Zum Inhalt springen Zur Navigation springen
Was ist Eye-Tracking und ist es datenschutzrechtlich zulässig?

Was ist Eye-Tracking und ist es datenschutzrechtlich zulässig?

Das Eye-Tracking kommt wieder. Grund für seine Renaissance wird insbesondere die rasante Entwicklung der Technik sowie die zunehmende Erschwinglichkeit der benötigten Geräte sein. Zeiten, in denen lediglich einige ausgewählte Tech-Labore in dem Bereich entwickeln konnten, gehören der Vergangenheit an. Dieser Artikel soll die neuerlichen Entwicklungen auf dem Gebiet näher beleuchten und sich insbesondere mit den datenschutzrechtlichen Implikationen beschäftigen.

Definition: Was versteht man unter Eye-Tracking?

Das Eye-Tracking ist der Sammelbegriff für die Erfassung von Blickfixationen und -bewegungen. Gemessen wird dabei ob und wie lange bestimmte Punkte betrachtet wurden sowie die dazwischenliegenden Augenbewegungen (sog. Sakkaden und Regressionen).

Die Geräte, die hierzu verwendet werden, bezeichnet man als Eye-Tracker. Grob können diese in zwei Kategorien unterteilt werden – die mobilen und die externen Tracker.

Mobile Tracker erfassen mit einer Infrarot-Lichtquelle und entsprechenden Kameras die Reflexionsmuster auf der Netzhaut sowie das Blickfeld der Probanden. Inzwischen sind diese Vorrichtungen so klein, dass sie in einem einfachen Brillengestellt untergebracht werden können, die dazugehörige Recheneinheit ist dabei nicht größer als ein Smartphone.

Externe Aufzeichnungsgeräte (auch: Remote Eye Tracker) kommen wiederum ohne eine an den Probanden zu befestigende Apparatur aus. Erfasst werden dabei üblicherweise die Fixationen und Augenbewegungen auf einem Bildschirm. Die Erfassungsgeräte befinden sich in der unmittelbaren Nähe des Monitors oder sind in diesem verbaut.

Auf welchen Anwendungsgebieten wird Eye-Tracking genutzt?

Die Einsatzmöglichkeiten des Eye-Tracking sind vielfältig. Grenzen setzt einem dabei eigentlich nur die eigene Fantasie (und u.U. das Gesetz). Im Folgenden wollen wir einige dieser Einsatzgebiete darstellen.

Eye-Tracking im Marketing

Naheliegend und tatsächlich bereits breit angewendet ist der Einsatz der Eye-Tracking-Technologie im Bereich des Marketing. Im Rahmen von Usability-Studien wird unter anderem ausgewertet, welche Versionen von Websites oder Landingpages bei den Probanden besser ankommen. Untersucht wird dabei, ob und wie schnell bestimmte Bereiche einer Website wahrgenommen wurden und welche Gründe für die mangelnde Wahrnehmung dieser verantwortlich sein könnten. Von Interesse ist dabei naturgemäß, welche Elemente besonders geeignet sind, die Aufmerksamkeit der Besucher auf sich zu ziehen und wie lange diese in der Folge auch betrachtet wurden. Im Zusammenspiel mit den darauffolgenden Interviews mit den Probanden werden für das Marketing hochrelevante Rückschlüsse gezogen und bei der Gestaltung der entsprechenden Websites berücksichtigt.

Bewertung von Fähigkeiten potentieller BewerberInnen

Denkbar ist aber auch die Verwendung im Bewerbungsprozess. Über eine Auswertung des Blickverhaltens ist es nämlich möglich, die Expertise eines Probanden in bestimmten Feldern zu messen. Gerade bei routinierten Vorgängen folgt das Auge einem festgelegten Muster, so dass AnfängerInnen von versierten BewerberInnen unterschieden werden können. Derzeit ist es beispielsweise bereits möglich, den Kenntnis- und Fähigkeitenstand in Bereichen wie Schach, Chemie, Mathematik und diversen medizinischen Bereichen über das Eye-Tracking zu messen. Weitergehend kann die Methode aber auch verwendet werden, um die Performance bei bestimmten Aufgaben oder auch die Lernkurve der TeilnehmerInnen vorherzusagen. Kognitive Einschränkungen wie Dyslexie oder Dyskalkulie können ebenfalls erkannt werden.

