienste, die auf Augmented-Reality-Anwendungen oder der Virtualisierung realer physischer Räume („Metaverse“) basieren, erfordern präzise 3D-Daten von städtischen Räumen, die in der Produktion sehr teuer sind. Da das Internet immer mehr zur digitalen Parallelwelt wird, in der physische Städte nachgebaut werden, sind qualitativ hochwertige Daten über öffentliche Räume sehr gefragt. Folglich ist die Erstellung von Karten des physischen Raums zum Geschäftsmodell einer beträchtlichen Anzahl von Unternehmen geworden. Aufgrund des bereits erwähnten Umsetzungsdefizits der DSGVO in der Offline-Welt halten sich viele Unternehmen nicht ordnungsgemäß an die DSGVO oder führen die in der EU-Gesetzgebung für solche Fälle vorgesehene selbstkritische Bewertung nicht durch, sondern „biegen“ ihren Anwendungsfall so zurecht, dass er den gesetzlichen Kriterien entspricht. Ein von mir Befragter sagte dazu: „Unternehmen erstellen 3D-Karten unserer Stadt, ohne dass die Stadtverwaltung davon weiß.“
Wenn solche „abtrünnigen“ Sensoren von kommerziellen Akteuren installiert werden, ohne, dass sichergestellt wird, dass die Bürger oder zumindest deren Stadtverwaltungen ihre Zustimmung zu solchen Diensten erteilen können, werden diese unfreiwillig zu Opfern weitreichender Verletzungen der Privatsphäre, gegen die sie sich nicht wehren können. Dies kann nicht nur eine potenzielle Verletzung eines grundlegenden Menschenrechts darstellen, sondern auch das Vertrauen in die Politik beschädigen, da es somit hier kaum eine Rechenschaftspflicht für die private Überwachung im öffentlichen Raum gibt. Gegenwärtig gibt es keine formellen Verfahren, die Städte anwenden können, um diesem Problem entgegenzuwirken, da sie weder ein Mitspracherecht bei solchen Praktiken haben noch überhaupt davon erfahren können.
Für diesen Bericht habe ich eine Reihe von Smart-City-Vertretern aus ganz Europa befragt, um mehr über ihre Ansätze und Erfahrungen im Umgang mit diesem und ähnlichen Problemen zu erfahren. Ein wichtiges Ergebnis, das hier schon geteilt werden kann ist, dass sich viele Smart-City-Verantwortliche dieser potenziell gravierenden Datenschutzrisiken für ihre Bürger noch nicht bewusst sind.
Beispiele für private Sensoren in öffentlichen Räumen
Um Städte in die Lage zu versetzen und zu befähigen, aktiv zu gestalten, wie sich technologischer Fortschritt in ihren öffentlichen Räumen auswirkt, möchte ich kurz auf zwei besonders relevante Beispiele solcher privater Sensoren eingehen, die in den letzten Jahren ohne Wissen und Zustimmung lokaler Gebietskörperschaften an öffentlichen Orten montiert worden sind und ohne das Wissen der Betroffenen persönliche Daten aufgezeichnet haben.
Interaktive Werbung
Direkte Rückmeldungen von Konsumenten auf Werbung ermöglichen es Werbeproduzenten, die Anzeigen besser auf bestimmte Zielgruppen auszurichten, die Effizienz der Werbung zu erhöhen und damit die Rentabilität des eingesetzten Kapitals zu steigern. Diese Rückmeldung wird in einigen Beispielen durch das Aufzeichnen körperlicher Reaktionen, z.B. von Mimik oder Pupillenbewegungen, auf die eingeblendete Werbung durch Kameras generiert. Dieses Retina-Tracking oder die Analyse der Körperbewegungen wird von Algorithmen ausgewertet, die daraus Rückschlüsse auf den Werbeinhalt ziehen. Diese Formen von „interaktiver Werbung“ finden sich in Fußgängerzonen, an Bushaltestellen oder in Einkaufszentren. Die werbezentrierte Nutzung von Retina-Tracking und Gesichtserkennung hat sich in Europa und auf der ganzen Welt ausgebreitet. Angesichts eines Außenwerbemarktes, der den Zeitungsmarkt in absehbarer Zeit in den Schatten stellen wird, liegt es auf der Hand, dass solche Formen von Feedback erzeugenden digitalen Werbetafeln in Zukunft weiter zunehmen könnten.
