Die Gesichtserkennung bei Facebook ist kein neues datenschutzrechtliches Phänomen, sondern sorgt bereits seit dem Jahr 2010 für datenschutzrechtlichen Diskussionsstoff (wir berichteten). Im Jahr 2012 erließ der Hamburgische Beauftragte für Datenschutz eine Verwaltungsanordnung gegen Facebook, die das Unternehmen verpflichtete, das Verfahren der Gesichtserkennung datenschutzkonform zu gestalten. Dies betraf vor allem die aktive Zustimmung bereits registrierter Nutzer zur Erzeugung und dauerhaften Speicherung biometrischer Profile sowie eine umfassende Aufklärung der Nutzer über die Risiken der automatischen Gesichtserkennung. Angesichts einer breiten Kritik in der Öffentlichkeit führte dies dazu, dass Facebook die Gesichtserkennungsfunktion in Europa abschaltete und bis zum 15. Oktober 2012 alle hierfür angelegten Profile löschte. Gleichzeitig wurde darauf hingewiesen, dass umgehend ein neues Verfahren eingeleitet werde, wenn die Gesichtserkennung unter Außerachtlassung der deutschen und europäischen Datenschutzvorgaben erneut eingeführt werden sollte.
Erneuter Anlauf in Europa
Nunmehr möchte Facebook seine neue Foto-App „Moments“ anbieten, die es den Nutzern erleichtern soll, unabhängig von der Facebook-Webseite Bilder untereinander zu teilen. Bilder, die beispielsweise anlässlich einer Reise gemacht werden, sollen anhand des Aufnahmeorts und des Zeitpunkts automatisch einer privaten Gruppe zugeordnet werden, die den Reiseteilnehmern über die Moments-App zugänglich ist und über die sich die Bilder innerhalb der Gruppe austauschen lassen.
Zusätzlich möchte Facebook den fotografierten Gesichtern deren Facebook-Profile zuordnen. Dieser Abgleich im Sinne einer standardmäßigen Gesichtserkennung ohne eine vorherige Opt-in-Entscheidung der Nutzer steht im Widerspruch zum EU-Datenschutzrecht. Daher wird die Foto-App derzeit nicht in Europa angeboten, solange nicht mit der zuständigen irischen Datenschutzbehörde geklärt ist, wie die App in Europa ausgestaltet sein muss. Laut Richard Allan, dem Leiter der Öffentlichkeitsarbeit bei Facebook, hat die irische Aufsichtsbehörde dem Unternehmen mitgeteilt, dass den Nutzern zur Aktivierung der Gesichtserkennung eine Opt-in-Lösung vorbehalten sein muss.
Keine Einigung zur Gesichtserkennungsfunktion in den USA
In den USA ist die App bereits verfügbar, allerdings beschränkt auf die automatische Erkennung von Personen aus der eigenen Freundesliste. Es ist jedoch nicht außer Acht zu lassen, dass die automatische Gesichtserkennung dort laut einem Artikel des Wall Street Journal auch bereits von anderen Unternehmen wie Google und von US-Sicherheitsbehörden wie FBI und dem Department Homeland Security genutzt wird.
Das unterschiedliche Datenschutzverständnis auf beiden Seiten des Atlantiks wird anhand des Umstands deutlich, dass die automatische Gesichtserkennung in Europa bereits gegen geltendes Recht verstößt, während in den USA bezeichnenderweise lediglich eine freiwillige Selbstverpflichtung zwischen Wirtschaftsverbänden und insgesamt neun US-Bürgerrechtsorganisationen – darunter die American Civil Liberties Union und der Electronic Frontier Foundation – zur Durchsetzung des Rechts auf Privatsphäre ausgehandelt wird. Konsequenterweise haben die US-Bürgerrechtsorganisationen die Verhandlungen abgebrochen, da man sich nicht auf elementare datenschutzrechtliche Mindeststandards einigen konnte. Vertreter der US-Regierung zeigten sich nach dem Scheitern der Gespräche enttäuscht und wollten diese mit den verbliebenen Verhandlungsteilnehmern fortsetzen. Die Bürgerrechtler haben nun die Befürchtung, dass die US-Unternehmen künftig gehalten sind, die Gesichtserkennung auch ohne die vorherige Einwilligung der Nutzer anzuwenden.
Ausblick und Fazit
Die automatische Gesichtserkennung bei Facebook ist neben dem Klarnamenzwang eine der zentralen datenschutzrechtlichen Kritikpunkte, was angesichts des großen öffentlichen Widerstands schließlich auch zum Verzicht des Unternehmens auf diese Funktion in Europa führte. Selbst bei Bildern von Statuen und Skulpturen versuchte das soziale Netzwerk seinerzeit, Nutzerprofile von Facebook zuzuordnen. Inzwischen wird bei Facebook die Technologie „Pose Invariant Person Recognition“ (kurz: Piper) erforscht, mithilfe derer der Nutzer von der Seite oder anhand des Hinterkopfes identifiziert werden kann. Google Fotos ist demgegenüber sogar in der Lage, hochgeladene Bilder anhand von Kriterien zu verschlagworten und Gesichter auch dann zuzuordnen, wenn die Bilder 16 Jahre alt sind.
Die Gesichtszüge eines Menschen lassen sich kaum und wenn dann nur mit großem Aufwand verändern und sollten daher nicht einer voreingestellten – inzwischen äußerst leistungsfähigen – Gesichtserkennung unterzogen werden, ohne dass die Nutzer dem explizit zugestimmt haben. Dies betrifft insbesondere dritte Personen, die auf einem Bild zufällig mit aufgenommen werden und u.U. nichts von einer Zuordnung mitbekommen. Anhand weiterer Informationen wie dem Standort des Nutzers, seiner Facebook-Kontakte etc. kann ein sehr umfassendes Profil erstellt werden. Dies umfasst letztlich auch die Erstellung von Bewegungsprofilen, wenn Bilder mit Ortsangaben öffentlich geteilt werden. Es lässt sich nicht von der Hand weisen, dass derartige Informationen nicht zuletzt für US-Sicherheitsbehörden von großem Interessen sein können.
Derzeit bleibt abzuwarten, ob und wie sich die derzeit in Verhandlung befindliche EU-Datenschutzgrundverordnung zu diesem Phänomen positionieren wird. Allein schon angesichts des vom EuGH im Jahr 2014 postulierten „Rechts auf Vergessenwerden“ sollte bereits im Vorhinein die Einwilligung der Nutzer in die Gesichtserkennung eingeholt und im Nachgang eine rasche Widerspruchs- und rückwirkende Löschungsfunktion bereit gestellt werden. Ebenso sollten die nach wie sehr diffus formulierte Datenrichtlinie von Facebook so klar gefasst werden, dass den Nutzern eine in Deutschland gesetzlich vorgeschriebene informierte Einwilligung in die Verlinkung ihrer Bilder und Profile überhaupt erst möglich ist.