Am 7. November fand in Berlin eine Tagung rund um die privatwirtschaftliche Gesichtserkennung, allen voran in Supermärkten, zur personalisierten Werbung statt. Auch die datenschutz nord GmbH nahm an dieser Veranstaltung teil und konnte im Rahmen eines Vortrages die datenschutzrechtlichen Anforderungen an die Gesichtserkennung wie auch die Rolle des Datenschutzbeauftragten nach der DSGVO vorstellen.
Nach einer kurzen Begrüßung der Teilnehmer und Referenten durch den Veranstalter, Herrn Rechtsanwalt Dr. Klemm aus Düsseldorf stellte Frau Elke Oberg von Cognitec Systems GmbH aus Dresden den derzeitigen Stand der Technik vor und wagte eine Prognose über zukünftige Chancen bzw. Risiken. Anhand von längst etablierten Zutrittskontrollsystemen an Flughäfen oder in Spielhallen veranschaulichte die Referentin einige Systeme ihrer Kunden.
Gleichzeitig nahm sie diese Gelegenheit aber auch zum Anlass, auf die – oftmals in den Medien – falsch dargestellten Schreckensszenarien der Totalüberwachung einzugehen. Die Mehrzahl der aktuellen Überwachungskameras in der Öffentlichkeit seien technisch gar nicht in der Lage, jedes Gesicht einwandfrei zu identifizieren. Breits bei schnellen Bewegungen der Menschen (z.B. im fahrenden Auto), schlechten Lichtverhältnissen, einem Neigungswinkel von deutlich über 15 Grad wie auch bei einer zu geringen Pixeldichte wegen einer schlechten Auflösung des Bildes würde diese als „Super Search“ bezeichnete Massen-Gesichtserkennung schlecht bis gar nicht funktionieren. Gleichwohl könne sich dies in einigen Jahren durch die stetig verbesserte Technologie und Rechenleistung ändern.
Datenschutz bei der Gesichtserkennung nach der DSGVO
Es folgte der Vortrag des Verfassers dieses Beitrages (Conrad S. Conrad), der zunächst einmal die datenschutzrechtlichen Grundvoraussetzungen der Verarbeitung personenbezogener Daten durch die Gesichtserkennung und häufig auch damit einhergehenden Verarbeitung besonderer Kategorien personenbezogener Daten wie z.B. die biometrischen Daten und Gesundheitsdaten aufzeigte. Der zurzeit stark diskutierte Einsatz der Gesichtserkennung in einem Supermarkt zum Zwecke der Zuordnung des erfassten Kunden in Geschlechts- und Altersgruppen für vermeintlich passgenaue Werbung dürfe sich wohl zukünftig auf Art. 6 Abs. 1 lit. f) DSGVO stützen. Immerhin bestünde ein berechtigtes Interesse des Verantwortlichen (Betreiber des Supermarktes) an der Datenverarbeitung mit dem Ziel der personalisierten Werbung und Umsatzsteigerung. Im Rahmen der Abwägung innerhalb dieser Norm seien aber viele Faktoren der tatsächlichen technischen Umsetzung zu berücksichtigen wie aber auch das Interesse des Betroffenen am Ausschluss dieser Datenverarbeitung. Bei Kindern (unter dem 16. Lebensjahr) überwiege jedoch das Interesse des Kindes.
Bei Apps oder sonstigen Diensten im Internet ließe sich die Umsetzung wohl auf die Einwilligung des Betroffenen stützen, die jedoch wegen der nicht auszuschließenden Verarbeitung biometrischer Daten durch den Gesichtscan in jedem Fall ausdrücklich erfolgen müsse (Art. 9 Abs. 2 lit. a) DSGVO). Dies werfe viele Fragen auf, wenn es beispielsweise um die datenschutzkonforme Gestaltung einer ausdrücklichen Einwilligung im Internet gehe.
Im Anschluss sprach der Verfasser etliche Empfehlungen zur rechtlichen und organisatorischen Umsetzung der jeweiligen Technik aus – unter anderem wurden die Vorgaben zum rechtskonformen Hinweisschild im Supermarkt wie auch zahlreiche Hinweise / Informationspflichten bei Apps und Social Media Diensten besprochen. In beiden Fällen müsse ein IT-Sicherheitskonzept vorliegen, damit die Daten verschlüsselt und auch vor Zugriffen Dritter geschützt werden würden und durch festgelegte Löschroutinen den Grundprinzipien der Datensparsamkeit bzw. Datenminimierung entsprochen werden könne. Der Datenschutzbeauftrage solle diesbezüglich eingebunden werden, um entsprechende Vorab-Prüfungen (Datenschutz-Folgenabschätzung) vorzunehmen und ein Datenschutzkonzept zu erstellen, das unter anderem auch die Dokumentation, Informations- und Meldepflichten wie auch die Prüfung etwaiger Verträge mit Dritten regeln müsse.
