Privacy by Design für emotionale KI-Roboter

Ein Spital setzt einen Pflegeroboter ein, der Gesichtsausdrücke, Stimmlagen und Körpersprache der Patienten analysiert, um sein Verhalten anzupassen. Der Roboter sieht aus wie ein freundliches Haustier. Patienten reden mit ihm. Sie vertrauen ihm Dinge an. Sie vergessen — oder haben nie verstanden —, dass jedes emotionale Signal, das sie aussenden, verarbeitet, gespeichert und potenziell an Dritte weitergegeben wird.

Das ist ein Datenschutzproblem, das kein Cookie-Banner lösen wird. Und es kommt schneller, als die meisten Rechtsabteilungen vorbereitet sind.

Industrieroboter vs. emotionale Roboter: Ein fundamentaler Unterschied

Industrieroboter arbeiteten hinter Schutzzäunen. Sie schweissten, lackierten, montierten. Sie begegneten nie einem menschlichen Gesicht, hörten nie ein vertrauliches Gespräch, lösten nie eine emotionale Bindung aus.

Die nächste Generation ist grundlegend anders. Diese Roboter arbeiten in Spitälern, Privathaushalten, Einkaufszentren und Pflegeeinrichtungen. Sie werden mit menschenähnlichen Gesichtern, ausdrucksstarken Augen und Stimmen ausgestattet, die bewusst warm klingen. Sie nutzen Affective Computing — die Fähigkeit, emotionale Zustände aus biometrischen Daten wie Gesichtsausdrücken, Stimmmustern, Gangbild, Körperhaltung und physiologischen Signalen zu erkennen und zu interpretieren.

Japans Moonshot-R&D-Programm zielt auf autonome KI-Roboter, die "bis 2050 lernen, sich anpassen, ihre Intelligenz weiterentwickeln und neben Menschen agieren". Südkorea prognostiziert die Koexistenz von Mensch und Roboter bis 2030. Im Gesundheitswesen werden gezielt Roboter mit Emotionserkennung entwickelt, um die Selbstwirksamkeit von Patienten in Rehabilitation und chronischer Pflege zu stärken.

Die Forschung ist eindeutig: Menschen, denen soziale Verbindungen fehlen, vermenschlichen nicht-menschliche Akteure stärker, bauen Bindungsbeziehungen auf und geben persönliche Informationen bereitwilliger preis. Designentscheidungen, die Roboter wärmer und ansprechender machen — genau jene Features, die die Servicequalität verbessern — verstärken gleichzeitig das Datenschutzrisiko.

Was DSGVO und EU AI Act konkret verlangen

Im EU-Regulierungskontext (der die Schweizer Praxis über Äquivalenzentscheide und Marktzugang massgeblich prägt) stehen emotionale Roboter vor einem geschichteten Pflichtenprogramm.

Hochrisiko-Einstufung. Gemäss Anhang III des EU AI Act sind Emotionserkennungssysteme als Hochrisiko-KI klassifiziert. Das löst das volle Anforderungspaket aus Kapitel III aus: Risikomanagement, Data Governance, technische Dokumentation, Transparenzpflichten, menschliche Aufsicht sowie Genauigkeits- und Robustheitsanforderungen.

Transparenz bei Erstinteraktion. Artikel 50 des AI Act verlangt, dass Nutzer "in klarer und unterscheidbarer Weise spätestens zum Zeitpunkt der ersten Interaktion oder Exposition" darüber informiert werden, dass sie mit einem KI-System interagieren. Betreiber von Emotionserkennungssystemen müssen betroffene Personen zusätzlich über die Funktionsweise des Systems informieren.

Biometrische Daten als besondere Kategorie. Gesichtserkennung, Stimmerkennung, Ganganalyse, Eye-Tracking — alle Standard-Inputs emotionaler Roboter — stellen biometrische Daten im Sinne von Art. 4 Abs. 14 DSGVO dar. Ihre Verarbeitung fällt unter das Sonderkategorien-Regime von Art. 9, das grundsätzlich verboten ist, sofern keine ausdrückliche Einwilligung oder eine andere Ausnahme nach Art. 9 Abs. 2 vorliegt.

Informierte, spezifische, freiwillige Einwilligung. Art. 4 Abs. 11 DSGVO definiert Einwilligung als "freiwillig, für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung." Stillschweigen, vorangekreuzte Kästchen oder Untätigkeit genügen nicht. Für biometrische Sonderkategorien-Daten ist der Standard nochmals erhört: ausdrückliche Einwilligung. Der Verantwortliche muss nachweisen können, dass die Einwilligung erteilt wurde (Art. 7 Abs. 1).

Das Einwilligungs-Paradox

Hier liegt das strukturelle Problem: Die Einwilligung zur Roboter-Datenverarbeitung wird einmal erteilt, bevor die Beziehung beginnt. Aber das Datenschutzrisiko eskaliert über die Zeit, während der Nutzer eine emotionale Bindung zum Roboter aufbaut.

