INFORMATIONEN

Perspektiven der Gesichtserkennung und des Datenschutzes

Eine weitere bahnbrechende neue Technologie, die auf ihre breitere Einführung in Europa wartet, ist die Gesichtserkennung. In der Europäischen Union gibt es bereits verschiedene Anwendungen, z. B. die Erkennung von Pässen an Flughäfen, bei der Polizei und die Namenskennzeichnung in sozialen Medien wie Facebook. Bislang ist es jedoch noch nicht zu einem groß angelegten Einsatz gekommen. Woran könnte das liegen? Und könnte es mit der Datenschutz-Grundverordnung zu tun haben?

Gesichtserkennungs-Apps sind weit verbreitet und reichen von der Identifizierung (Telefone, Zutritt zu Gebäuden) über gezielte Werbung bis hin zur groß angelegten Überwachung durch Foto- und Video-Tagging in sozialen Medien. Die Auswirkungen der meisten dieser Anwendungen auf die Privatsphäre sind von entscheidender Bedeutung, da Menschen bei der Nutzung von Daten aus dieser Technologie im Internet und im wirklichen Leben „verfolgt“ werden können.

Gesichtserkennung unter der DSGVO

Die Gesichtserkennung basiert auf der Verwendung personenbezogener Daten, die biometrisch sind. Biometrische Daten werden in der Datenschutz-Grundverordnung als eine besondere Art personenbezogener Daten eingestuft.

Dies bedeutet, dass für die Verarbeitung dieser Arten von Daten neben dem in Artikel 6 genannten Verarbeitungsgrund auch eine Ausnahme von Artikel 9 erforderlich ist. Eine solche Ausnahme würde dazu dienen, das Recht zu begründen, detaillierte personenbezogene Daten zu verarbeiten, wenn kein allgemeines Verbot besteht.

Damit wird im Allgemeinen zum Ausdruck gebracht, dass es immer noch eine Reihe von Umständen gibt, die den Einsatz der Gesichtserkennung erlauben, wie z. B. die ausdrückliche Zustimmung der betroffenen Person oder das Vorliegen eines erheblichen öffentlichen Interesses.

Die erste Ausnahmeregelung gilt zum Beispiel für Personen, die sich bewusst dafür entscheiden, die Technologie zu nutzen, um Personen auf Bildern zu markieren, die automatisch in sozialen Medien geteilt werden.

Die letztgenannte Ausnahme kann für Aufsehen sorgen und zusätzliche Rechtsvorschriften erforderlich machen, bis sie zum Beispiel zur Ergreifung von Straftätern in einem Rahmen für die öffentliche Überwachung herangezogen wird.

Andererseits kann es schwierig sein, einen Ausschlussgrund für bestimmte Anwendungen der Gesichtserkennung zu finden. So würde beispielsweise die Kennzeichnung von Fotos in sozialen Netzwerken mit dem Namen einer Person eine ausdrückliche Zustimmung erfordern.

In Artikel 4 der Datenschutz-Grundverordnung wird die Einwilligung definiert als „jede Willensbekundung, die ohne Zwang, für den konkreten Fall, in Kenntnis der Sachlage und auf eindeutige Weise erfolgt und mit der die betroffene Person akzeptiert, dass sie betreffende personenbezogene Daten verarbeitet werden, sei es durch eine Erklärung oder durch eine eindeutige bestätigende Handlung“.

In den meisten Fällen, wenn das Unternehmen den Einsatz von Gesichtserkennungstechnologie vorbereitet, wäre die Durchführung einer Datenschutz-Folgenabschätzung (DFA) nach der Datenschutz-Grundverordnung obligatorisch: Nach Artikel 35 Absatz 3 Buchstabe b ist eine Bewertung im Falle einer groß angelegten Verarbeitung von Kategorien personenbezogener Daten durchzuführen.

Eine solche Prüfung kann auch zeigen, welche zusätzlichen, weniger in die Privatsphäre eingreifenden Möglichkeiten im Vergleich zur Gesichtserkennung zur Verfügung stehen. Höchstwahrscheinlich gäbe es Alternativen, so dass der Einsatz der Gesichtserkennung die Prüfung der Notwendigkeit und Verhältnismäßigkeit nicht bestehen würde.

Viele Gesichtserkennungssysteme, die in realen Umgebungen eingesetzt werden, zeigen, dass es, wie bei Einzelpersonen, eine große Anzahl falsch positiver und falscher negativer Ergebnisse gibt, wie bei echten Übereinstimmungen, die vom Algorithmus nicht „erfasst“ werden.

Wenn Regierungen versuchen, groß angelegte Überwachungssysteme auf der Grundlage von Gesichtserkennung einzuführen, können falsch-positive und falsch-negative Ergebnisse ein erhebliches Problem darstellen, insbesondere wenn man bedenkt, dass die Gesichtserkennung bei bestimmten Hautfarben weniger genau ist.

Jegliche automatisierte Entscheidungsfindung auf der Grundlage der Methodik wird die minimale Zuverlässigkeit und die Probleme der algorithmischen Voreingenommenheit ausschalten. Daher werfen diese Arten von Szenarien die Frage auf: Welches Problem löst die Gesichtserkennung, das andere, weniger invasive Ansätze möglicherweise nicht lösen können?

Zusammenfassung

Um auf die Behandlung der Gesichtserkennung im Rahmen der Datenschutz-Grundverordnung zurückzukommen, ist es gut zu sehen, dass die EU eine strenge Regelung für die Verarbeitung biometrischer Daten getroffen hat und dass zusätzliche Gründe für eine Ausnahme, wie eine ausdrückliche rechtliche Rechtfertigung, erforderlich sind.

Die bedeutendere Entwicklung, die darin besteht, dass es nicht mehr das Vorrecht des Menschen ist, dem Geschehen eine Bedeutung zuzuweisen, kann durch die ausschließliche Konzentration auf die Gesichtserkennung verdeckt werden.

Je mehr Maschinen verstehen, was auf der Straße passiert, desto konkretere Beobachtungen können gemacht werden; und je mehr sinnvolle Aussagen gemacht werden, desto größer ist die Tendenz, diesen Beobachtungen eine Bedeutung beizumessen.

Die Verwendung des Datenverarbeitungsregisters

Das in Artikel 30 der Datenschutz-Grundverordnung vorgesehene Verzeichnis der Verarbeitungstätigkeiten ermöglicht es einem Unternehmen, alle Datenverarbeitungsvorgänge eindeutig zu identifizieren. Daher muss jede Organisation in der

mehr »