DSGVO & Gesichtserkennung

Die Gesichtserkennung ist eine moderne Technologie, die im Alltag eine immer größere Rolle einnimmt: Einlasskontrollen am Flughafen, die Fahndung nach Straftätern oder das automatische Entsperren des Smartphones – Gesichtserkennung kommt mithilfe von Apps oder anderen Technologien in vielen Bereichen zum Einsatz. Mit Gesichtserkennungssoftware und Geräten wie Kameras und Lasersensoren werden dabei bestimmte Bereiche des Gesichts registriert, vermessen und beschrieben und das Gesicht automatisch erkannt. So kann man beispielsweise mit einer Gesichtserkennungs-App die Identität einer Person feststellen.

Im Alltag kommen Nutzer nicht nur mit der Gesichtserkennung bei Facebook in Berührung. Auch Smartphones wie das iPhone X oder das Samsung Galaxy S9 arbeiten mit Gesichtserkennungsfunktionen. Doch die Gesichtserkennung ist auch eine datenschutzrechtlich kontrovers-diskutierte Frage – sie berührt die Privatsphäre der betroffenen Personen in elementarer Weise. Diesem Eingriff in die Privatsphäre setzt das Datenschutzrecht jedoch Grenzen.
 

Gesichtserkennung und die Nutzung biometrischer Daten

Gesichtserkennungstechnologien sind für die Authentifizierung von Personen einsetzbar und berühren zwangsläufig das Thema Datenschutz, weil sie auf der Nutzung personenbezogener Daten aufbauen. Sie arbeiten und funktionieren nur mit biometrischen Daten, anhand derer man eine natürliche Person eindeutig identifizieren kann. Diese werden in Art. 4 Nr. 14 Datenschutzgrundverordnung (DSGVO) definiert und zählen zur besonderen Kategorie von personenbezogenen Daten nach Art. 9 Abs. 1 DSGVO. Sie gelten als äußerst sensibel und schützenswert. Deshalb verbietet der Gesetzgeber deren Erhebung und Verarbeitung, sofern nicht einer der in Art. 9 Abs. 2 DSGVO normierten Ausnahmefälle vorliegt.

Gesichtserkennung und Ausnahmefälle laut DSGVO

Art. 9 Abs. 2 DSGVO regelt einige Ausnahmefälle, in denen biometrische Daten erhoben und verarbeitet werden dürfen. Demnach ist es beispielsweise erlaubt, biometrische Daten wie Gesichtsbilder zu verarbeiten, wenn

1. der Betroffene in die Verarbeitung zu einem festgelegten Zweck ausdrücklich eingewilligt hat (nach Art. 9 Abs. 2 lit. a DSGVO)
2. deren Verarbeitung erforderlich ist, um bestimmte Rechte und Pflichten wahrzunehmen (nach Art. 9 Abs. 2 lit. b DSGVO).

Fall 1: Gesichtserkennungstechnologie mit ausdrücklicher Einwilligung des Nutzers

Der Betroffene muss eine ausdrückliche Einwilligung in die Verarbeitung für einen festgelegten Verwendungszweck geben, wenn die Verarbeitung nicht erforderlich ist, damit Unternehmen die Gesichtserkennung laut DSGVO einsetzen dürfen. Im geschäftlichen Bereich nutzen Betriebe diese Technologien hauptsächlich, um den Nutzern eine einfache Authentifizierung zu ermöglichen. Eine solche Identitätsfeststellung ließe sich aber auch durch Passwörter oder andere Verfahren umsetzen. Die Nutzung von biometrischen Daten ist dabei also nicht erforderlich. Unternehmen müssen deshalb gem. Art. 9 Abs. 2 lit. a DSGVO die ausdrückliche Einwilligung der Betroffenen einholen, wenn sie Gesichtserkennungstechnologien einsetzen.

Anbieter, die Gesichtserkennungsfunktionen entwickeln, sollten die Technologien so gestalten, dass sie dieses Einwilligungserfordernis des Betroffenen, also des Nutzers, erfüllen. Mit Opt-in-Verfahren entspricht die Gesichtserkennung den gesetzlichen Vorgaben der DSGVO, weil sie standardmäßig erst einmal deaktiviert ist. Demnach kann das Unternehmen die Gesichtserkennungsfunktion nur dann einsetzen, wenn der Betroffene dieses Tool aktiviert und damit ausdrücklich eingewilligt hat. Eine solche Einwilligung in die Verarbeitung von biometrischen Daten setzt allerdings voraus, dass das Unternehmen den Nutzer über den Verarbeitungszweck im Vorhinein umfassend informiert hat. Die Datenverarbeitung muss sich zudem auf den Zweck, in den eingewilligt wurde, beschränken. In diesem Fall ist das der Einsatz von Gesichtserkennungsfunktionen zur Authentifizierung.
 

