Der Europarat hat am 28. Januar (ausgerechnet am Europäischen Datenschutztag) seine Sicht auf die Nutzung der Gesichtserkennungstechnologie in der Pressemitteilung bekannt gegeben und die Leitlinien zur Gesichtserkennung veröffentlicht.

Der Europarat richtet die Leitlinien für die Nutzung von Gesichtserkennungstechnologien an die Akteure im privaten sowie im öffentlichen Sektor, und damit an Regierungen, an die gesetzgebende Gewalt und private Unternehmen. Die Leitlinien verweisen an mehreren Stellen auf die Regelungen der Europäischen Datenschutzkonvention (Nr. 108). Letztlich stützt sich der Europarat auf die Europäische Menschenrechtskonvention, insbesondere Art. 8 EMRK, die die europäischen Grund- und Menschenrechte ausgestaltet.

Verbot der Gesichtserkennungstechnologie gefordert

Bemerkenswert ist, dass der Europarat die Gesichtserkennung in einigen Bereichen grundsätzlich verhindern möchte. In allen Fällen, in denen der alleinige Zweck einer Gesichtserkennung die Bestimmung der Hautfarbe, religiöser oder anderer Überzeugungen, des Geschlechts, der Rasse oder der ethnischen Herkunft, des Alters, des Gesundheitszustands oder der sozialen Lage ist, sollte sie verboten werden. Der Einsatz der Technologie in solchen Fällen sei danach nur dann in wenigen Ausnahmefällen zulässig, wenn zur Vermeidung der Diskriminierung gesetzlich normierte und geeignete Schutzmaßnahmen getroffen werden.

Ebenfalls sollte das „Verbot“ für die sog. Affekterkennung gelten. Diese Technik ist in der Lage, die Gefühle und psychische Stimmung der Menschen zu erkennen und sollte insbesondere im Beschäftigungskontext, Bildungs- und Versicherungswesen aufgrund erheblicher Gefahren für die Betroffenen nicht zum Einsatz kommen.

Rechtsgrundlagen

Die Leitlinien stellen fest, dass der Einsatz von Gesichtserkennungstechnologien das Vorliegen einer Rechtsgrundlage voraussetzt. Wird Gesichtserkennung im öffentlichen Sektor eingesetzt, stellt die Einwilligung der betroffenen Person keine geeignete Rechtsgrundlage dar. Die nationalen Gesetze sollen sicherstellen, dass die Nutzung der Technologie einem legitimen Zweck dient und verhältnismäßig ist.

Der Einsatz von Gesichtserkennungstechnologien durch private Stellen sollte nach Möglichkeit mit ausdrücklicher, spezifischer, freiwilliger und informierter Zustimmung der betroffenen Personen, deren biometrische Daten verarbeitet werden, erfolgen. Private Stellen dürfen nach der Vorstellung des Europarats die Gesichtserkennungstechnologien nicht in öffentlichen Bereichen wie z. B. in Einkaufszentren einsetzen, insbesondere nicht zum Zweck der Identifizierung für Marketing- oder für private Sicherheitszwecke. Das bloße Passieren des Bereiches, in dem die Gesichtserkennung zum Einsatz kommt, könne dabei nicht als ausdrückliche Einwilligung der betroffenen Person angesehen werden.

Datenschutzgrundsätze

Die Leitlinien enthalten sowohl Empfehlungen an die Hersteller und Entwickler der Systeme als auch an alle Stelle, die die Systeme einsetzen.

Die Leitlinien appellieren an die Entwickler und Hersteller der Systeme bestimmte Maßnahmen zu treffen, um die Einhaltung der Datenschutzprinzipien zu gewährleisten. Der Datenschutz sollte bereits in das Design und die Architektur von Gesichtserkennungsprodukten und Dienstleistungen implementiert werden (Privacy by Design). So sollten die Systeme von Anfang an den Grundsätzen Zweckbindung, Datenminimierung und Speicherbegrenzung entsprechen. Auch wird die höchstmögliche Zuverlässigkeit der Systeme und die Aktualität der Daten gefordert. Dies ist besonders wichtig, wenn man bedenkt, dass der Einsatz eines Gesichtserkennungssystems zu erheblichen Nachteilen für eine Vielzahl von Personen führen kann. Daher müssen sowohl die Entwickler und Hersteller von Gesichtserkennungstechnologien als auch Unternehmen, die die Technologien einsetzen, Maßnahmen ergreifen und Schritte unternehmen, um die Datenrichtigkeit sicherzustellen.

