Die flächendeckende Überwachung durch Kameras hat längst auch die deutschen Fußballstadien erreicht. Intelligente Videoüberwachung soll zum „sicheren Stadionerlebnis“ beitragen und das Fehlverhalten von Fans dokumentieren (wir berichteten).
Im europäischen Ausland ist man seit kurzem einen Schritt weiter: Die dänische Datenschutzbehörde „Datatilsynet“ entschied, dass der Erstligist Brøndby IF ein weitreichendes automatisches Gesichtserkennungssystem einsetzen darf. Hierdurch sollen Fans mit Stadionverbot erkannt und am Betreten des Stadions gehindert werden. Am Einlass zum Stadion werden hierzu alle Fans gefilmt, die das Stadion betreten wollen. Die eingesetzte Software gleicht die gefilmten Gesichter mit den in einer internen Datenbank gespeicherten Gesichtern der Fans mit Stadionverbot ab (Stadionverbots-Liste). Bei Übereinstimmung sendet das System eine Nachricht an das Stadionpersonal, das identifizierten Fans mit Stadionverbot den Zutritt verweigern soll.
Bedingungen für den Einsatz
Nach Ansicht der dänischen Datenschutzbehörde sei die konkrete Verarbeitung biometrischer Daten aus Gründen eines erheblichen öffentlichen Interesses erforderlich und stehe zudem in einem angemessenen Verhältnis zu dem Zweck, eine effektivere Durchsetzung der Stadionverbots-Liste zu ermöglichen (vgl. Art. 9 Abs. 2 lit. g DSGVO). Damit Brøndby IF das automatische Gesichtserkennungssystem aber tatsächlich einsetzen kann, müssen einige Vorgaben befolgt werden:
- Die Stadionverbots-Liste muss sachlich und verhältnismäßig im Zusammenhang mit Verstößen gegen die Stadionordnung erstellt werden.
- Personenbezogene Daten von Personen, die nicht auf der Stadionverbots-Liste stehen, dürfen nicht gespeichert werden.
- Es müssen ausführliche Informationen zur Zugangskontrolle und den hierbei stattfindenden Datenverarbeitungen bereitgestellt werden. Dazu gehört auch, dass ausdrücklich auf die Verarbeitung biometrischer Daten mithilfe eines automatischen Gesichtserkennungssystems hingewiesen wird.
- Die eingesetzten Überwachungskameras müssen in einem separaten Netzwerk installiert werden und dürfen nicht mit dem Internet verbunden sein.
- Personenbezogene Daten, die im Rahmen des Gesichtserkennungssystems verarbeitet werden, dürfen nur wirksam verschlüsselt auf den Server übertragen und dort gespeichert werden.
- Personenbezogene Daten, die im Rahmen des Gesichtserkennungssystems verarbeitet werden und zu einer Übereinstimmung mit der Stadionverbots-Liste führen, müssen sofort nach dem jeweiligen Spiel gelöscht werden.
- Die Zugangskontrolle mit dem Gesichtserkennungssystem darf nur in einer vorher festgelegten Art und Weise durchgeführt werden. Hierzu zählt, dass die Autorisierung und Bedienung der Gesichtserkennungssoftware nur von ausgewählten Mitarbeitern und unter Verwendung einer Zwei-Faktor-Authentifizierung beim Anmeldevorgang erfolgen darf.
- Die Gesichtserkennung darf nur bei Spielen in der 1. und 2. Liga (einschließlich Trainingsspielen) sowie im europäischen Wettbewerb eingesetzt werden.
- Änderungen und Abweichungen von den geprüften Bedingungen müssen der Datenschutzbehörde mitgeteilt werden.
Ausblick
Ob deutsche Aufsichtsbehörden die Einschätzung zum Einsatz des automatischen Gesichtserkennungssystems teilen würden, bleibt äußerst fraglich. Die von der dänischen Datenschutzbehörde festgestellten Anforderungen an ein „erhebliches öffentliches Interesse“ und an die Verhältnismäßigkeit scheinen sehr niedrig zu sein. Das verwundert umso mehr, wenn man bedenkt, dass Maßnahmen zur automatischen Gesichtserkennung nach wie vor eine der intensivsten Überwachungsmethoden darstellen und überhaupt nur unter sehr strengen Voraussetzungen möglich sind.
Den Fußballfans bei Brøndby-Heimspielen wird zukünftig jedenfalls keine Wahl gelassen: Die Gesichtserkennung wird Teil der Zutrittskontrolle, der sich alle Fans unterziehen müssen. Auch wenn die meisten Fans nicht auf der Stadionverbots-Liste stehen und von ihnen keine personenbezogenen Daten gespeichert werden sollen, können sie sich der Überwachung nicht entziehen. Dies allein stellt einen erheblichen Eingriff in die Rechte eines jeden Fans dar, der nicht verharmlost werden sollte. Gleichwohl werden sicherlich auch deutsche Vereine die Entscheidung der dänischen Datenschutzbehörde interessiert zur Kenntnis genommen haben.
Thorsten
8. August 2019 @ 16:22
Interessanter Artikel! Besonders bei Punkt 3. stellt sich mir folgende Frage. Was heißt das nun konkret, muss der Hinweis kurz vor der Gesichtserkennung erfolgen oder muss dies schon beim Erwerb der Eintrittskarte sein. Wenn es am Stadiongelände genügt, was mache ich als Betroffener, wenn ich mich der Erfassung nicht aussetzen möchte, aber bereits eine bezahlte Eintrittskarte besitze?