Ein Patient, der am ersten Tag eine informierte Einwilligung erteilt hat, vertraut dem Roboter drei Monate später vielleicht Gesundheitsängste an — im Beisein von Familienmitgliedern. Dabei werden sensible Daten generiert, die im ursprünglichen Einwilligungsumfang nie vorgesehen waren. Der Rechtsrahmen geht von einem rationalen, informierten Betroffenen aus, der eine einmalige Entscheidung trifft. Die psychologische Realität ist eine sich schrittweise vertiefende Beziehung, in der rechtliche Überlegungen in den Hintergrund treten.

Bill Gates prognostizierte "einen Roboter in jedem Haushalt." Wenn das eintritt, können Unternehmensjuristen nicht jeden Haushalt aufsuchen, um Einwilligungen einzuholen. Die Roboter selbst müssen für die datenschutzrelevante Kommunikation gestaltet werden — eine fortgeschrittene, verkörperte Version des Cookie-Consent-Dialogs.

Proaktive Datenschutzkommunikation: Fünf Werkzeuge, die funktionieren

Der proaktive Rechtsansatz — vom Europäischen Wirtschafts- und Sozialausschuss (EWSA) für bessere EU-Regulierung empfohlen — bietet den konzeptionellen Rahmen. Statt reaktiver Compliance (minimaler Rechtstext, maximale Intransparenz) fokussiert er auf Prävention und Förderung: Kommunikation so zu gestalten, dass Nutzer ihre Rechte tatsächlich verstehen und ausüben können.

1. Mehrkanalige Kommunikation

Ein Roboter ist keine Webseite. Er hat eine Stimme, einen Bildschirm und physische Gesten. Datenschutzkommunikation sollte alle drei Kanäle gleichzeitig nutzen.

Ein Pflegeroboter, der seine Datenverarbeitung erklären muss, könnte eine verständliche Animation auf seinem Bildschirm zeigen, die Animation sprachlich begleiten und mit physischen Gesten wichtige Punkte betonen. Das Konzept basiert auf "sprechenden Comic-Verträgen" — rechtsverbindlichen Vereinbarungen für Menschen mit eingeschränkter Lesekompetenz, die visuelle, textuelle und auditive Elemente kombinieren.

Der zentrale Gedanke: Wenn Information über alternative Kanäle verfügbar ist, können auch Nutzer informierte Entscheidungen treffen, die nie eine Datenschutzerklärung lesen würden.

2. Einfache Sprache

Rechtliche Datenschutzkommunikation verfällt standardmässig in Juristensprache, überlagert von Fachjargon. Bei emotionalen Robotern ist diese Kombination tödlich für das Verständnis. Besonders problematisch: Datenschutz bei Robotern verbindet zwei Fachsprachen — Recht und Technik —, die für Laien je einzeln schon schwer zugänglich sind.

Einfache Sprache ist nicht ungenaue Sprache. Wie der Rechtsschreibforscher Joseph Kimble argumentiert, ist einfache Sprache sogar präziser als traditionelle Rechtssprache, weil sie Mehrdeutigkeiten und Fehler offenlegt, die der komplexe Stil zu verbergen versucht. Die DSGVO selbst verlangt in Art. 12 "klare und einfache Sprache" — die meisten Datenschutzerklärungen lesen sich allerdings, als existiere dieser Artikel nicht.

Für die meisten Menschen sind die Vorteile einfacher Sprache intuitiv. Texte sind leichter zu verstehen, verursachen weniger Fehlinterpretationen, werfen weniger Rückfragen auf und sparen letztlich Zeit für den Nutzer und Ressourcen für die Organisation. Die nächste Generation von Robotern ist ein relativ neues Phänomen im Alltag der Menschen — die Risiken sind nicht so offensichtlich wie bei vertrauten Technologien. Diese Neuheit und Unvertrautheit erhöhen den Bedarf an klarer Kommunikation erheblich.

3. Tonfall

Rechtliche Dokumente verwenden fast durchgängig einen formellen, unpersönlichen, technischen Ton. Dieser Ton entmutigt aktiv die Auseinandersetzung mit dem Inhalt. Nutzer schalten ab.

Ein Pflegeroboter, der einem älteren Patienten Datenschutzoptionen erklärt, sollte einen warmen, respektvollen und beruhigenden Ton verwenden — nicht weil das manipulativ wäre, sondern weil die Information sonst schlicht nicht ankommt. Der Tonfall gilt für Sprache, Bildschirmtexte und sogar Gesten.

4. Visualisierung

Datenschutzerklärungen sind abstrakt. Risiken sind hypothetisch. Visualisierung macht sie konkret.

Der Bildschirm eines Roboters kann ein animiertes Szenario zeigen: "So läuft es, wenn ich Ihre Gesichtsausdrücke erfasse. Die Daten gehen hierhin. Sie werden so lange gespeichert. Diese Personen haben Zugriff." Art. 12 Abs. 7 DSGVO sieht bereits standardisierte Icons für Verarbeitungsübersichten vor. Roboter können weiter gehen: interaktive visuelle Erklärungen, die sich in Echtzeit anpassen.