Die Erstellung digitaler Bilder von Gesichtern oder Pupillen in hoher Auflösung sind das Rohmaterial für algorithmische Analysen, mit denen Personen identifiziert, zeitspezifisch lokalisiert und Bewegungsprofile erstellt werden können. Es gibt zahlreiche Techniken, die solche Aufnahmen mit unterschiedlicher Zuverlässigkeit nutzen können, um Rückschlüsse auf Daten zu ziehen, die die als „sensible Daten“ bezeichnet.
Eye-Tracking-fähige Werbung wurde unter anderem in den Niederlanden und Belgien bereits mehrfach eingesetzt. Plakatwände wurden in (unterirdischen) Bahnhöfen oder anderen Räumen aufgestellt, die früher in öffentlichem Besitz waren, in den vergangenen Jahrzehnten aber in vielen Ländern privatisiert wurden. Es ist nicht nachvollziehbar, ob das Unternehmen Datenschutzfolgeabschätzungen ausgefüllt hat, in welchen hätte argumentiert können, inwieweit der Betreiber ein „legitimes Interesse“ hat, das den Einsatz dieser Technologie rechtfertigt. Die Stadtverwaltungen, unter anderem von Gent und Amsterdam, in denen solche interaktiven Werbeplakate gesichtet worden waren, wurden weder informiert noch um Erlaubnis gefragt. Keine Schilder wiesen die Passanten auf die Existenz der Kameras hin. Erst nach einem öffentlichen Aufschrei und der Aufmerksamkeit der Medien entfernte das verantwortliche Unternehmen diese Plakatwände wieder.
Die Integration solcher Eye-Tracking-Funktionen in digitale Werbetafeln ist nicht besonders neu. Die ersten Anwendungen sind bereits 15 Jahre alt. Diese Technik ist für Werbetreibende von großem Nutzen, da sie sichtbar macht, welche Teile einer Werbebotschaft die Betrachter sehen. Eye Tracking „macht den unbewussten Blick sichtbar und kann Blickdaten reproduzieren, selbst wenn das Plakat nur für den Bruchteil einer Sekunde betrachtet wurde“, wie ein Unternehmen, das diese Technologie vermarktet, auf seiner Onlinepräsenz erklärt.
Das Sammeln solch präziser und äußerst wertvoller Daten hat natürlich seinen Preis: Aus Eye-Tracking-Daten lassen sich „biometrische Identität, Geschlecht, Alter, ethnische Zugehörigkeit, Körpergewicht, Drogenkonsumgewohnheiten, den emotionalen Zustand, Fähigkeiten und Fertigkeiten, Ängste, Interessen und sexuellen Vorlieben“ einer Person rekonstruieren. Bestimmte Eye-Tracking-Maßnahmen können sogar „spezifische kognitive Prozesse aufzeigen und zur Diagnose verschiedener körperlicher und geistiger Gesundheitszustände verwendet werden“. Selbst wenn Dritte nur die Bilder sammeln, können solche Techniken im Nachhinein noch angewandt werden. Sollten derartige Informationen über bestimmte Einzelpersonen öffentlich werden, kann dies auf persönlicher Ebene verheerend sein.
Automatische Nummernschilderkennung
Systeme zum Scannen und Erkennen von Nummernschildern sind allgegenwärtig und werden in verschiedenen Anwendungsszenarien von Privatunternehmen in ganz Europa eingesetzt. Es gibt Fälle, in denen Inkassounternehmen automatische Nummernschilderkennung nutzen, um an Personen heranzukommen, die z. B. mit Kreditraten in Verzug geraten sind und nicht auf Kontaktversuche reagieren. Zu diesem Zweck wurden Fahrzeuge des Unternehmens mit Kamerasensoren ausgestattet, die ganze Städte erfahren und dabei die Kennzeichen der angetroffenen Fahrzeuge filmen und verarbeiten, um den Schuldner zu identifizieren. Solche Fälle gab es bisher vor allem in den USA, in Europa ist Amsterdam ein bemerkenswertes Beispiel. Die Stadt hat den Dienst inzwischen verboten, so dass die Einzelheiten der Vorgehensweise des Unternehmens unklar sind.
