Regulatorische Auswirkungen der Gesichtserkennungstechnologie

17. November 2021

Seit dem Tag, an dem sie geschaffen wurde, hat die Kontroverse um die Gesichtserkennungstechnologie nie aufgehört. Obwohl sich kaum leugnen lässt, dass sie dazu in der Lage ist, Sicherheit, Produktivität und Komfort zu verbessern, sind viele auch besorgt über einen unangebrachten Einsatz der Technologie, wie z. B. eine nicht einvernehmliche Überwachung[1]. Obwohl die DSGVO die Nutzung von Gesichtserkennungstechnologie streng regelt, gibt es nach wie vor immer wieder Fälle unangemessener Nutzung der Technologie. Was sind die Konsequenzen, wenn Gesichtserkennungstechnologie nicht ordnungsgemäß eingesetzt wird? Wann ist der Einsatz der Gesichtserkennungstechnologie mit der DSGVO vereinbar und wann nicht?  

Was versteht man unter Gesichtserkennung?

Bei der Gesichtserkennung werden Videos und Bilder mit Kameras aufgenommen und mit vorhandenen Daten in der Datenbank verglichen. Stimmt ein neu aufgenommenes Bild einer Person mit einem vorhandenen Bild in der Datenbank überein, wird die Person identifiziert. 

Die von Gesichtserkennungstechnologie erfassten Bilder werden als biometrische Daten eingestuft. Gemäß Art. 4(14) der DSGVO sind biometrische Daten “mit speziellen technischen Verfahren gewonnene personenbezogene Daten zu den physischen, physiologischen oder verhaltenstypischen Merkmalen einer natürlichen Person, die die eindeutige Identifizierung dieser natürlichen Person ermöglichen oder bestätigen, wie Gesichtsbilder oder daktyloskopische Daten”. Da biometrische Daten naturgemäß nicht gelöscht oder verändert werden können und stark identifizierend sind, ist ihre Verwendung durch die DSGVO streng geregelt. Generell ist die Verarbeitung biometrischer Daten untersagt, es sei denn, die betroffene Person hat der Verarbeitung ihrer personenbezogenen Daten ausdrücklich zugestimmt oder die Verarbeitung erfolgt aus Gründen des öffentlichen Interesses oder unter anderen in Art.9(2) der DSGVO beschriebenen Voraussetzungen.

Die häufigsten Versäumnisse

Einer der häufigsten Verstöße gegen die Vorschriften zur Gesichtserkennung in der Datenschutz-Grundverordnung ist die Überwachung ohne ausdrückliche Einwilligung. Ein Warnschild am Eingang eines Einzelhandelsgeschäfts, das die Kunden über den Einsatz von Gesichtserkennungstechnologie informiert, ist nicht DSGVO-konform. Auch wenn ein Kunde einen Bereich betritt, in dem Gesichtserkennung eingesetzt wird, bedeutet das nicht, dass er/sie seine/ihre Zustimmung zur Verarbeitung personenbezogener Daten gegeben hat.

Ein bekanntes Beispiel für einen Verstoß gegen die DSGVO-Richtlinien im Zusammenhang mit Gesichtserkennung ereignete sich 2019 in Schweden. Die schwedische Datenschutzbehörde (DPA) verhängte eine Strafe in Höhe von 20.700 US-Dollar gegen die Gemeinde Skelleftea, weil eine Schule dort ein Pilotprogramm mit Gesichtserkennung durchführte, um die Anwesenheit von 22 Schülern zu erfassen. Die Regel für einen Verstoß basiert auf mehreren Faktoren[2]: 

  1. Fehlende Folgenabschätzung, einschließlich der Beantragung einer vorherigen Konsultation bei der schwedischen Datenschutzbehörde. Die Schule führte zwar eine Risikoanalyse durch, holte aber weder eine Datenschutz-Folgenabschätzung (Art.35 DSGVO) ein noch beantragte sie eine vorherige Konsultation(Art. 36 DSGVO),  bevor sie mit dem Versuch startete. 
  2. Die Ungültigkeit der Einwilligung. Obwohl die Schule eine Einwilligung der Eltern einholte und auch erhielt, erklärte die Datenschutzbehörde diese Einwilligung für ungültig, da “ein eindeutiges Ungleichgewicht zwischen der betroffenen Person und dem für die Verarbeitung Verantwortlichen” bestehe.  
  3. Unverhältnismäßiger Einsatz von Gesichtserkennung. Die Schule wollte Gesichtserkennungstechnologie nutzen, um die Anwesenheitskontrollen effizienter erfassen zu können, was nach der Datenschutz-Grundverordnung kein erheblicher oder ausreichender Grund ist, um sensible biometrische Daten zu verarbeiten.

DSGVO-konformer Einsatz von Gesichtserkennungstechnologie

Der dänische Fußballverein Brøndby IF setzt Gesichtserkennung ein, um Fußballrowdytum zu verhindern. Nach dreijährigen Verhandlungen mit der örtlichen Datenschutzbehörde erhielt Brøndby IF die behördliche Genehmigung für die Einführung von Gesichtserkennung im Stadion von Brøndby. Seitdem dürfen Personen, die auf einer entsprechenden “Verbotsliste” stehen, das Stadion nicht mehr betreten. 

Brøndby IF erhielt grünes Licht für den Einsatz von Gesichtserkennung, weil dieser aus “Gründen eines erheblichen öffentlichen Interesses”[3] erfolgt, nämlich zur Gewährleistung der Sicherheit der Zuschauer bei Sportveranstaltungen. Im Vergleich zu der Art und Weise, wie der Verein in der Vergangenheit Fußball-Hooligans identifiziert hat (ausschließlich anhand ihrer Beschreibungen), ist die Gesichtserkennung effizienter und genauer. Als die Öffentlichkeit davon erfuhr, dass innerhalb von zehn Monaten vier Fußball-Hooligans identifiziert wurden, während bei jedem Spiel die biometrischen Daten von 14.000 Personen gescannt werden[4], wurden allerdings Zweifel laut. Viele stellen sich die Frage: Lohnt es sich wirklich, die Privatsphäre der Bürger für ein solches Ergebnis aufs Spiel zu setzen?   

