Die beiden Männer, die letztes Jahr in Los Angeles versuchten, einen Lieferroboter zu stehlen, sahen darin wahrscheinlich keinen historischen Wendepunkt der Überwachung. Sie wollten lediglich ein kostenloses Essen. Der Bot, eine kniehohe Kühlbox auf Rädern mit dem Logo von Serve Robotics, stand an einem Bordstein, als sie ihn sich schnappten. Was sie dabei übersahen: Ein halbes Dutzend Kameras zeichnete ihre Gesichter, Kleidung und Fluchtroute in 360-Grad-Ansicht direkt auf einen Cloud-Server auf. Serve Robotics übergab dieses Material innerhalb weniger Stunden an das LAPD. Ohne richterlichen Beschluss. Ohne Richter. Rein aufgrund einer Unternehmensentscheidung.
„Ohne das Video gab es keine Möglichkeit, die Täter zu identifizieren“, gab ein LAPD-Detektiv später in einer internen E-Mail zu. Das Material sei „äußerst hilfreich“ gewesen. Die Verdächtigen wurden wegen schweren Diebstahls verurteilt. Der Roboter hingegen kehrte zu seinem Job zurück, Pad Thai auszuliefern, während seine Sensoren im Stillen jeden Passanten als potenziellen Datenpunkt neu klassifizierten.
Dies ist kein isolierter Ausreißer. Es ist die Zukunft der Polizeiarbeit, und sie kam auf einer Welle risikokapitalfinanzierter Logistik. In ganz Europa wachen Regulierungsbehörden, die sich die letzten fünf Jahre mit der DSGVO und dem KI-Gesetz herumgeschlagen haben, nun vor einer schwierigeren Frage auf: Was passiert, wenn eine Essenslieferung zur mobilen Abhörstation wird?
Der Bot, der seine Erinnerungen freiwillig preisgab
Serve Robotics, ein Spin-off der experimentellen Abteilung von Uber, betreibt eine Flotte von rund 200 autonomen Lieferrobotern in Los Angeles und plant die Skalierung auf Tausende. Jede Einheit ist mit einer Reihe von Kameras, Ultraschallsensoren und GPS-Modulen ausgestattet. Die Datenschutzrichtlinie des Unternehmens ist, wie die der meisten, in der beruhigenden Diktion von „Datenminimierung“ und „Anonymisierung“ verfasst. Doch der Vorfall in LA riss den Vorhang weg.
Als die Verdächtigen den Bot griffen, erfassten seine Navigationskameras sie deutlich. Das Unternehmen prüfte das Material, stellte fest, dass ein Verbrechen begangen wurde, und kontaktierte proaktiv das LAPD. Es gab keine Vorladung, keinen Gerichtsbeschluss. Die Daten wurden ohne das Wissen der Verdächtigen – oder irgendeines anderen – weitergegeben. Für die Polizei war es ein Geschenk. Für alle anderen, die auf demselben Gehweg unterwegs waren, war es eine Demonstration, wie gründlich die Regeln zusammengebrochen sind.
Serve Robotics ist kein Einzelfall. Wettbewerber wie Coco und Starship Technologies protokollieren täglich tausende Stunden Straßen-Videoaufnahmen. Ihre Richtlinien unterscheiden sich: Manche wehren sich gegen Anfragen der Strafverfolgungsbehörden, andere kommen ihnen nach. Dieses Flickwerk gleicht den Anfängen der Ring-Türklingeln, als Amazon fröhlich Videoclips mit Polizeidienststellen teilte, bis ein öffentlicher Aufschrei zum Einlenken zwang. Doch eine Türklingel ist stationär; ein Lieferroboter zieht durch Wohnviertel, Parks und Fußgängerzonen und erstellt ein erstaunlich granulares Protokoll des Alltags.
Ein Datenschatz ohne Verwalter
Die rechtliche Lücke ist eklatant. In den Vereinigten Staaten besagt die „Third-Party-Doktrin“ – ein Relikt aus den Bankunterlagen der 1970er Jahre –, dass Inhalte, die Einzelpersonen freiwillig mit einem Unternehmen teilen, ihren Schutz durch den vierten Verfassungszusatz verlieren. Da die Kameras des Roboters öffentliche Straßen aufzeichnen und das Material dem Betreiber gehört, kann die Polizei es oft ohne Durchsuchungsbeschluss erhalten, wenn der Betreiber zustimmt. Das macht jede Lieferung zu einem vorverpackten Beweismittel-Schließfach.
