Magazin
DSGVO & Gesichtserkennung

DSGVO & Gesichtserkennung

Letztes Update:
18
.
11
.
2022
Lesezeit:
0
Min
Man kennt sie vom Entsperren des Smartphones, den Einlasskontrollen am Flughafen oder der Fahndung nach Straftätern – die Gesichtserkennung. Doch in welchen Fällen ist das Sammeln biometrischer Daten überhaupt rechtens?
DSGVO & Gesichtserkennung
Die wichtigsten Erkenntnisse
  • Gesichtserkennung erfordert Nutzung sensibler biometrischer Daten gemäß DSGVO.
  • Verarbeitung biometrischer Daten durch DSGVO nur bei ausdrücklicher Einwilligung erlaubt.
  • DSGVO verbietet biometrische Zeiterfassung ohne Einwilligung, wie ein Urteil zeigt.
  • Videoüberwachung und automatische Gesichtserkennung sind datenschutzrechtlich problematisch.
  • ClearView-App verletzte DSGVO durch unerlaubtes Sammeln und Manipulieren von Bildern.

Die Gesichtserkennung ist eine moderne Technologie, die im Alltag eine immer größere Rolle einnimmt: Einlasskontrollen am Flughafen, die Fahndung nach Straftätern oder das automatische Entsperren des Smartphones – Gesichtserkennung kommt mithilfe von Apps oder anderen Technologien in vielen Bereichen zum Einsatz. Mit Gesichtserkennungssoftware und Geräten wie Kameras und Lasersensoren werden dabei bestimmte Bereiche des Gesichts registriert, vermessen und beschrieben und das Gesicht automatisch erkannt. So kann man beispielsweise mit einer Gesichtserkennungs-App die Identität einer Person feststellen.

Im Alltag kommen Nutzer nicht nur mit der Gesichtserkennung bei Facebook in Berührung. Auch Smartphones wie das iPhone X oder das Samsung Galaxy S9 arbeiten mit Gesichtserkennungsfunktionen. Doch die Gesichtserkennung ist auch eine datenschutzrechtlich kontrovers-diskutierte Frage – sie berührt die Privatsphäre der betroffenen Personen in elementarer Weise. Diesem Eingriff in die Privatsphäre setzt das Datenschutzrecht jedoch Grenzen.
 

Gesichtserkennung und die Nutzung biometrischer Daten

Gesichtserkennungstechnologien sind für die Authentifizierung von Personen einsetzbar und berühren zwangsläufig das Thema Datenschutz, weil sie auf der Nutzung personenbezogener Daten aufbauen. Sie arbeiten und funktionieren nur mit biometrischen Daten, anhand derer man eine natürliche Person eindeutig identifizieren kann. Diese werden in Art. 4 Nr. 14 Datenschutzgrundverordnung (DSGVO) definiert und zählen zur besonderen Kategorie von personenbezogenen Daten nach Art. 9 Abs. 1 DSGVO. Sie gelten als äußerst sensibel und schützenswert. Deshalb verbietet der Gesetzgeber deren Erhebung und Verarbeitung, sofern nicht einer der in Art. 9 Abs. 2 DSGVO normierten Ausnahmefälle vorliegt.

Gesichtserkennung und Ausnahmefälle laut DSGVO

Art. 9 Abs. 2 DSGVO regelt einige Ausnahmefälle, in denen biometrische Daten erhoben und verarbeitet werden dürfen. Demnach ist es beispielsweise erlaubt, biometrische Daten wie Gesichtsbilder zu verarbeiten, wenn

  1. der Betroffene in die Verarbeitung zu einem festgelegten Zweck ausdrücklich eingewilligt hat (nach Art. 9 Abs. 2 lit. a DSGVO)
  2. deren Verarbeitung erforderlich ist, um bestimmte Rechte und Pflichten wahrzunehmen (nach Art. 9 Abs. 2 lit. b DSGVO).