Das Dokument enthält auch einige Empfehlungen für die Einrichtungen, die solche Gesichtstechnologie einsetzen. Auch hier werden die Erforderlichkeit und Zweckmäßigkeit des Einsatzes vorausgesetzt. Die Verarbeitung biometrischer Daten mit Hilfe von Gesichtserkennungstechnologien sei nur dann erlaubt, wenn sie nicht in die Rechte der betroffenen Personen eingreift. Die Einrichtungen, die die Technologie nutzen, sind auch an die Grundsätze der Zweckbindung, Datenminimierung und der begrenzten Speicherdauer gebunden. Bei der Festlegung der Aufbewahrungsfristen sei die biometrische Natur der personenbezogenen Daten insbesondre zu berücksichtigen mit der Folge, dass für die verschiedenen Phasen der Verarbeitung unterschiedliche Speicherfristen gelten. Die anwendenden Stellen sind angehalten, die biometrischen Vorlagen und digitalen Bilder korrekt und aktualisiert zu halten, um Fehlern in der Verarbeitung vorzubeugen. Die Entscheidungsfindung und die Auswertung der Ergebnisse der biometrischen Daten mit Hilfe der Gesichtserkennungstechnologie sollte natürlichen Personen überlassen werden und darf nicht automatisiert erfolgen.

Positiv zu bewerten sind die Punkte der Leitlinien, die die Aufklärung der betroffenen Personen über den Einsatz der Gesichtserkennung und deren Auswirkung auf die Rechte und Freiheiten fordern. Die Wichtigkeit der transparenten und fairen Datenverarbeitung wird an mehreren Stellen der Leitlinien betont, denn die Gesichtserkennungstechnologien können ohne Kenntnis und bewusste Kooperation des Betroffenen eingesetzt werden. Die Betroffenen sollten insbesondere in den schutzbedürftigen Situationen über die wichtigsten Aspekte der Verarbeitung informiert werden. Zu den Inhalten dieser Hinweise gehören Informationen über die Zwecke der Verarbeitung, Datenempfänger, Aufbewahrung und Löschung der Daten sowie die Kontaktstellen an die sich die Einzelpersonen bei Problemen wenden können. Die sog. Erstinformationen sollten schon an dem Ort des Einsatzes zur Verfügung gestellt werden.

Gesichtserkennung durch Strafverfolgungsbehörden

Einige Besonderheiten sollten für die Nutzung der Gesichtserkennung durch Strafverfolgungsbehörden gelten. Ein verdeckter Einsatz von Live-Gesichtserkennungstechnologien durch die Strafverfolgungsbehörden muss nach Ansicht des Europarates eine Ausnahme sein und setzt das Vorliegen der erheblichen unmittelbaren Gefahr für die öffentliche Sicherheit voraus. Die Zweckmäßigkeits- und Verhältnismäßigkeitserwägungen sind im Vorfeld zu dokumentieren. Die oben genannten Transparenz- und Informationspflichten können im Bereich der Strafverfolgung beschränkt werden, wenn sie die Strafverfolgungszwecke zu beeinträchtigen drohen.

Datensicherheit

In den Anwendungsbereichen der Gesichtserkennungstechnologie kann das Versagen der Datensicherheit besonders schwerwiegende Folgen für die betroffenen Personen mit sich bringen. Daher fordern die Leitlinien des Europarates von allen nutzenden Einrichtungen die Implementierung der erhöhten Maßnahmen sowohl auf technischer als auch auf organisatorischer Ebene, um die Daten vor Verlust und unbefugtem Zugriff zu schützen.

Einbeziehung der Aufsichtsbehörden und Einrichtung der Zertifizierungsstellen

Nach der Vorstellung des Europarates sind die Aufsichtsbehörden in den Gesetzgebungs- und Entscheidungsverfahren vor der Einführung der Gesichtserkennungstechnologien einzubeziehen. Darüber hinaus sollte den Aufsichtsbehörden der Zugang zu allen relevanten Dokumenten eröffnet werden.

Der Europarat wünscht sich außerdem die Einrichtung des unabhängigen und qualifizierten Zertifizierungssystems für den Einsatz der Gesichtserkennung. Gesetzgebung und Entscheidungsträger sind aufgefordert durch die Einrichtung eines Kontroll- und Zertifizierungssystems für die Hersteller und Nutzer das Vertrauen der betroffenen Bürgen zu stärken.

Fazit

Die Aufgabe der Wirtschaft und Politik sollte es sein, das Nutzen und die Risiken der Gesichtserkennungstechnologie in Einklang zu bringen, so der Appell des Europarats. Jeder Einsatz dieser Technologie sollte von der anwendenden Stelle kritisch hinterfragt werden. Die Generalsekretärin des Europarates Marija Pejčinović Burić stellt klar:

„Im besten Fall kann Gesichtserkennung praktisch sein und uns helfen, Hindernisse im Alltag zu bewältigen. Im schlimmsten Fall bedroht sie unsere grundlegenden Menschenrechte, insbesondere das Recht auf Privatsphäre, Gleichbehandlung und Nichtdiskriminierung, und ermöglicht es Behörden und anderen Akteuren, wichtige Aspekte unseres Lebens zu überwachen und zu steuern – oftmals ohne unser Wissen und unsere Zustimmung“.