Als Facebook vor einigen Jahren auf ein Verfahren der automatischen Gesichtserkennung setzen wollte, hagelte es teils heftige Kritik in Deutschland und anderen Ländern. Die Sorgen der Datenschützer gingen so weit, dass der zuständige Hamburgische Datenschutzbeauftragte (HmbBfDI) am 21.09.2012 eine Verwaltungsanordnung gegen Facebook erließ, die den Betreiber des größten sozialen Netzwerks der Welt zur datenschutzkonformen Umsetzung dieser Technik verpflichtete. Dies galt beispielsweise der fehlenden Voraussetzung einer ausdrücklichen Einwilligung der Nutzer sowie der Aufklärung der Nutzer über Folgen und Risiken. Facebook zog daraufhin das Bestreben zur automatischen Gesichtserkennung in ganz Europa zurück und löschte sogar die daraus entstandenen Profile.

Der Schutz von biometrischen Daten

Das Thema ist von großer Bedeutung im Datenschutzrecht. Schließlich berechnet eine Gesichtserkennungssoftware anhand des jeweiligen Gesichts einer Person bestimmte Werte als eine Art Formel (Hashwert bzw. Gesichtstemplate), die nahezu einzigartig ist. Es handelt sich hierbei um biometrische Daten, die einen mathematischen „Fingerabdruck“ darstellen und unter den Begriff der personenbezogenen Daten nach § 3 Abs. 1 Bundesdatenschutzgesetz (BDSG) fallen. Diese Daten sind deshalb von besonderer Relevanz, da sie sich selbst mit der Zeit nur wenig bis gar nicht verändern und der Mensch folglich selbst nach vielen, vielen Jahren noch anhand dieser Hashwerte identifiziert werden kann. Je ausgefeilter und fortschrittlicher die Technologie, desto größer ist die Genauigkeit und letztlich dadurch auch die Trefferquote.

Die Datenschutzbehörden trafen daraufhin auf der 87. Konferenz der Datenschutzbeauftragen des Bundes und der Länder am 27. und 28. Mai 2014 in Hamburg eine Entschließung hinsichtlich der biometrischen Gesichtserkennung durch Internetdienste. Abermals wurden die Risiken für jeden Einzelnen betont.

Mittlerweile sind einige Jahre vergangen. Doch unbeirrt der datenschutzrechtlichen Bedenken setzen zahlreiche prominente Unternehmen und selbst Facebook in jüngster Zeit wieder auf technische Verfahren der automatischen Gesichtserkennung, die somit erneut aufzublühen droht. Es mag offensichtlich dem Umstand geschuldet sein, dass sich sowohl die Technik als auch anscheinend die Beliebtheit solcher Verfahren innerhalb der Gesellschaft geändert hat. So drängt seit Jahren nicht nur im privaten Umfeld, sondern selbst im beruflichen Kontext die Kommunikation immer mehr in den „Face2Face“-Bereich ein. Waren es früher eher die privaten Chat-Sessions mit Freunden, werden immer mehr Business-Meetings mit Skype und Co. via Webcam abgehalten oder Zutrittssysteme hieran geknüpft.

Aber auch die Feststellung der Identität im Rahmen des einstigen PostIdent-Verfahrens, z.B. zur Eröffnung eines Bankkontos ist seit einiger Zeit via Webcam möglich – und häufiger finden sogar Bewerbungsgespräche bereits per Video-Chat statt. Selbst Amazon plant seit einigen Monaten an einem neuen Bestellverfahren in Form von der Gesichtserkennung, so dass beispielsweise via eines Fotos oder eines kurzen Videos per Frontkamera am Smartphone der Bestellvorgang im Online-Shop bestätigt und abgeschlossen werden kann. Ferner steht nunmehr auch bei Apple die Einführung vergleichbarer Technologien bei IOS 10 bevor.

Dank FindFace schnell gefunden werden

Welche Folgen der Einsatz dieser Technologie haben kann, insbesondere, wenn sie in Verbindung mit großen Bilderdatenbanken der sozialen Netzwerke kommt, zeigt ein aktuelles Beispiel aus Russland. Denn russische Programmierer entwickelten die App „FindFace“, die eine verbesserte Berechnung der Gesichtserkennung beinhaltet und auf diese Weise die Treffergenauigkeit im Vergleich zu anderen, älteren Systemen verbessert. Zudem fanden die Macher allem Anschein nach eine Schnittstelle zum größten russischen sozialen Netzwerk.

Laut Medienberichten soll diese moderne Formelberechnung eine Genauigkeit von 70 Prozent bei einem wissenschaftlichen Test an der University of Washington erreicht und sogar die Konkurrenz von Google geschlagen haben.