Nach der DSGVO sind Kennzeichen nicht nur personenbezogene Daten, sondern auch persönlich identifizierbare Informationen (PII). PII sind alle Daten, die zur eindeutigen Identifizierung einer Person verwendet werden können, wie Passnummern, Fingerabdrücke oder Nummernschilder. Das Scannen von Nummernschildern ist im Zusammenhang mit Parkhäusern (wiederum im Sinne der DSGVO) zulässig, sofern die Kunden durch entsprechende Hinweisschilder angemessen darüber informiert werden, dass ihre Nummernschilder gescannt und verarbeitet werden. Im Gegensatz zu Parkhäusern ist es nach der DSGVO rechtswidrig, wenn Unternehmen wahllos alle verfügbaren Nummernschilder mit der Absicht scannen, den Fahrzeughalter zu identifizieren, einschließlich der Nummernschilder von unbeteiligten Passanten, ohne entsprechende Benachrichtigung.
Solche Anwendungsfälle scheinen zwar selten, sollten aber m Blick behalten werden, da sie die Verletzung der Privatsphäre einer beträchtlichen Anzahl von Bürgern darstellen. Da es trotz der offensichtlichen Rechtswidrigkeit dieser Praxis bisher kaum Möglichkeiten Mittel gibt, um solche Überwachungspraktiken überhaupt erst zu erkennen, ist dies ein Beispiel dafür, wie wichtig es ist, dass Städte über solche Aktivitäten in einem ersten Schritt zumindest formell informiert werden (müssen).
Städte müssen zunehmend als Durchsetzungsinstanz fungieren, aber es fehlt ihnen an wichtigen Ressourcen
Diese Beispiele zeigen, dass sich Städte in einem Konflikt befinden: Angesichts der Verbreitung privater Sensoren im öffentlichen Raum müssen sie zunehmend als Durchsetzungsinstanz der DSGVO agieren. Gleichzeitig fehlen ihnen jedoch (1) die Informationen, (2) die Zuständigkeiten und (3) die Kapazitäten, um angemessen auf die beschriebenen Entwicklungen zu reagieren.
Zum einen gibt es auf europäischer Ebene keine Vorschriften, die Städte in existierende Benachrichtigungsverfahren, z.B. durch Datenschutzfolgeabschätzungen (DPIAs) benachrichtigt werden, sobald kommerzielle Akteure Sensoren in öffentlich zugänglichen Räumen montieren. Da es zudem kein geeignetes Überwachungsverfahren gibt, unerwünschte Sensoren in öffentlichen Räumen systematisch zu identifizieren, haben die Städte bisher keine Möglichkeit, selbst Abhilfe zu schaffen.
Zum Zweiten haben die Kommunen im Zusammenhang mit der DSGVO nur Verarbeitungsaufgaben, nicht aber die Zuständigkeit für die Durchführung. Die Ausführung und Umsetzung liegt in der Regel bei der nationalen oder regionalen Ebene. Kommunale Datenschutzbeauftragte (DPOs) können keine Verbote für Eye-Tracking-Plakatwände aussprechen – dafür wären ihre Kollegen auf nationaler Ebene zuständig.
Zum Dritten haben die Städte (noch) nicht die Kapazitäten, um mit Sensoren in öffentlich zugänglichen umzugehen. „Wir haben bereits eine Menge Probleme mit der Identifizierung unserer eigenen Datenverarbeitung, so dass wir uns noch nicht an die privaten Parteien gewandt haben, die dies tun“, sagte uns der DPO einer großen europäischen Stadt.
Smart Cities zensieren Sensoren: Neue Ideen zu einem schwierigen Thema
Kommunale Genehmigung im Tausch für Datenschutz
Wie sich gezeigt hat, sind Städte zurzeit noch nicht befugt, neue Sensoren in ihren Grenzen zu verbieten. Da die DSGVO als wichtigste Rechtsvorschrift zum Schutz der Privatsphäre der EU-Bürger die Rathäuser nicht einbezieht, haben die am stärksten betroffenen Städte improvisiert, um diese nachteiligen Entwicklungen in den Griff zu bekommen.
In diesem Sinne veröffentlichte das Londoner Rathaus im Oktober 2021 die so genannte „Public London Charter„, ein Dokument, das Grundsätze und Leitlinien für die Regulierung neuer öffentlicher Räume (einschließlich solcher im Privatbesitz) festlegt. Diese Grundsätze gelten als Bedingung für die Erteilung von Baugenehmigungen und bauen auf bestehenden Befugnissen im Bereich der Stadtplanung und Stadtentwicklung auf. Wenn Bauträger eine Baugenehmigung in der Stadt beantragen, müssen sie die Public London Charter unterzeichnen, die direkt in Planungsvereinbarungen mit der Stadt aufgenommen wird.
