Datensicherheit im Alltag: Datenschutz und die Gesichtserkennung
Bei Einlasskontrollen am Flughafen, Fahndungen nach Straftätern oder auch beim Entsperren von Smartphones wird mit der „Gesichtserkennung“ eine der modernsten Technologien eingesetzt. Mittels Gesichtserkennungssoftware, App und Geräten, wie beispielsweise Kameras und Lasersensoren, werden bestimmte Bereiche des Gesichts automatisch registriert und beschrieben, um die Identität einer Person festzustellen. Diese Technologie wird zeitgleich aber auch datenschutzrechtlich kontrovers-diskutiert, da sie die Privatsphäre der betroffenen Personen in elementarer Weise berührt. Denn die Authentifizierung beruht auf der Nutzung von personenbezogenen Daten, da anhand der biometrischen Daten eine natürliche Person eindeutig identifizierbar gemacht werden kann. Dem Eingriff in die Privatsphäre setzt das Datenschutzrecht hierbei jedoch seine Grenzen.
In der geltenden Datenschutzgrundverordnung steht geschrieben, dass personenbezogene Daten der besonderen Kategorie als äußerst sensibel und schützenswert gelten. Die biometrischen Daten, welche durch die Gesichtserkennung erfasst werden, sind in Art. 4 Nr. 14 DSGVO definiert und zählen zur besonderen Kategorie von personenbezogenen Daten nach Art. 9 Abs. 1 DSGVO. Zum Schutz dieser Daten verbietet der Gesetzgeber deren Erhebung und Verarbeitung, sofern nicht einer der zwei in Art. 9 Abs. 2 DSGVO normierten Ausnahmefälle vorliegt. Die primäre Ausnahme stellt die ausdrückliche Einwilligung in die Verarbeitung und die sekundäre Ausnahme die Notwendigkeit der Wahrung von bestimmten Rechten und Pflichten nach Art. 9 Abs. 2 lit. b DSGVO dar.
Der Ausnahmefall der Einwilligung ist insbesondere für den geschäftlichen Bereich von Bedeutung, in welchem die Technologie hauptsächlich zum Einsatz kommt, um den Nutzern eine einfache und schnelle Authentifizierung zu ermöglichen. Sofern die Verarbeitung biometrischer Daten nicht erforderlich ist, muss hierfür eine ausdrückliche Einwilligung des Betroffenen für einen festgelegten Verwendungszweck vorliegen, damit Unternehmen die Gesichtserkennung nach den Vorschriften der DSGVO einsetzen dürfen. Zu bedenken ist beim Einsatz der Technologie aber auch, dass die Nutzung biometrischer Daten nicht zwingend erforderlich ist, da auch andere, ebenfalls einfache Möglichkeiten der Identitätsfeststellung, wie beispielsweise Passwörter, existieren.
Sofern sich Unternehmen für einen Einsatz der Gesichtserkennung entscheiden, sollte diese so ausgestaltet sein, dass sie die Einwilligungserfordernisse der Nutzer erfüllen. Das Opt-in-Verfahren entspricht hierbei den Vorgaben der DSGVO. Standardmäßig muss zunächst der Nutzung der Gesichtserkennung und damit der Verarbeitung der biometrischen Daten durch die Betroffenen ausdrücklich zugestimmt werden. Alldem ist vorausgesetzt, dass die Unternehmen die Nutzer über den Zweck der Verarbeitung im Vorwege umfassend informieren. Weiterhin ist sicherzustellen, dass sich die Datenverarbeitung ausschließlich auf den zugestimmten Verarbeitungszweck beschränkt. Ende 2019 urteilte das Arbeitsgericht Berlin über den Einsatz von biometrischen Daten zur Zeiterfassung der Mitarbeiter/innen und entschied, dass Vorgehen sei unzulässig. In diesem Fall handelte es sich um biometrischen Daten in Form von Fingerabdrücken, welche ohne Einwilligung nicht zu verwenden seien.
Mit Art. 9 Abs. 2 lit. b DSGVO ist eine weitere Ausnahme normiert worden, die eine Verarbeitung biometrischer Daten erlaubt, sofern diese zur Wahrung bestimmter Rechte und Pflichten notwendig ist. Dies betrifft Rechte und Pflichten, die aus dem Recht sozialer Sicherheit, dem Arbeitsrecht und dem Sozialschutz erwachsen. Eine Ausweitung der Videoüberwachung und der automatischen Gesichtserkennung ruft bei vielen Menschen der Bevölkerung die Sorge einer Generalüberwachung hervor. Der Einsatz der Gesichtserkennung bewegt sich somit zwischen den Grundrechten der Sicherheit und Freiheit, wobei der Spalt hierbei sehr schmal ist.
Dass das Thema „Gesichtserkennung“ präsent ist, zeigte sich unter anderem erst Anfang des Jahres in der hitzigen Diskussion über die Überwachungs-App „Clearview“. Das Geschäftsmodell der App ist es, öffentlich zugängliche Fotos im Internet zu sammeln, diese in einer Datenbank zusammenzufassen und vornehmlich Behörden anzubieten. Insbesondere das Sammeln der Fotos ohne eine ausdrückliche Genehmigung seitens der Betroffenen stand im Fokus. Kritischer als dieser Aspekt scheint es aber zu sein, dass „Clearview“ die Suchergebnisse der Datenbank auch gezielt steuern und manipulieren kann. Das Geschäftsmodell dieser App aufgreifend ist nun ein weiteres Start-Up-Unternehmen namens „PimEyes“ am Markt. Auch hier werden unzählige Fotos bzw. Gesichter gesucht, nach individuellen Merkmalen analysiert und biometrische Daten gespeichert. Im Unterschied zu „Clearview“ bietet „PimEyes“ seine Leistungen aber auch öffentlich an. Die mit diesen Apps verbundenen Risiken, wie Identitätsdiebstahl und Identitätsmissbrauch, sind offensichtlich.
Essenz
  • Einsatz der Technologie der Gesichtserkennung u.a. bei Einlasskontrollen am Flughafen, Fahndung nach Straftätern und Entsperrung von Smartphones
  • Biometrische Daten zählen zur besonderen Kategorie von personenbezogenen Daten nach Art. 9 Abs. 1 DSGVO
  • grundsätzliches Verbot der Verarbeitung von biometrischen Daten bis auf zwei normierte Ausnahmefälle gem. Art. 9 Abs. 2 DSGVO
  • Einsatz der Gesichtserkennung tangiert die Grundrechte und Grundfreiheiten der Bevölkerung
  • Risiken in puncto Identitätsdiebstahl und -missbrauch durch öffentlich verfügbare Apps zur Gesichtserkennung und Speicherung biometrischer Daten