Seit Jahren ist der Einsatz von automatischen Gesichtserkennungstechniken aus datenschutzrechtlicher Perspektive höchst umstritten. Erst im Januar 2021 hatte der Europarat noch eine Begrenzung gefordert (wir berichteten) – doch heißt es nun, dass sie innerhalb der EU zukünftig noch mehr genutzt werden soll.
Während die Methodik der Gesichtserkennung beispielsweise zur Aufklärung von Straftaten und bei der Suche nach etwaigen verdächtigen Personen hilfreich sein kann, ist ein hohes Konflikt- und Missbrauchspotenzial aufgrund der Möglichkeit der Verwendung dieser Technik für andere Zwecke gegeben. Insbesondere im privatwirtschaftlichen Umfeld bestehen große Bedenken, dass z. B. Veranstalter oder Gebäudeeigentümer die Gesichtserkennung am Eintritt einsetzen könnten, um unliebsame BesucherInnen auszusperren.
Ein aktueller Fall aus New York verdeutlicht dieses Problem. Denn dort wurde vor kurzem laut Medienberichten eine 44-jährige Anwältin beim Besuch eines Wintermusicals zusammen mit ihrer Tochter am Eingang zum Saal des weltberühmten Theaters, der Radio City Music Hall in Manhattan, gehindert und konnte somit trotz Ticket nicht die Veranstaltung besuchen.
Wie konnte das passieren? Der Eigentümer des Veranstaltungsortes, die MSG Entertainment, setzte offenbar alle Personen auf eine Liste, mit denen sich das Unternehmen in Rechtstreitigkeiten befindet und erklärte diesen ein Hausverbot. Und die Kanzlei der betroffenen Anwältin führte offenbar einen Prozess gegen das Medienhaus, sodass selbst die nicht an diesem Prozess beteiligte Juristin offenbar auf Grund ihrer Zugehörigkeit zur Kanzlei automatisch im System auf dieser Liste geführt und anhand der Gesichtserkennung identifiziert wurde. Nachdem die Gesichtserkennung sie identifizierte, wurde sie vom Sicherheitspersonal angesprochen, am Betreten des Saals gehindert und aus dem Gebäude heraus begleitet.
Datenschutz bei Gesichtserkennungen
Zwar spielte sich der Fall in den USA ab, doch liegen in diesem Kontext aus der Perspektive des europäischen Datenschutzes mehrere Prozesse vor, die eine Rechtsgrundlage benötigen würden: Zum einen wäre eine Rechtsgrundlage für das Führen der Hausverbotsliste und die damit verbundene Verarbeitung von personenbezogenen Daten, insbesondere des Namens und des Fotos der Person erforderlich. An der Rechtmäßigkeit eines solchen Vorgangs bestehen erhebliche Zweifel. Ein berechtigtes Interesse ist insbesondere wegen der Begründung des Hausverbots kaum anzunehmen, zumal die Juristin selbst nicht in die Rechtsstreitigkeit zwischen ihrem Arbeitgeber und dem Eigentümer des Veranstaltungsorts eingebunden war.
Ferner wäre auch für die Videoüberwachung und somit die damit einhergehende Gesichtserkennung im Gebäude eine Rechtsgrundlage erforderlich. Für Letzteres könnte die Einwilligung der betroffenen Person in Betracht kommen, wenn diese aktiv und freiwillig der Erfassung und Analyse ihres Bildes zustimmen würde. Allein an der Freiwilligkeit bestehen erhebliche Zweifel. Auch dürfte sich die praktische Durchführbarkeit als schwierig erweisen, da die Betroffenen vorab transparent und verständlich auf die Datenverarbeitung hingewiesen worden sein müssten und die Einwilligung nachweisbar (d. h. i.d.R. schriftlich oder elektronisch) abzugeben ist. Dies könnte durch die aktive Betätigung eines Schalters am Eingang oder der Verwendung des Tickets am Scanner etabliert werden, wäre allerdings selbst dann noch fraglich. Auch ist das sog. „Koppelungsverbot“ in der DSGVO zu beachten (Art. 7 Abs. 4 DSGVO). Demnach darf ein Vertragsabschluss (z. B. der Kauf eines Tickets) nicht von einer Einwilligung (in die Gesichtserkennung) abhängig gemacht werden, wenn diese Verarbeitung für die Erfüllung des Vertrags nicht erforderlich ist.
Derartige Datenverarbeitungen könnten aber unter Umständen auf eine zusätzliche Vereinbarung (Nutzungsbedingungen) gestützt werden, was jedoch eine hohe Hürde vorsieht.
Sodann müsste geprüft werden, wie lange diese Daten überhaupt gespeichert werden dürften und wie diese angemessen vor Zugriffen unbefugter Personen (Art. 32 DSGVO) sowie auch vor einer Zweckentfremdung geschützt werden. Interne Richtlinien zum Umgang mit dem Videomaterial wären zu fordern.
Hierzulande dürfte dieser Vorgang im Rahmen der DSGVO also kaum rechtmäßig ausgestaltet werden können. Die Datenverarbeitung durch die Gesichtserkennung dürfte aufgrund des Fehlens einer Rechtsgrundlage scheitern und wäre dann sogar bußgeldbewehrt.
Ausblick
Eine intelligente Gesichtserkennung lässt sich nicht nur an Veranstaltungsorten, sondern auch an vielen anderen Stellen wie an einem Airport, in öffentlichen Gebäuden oder aber auch beim Zutritt zum Fußballstadion flächendeckend einrichten. Einige Beispiel aus der jüngeren Vergangenheit verdeutlichen diese Tendenz (wir berichteten schon hier und hier und hier). Daher ist die EU mittlerweile gefordert, diese Technik stärker zu reglementieren, wie vom Europarat auch gefordert wurde.
Die Konsequenzen einer uneingeschränkten Nutzung von Gesichtserkennungstechnologien sind kaum vorstellbar: So könnten prinzipiell nicht nur „unliebsame“ Fans am Stadionbesuch gehindert, sondern auch ein festgelegter Personenkreis von der Nutzung einer Infrastruktur ausgesperrt werden. Am Beispiel China mit seinem Social-Credit-System lässt sich bspw. ein Einsatz von Kameras zur Überwachung eines ordnungsgemäßen Verhaltens und damit zur Kontrolle von Personen erkennen. Zudem werden dadurch massenhafte Bilder erstellt und analysiert, was bei einer hohen Fehlerquote auch zu Einschränkungen von „unschuldigen“ Personen (z. B. bei der Polizeiarbeit), aber auch zum Risiko einer Erstellung von Bewegungsprofilen führt und eine Verwendung für andere Zwecke (z. B. für personalisierte Werbung) nahelegt. Aber auch die Analyse der Emotionen und des Verhaltens von Personen während des Aufenthalts im Theater oder bei einer Ausstellung mag für Unternehmen von großem Interesse sein, ist jedoch in der Regel ebenso datenschutzrechtlich unzulässig.
Wir hatten bereits schon von einiger Zeit auf diese Risiken hingewiesen.