Datenschutzrechtliche Themen machen auch vor dem Fußball nicht halt: Immer wieder werden Maßnahmen diskutiert und ggf. durchgeführt, die zu einer Verbesserung der Sicherheit im Rahmen von Fußballspielen führen sollen, sich aber auch gleichzeitig auf das Recht auf informationelle Selbstbestimmung – zumeist von Fans – auswirken. So droht beim Besuch italienischer Fußballstadien demnächst eine biometrische Gesichtserkennung. Nach Medienberichten (siehe hier) plant die derzeitige Regierung in Italien angeblich eine solche Maßnahme, um zukünftig Straftaten in den Stadien zu verhindern. Denn Fankurven einiger Großstädte werden u. a. Drogenhandel und weitere Kriminalität vorgeworfen, weswegen nun möglicherweise eine KI-gestützte, biometrische Auswertung von Gesichtern der Fans droht. Derweil wird hierzulande von den Datenschutzaufsichtsbehörden in Berlin und in Nordrhein-Westfalen die Zuverlässigkeitsprüfung der Helfer*innen sowie der im Hintergrund mitwirkenden Personen während der Fußball-EM der Herren 2024 gerügt. So sollen deutlich über 100.000 Personen solcher Background-Checks durch die Polizeibehörden und dem Verfassungsschutz unterzogen worden sein, für die es in vielen Fällen an einer Rechtsgrundlage gefehlt habe (siehe hier).
Gesichtserkennung im Stadion
Der Einsatz von intelligenten Kamerasystemen mit Gesichtserkennungssoftware in Stadien ist nicht neu und wurde an vielen Stellen in den letzten Jahren erprobt (siehe hier, hier und hier). Oftmals waren dies aber nur Testsysteme oder umstrittene Einzelvorhaben von einer zeitlich beschränkten Dauer, die zumeist gerichtlich nicht überprüft worden sind. Der flächendeckende, dauerhafte Einsatz in italienischen Stadien hingegen dürfte ein – für europäische Verhältnisse – neues Ausmaß einnehmen. Hierfür wäre in jedem Fall eine datenschutzrechtliche Rechtsgrundlage erforderlich sowie eine Prüfung des Einsatzes von KI.
An dieser Stelle dürfte es zunächst entscheidend sein, wer die Maßnahme konkret verantworten soll. Sofern bspw. „die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit“ die Datenverarbeitung durchführen, wäre der Anwendungsbereich der Datenschutz-Grundverordnung nicht eröffnet (vgl. Art. 2 Abs. 2 lit. d DSGVO), sodass etwaige nationale Gesetze in Italien für die entsprechenden Behörden zur Anwendung kommen würden. Die Verordnung über künstliche Intelligenz (KI-VO) sieht dagegen nur eine engere Ausnahme bei militärischen Zwecken, Verteidigungszwecken oder Zwecken der nationalen Sicherheit vor (vgl. Art. 2 Abs. 3 KI-VO). Die Anforderungen aus dieser Verordnung sind also zu prüfen. Somit ist zu ermitteln, ob das geplante Vorhaben unter die verbotenen Praktiken (Art. 5 KI-VO) fallen könnte. Liegt ein Hoch-Risiko-KI-System (Art. 6 KI-VO) vor, sind die diversen Voraussetzungen dafür umzusetzen.
Sollte die Videoüberwachung dagegen von den Vereinen betrieben werden, wäre – neben dem Anwendungsbereich der KI-Verordnung – auch der Anwendungsbereich der DSGVO eröffnet. Somit müsste zusätzlich geprüft werden, auf welche datenschutzrechtliche Rechtsgrundlage das Vorhaben gestützt werden kann. Werden im Zusammenhang mit der Maßnahme auch biometrische Daten verarbeitet, muss neben einer Rechtsgrundlage aus Art. 6 DSGVO auch eine Erlaubnisnorm aus Art. 9 Abs. 2 DSGVO für die Verarbeitung besonderer Kategorien personenbezogener Daten greifen. An dieser Stelle könnte überlegt werden, ob ein Fall der Ausnahme nach Art. 9 Abs. 2 lit. e DSGVO vorliegt. Demnach dürfen besondere Datenkategorien verarbeitet werden, wenn sie von der betroffenen Person offenkundig öffentlich gemacht wurden. Allein das Betreten eines Stadions und somit die Erfassung des Gesichts dürfte grundsätzlich nicht als Schritt zu werten sein, wodurch biometrische Daten zum Gesicht im Sinne der Norm offensichtlich öffentlich gemacht werden, zumal ein Stadion auch möglicherweise gar nicht als öffentlich in diesem Sinne gilt. Auch die freiwillige, informierte und ausdrückliche Einwilligung in diese Datenverarbeitung gem. Art. 9 Abs. 2 lit. a DSGVO dürfte als Rechtsgrundlage ausscheiden. Diese könnte zwar beim Zutritt durch eine aktive Handlung erklärt werden (z. B. Scan des Tickets), wäre aber grundsätzlich nicht freiwillig, wenn das Stadion nicht ohne Erteilung der Einwilligung betreten werden kann. Daher dürfte die Maßnahme durch eine privatwirtschaftliche Stelle nach der DSGVO kaum zu legitimieren sein.