Europa hat stärkere grundlegende Schutzbestimmungen, doch diese wurden für statische Videoüberwachung (CCTV) geschrieben, nicht für eine mobile Plattform, die Gesichter, Kleidung, Gespräche und Fahrzeugkennzeichen in einem kontinuierlichen Strom erfasst. Unter der DSGVO ist jedes Bild, das eine Person identifiziert, ein personenbezogenes Datum. Die Verarbeitung für Zwecke der Strafverfolgung erfordert eine spezifische Rechtsgrundlage – in der Regel Einwilligung, eine gesetzliche Verpflichtung oder ein berechtigtes Interesse, das die Rechte des Einzelnen überwiegt. In den meisten EU-Mitgliedstaaten ist die Weitergabe des Bildes eines Unbeteiligten an die Polizei ohne dessen Einwilligung nicht ohne Weiteres durch eine dieser Rechtfertigungen gedeckt.
„Unternehmen können nicht einfach entscheiden, dass sie die Polizei mögen und auf ‚Teilen‘ klicken“, sagt Anna-Lena Vogeler, Datenschutzanwältin bei dem in Berlin ansässigen Think Tank Privacy & Automation. „Ein Lieferroboter ist kein Zeuge. Er ist ein Verantwortlicher für die Datenverarbeitung und muss ab dem Moment, in dem die Linse sich öffnet, die ePrivacy-Richtlinie und die DSGVO einhalten. Dazu gehören technische Maßnahmen wie Echtzeit-Verpixelung, Aufbewahrungsfristen und die Verweigerung freiwilliger Anfragen ohne richterlichen Beschluss.“
Bisher haben nur wenige Betreiber solche Maßnahmen implementiert. Die meisten verstecken die Realität in den Nutzungsbedingungen, die ohnehin niemand liest. Und während die europäische Lieferroboter-Industrie im Vergleich zum US-Markt noch klein ist – Starships rollen durch Milton Keynes und Tallinn, DPD testet einige Einheiten in Deutschland –, ist die Richtung klar. Die Europäische Kommission hat die autonome Zustellung als wichtige Säule einer nachhaltigen urbanen Logistik eingestuft, und das Programm Horizon Europe investiert Millionen in die Automatisierung auf der „letzten Meile“. Die Bot-Flotten kommen. Die Frage ist, ob die europäischen Vorschriften für sie bereit sein werden.
Was Brüssel aus einem misslungenen Raubüberfall lernen kann
Der Europäische Datenschutzausschuss hat noch keine Leitlinien zur mobilen autonomen Überwachung herausgegeben, aber der Fall in LA erzwingt das Thema. Ein internes Diskussionspapier, das Anfang 2024 unter den Datenschutzbehörden der Mitgliedstaaten zirkulierte und das Apollo Thirteen vorliegt, argumentiert, dass Lieferroboter im Rahmen der „biometrischen Kategorisierung“ des KI-Gesetzes als „hochriskant“ eingestuft werden sollten, selbst wenn sie keine Gesichtserkennung durchführen. Die Begründung ist einfach: Da das Material genutzt werden kann, um Personen nachträglich zu identifizieren, stellt der bloße Vorgang der Aufzeichnung einen Hochrisiko-Verarbeitungsvorgang dar.
Diese Einstufung würde eine Kaskade von Anforderungen auslösen: verpflichtende Datenschutz-Folgenabschätzungen, menschliche Aufsicht, strenge Aufbewahrungsfristen und ein absolutes Verbot der automatisierten Weitergabe an Strafverfolgungsbehörden ohne richterlichen Beschluss. Zudem müssten die Betreiber ihre Kamerasysteme so umgestalten, dass nur die für die Navigation notwendigen Daten gesammelt werden – nicht für forensische Archivierung.
Die Industrie wehrt sich bereits. Lobbydokumente des European Robotics Forum zeigen, dass Betreiber argumentieren, sie würden lediglich „Umgebungsdaten“ erfassen, die für die Hindernisvermeidung unerlässlich seien, ähnlich den Parksensoren eines Autos. Sie wollen, dass Lieferbots als „Transportfahrzeuge“ und nicht als „Überwachungsplattformen“ eingestuft werden. Der semantische Kampf ist alles andere als trivial: Transportfahrzeuge fallen unter die General Safety Regulation, nicht unter das KI-Gesetz. Gewinnt man dieses Argument, schrumpfen die Datenschutzpflichten drastisch.
