Die Berlin Group hat im Juni ein Arbeitspapier zu Gesichtserkennungstechnologie (GET) veröffentlicht. Bei der Berlin Group handelt es sich um die Internationale Arbeitsgruppe für Datenschutz in der Technologie (IWGDPT). Vorsitzender ist der bzw. die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI). Die wesentlichen Punkte werden in diesem Beitrag aufgezeigt.
Aufbau des Arbeitspapiers
Die Berlin Group definiert den Begriff der GET, nennt Anwendungsgebiete im privaten und öffentlichen Bereich, zeigt u. a. Datenschutzrisiken auf und nennt Maßnahmen zur Risikoeindämmung für datenschutzrechtlich Verantwortliche, Auftragsverarbeiter und politische Entscheidungsträger.
GET
Mithilfe von GET werden Gesichtsmerkmale eines Fotos oder Videos (im Folgenden Foto) mit solchen in einer oder mehreren Datenbanken abgeglichen, um ein Gesicht und damit eine Person wiedererkennen zu können. Eine Kamera erfasst das Gesicht der betroffenen Person, das von GET mathematisch in eine Vorlage verwandelt wird, um danach mit vorhandenen Fotos abgeglichen zu werden. Dieser Vorgang wird Identifikation genannt.
Davon unterschieden wird die Gesichtsanalyse, mit der Merkmale identifiziert werden, z. B. Alter, Geschlecht, Emotion, Stimmung, Ethnie. Die Identifikation einer Person steht bei der Gesichtsanalyse nicht im Vordergrund. Die Gesichtsanalyse kann dennoch ein Teil einer GET sein.
Neben der Identifikation und der Gesichtsanalyse gibt es noch zwei weitere Funktionen von GET (Erkennung und Verifikation). Mit einer GET können Gesichter auf einem Bild erkannt werden. Durch den Abgleich der Gesichtsmerkmale mit einem Foto eines anderen Dokuments, z. B. dem Foto eines Personalausweises, erfolgt eine Verifikation (so z. B. in Australien und Neuseeland).
GET kann als Machine Learning System konzipiert sein, bei dem das Modell so trainiert wurde, Gesichtsmerkmale zu erkennen und sich im Laufe der Nutzung so weiterzuentwickeln, dass Fehler minimiert werden.
Anwendungsgebiete
Die Berlin Group nennt Anwendungsgebiete im privaten und öffentlichen Bereich.
Privater Bereich
- Zutritt zu einem Gebäude
- Zugriffskontrolle für PC, Handy oder den Online Account
- Sicherheitsbelange des Personals in Geschäften und Diebstahlprävention oder -aufklärung. In Neuseeland gab es Datenbankabgleiche mit Personen, die (mutmaßlich) Diebstähle begangen haben. In den Niederlanden und in Kanada haben die jeweils zuständigen Datenschutzaufsichtsbehörden den Einsatz von GET eines Supermarktbetreibers zum Abgleich mit Personen, die ein Hausverbot bekommen hatten, beanstandet
- Check-In im Hotel in China, Autoreservierung in den USA
- Überprüfung von Anwesenheiten bei Veranstaltungen oder von Beschäftigten
- Alterseinschätzung in Videospielen und altersgerechte Inhalteanpassung
- Im Bereich der Gesichtsanalyse kommt eine Alterseinschätzung in Betracht, nach der sich beurteilt, ob Alkohol verkauft oder nicht verkauft werden darf, wenn es sich bei den betroffenen Personen um Minderjährige handelt
- Außerdem kann anhand der aktuellen Stimmung die Werbung angepasst werden, die im öffentlichen Bereich angezeigt wird
Öffentlicher Bereich
- Identifizierung einer Person durch Polizei und andere Strafverfolgungsbehörden
- Öffentliche Sicherheit
- Grenzkontrollen
- Zugriff auf Behördensysteme
- Überprüfung von Anwesenheiten von Schülern (z. B. in UK und Australien)
Datenschutzrisiken
Die Berlin Group erkennt die Bedeutung an, die GET für die Verbesserung der öffentlichen Sicherheit hat. Auf der anderen Seite besteht jedoch die Gefahr einer unzulässigen Überwachung, die zur Verletzung der Rechte der betroffenen Personen führt. So lässt sich mit GET etwa der Aufenthaltsort bestimmen, woraus weitere Informationen abgeleitet werden können, z. B. Gesundheitsdaten, politische oder religiöse Ansichten. Daraus können z. B. Gefahren wie das Stalking oder eine Kriminalisierung erwachsen.
Ein Risiko besteht, wenn die technischen und organisatorischen Maßnahmen unzureichend sind und das System gehackt wird. Dadurch können die Daten missbräuchlich genutzt werden, z. B. für den Identitätsdiebstahl, den Login in Accounts oder die Erpressung der Betroffenen.
Bei fehlendem Berechtigungskonzept könnten Unberechtigte Zugriff nehmen.
Wenn die GET nicht richtig funktioniert, kann sich eine Diskriminierung der betroffenen Person ergeben.
Zudem besteht das Risiko, dass betroffene Personen nicht hinreichend über die Datenverarbeitung informiert werden. Wie die Daten verarbeitet werden und wie viele Datenempfänger es gibt, bliebe somit unklar. Ohne Datenschutzhinweise wäre den betroffenen Personen ggf. der Verantwortliche unbekannt und dass Betroffenenrechte bestehen, würde ebenfalls nicht mitgeteilt werden. Somit könnten auch keine Betroffenenrechte ausgeübt werden.