Die Charta enthält einen Abschnitt über Datenschutz, der vorschreibt, dass Datenschutzfolgenabschätzungen mit dem Londoner Rathaus und der Öffentlichkeit geteilt werden müssen, um „Transparenz, Compliance und bewährte Verfahren in der gesamten Stadt zu fördern.“ Da diese DPIAs alle Einzelheiten der Funktionsweise der Sensoren, inklusive der Auswirkungen auf betroffene Menschen enthalten müssen, könnte die verpflichtende Transparenz dazu führen, dass über neue Sensoren zumindest intensiver berichtet und diskutiert wird.
Die Public London Charter nutzt dabei die Möglichkeiten des Stadtrats, neuen Erschließungen auf städtischem Grund die Genehmigung zu verweigern. Im Wesentlichen wird damit die Planungsbehörde gestärkt, da ein beträchtlicher Teil der Macht der Stadt auf dem Planungsrecht beruht, das hier als Hebel eingesetzt wird.
Auch die Stadt Amsterdam hat einen Prozess eingeleitet, der dem Londoner Beispiel insofern ähnelt, als datenethische Grundsätze für die Erteilung städtischer Zulassungen eingehalten werden müssen. Das „Tada“-Manifest enthält eine Reihe solcher Grundsätzen für die Nutzung von Daten, die (1) umfassend, (2) kontrolliert, (3) auf die Menschen zugeschnitten, (4) legitim und kontrolliert, (5) offen und transparent, (6) „von allen – für alle“ sein sollten. Diese Grundsätze wurden auch in der lokalen Verwaltung, ihren Entscheidungen und Prozessen verankert.
Sie stehen auch im Mittelpunkt eines Programms, mit dem die Stadt Amsterdam das Institut für Informationsrecht an der Universität Amsterdam beauftragt hat, Konditionen zu untersuchen, die als Forderungskatalog der Stadtverwaltung das Verhalten privater Unternehmen bei der Erhebung von Sensordaten besser steuern können. Zu solchen Instrumenten gehören Lizenzen, Subventionen, Konzessionen oder Verträge mit privaten Unternehmen. Anbieter von E-Mobilitätsdiensten müssen beispielsweise bestimmte Bedingungen erfüllen, bevor sie ihre Dienste im städtischen Raum anbieten dürfen. Dazu gehört zum Beispiel, dass auch kommerziell weniger attraktive Teile der Stadt mit solchen Dienstleistungen versorgt werden müssen, um die Inklusion weniger privilegierter Gebieten zu gewährleisten. Teil dieses Programms ist auch die Entwicklung von Regeln, wie Mobilitätsanbieter mit den von ihnen gesammelten Daten umzugehen haben und welche Daten sie mit der Stadtverwaltung teilen müssen.
Zugleich ist jedoch der Spielraum der Städte, bestimmte Genehmigungen mit Auflagen zu versehen, begrenzt. So können Genehmigungen, die sich auf den öffentlichen Raum und die Sicherheit auswirken, rechtlich nur mit Bedingungen versehen werden, die sich auf den Politikbereich beziehen, auf den die Genehmigung selbst abzielt. Dies bedeutet wiederum, dass die Städte nur Bedingungen in solche Genehmigungen aufnehmen dürfen, die mit dem Regelungszweck in Zusammenhang stehen, damit sie nicht wegen Amtsmissbrauchs haftbar gemacht werden können.
Meldepflicht für neue Sensoren
Zu Dezember 2021 hat die Stadt Amsterdam ein Melderegister für Sensoren eingeführt. Unternehmen und andere Akteure müssen nun das Amsterdamer Rathaus benachrichtigen, insofern sie Sensoren in öffentlich zugänglichen Räumen anbringen möchten. Die „Verordnung über die Meldepflicht für Sensoren“ besagt, dass es verboten ist, einen Sensor u.a. auf öffentlich zugänglichen Gebäuden oder auf fahrenden Fahrzeugen, die der Öffentlichkeit zugänglich sind, anzubringen, ohne die Stadtverwaltung mindestens fünf Tage im Voraus darüber zu informieren. In der Mitteilung muss auch angegeben werden, welche Daten gesammelt werden und wann der Sensor wieder entfernt wird. Werden Sensoren im öffentlichen Raum angebracht, ohne dass die Stadtverwaltung benachrichtigt wurde, wird der Sensor (nach mehreren Mahnungen) auf Kosten des Eigentümers entfernt. Standort und Art der Sensoren werden in einer öffentlich zugänglichen Karte veröffentlicht.