 

Fall 1: Gesichtserkennungstechnologie mit ausdrücklicher Einwilligung des Nutzers

Der Betroffene muss eine ausdrückliche Einwilligung in die Verarbeitung für einen festgelegten Verwendungszweck geben, wenn die Verarbeitung nicht erforderlich ist, damit Unternehmen die Gesichtserkennung laut DSGVO einsetzen dürfen. Im geschäftlichen Bereich nutzen Betriebe diese Technologien hauptsächlich, um den Nutzern eine einfache Authentifizierung zu ermöglichen. Eine solche Identitätsfeststellung ließe sich aber auch durch Passwörter oder andere Verfahren umsetzen. Die Nutzung von biometrischen Daten ist dabei also nicht erforderlich. Unternehmen müssen deshalb gem. Art. 9 Abs. 2 lit. a DSGVO die ausdrückliche Einwilligung der Betroffenen einholen, wenn sie Gesichtserkennungstechnologien einsetzen.

Anbieter, die Gesichtserkennungsfunktionen entwickeln, sollten die Technologien so gestalten, dass sie dieses Einwilligungserfordernis des Betroffenen, also des Nutzers, erfüllen. Mit Opt-in-Verfahren entspricht die Gesichtserkennung den gesetzlichen Vorgaben der DSGVO, weil sie standardmäßig erst einmal deaktiviert ist. Demnach kann das Unternehmen die Gesichtserkennungsfunktion nur dann einsetzen, wenn der Betroffene dieses Tool aktiviert und damit ausdrücklich eingewilligt hat. Eine solche Einwilligung in die Verarbeitung von biometrischen Daten setzt allerdings voraus, dass das Unternehmen den Nutzer über den Verarbeitungszweck im Vorhinein umfassend informiert hat. Die Datenverarbeitung muss sich zudem auf den Zweck, in den eingewilligt wurde, beschränken. In diesem Fall ist das der Einsatz von Gesichtserkennungsfunktionen zur Authentifizierung.
 

Exkurs: Zeiterfassung in Unternehmen mittels biometrischer Daten

Nach einem Urteil des Arbeitsgerichts Berlins von Dezember 2019 ist es im Übrigen unzulässig, biometrische Daten zur Zeiterfassung der Mitarbeiter:innen einzusetzen. Zwar handelte es sich im angegebenen Fall bei den biometrischen Daten um die Fingerabdrücke der Mitarbeiter:innen, diese seien aber ohne Einwilligung nicht zu verwenden, so urteilte das Berliner Arbeitsgericht.

Fall 2: Verarbeitung von Gesichtsbildern aus erforderlichen Gründen

Darüber hinaus gilt das Verbot der DSGVO für die Verarbeitung von biometrischen Daten wie Gesichtsbildern nicht für den Fall, wenn sie nach Art. 9 Abs. 2 lit. b DSGVO zur Wahrnehmung bestimmter, gesetzlich festgelegter Rechte und Pflichten erforderlich ist. Dies betrifft Rechte und Pflichten, die aus dem Recht sozialer Sicherheit, Arbeitsrecht und Sozialschutz erwachsen.

Videoüberwachung und automatische Gesichtserkennung

Im Januar 2019 warnte der neue Bundesdatenschutzbeauftragte Ulrich Kelber (SPD) vor einer Ausweitung der Videoüberwachung und automatischen Gesichtserkennung. Er wies auf die Balance zwischen Sicherheit und Freiheit hin und betonte, dass eine Forderung nach automatischer Gesichtserkennung unter anderem wegen der Fehlerquote "hochproblematisch" sei. Zuvor war unter anderem von Bundesinnenminister Horst Seehofer eine breite Einführung dieser Techniken ins Gespräch gebracht worden.

Videoüberwachung, automatische Gesichtserkennung und ClearView

Im Januar 2019 warnte der neue Bundesdatenschutzbeauftragte Ulrich Kelber (SPD) vor einer Ausweitung der Videoüberwachung und automatischen Gesichtserkennung im Sinne einer Generalüberwachung. Er wies auf die Balance zwischen Sicherheit und Freiheit hin und betonte, dass eine Forderung nach automatischer Gesichtserkennung unter anderem wegen der Fehlerquote "hochproblematisch" sei. Zuvor war unter anderem von Bundesinnenminister Horst Seehofer eine breite Einführung dieser Techniken ins Gespräch gebracht worden.