Und es ist so einfach: Wird ein Foto einer Person mit klar erkennbarem Gesicht auf dieser App hochgeladen, so durchsucht das Programm auf dem russischen Pendant zu Facebook, VK (VKontakte), alle Bilder nach möglichen Übereinstimmungen. Im Idealfall lässt sich die abgebildete Person in wenigen Momenten finden. Die vermeintlich offizielle Botschaft dieser App lautet: Wer nach einer bestimmten Person sucht, kann anhand ihres Foto das mögliche Profil und die angegebenen Informationen aufspüren. Frei nach dem Motto: Zeig du mir das Foto, zeige ich dir die wahre Person dahinter.

Doch so wird nicht nur das „Flirten“ erleichtert. Vielmehr tun sich auch viele Gefahren auf, wie kurz nach Erscheinen von FindFace eindrucksvoll bewiesen wurde. So sammelten Nutzer viele Fotos von Darstellern aus Pornos und stießen mithilfe der App auf die Identitäten der Beteiligten, die daraufhin nun kontaktiert oder sogar erpresst werden konnten. Das Prozedere lässt sich beliebig fortführen.

Es liegt auf der Hand, dass eine derartige Technik nicht nur im zivilen Bereich für Aufsehen sorgt, sondern sich auch Geheimdienste oder Sicherheitsunternehmen auf erfolgsversprechende Methoden der automatischen Gesichtserkennung stürzen dürften. Die Feststellung der Identität und erst Recht die Suche und Verfolgung der Person in der Öffentlichkeit, beispielsweise unter Rückgriff auf öffentliche Überwachungssysteme oder Bilderdatenbanken, scheint reizvoll und greifbar nah. Die russischen Entwickler von FindFace erklärten sich sogar auf Nachfrage des Guardian offiziell bereit, unter Umständen mit dem russischen Geheimdienst zu kooperieren.

Wie geht es weiter mit der Gesichtserkennung?

Die fortschreitende Technik macht selbstverständlich keinen Halt. So soll es mit neuerer Software und Technik inzwischen sogar möglich sein, Personen auch ohne klar erkennbare Gesichtszügen zu einem Schlüssel umzuwandeln und somit zu vergleichen bzw. aufzufinden. Denn nicht nur das Gesicht, sondern auch weitere, individuelle Merkmale wie die Haare, Bewegung und der Gang können zu einem einmaligen Wert führen, anhand dessen sich Personen voneinander auch in der Masse unterscheiden lassen (z.B. Facebook Moments Technologie).

Vor dem Hintergrund der neueren Entwicklung im Rechtsverkehr, insbesondere wenn Bestellvorgänge oder Personenidentifizierungen auf Grundlage dieser Gesichtserkennung verbindlich abgeschlossen werden können, sollten datenschutzrechtliche Regelungen und Schutzkonzepte nicht außer Acht gelassen werden. Es ist also nur noch die Frage nach dem „Wie“ der datenschutzkonformen Verwendung der automatischen Gesichtserkennung. Zu denken ist folglich an das Erfordernis der ausdrücklichen Einwilligung (§ 4a BDSG) durch den Nutzer, der klar verständlichen und gut platzierten Information und Aufklärung derselben (unter anderem über die Folgen, aber auch Widerspruchsmöglichkeiten) und letztlich auch der angemessenen Speicherdauer einschließlich etwaiger Löschungsfristen und der technischen Schutzvorkehrungen dieser Daten. Mithin sollte der Einzelne im „Selfie“-Zeitalter auch hinsichtlich der Thematik sensibilisiert werden, was wohl nach wie vor ein schwieriges Unterfangen sein dürfte.

All dies schützt selbstverständlich nicht vor heimlichen und unerlaubten Bildaufnahmen in der Öffentlichkeit. So besteht grundsätzlich immer das Risiko, ohne Kenntnis durch eine fremde Person, sei es mit dem Smartphone oder sei es mit Hilfe einer Drohne oder sonstigen Kamera fotografiert zu werden. Und auch die üblichen Urlaubs- und Alltagsaufnahmen beinhalten oftmals fremde Personen im Hintergrund. Landen all jene Fotos im Internet, insbesondere in den sozialen Netzwerken, können sie unter Umständen von entsprechenden Programmen der Gesichtserkennung aufgegriffen werden. Dem tritt zwar die deutsche Rechtslage mit den Vorschriften §§ 22, 23 KUG bzw. §201a StGB entgegen, doch mag dies erstmal nicht viel an der Auffindbarkeit und den möglichen Folgen der Personenidentifikation ändern.