Steuerung von Maschinen & Anwendungen durch Augenbewegung

Die Eye-Tracking-Technologie kann (und zum Teil wird sie das bereits) zur Steuerung von Geräten und Programmen verwendet werden. Gerade im Fall schwerer körperlicher Behinderungen, kann der Fixpunkt der Augen einen Cursorpunkt darstellen. Augenbewegungen befördern dabei diesen Cursor über den Bildschirm, die Dauer des Verweilens auf einer Stelle kann eine bestimmte Interaktion (bspw. Klick) auslösen. Derartige Steuerungsmöglichkeiten werden zum Beispiel bereits seit der Windowsversion 10 unterstützt und können einen Mausersatz liefern.

Etwas mehr nach Science-Fiction klingt wiederum der Einsatz im Bereich des sog. Augmented Reality. Angedacht ist in diesem Zusammenhang der Einsatz von Kontaktlinsen, welche eine Benutzeroberfläche den NutzerInnen direkt vorm Auge ausstrahlen. Diese wird dann ebenfalls über Augenbewegungen gesteuert werden können. Vorstellbar sind dabei zusätzlich auch Filter- und Überlagerungsfunktionen, welche das wahrgenommene Bild der Umgebung modifizieren.

Eye-Tracking in der Medizin

In der Medizin wird die Technologie zum Beispiel bei Laser-OPs von Augen verwendet. Mit Hilfe des Trackings kann dabei eine Augenbewegung festgestellt werden und der Laser entweder abgestellt oder der Augenbewegung angepasst werden. Damit ist sichergestellt, dass der Laser ausschließlich an der Stelle der Netzhaut zum Einsatz kommt, an der dies beabsichtigt war.

Welche Daten können beim Eye-Tracking erhoben werden?

Die vielbemühte Bezeichnung der Augen als Tore zur Seele mag klischeehaft und abgegriffen wirken, gewinnt aber durch das Eye-Tracking eine ganz neue Bedeutung. Sie können gerne das Experiment wagen und bevor Sie weiterlesen, selbst überlegen, welche personenbezogenen Daten mit den oben beschriebenen Methoden erhoben werden könnten. Das tatsächliche Ausmaß dürfte für die meisten überraschend sein.

Denn aus dem Umstand,

  • ob bzw. wie weit das Auge geöffnet ist,
  • aus dessen Bewegung oder seiner Fixationsdauer,
  • dessen Zustand – ist es gerötet, trocken oder wässrig;
  • der Pupillenform,
  • der Beschaffenheit der Iris (Farbe und Textur) sowie
  • aus der Gesichtspartie um das Auge selbst,

können in Kombination mit dem jeweiligen Untersuchungsaufbau zahlreiche Rückschlüsse über die Person selbst gezogen werden. Dazu gehören Informationen zu beispielsweise:

  • Geschlecht, Alter, Herkunft, kulturellem Hintergrund, biometrischer Identität,
  • zum Gesundheitszustand (potentiell erkennbar wären pathologische Abweichungen wie: Gehirnerschütterung, chronische Schmerzen, Sehschwäche, Übergewicht, Alzheimer, Depression, PTBS, Autismus, Essstörung du viele mehr),
  • Charaktereigenschaften (bspw.: extrovertiert; neugierig; neurotisch),
  • persönlichen Fähigkeiten (wie bereits geschildert, kann über das Eye-Tracking ermittelt werden, wie erfahren jemand in einer bestimmten Tätigkeit ist),
  • Schläfrigkeit,
  • Drogenkonsum mitsamt der Art der Droge sowie
  • Rückschlüsse auf mentale Prozesse (Interesse an bestimmtem Thema, Erwartungshaltung usw.)

Datenschutz: Was ist beim Eye-Tracking zu beachten?

Das potentielle Ausmaß der Datenerhebung und der Rückschlüsse, die damit über die Person gewonnen werden können, sollten deutlich gemacht haben, dass das Eye-Tracking von hoher datenschutzrechtlicher Relevanz ist und sein wird.

Personenbezug von Aufnahmen eines Abschnitts des Gesichts

Den aufmerksamen LeserInnen wird aufgefallen sein, dass viele dieser Daten unter die Kategorie der sensiblen, besonderen personenbezogenen Daten nach Art. 9 Abs. 1 DSGVO fallen. Denn mittels Eye-Tracking können beispielsweise Daten über die ethnische Herkunft, biometrische Daten oder Gesundheitsdaten erhoben werden. Die Verarbeitung dieser Daten unterfällt den strengen Vorgaben des Artikel 9 DSGVO, welcher nach der Rechtsprechung des Europäischen Gerichtshofs (EuGH, C-252/21) immer dann zum Einsatz kommt, wenn schon die Möglichkeit der Verarbeitung von besonderen Kategorien personenbezogener Daten besteht. Die Verarbeitung dieser Daten muss dabei nicht primär beabsichtigt sein, es genügt die bloße Möglichkeit.