Exkurs: Zeiterfassung in Unternehmen mittels biometrischer Daten

Nach einem Urteil des Arbeitsgerichts Berlins von Dezember 2019 ist es im Übrigen unzulässig, biometrische Daten zur Zeiterfassung der Mitarbeiter:innen einzusetzen. Zwar handelte es sich im angegebenen Fall bei den biometrischen Daten um die Fingerabdrücke der Mitarbeiter:innen, diese seien aber ohne Einwilligung nicht zu verwenden, so urteilte das Berliner Arbeitsgericht.

Fall 2: Verarbeitung von Gesichtsbildern aus erforderlichen Gründen

Darüber hinaus gilt das Verbot der DSGVO für die Verarbeitung von biometrischen Daten wie Gesichtsbildern nicht für den Fall, wenn sie nach Art. 9 Abs. 2 lit. b DSGVO zur Wahrnehmung bestimmter, gesetzlich festgelegter Rechte und Pflichten erforderlich ist. Dies betrifft Rechte und Pflichten, die aus dem Recht sozialer Sicherheit, Arbeitsrecht und Sozialschutz erwachsen.

Videoüberwachung und automatische Gesichtserkennung

Im Januar 2019 warnte der neue Bundesdatenschutzbeauftragte Ulrich Kelber (SPD) vor einer Ausweitung der Videoüberwachung und automatischen Gesichtserkennung. Er wies auf die Balance zwischen Sicherheit und Freiheit hin und betonte, dass eine Forderung nach automatischer Gesichtserkennung unter anderem wegen der Fehlerquote "hochproblematisch" sei. Zuvor war unter anderem von Bundesinnenminister Horst Seehofer eine breite Einführung dieser Techniken ins Gespräch gebracht worden.

Videoüberwachung, automatische Gesichtserkennung und ClearView

Im Januar 2019 warnte der neue Bundesdatenschutzbeauftragte Ulrich Kelber (SPD) vor einer Ausweitung der Videoüberwachung und automatischen Gesichtserkennung im Sinne einer Generalüberwachung. Er wies auf die Balance zwischen Sicherheit und Freiheit hin und betonte, dass eine Forderung nach automatischer Gesichtserkennung unter anderem wegen der Fehlerquote "hochproblematisch" sei. Zuvor war unter anderem von Bundesinnenminister Horst Seehofer eine breite Einführung dieser Techniken ins Gespräch gebracht worden.

Im Januar 2020 wurde diese Diskussion wieder angeheizt, da die Überwachungs-App ClearView, die insbesondere von US-Ermittlungsbehörden wie dem FBI eingesetzt wird, unerlaubter Weise über 3 Milliarden Bilder aus dem Internet absaugte, um ihre Vergleichsdatenbank damit zu füttern. Dies ist ein hoch problematisches Vorgehen, da diese Sammlung von Userbildern ohne ausdrückliche Genehmigung erfolgte. Ein Sprecher des Bundesdatenschutzbeauftragten sagte in einer Stellungnahme zu diesem Vorfall, dass die die Personen, deren Daten verwendet wurden, wohl über die Verarbeitung ihrer Daten weder informiert wurden noch, dass dies freiwillig geschehen sei: „Das Verhalten des Unternehmens war somit vermutlich nicht konform mit der Datenschutz-Grundverordnung (DSGVO) und wäre hierzulande nicht zulässig.“

Noch kritischer zu bewerten ist dieses Verhalten angesichts der Tatsache, dass ClearView die Suchergebnisse ihrer Datenbank anscheinend auch gezielt steuern und manipulieren kann: Das Bild einer New York Times-Journalistin, die während ihrer Recherche zu diesem Thema die örtliche Polizei bat, ihr Bild durch die ClearView-Datenbank laufen zu lassen, wurde urplötzlich entfernt, nachdem ClearView nach Rückfragen an die Polizei herausfand, dass diese mit der Presse sprach. Später wurde als Stellungnahme auf diese Vorwürfe seitens ClearView lediglich von einem IT-Fehler gesprochen. Diese Entwicklung ist ebenso bedenklich wie die Tatsache, dass allein 2019 die ClearView-App nach eigenen Angaben von über 600 (Ermittlungs-)Behörden genutzt wurde. Es bleibt zu hoffen, dass die DSGVO Europa vor einer solchen Software beschützen kann.