Im Januar 2020 wurde diese Diskussion wieder angeheizt, da die Überwachungs-App ClearView, die insbesondere von US-Ermittlungsbehörden wie dem FBI eingesetzt wird, unerlaubter Weise über 3 Milliarden Bilder aus dem Internet absaugte, um ihre Vergleichsdatenbank damit zu füttern. Dies ist ein hoch problematisches Vorgehen, da diese Sammlung von Userbildern ohne ausdrückliche Genehmigung erfolgte. Ein Sprecher des Bundesdatenschutzbeauftragten sagte in einer Stellungnahme zu diesem Vorfall, dass die die Personen, deren Daten verwendet wurden, wohl über die Verarbeitung ihrer Daten weder informiert wurden noch, dass dies freiwillig geschehen sei: „Das Verhalten des Unternehmens war somit vermutlich nicht konform mit der Datenschutz-Grundverordnung (DSGVO) und wäre hierzulande nicht zulässig.“

Noch kritischer zu bewerten ist dieses Verhalten angesichts der Tatsache, dass ClearView die Suchergebnisse ihrer Datenbank anscheinend auch gezielt steuern und manipulieren kann: Das Bild einer New York Times-Journalistin, die während ihrer Recherche zu diesem Thema die örtliche Polizei bat, ihr Bild durch die ClearView-Datenbank laufen zu lassen, wurde urplötzlich entfernt, nachdem ClearView nach Rückfragen an die Polizei herausfand, dass diese mit der Presse sprach. Später wurde als Stellungnahme auf diese Vorwürfe seitens ClearView lediglich von einem IT-Fehler gesprochen. Diese Entwicklung ist ebenso bedenklich wie die Tatsache, dass allein 2019 die ClearView-App nach eigenen Angaben von über 600 (Ermittlungs-)Behörden genutzt wurde. Es bleibt zu hoffen, dass die DSGVO Europa vor einer solchen Software beschützen kann.

Sie haben noch Fragen zum Thema? Lassen Sie sich jetzt kostenlos von unseren Expertinnen und Experten beraten.

Wenn Sie auf der Suche nach einem Partner sind, der Sie auf dem Weg zu Datenschutz und Informationssicherheit unterstützt, wenden Sie sich gern an unser Team aus erfahrenen Experten.
60+ Expertinnen und Experten
Beratung vereinbaren
Themen
DSGVO
Personenbezogene Daten
Datenschutz im Alltag
Datenschutzverletzung
Redaktion
Alexander Ingelheim
Co-Founder & CEO
-
Zum Autorenprofil
Zum Expertenprofil
Über Datenschutzexperte
Ein Service der PROLIANCE GmbH.
Proliance steht für Professional Compliance für Unternehmen. Wir sind ein digital getriebenes Legal Tech Unternehmen mit Sitz in München - seit 2017 bestehend aus über 90 Privacy Enthusiasten.
Zu unseren mehr als 2.500 Kunden zählen Start-ups, mittlere Unternehmen und Unternehmensgruppen aus nahezu allen Branchen.
Über uns
In diesem Beitrag
Example Link H2
Example Link H3
Example Link H4
Example Link H5
Example Link H6
Beitrag teilen
Sie haben noch Fragen? Wir sind gerne für Sie da.
Unverbindliche Beratung
Verwandte Artikel