Doch Ingenieure kennen den Unterschied. Die Lidar-Punktwolke eines Roboterautos wird der Polizei nicht helfen, einen Verdächtigen zu identifizieren; ein 4K-Videostream mit stabilisierten Gesichtsaufnahmen hingegen schon. Die Kameras auf den Bots von Serve sind nicht nur für das Überqueren von Kreuzungen da – sie sind ein geschäftlicher Vermögenswert. Aggregiertes Filmmaterial offenbart Verkehrsmuster, Fußgängerdichte und sogar, welche Schaufenster die Aufmerksamkeit auf sich ziehen. Mehrere Betreiber haben bereits damit experimentiert, de-identifizierte Mobilitätsdaten an Stadtplaner und Versicherer zu verkaufen. Die Grenze zwischen betrieblicher Notwendigkeit und Überwachungskapitalismus verschwimmt von Block zu Block.
Das unangenehme Schweigen im Vorstand
Eine weitere Dimension, die selten öffentlich diskutiert wird, ist das Kalkül der Versicherungen. Wenn ein Bot gestohlen oder beschädigt wird, reicht der Betreiber einen Schadensfall ein. Aufnahmen, die der Polizei helfen, das Eigentum wiederzubeschaffen oder einen Verdächtigen zu überführen, senken direkt die Schadensquote. Das gibt jedem Lieferunternehmen einen stillen finanziellen Anreiz, als De-facto-Überwachungskameranetzwerk zu fungieren. Es ist dieselbe Logik, die Amazon dazu brachte, Ring-Aufnahmen zu teilen: Ein paar Minuten Video können eine Auszahlung verhindern.
In Europa, wo die Versicherungsprämien für autonome Systeme bereits steigen, wird die Versuchung noch größer sein. EU-Regulierungsbehörden verfügen jedoch über Instrumente, die den USA fehlen. Die ePrivacy-Richtlinie verlangt bereits, dass Standortdaten – einschließlich abgeleiteter Standorte aus Kamera-Feeds – anonymisiert oder gelöscht werden müssen, bevor eine Verarbeitung erfolgt, die über den Kerndienst hinausgeht. Und die kommende KI-Haftungsrichtlinie wird es für Einzelpersonen wesentlich einfacher machen, zu klagen, wenn ihre Daten unsachgemäß behandelt werden. Eine Sammelklage von Passanten, die erfahren, dass sie ohne Benachrichtigung gefilmt und Daten geteilt wurden, könnte die Risikomodelle über Nacht auf den Kopf stellen.
Bis dahin bleibt der Standard vertrauensbasiert, was gar keine Grundlage ist. Ein Sprecher von Serve Robotics erklärte gegenüber US-Medien, das Unternehmen teile Filmmaterial nur, „wenn es eine rechtmäßige Untersuchung unterstützt“. Aber wer definiert „rechtmäßig“? Die Intuition eines Polizisten? Eine interne Unternehmensrichtlinie, die sich mit einem Vorstandsbeschluss ändern lässt? Der Bot trägt kein Abzeichen, aber er kann jemanden in eine polizeiliche Gegenüberstellung bringen.
Europas Neigung, Datenschutzrechte im Namen der Effizienz beiseite zu schieben, wurde in diesem Bereich noch nie auf die Probe gestellt. Während sich Städte von Köln bis Kopenhagen auf autonome Liefertests vorbereiten, sollte der Vorfall in LA die Gemüter aufrütteln. Ein Bot, der dreimal täglich an Ihrer Haustür vorbeifährt, ist nicht nur ein Komfort; er ist ein Zeuge unter der Kontrolle eines Konzerns. Ob er zum Spion oder zum Wächter wird, hängt allein von den Gesetzen ab, die wir jetzt formulieren – und Brüssel neigt dazu, Regulierungen erst dann zu finalisieren, wenn die Technologie bereits flächendeckend skaliert ist.
Eines Tages wird ein europäisches Gericht die Frage beantworten müssen, die zwei opportunistische Diebe versehentlich auf einem Gehweg in Los Angeles aufgeworfen haben: Für wen arbeitet ein Lieferroboter eigentlich? Die Antwort könnte bestimmen, auf wessen Straßen wir wirklich unterwegs sind.
Kommentare
Noch keine Kommentare. Seien Sie der Erste!