Städte reagieren, da existierende Vorschriften zahnlos sind
Diese Beispiele zeigen, dass es kreative Wege gibt, die Städte nutzen können, um ihre fehlenden Durchsetzungsbefugnisse zumindest teilweise zu kompensieren. Was diese Beispiele auch zeigen, ist, dass die Städte kreativ werden mussten, weil die nationale Ebene weder über die Ressourcen noch über die unmittelbare Erfahrung im Umgang mit Entwicklungen in Gemeinden oder Städten verfügt. Dies ist auch die Ursache dafür, dass mehrere Befragte sagten, dass die nationalen Kontrollbehörden zunehmend auf die Rathäuser schauen, wenn es darum geht, mit neuen technologischen Entwicklungen umzugehen. Mehrere von uns befragte kommunale Datenschutzbeauftragte waren der Meinung, dass die Kommunalverwaltungen in vielen dieser Fragen weiter fortgeschritten sind als ihre nationalen Kollegen.
Die nationalen Regierungen haben zwar die Befugnis, Gesetze zu erlassen, wenn sie es für richtig halten, aber einige Befragte vertraten die Ansicht, dass diese in vielen Fällen zu spät aktiv werden und die Gefahr besteht, dass sie den technologischen Fortschritt einfach „geschehen lassen“, ohne die Normen zu setzen, die ihn gestalten und regeln. Die Städte treten in dieses Machtvakuum, da sie die praktischen Aspekte des angewandten technologischen Wandels in einer für die Nutzer verständlichen Weise regulieren können.
Gleichzeitig besteht die Herausforderung bei der Regulierung neu entstehender Technologien darin, dass deren voller Umfang bzw. ihr Grad gesellschaftlicher Durchdringung noch nicht bekannt ist, weshalb jede künftige Regulierung auf einer abstrakten Ebene angesiedelt sein muss, um die gesamte Bandbreite möglicher Aktivitäten abzudecken. Die Herausforderung für die Städte besteht daher darin, sinnvolle Grundsätze zu entwickeln, die nicht zu abstrakt sind, um unpraktisch zu sein, die aber auch nicht zu detailliert sind, um wirklich gute Innovationen zu verhindern.
Politikempfehlungen
Auf der Grundlage dieser Beispiele, die zeigen, wie Städte erfolgreich improvisiert haben, um die Lücken zu schließen, die die DSGVO hinterlässt, erörtere ich in der vollständigen Studie mögliche Wege, die Städte einschlagen können, um die oben beschriebenen, die Privatsphäre verletzenden Entwicklungen zu mildern.
Das vielleicht wirksamste Instrument, das die Städte einsetzen können, um die Privatsphäre ihrer Bürger besser zu schützen, ohne auf eine langwierige Überarbeitung der DSGVO zu hoffen ist, die effektivere Nutzung der Möglichkeiten, die ihnen bereits zur Verfügung stehen. In der Studie wird gezeigt, dass Städte nicht für klassische Sanktionen und Durchsetzungsmechanismen im Sinne der DSGVO zuständig sind. Solche Sanktionen erfolgen zudem erst ex-post und sind daher kein ideales Instrument für eine proaktive Verhaltensänderung. Die Festlegung von Verhaltensregeln ex-ante, durch das Einfordern von digitalen Verhaltensregeln im Tausch für städtische Genehmigungen, könnte sich als wesentlich wirksamer erweisen.
Die Beispiele aus Amsterdam und London haben gezeigt, dass Städte über umfangreiche Befugnisse u.a. im Bereich der Stadtplanung, der Schaffung wirtschaftlicher Anreize und der Organisation des Verkehrs verfügen. Städte können diese Befugnisse beim Erteilen von Genehmigungen oder anderen Formen von Vereinbarungen nutzen, die kommerzielle Akteure bei den Kommunen beantragen. Die Erteilung solcher Genehmigungen kann an Bedingungen geknüpft werden, nach denen die Antragsteller Normen oder konkretere Vorschriften darüber einhalten, wie sie mit erhobenen Daten umgehen, welche dieser Daten sie der Stadt zur Verfügung stellen, ihre Datenerhebung öffentlich machen, den Städten DPIAs aushändigen und vieles mehr. Da diese Genehmigungen nicht willkürlich an Bedingungen gebunden werden können, ohne einen Missbrauch von Befugnissen zu riskieren, müssen diese Bedingungen auf den Zweck der Genehmigung selbst zugeschnitten sein.
Der vollständige Bericht kann hier heruntergeladen werden.