Auch stellt sich – z. B. bei Behörden als Verantwortliche für die Videoüberwachung – die Frage, wie die Videoüberwachung ausgestaltet werden soll. Sachverhalte, die in diesem Zusammenhang auch noch geprüft werden sollten, sind bspw., ob es sich um eine dauerhafte oder zeitlich beschränkte Maßnahme handeln soll und welche Bereiche konkret gefilmt werden (z. B. nur bestimmte Kurven/Tribünen im Stadion oder der gesamte Zuschauerbereich). Weiterhin ist zu prüfen, ob ausschließlich eine Live-Überwachung oder auch eine Aufzeichnung stattfindet und wie lange eine Speicherung erfolgt. Zudem wäre auch sicherzustellen, dass Hinweisschilder transparent über diese Datenverarbeitung vor dem Betreten des überwachten Raums informieren.
Insgesamt bleiben erhebliche Zweifel an der datenschutzkonformen Umsetzung dieses Vorhabens.
Zuverlässigkeitsprüfung zur EM 2024
Hingegen sorgten hierzulande die zur Fußball-Europameisterschaft der Herren 2024 durchgeprüften Massen-Zuverlässigkeitsprüfungen für Kopfschütteln. Von diesen Background-Checks betroffen waren Personen, die während der EM im Hintergrund gearbeitet und unterstützt haben (z. B. Freiwillige, Caterer und Reinigungskräfte oder auch Personal aus dem medizinischen Bereich) und die von Behörden auf sicherheitsrelevante Informationen durchleuchtet wurden. Die jeweilige Landespolizei, die Bundespolizei und auch der jeweilige Verfassungsschutz kann sich im Hinblick auf Datenverarbeitung grundsätzlich auf diverse Rechtsgrundlagen berufen. Diese müssten jedoch hinreichend bestimmt und im Einzelfall auch gerichtlich überprüfbar sein. Doch daran haperte es offenbar: Wie vor Kurzem berichtet wurde, bewerteten einige deutsche Landesdatenschutzbeauftragte die entsprechenden Datenabfragen vor und während der Fußball-EM 2024 in Deutschland als datenschutzwidrig, da keine ausreichende Rechtsgrundlage in den entsprechenden Landesgesetzen dafür vorgelegen habe (siehe hier).
Sofern die spezialgesetzlichen Anforderungen nicht erfüllt sind und auch der Rückgriff auf die DSGVO (im Falle des Handelns privatwirtschaftlicher Unternehmen/Organisationen) scheitert, könnte nur die freiwillige Einwilligung der betroffenen Person die durchgeführten Background-Checks legitimieren. Doch würden an deren Wirksamkeit erhebliche Zweifel bestehen, wenn die betroffenen Personen keine andere Wahl (als eine Zustimmung) hätten, wenn diese Abfrage zwingender Prozess bei der Mitwirkung bei einer Großveranstaltung wäre. Zudem wäre auch der organisatorische Aufwand enorm hoch. Die Landesbeauftragte für Datenschutz und Informationsfreiheit von NRW, Gayk, fordert daher die Landesregierung auf, für die Zukunft eine entsprechende Rechtsgrundlage zu schaffen (siehe hier). Bis zum nächsten Großevent in Deutschland bleibt vermutlich noch etwas Zeit, konkretere datenschutzrechtliche Rechtsgrundlagen und Transparenz für die Datenabfrage von Bürger*innen für den Fall der Mitwirkung bzw. dem freiwilligen Engagement bei der Durchführung eines Events zu schaffen, damit am Ende nicht der Datenschutz darunter leidet.
Fazit
Trotz der (offenbar) zunehmenden Annahme der steigenden Gewalt in Fußball-Stadien und ebenso erhöhten Sicherheitsbedenken bei Großveranstaltungen darf der Datenschutz nicht auf der Strecke bleiben. Angesichts der strengen nationalen und auch europäischen Rechtsvorgaben sind angemessene Datenschutzkonzepte zu entwickeln. Auch nationale Gesetze sollten entsprechend angepasst werden, um klare, gerichtlich überprüfbare Rechtsgrundlagen von Datenverarbeitungen zu Sicherheitszwecken zu schaffen. Andernfalls dürfte auch der Spaß an dem Sport und vielfach am Engagement dafür verloren gehen, wenn unter dem Gesichtspunkt der „Sicherheit“ eine massenhafte Datenverarbeitung droht.