Realität, Kritik und Visionen
Als dritter Referent trat Michael Kimmich, der Vorstandsvorsitzende der echion Corporate Communication AG auf. Sein Unternehmen setzt in zahlreichen Ladengschäften bundesweit diverse smarte Konzepte wie das Instore Audio und Infotainment (Digital Signage) um und war auch an dem viel kritisierten Testprojekt zur Gesichtserkennung in rund 40 „Real“-Märkten maßgeblich beteiligt. Nach einer ausgiebigen Unternehmensdarstellung hielt Herr Kimmich eine flammende Rede über Sinn und Zweck des Marketings und deutete interessante Zukunftsmodelle im stationären Einzelhandel an. Untermauert wurde all dieses mit dem sinngemäßen Credo: „Die Entwicklung der Digitalisierung lässt sich nicht aufhalten.“
Im Hinblick auf den Datenschutz bei der erprobten Gesichtserkennung im Ladengeschäft vertrat Herr Kimmich die Auffassung, dass hierbei keine personenbezogenen Daten erhoben würden und der Datenschutz somit gar keine Probleme aufwerfe. Und so verwies er auf eine Beurteilung des Bayerischen Landesamts für Datenschutz (vom Präsidenten des BayLAD Thomas Kranig), das diese Einschätzung abgegeben habe.
„The Circle“ ist allgegenwärtig?
Der vierte Referent, Rechtsanwalt Dr. Hauke Hansen (FPS Rechtsanwälte) eröffnete und beendete später seinen Vortrag mit einer kurzen Sequenz aus dem aktuellen Kinofilm „The Circle“ nach dem Bestseller-Roman von Dave Eggers, der in nicht allzu ferner Zeit spielt und die Entwicklung der Überwachungstechnologie ein wenig weiterspinnt.
Anknüpfend an den vorherigen Vortrag und die von Herrn Kimmich vorgeführte Argumentation, es würden gar keine personenbezogenen Daten durch das System im „Real“-Markt Testprojekt erhoben, gab Herr Hansen zu bedenken, dass es auf eine Personenzuordnung nach dem derzeit geltenden Recht zur Videoüberwachung im öffentlich zugänglichen Raum (§ 6b BDSG) gar nicht ankomme. Das schutzwürdige Interesse Betroffener sei immer zu berücksichtigen.
Neben der Vorstellung der datenschutzrechtlichen Vorgaben für den Einsatz der Gesichtserkennung in der Online und Offline-Welt sprach Herr Hansen über drohenden Sanktionen und Strafbarkeiten der Verantwortlichen, die zumeist die Geschäftsführer des handelnden Unternehmens seien. Die Strafanzeige sei offenbar ein effizientes Mittel, um einen Imageschaden herbeizuführen oder jedenfalls medienwirksam Aufsehen zu erregen. Auch diesbezüglich bezog er sich auf den „Real“-Markt Fall, immerhin habe wohl die Geschäftsleitung das Projekt ziemlich rasch beendet nachdem jemand Strafanzeige erstattete.
Rechtsanwalt Dr. Daniel Taraz von der Hamburger Anwaltsboutique Jentzsch IT erläuterte abschließend als letzter Referent die rechtlichen Anforderungen an den Software-Lizenzvertrag, die sich unter anderem nach den unterschiedlichen Modellen (Kauf oder Miete) und Vorgaben der einbezogenen Vertragspartner richten würden. Aber auch die Frage, ob ein Datenschutzverstoß (bei einer Software) ein Mangel sei und ob bzw. inwiefern dann Gewährleistungsansprüche bestünden, wurde kurz diskutiert.
Bedenken bei der Umsetzung
Trotz der konträren Meinungen der Anwesenden blieb die tiefgehende juristische Diskussion weitestgehend aus. Immerhin offenbarten mehrere Fragen aus dem Publikum die naheliegenden Bedenken bzgl. der drohenden Rechtsunsicherheit wie auch der Schwierigkeiten, innerhalb von IT-Systemen den unklaren gesetzlichen Vorgaben aus der DSGVO gerecht zu werden, insbesondere falls ein Gericht über die Angemessenheit der getroffenen Sicherheitsvorkehrungen und Konformität zum Datenschutz zu befinden habe.
Diesen Ängsten konnte nur mit dem Hinweis begegnet werden, dass wohl die Datenschutz-Aufsichtsbehörden und Gerichte in den nächsten Jahren erst noch die konkreten Vorgaben bestimmen müssten.