5. Personalisierung

Einheits-Datenschutzkommunikation scheitert, weil Nutzer unterschiedliche Lesekompetenzen, kognitive Fähigkeiten, Sprachpräferenzen und emotionale Zustände haben. Dieselben emotionalen Fähigkeiten, die Datenschutzrisiken erzeugen, ermöglichen auch die Lösung: Ein Roboter, der Verwirrung, Frustration oder Desinteresse erkennt, kann seine Datenschutzkommunikation entsprechend anpassen.

Das kann bedeuten: von Text zu Sprache wechseln, die Sprache vereinfachen, statt einer verbalen eine visuelle Erklärung anbieten oder eine Pause einlegen, um zu fragen, ob der Nutzer Fragen hat. Der Roboter lernt aus Interaktionen über die Zeit und verfeinert seinen Ansatz kontinuierlich.

Zusammengenommen verwandeln diese fünf Werkzeuge die Datenschutzkommunikation von einer juristischen Pflichterfüllung in eine tatsächlich wirksame Nutzer-Interaktion. Der Ansatz ist nicht risikofrei — Mehrkanaliges bringt neue Interpretationsfragen mit sich, und der Abschied von traditioneller Rechtssprache ist ein Schritt ins Unbekannte. Aber an einer vertrauten Sprache festzuhalten, die undurchsichtig, schwer verständlich und unfähig ist, Verständnisprobleme zu lösen, ist das grössere Risiko.

Schweizer Implikationen

Für Schweizer Praktikerinnen und Praktiker ist die Relevanz unmittelbar. Das revidierte Bundesgesetz über den Datenschutz (revDSG), in Kraft seit September 2023, orientiert sich eng an den DSGVO-Grundsätzen zu Einwilligung, Transparenz und Datenminimierung. Schweizer Gesundheitsdienstleister, die Pflegeroboter einsetzen, unterliegen sowohl dem revDSG als auch sektorspezifischen Patientendatenschutz-Anforderungen.

Die extraterritoriale Wirkung des EU AI Act bedeutet, dass jede Schweizer Organisation, deren KI-fähige Roboter Personen in der EU betreffen, compliant sein muss. Angesichts der laufenden Bemühungen der Schweiz um EU-Datenschutz-Äquivalenz ist der hier beschriebene proaktive Ansatz keine Übererfüllung — er ist Grundbereitschaft.

Und ganz praktisch: Wenn Ihre Mandantin Roboter in Pflege-, Spital- oder Retail-Umgebungen einsetzt, ist das Design der Datenschutzkommunikation keine Nacharbeit für die IT-Abteilung. Es ist eine Legal-Design-Aufgabe, die Zusammenarbeit von Rechtsabteilung, UX, Informationsdesign und Engineering ab dem ersten Tag erfordert.

Was Sie jetzt tun sollten

Emotionale Roboter im grossen Massstab sind noch nicht da. Aber der regulatorische Rahmen steht bereits, und die Designentscheidungen, die heute getroffen werden, bestimmen, ob künftige Einsätze compliant oder katastrophal exponiert sind.

Drei Massnahmen für Rechtsteams, die Technologieunternehmen oder Betreiber beraten:

Prüfen Sie das Kommunikationsdesign der Roboter Ihrer Mandanten. Wenn die Datenschutzkommunikation eine Textwand auf einem Bildschirm ist, verfehlt sie die DSGVO-Anforderung an einfache Sprache und wird bei vulnerablen Nutzergruppen mit Sicherheit versagen. Fordern Sie mehrkanalige, klarsprachliche, visuell aufbereitete Kommunikation als Compliance-Anforderung — nicht als Nice-to-have.

Kartieren Sie den Einwilligungs-Lebenszyklus. Einmalige Einwilligung ist rechtlich fragil, wenn sich die Nutzer-Roboter-Beziehung über Monate entwickelt. Gestalten Sie Einwilligungsmechanismen, die überarbeitet, aufgefrischt und erneut bestätigt werden können, wenn sich die Beziehung vertieft und der Verarbeitungsumfang ändert.

Adressieren Sie das Anthropomorphismus-Risiko explizit. Wenn Ihre Mandantin Roboter bewusst warm, empathisch und ansprechend gestaltet — und das sollte sie aus Usability-Gründen —, dann muss die Datenschutzkommunikation proportional stärker sein. Je mehr Vertrauen das Design erzeugt, desto robuster muss der Mechanismus der informierten Einwilligung sein.

Die Lücke zwischen dem, was das Recht verlangt, und dem, was die aktuelle Praxis liefert, ist gross. Proaktives Datenschutzkommunikationsdesign schliesst sie — bevor die Aufsichtsbehörde oder der Kläger das für Sie erledigt.