Wie kann Gesichtserkennung unter Einhaltung der Datenschutzbestimmungen eingesetzt werden?

Die Technologie der Gesichtserkennung ist noch relativ neu. Es gibt die Menschen, die glauben, dass sie der Bevölkerung mehr Komfort, Effizienz und Sicherheit bringen wird. Es gibt aber auch diejenigen, die Bedenken wegen des Datenschutzes haben und misstrauisch sind, was die Genauigkeit angeht. Wie bei jeder neuen und sich schnell entwickelnden Technologie gehen die Gesetzgeber auch bei der Gesichtserkennung mit besonderer Vorsicht vor, insbesondere im Rahmen der DSGVO.

Sollten Sie über die Einführung von Gesichtserkennungstechnologie in Ihrem Unternehmen nachdenken, empfehlen wir Ihnen dringend, den folgenden Abschnitt gründlich zu lesen und nur dann mit der Implementierung zu beginnen, wenn Sie alle Anforderungen erfüllen können.

  • Befolgen Sie in jedem Fall das in der Datenschutz-Grundverordnung festgelegte Verfahren, bevor Sie Gesichtserkennungstechnologie einsetzen. Wie wir aus dem von der schwedischen Schule durchgeführten Pilotprogramm lernen können, müssen unabhängig von Umfang und Reichweite des Projekts eine Datenschutz-Folgenabschätzung (Art.35 DSGVO) und eine vorherige Konsultation (Art. 36 DSGVO) durchgeführt werden.
  • Vergewissern Sie sich, dass Ihr Projekt Gesichtserkennung einsetzen darf: Die Verarbeitung biometrischer Daten ist nach der Datenschutz-Grundverordnung generell verboten, es sei denn, Sie haben für Ihr Projekt a) die ausdrückliche Einwilligung der betroffenen Personen erhalten oder b) es ist von erheblichem öffentlichen Interesse. Wenn allerdings ein Machtungleichgewicht besteht, reicht die ausdrückliche Einwilligung nicht aus, um das Projekt zu starten, da die betroffene Person ihre Entscheidung zur Einwilligung möglicherweise nicht frei treffen kann[5]. Die Richtlinien zur Verhältnismäßigkeit sind ein weiterer zu bestätigender Punkt. Die schwedische Schule nutzte Gesichtserkennung beispielsweise, um die Effizienz der Anwesenheitskontrolle zu verbessern. Dieser Zweck wird als unverhältnismäßig angesehen, während der Zweck der dänischen Fußballmannschaft, nämlich die Sicherheit der Zuschauer zu gewährleisten, als vertretbar betrachtet wird.
  • Halten Sie sich sowohl an die DSGVO als auch an nationale Gesetze. Verschiedene Länder können je nach nationalem Recht unterschiedliche Interpretationen der DSGVO-Richtlinien haben. Daher kann man nicht sicher davon ausgehen, dass die Nutzung von Gesichtserkennung auch in Land A genehmigt wird, nur weil sie in Land B unter ähnlichen Umständen genehmigt wurde

Die Gesichtserkennungstechnologie ist noch nicht ausgereift und entwickelt sich stetig weiter. Während wir uns inmitten dieses Prozesses befinden, ist es unwahrscheinlich, dass die Kontroversen einfach aufhören. Wenn Sie aber davon überzeugt sind, dass Gesichtserkennung Ihrem Unternehmen und der Öffentlichkeit Vorteile bringen kann, wird dringend empfohlen, sich laufend über die entsprechenden Gesetze und Vorschriften zu informieren und diese genauestens zu befolgen.

Wenn Sie mehr über den visuellen Datenschutz und die möglichen Lösungen zur Gewährleistung der Einhaltung gesetzlicher Vorschriften erfahren möchten, dann kontaktieren Sie uns.

 

[1] Zhang, Feng, Sadeh; “Facial Recognition: Understanding Privacy Concerns and Attitudes Across Increasingly Diverse Deployment Scenarios”; 2021

[2] European Data Protection Board; “Facial Recognition in School Renders Sweden’s First GDPR Fine’; 2019-08-22

[3] Art. 9 GDPR; “Processing of Special Categories of Personal Data”

[4] Andrey Koptelov; The European Business Review; “Facial Recognition and GDPR: How to Stay Compliant”; 2021-07-30

[5] Lexology; Suvi Julin; “Key Update On GDPR Compliance With Facial Recognition Technology”; 2021-06-14

 

Xinzhuo Xiao
Marketing & Communication
xinzhuo.xiao@brighter.ai

Related Posts

Warum Videodaten eine zentrale Rolle in Smart Cities spielen

Der Bau von grüneren, sichereren und rundum intelligenteren Städten hat […]

READ MORE

Wie Anonymisierung die Automobilindustrie vorantreibt

Digitalisierung, Automatisierung und Konnektivität verändern die Welt um uns herum […]

READ MORE

Kostenlos herunterladen

Bitte geben Sie die E-Mail-Adresse ein, an die wir das Dokument senden können.

Vielen Dank für Ihr Interesse an unserer Arbeit. Wir senden nun die Datei an Ihre E-Mail-Adresse. Aufgrund der hohen Auslastung unserer Website kann dies manchmal ein paar Augenblicke dauern. Bitte überprüfen Sie auch Ihren Spam-Ordner.

ZURÜCK