Besonders ins Gewicht fällt dabei der Umstand, dass es nach Ansicht des EuGH ausreicht, wenn ein sensibles Datum von den „normalen“ personenbezogenen Daten nicht getrennt werden kann, damit die Voraussetzungen des Art. 9 DSGVO auf den gesamten Datensatz Anwendung finden. Beispielhaft könnte also die krankhafte Verfärbung des Auges dazu führen, dass die übrigen Daten des untersuchten Probanden zur Reaktionszeit auf ein bestimmtes Werbebanner nur unter den Voraussetzungen des Art. 9 DSGVO verarbeitet werden dürften.

Grundsatz der Zweckbindung bei Eye-Tracking-Datensätzen

Die vielfältigen Rückschlussmöglichkeiten aus den über das Eye-Tracking gewonnenen Datensätzen führen zu einer weiteren datenschutzrechtlichen Notwendigkeit, und zwar dem Erfordernis der Zweckfestlegung und dem Grundsatz der Zweckbindung gemäß Art. 5 Abs. 1 lit. b DSGVO. Demnach muss bereits bei der Erhebung von personenbezogenen Daten der Zweck der Verarbeitung festgelegt sein. Damit soll sichergestellt werden, dass den NutzerInnen von Anfang an bewusst ist, was mit ihren Daten geschieht. Die bereits geschilderten, vielfältigen Möglichkeiten, die mit Eye-Tracking gewonnenen Daten auszuwerten, würden anderenfalls die Gefahr beispielsweise diskriminierender Profilbildung bergen. Ohne eine strenge Eingrenzung der Verarbeitungsziele wären praktisch uferlose Erweiterungen vorstellbar. Ein beispielsweise zu Marketingzwecken einer bestimmten Website erstellter Datensatz, könnte bei entsprechender Auswertung dazu dienen, ein psychologisches Profil der teilnehmenden Person zu erstellen, welches wiederum an interessierte Parteien verkauft werden könnte. Derartige (nicht vorhersehbare) Ausuferungen gilt es zwingend zu verhindern.

Privacy by Design und ToM beim Eye-Tracking

Ein weiterer Grundsatz anhand dessen die Gewährleistung datenschutzrechtlicher Vorgaben beim Eye-Tracking sichergestellt werden kann, ist das Prinzip des Privacy by Design. Die eventuell missbräuchliche Auswertung der zahlreichen und tiefgreifenden Daten, welche mit dem Eye-Tracking gewonnen werden (können) stellt eine Gefahr dar, welcher zwar mit dem Grundsatz der Zweckbindung ein Stück weit begegnet werden kann, allerdings bedarf es hierzu wegen der sensiblen Natur der Daten weiterer technischer und organisatorischer Maßnahmen.

Es bietet sich an, dies bereits bei der Entwicklung der entsprechenden Software zu berücksichtigen und diese derart zu gestalten, dass die Datenverarbeitung unter anderem zweckgebunden, transparent und rechtmäßig erfolgt. So könnte das System beispielsweise derart entworfen werden, dass die Rohdaten ausschließlich lokal auf dem Endgerät gespeichert werden und nicht noch transferiert werden müssen, was grundsätzlich immer auch die Gefahr des Verlustes oder unberechtigten Zugriffs Dritten nach sich zieht. Sollte der Transfer wiederrum erforderlich sein, ist dessen Sicherheit über Verschlüsselungen und ähnliche Maßnahmen zu gewährleisten.

Ein folgenreicheres Thema als auf den ersten Blick scheint

Das Eye-Tracking mag in der breiten Öffentlichkeit bislang nicht unbedingt im Mittelpunkt der Aufmerksamkeit stehen. Die vielfältigen Einsatzmöglichkeiten (Marketing, Medizin, Alltag u.v.m) sowie das schiere Ausmaß an dabei gewonnenen personenbezogenen Daten machen allerdings deutlich, wie weitreichend dabei die Auswirkungen für Betroffene sein können. Jedenfalls aus datenschutzrechtlicher Sicht ist daher das Augenmerk zwingend auf die weiteren Entwicklungen und Anwendungsgebiete in diesem Bereich zu richten. Grundsätze des Datenschutzes wie die Zweckbindung, das Prinzip des Privacy by Design sowie das Erfordernis der Datensicherheit durch entsprechende TOMs sind zwingend einzuhalten.

Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2024B“ erhalten Sie 10% Rabatt, gültig bis zum 31.12.2024.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.