Ähnliche Themen, die Sie auch interessieren könnten

Neueste Artikel

Brandheiße Themen, die Sie interessieren könnten

Datenschutzaudit: Der Fragenkatalog für die Zertifizierung
30
.
10
.
2024
Datenschutzaudit: Der Fragenkatalog für die Zertifizierung
Der Datenschutzaudit nach DSGVO bietet für Unternehmen die Möglichkeit, die eigene Datenschutzkonformität freiwillig prüfen zu lassen und nach außen hin durch ein Zertifikat unter Beweis zu stellen.
Datenschutz im Gesundheitswesen: Ein Blick auf Gesundheitsdaten und die DSGVO
30
.
10
.
2024
Datenschutz im Gesundheitswesen: Ein Blick auf Gesundheitsdaten und die DSGVO
Egal, ob in der Arztpraxis, in der Pflege oder im Krankenhaus – Datenschutz im Gesundheitswesen ist von großer Bedeutung. Wir werfen einen Blick darauf, welche Regeln gemäß der DSGVO für medizinische Daten gelten und geben praktische Tipps, um den Herausforderungen erfolgreich zu begegnen.
Ab wann ist ein Datenschutzbeauftragter Pflicht?
14
.
10
.
2024
Ab wann ist ein Datenschutzbeauftragter Pflicht?
Die Datenschutzgrundverordnung (DSGVO) weitet den Verantwortungsbereich des Datenschutzbeauftragten aus und droht daneben mit erheblichen Sanktionen bei Nichtbeachtung der datenschutzrechtlichen Vorschriften. Sich mit der Pflicht zur Bestellung eines Datenschutzbeauftragten auseinanderzusetzen, ist für Unternehmen daher unabdingbar.
Aufbewahrungsfristen & Löschfristen nach DSGVO
14
.
10
.
2024
Aufbewahrungsfristen & Löschfristen nach DSGVO
Unternehmen verarbeiten oftmals eine Menge personenbezogener Daten. Für diese Datenverarbeitung und -Speicherung benötigen sie eine entsprechende Rechtsgrundlage. Sollte der Grund oder die Rechtsgrundlage hierfür entfallen, sind Unternehmen grundsätzlich verpflichtet, die Daten zu löschen. Hierzu gibt es die sogenannten Aufbewahrungsfristen. Gesetzliche Aufbewahrungsfristen geben vor, wie lange gewisse Unterlagen aufbewahrt werden müssen und schieben die datenschutzrechtlichen Löschfristen nach hinten. Diese Fristen müssen beachtet werden, da sonst Bußgelder die Folge sein können.
datenschutz-Muster

Kostenlose Materialien zum Thema

Vertraulichkeits- und Verschwiegenheits­erklärung Mitarbeiter
Alle Unternehmen die personenbezogene Daten verarbeiten müssen sicherstellen, dass Mitarbeiter und Dienstleister diese Daten vertraulich behandeln. Deshalb ist eine Verpflichtung auf Vertraulichkeit (auch „Vertraulichkeitserklärung“ genannt) notwendig. Um zu dokumentieren, dass die Mitarbeiter im Unternehmen sich dieser Pflicht bewusst sind, entsprechend geschult wurden, und wissen, worauf sie beim Umgang mit personenbezogenen Daten zu achten haben, sieht die DSGVO vor, dass die Mitarbeiter eine Vertraulichkeitserklärung unterschreiben. Dies ergibt sich aus der Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO und Art. 24 Abs. 1 DSGVO. Mit der Vertraulichkeitserklärung können Unternehmen nicht nur ihren Dokumentationspflichten gegenüber Betroffenen oder Aufsichtsbehörden nachkommen, sondern verringern auch die Gefahr einer unbeabsichtigten Datenschutzverletzung. Die Vertraulichkeitserklärung stärkt zudem das Vertrauen der Kunden oder Geschäftspartner in die datenschutzrechtlichen Praktiken des Unternehmens. Mit unserem juristisch geprüften Verschwiegenheitserklärung-Muster können Sie Ihren Mitarbeitern eine Vertraulichkeitserklärung zukommen und diese unterschreiben lassen. Falls Sie dieser Pflicht nicht nachkommen, können teure Abmahnungen die Folge sein.
Verarbeitungsverzeichnis (VVT)
Nutzen Sie unser kostenloses VVT Datenschutz Muster und setzen Sie die DSGVO sicher um.
Auftrags­verarbeitungsvertrag (AV-Vertrag)
Erstellen Sie mit unserem kostenlosen Muster einen DSGVO-konformen Auftragsverarbeitungsvertrag.
Datenschutzerklärung für Bewerber
Unternehmen sind gesetzlich dazu verpflichtet, verschiedene Informationspflichten nach der DSGVO einzuhalten. Dazu zählt auch die Datenschutzinformationspflicht gegenüber Ihren Bewerbern. Dabei können Sie eine PDF-Datei in Ihrer Karriereseite oder in den jeweiligen Stellenausschreibungen für die Bewerber zur Verfügung stellen. Um Ihnen die Arbeit zu erleichtern, haben wir eine DSGVO-konforme Vorlage zur Datenschutzbelehrung für Bewerber erstellt. Damit können Sie die Datenschutzinformationspflicht für Bewerber jetzt mit geringerem Zeitaufwand und mehr Sicherheit umsetzen.
Newsletter

Nichts mehr verpassen – Jetzt Ihren exklusiven Datenschutz-Newsletter abonnieren!