Des Weiteren besteht ein Anonymitätsverlust, wenn an öffentlichen Orten erfasst wird sowie ein Gefühl des Überwachtseins. Eine GET ermöglicht es, Informationen zum Lebensstil, inklusive der politischen oder religiösen Meinung (Teilnahme an Demonstrationen, das Tragen religiöser Symbole) sowie Informationen zur Gesundheit (Rollstuhl, Krücken, Brille, der Besuch von Ärzten oder Krankenhäusern) zu erlangen. All dies könnte dazu führen, dass man solche Orte möglichst nicht mehr aufsucht. Daraus ergäbe sich eine Verhaltensanpassung und eine Einschränkung der Grundrechte (Versammlungs-, Meinungs- und Religionsfreiheit). Ferner könnte von der Inanspruchnahme von Gesundheitsleistungen abgesehen werden.
Maßnahmen
Um diese Auswirkungen zu verhindern, könnte auf den Einsatz einer GET verzichtet werden, wenn mildere Maßnahmen existieren.
Wenn eine GET eingesetzt werden soll, empfiehlt die Berlin Group die Technologie vor dem Einsatz datenschutzrechtlich zu prüfen und ggf. eine Datenschutzfolgenabschätzung durchzuführen. Bei der Prüfung sind insbesondere die folgenden Aspekte relevant:
- Anzahl an Betroffenen
- Speicherung in einer Datenbank oder lediglich auf dem Gerät
- Das Vorliegen einer biometrischen Datenbank mit oder ohne Suchfunktion
- Lediglich Live-Abgleich oder Speicherung der Daten
- (Un-)verschlüsselte Speicherung der Daten in der Datenbank
- Die Daten werden automatisch dem System hinzugefügt oder müssen manuell ergänzt werden
- (Keine) Datenschutzhinweise und zusätzlich die Einholung der Einwilligung
- Berechtigungskonzept
- Erfassung des öffentlichen oder nur des privaten Bereichs
- Regelmäßige Neubewertung des Systems aufgrund technischer Entwicklung
Bei der Prüfung ist der Datenschutzbeauftragte einzubinden.
Es muss für alle Verarbeitungsphasen eine Rechtsgrundlage geben. Diese Phasen bestehen aus dem Training der GET-Algorithmen, dem Erstellen einer Gesichtsdatenbank, dem Erfassen eines Gesichts und dem Abgleich mit den Fotos in einer Datenbank.
Die Rechtsgrundlage hängt von Einsatzgebiet ab. In öffentlichen Bereichen kann ein öffentliches Interesse gemäß Art. 6 Abs. 1 S. 1 lit. e DSGVO bestehen. Ferner kann es eine rechtliche Verpflichtung geben, Art. 6 Abs. 1 S. 1 lit. c DSGVO. Im Übrigen ist eine Einwilligung gemäß Art. 6 Abs. 1 S. 1 lit. a DSGVO erforderlich.
Es muss Datenschutzhinweise geben, in denen transparent über die GET informiert wird.
Wichtig sind eine Datenrichtigkeit und regelmäßige Evaluierung, auch zwecks Vermeidung von Bias (durch Voreingenommenheit verzerrte Wahrnehmung oder Einschätzung). Zudem muss durch menschliche Kontrolle der GET gewährleistet werden, dass die Daten rechtmäßig erhoben wurden. Das System dürfte nicht mehr betrieben werden, wenn es nicht mehr rechtmäßig wäre.
Es sind angemessene technische und organisatorische Maßnahmen zu implementieren, sodass nur Berechtigte zugreifen können und Datenpannen durch Hacking ausgeschlossen werden kann.
Die Berlin Group adressiert politische Entscheidungsträger, damit diese Regeln für Transparenz und Datenminimierung entwerfen. In diesem Zusammenhang werden abschließend noch die folgenden Maßnahmen erwähnt:
- Löschung von Bildern, die zu keiner Übereinstimmung geführt haben
- Speicherbegrenzung und Löschung von Klardaten, sobald eine Vorlage erstellt wurde
- Automatische Datenlöschung nach einer definierten Zeit
- Keine Anreicherung mit Daten aus anderen Quellen
- Verpixelung von Bereichen und Personen, die für den Abgleich irrelevant sind
- Separate Speicherung der Fotos und anderer Daten
- Verschlüsselung und Anonymisierung
- Berechtigungskonzept
- Speicherung auf dem Endgerät der betroffenen Person
- Zertifizierung nach der ISO/IEC 24745:2022 zum Schutz von biometrischen Daten
Exkurs: Verbotene Anwendungen gemäß KI-Verordnung
Wenn bei GET künstliche Intelligenz zum Einsatz kommen sollte, regelt die KI-Verordnung, dass gewisse Anwendungen verboten sind. Dazu zählen das ungezielte Auslesen von Gesichtsbildern aus dem Internet oder von Überwachungskameras für Gesichtserkennungsdatenbanken. Bezüglich der Gesichtsanalyse gilt, dass zudem Emotionserkennungssysteme am Arbeitsplatz und in Schulen verboten sind. In bestimmten Ausnahmefällen ist die Verwendung biometrischer Echtzeit-Fernidentifizierungssysteme in öffentlich zugänglichen Räumen zu Strafverfolgungszwecken erlaubt. Inwiefern außerhalb dieser Bereiche GET und eine Gesichtsanalyse zum Einsatz kommen wird, wenn die KI-Verordnung anwendbar wird, bleibt abzuwarten.
Fazit
Die Berlin Group zeigt in ihrem Arbeitspapier insbesondere Risiken auf, die beim Einsatz einer GET drohen könnten. Auf eine GET ist bis auf gewisse Ausnahmen entweder zu verzichten oder es müssen angemessene Maßnahmen getroffen werden. Daher gilt auch schon bis zur Anwendbarkeit der KI-Verordnung, dass die Nutzung einer GET an strenge Vorgaben geknüpft ist, die Verantwortliche einzuhalten haben.