Die englische Aufsichtsbehörde, Information Commissioner´s Office (ICO), hat am 23. Juli 2024 mitgeteilt, eine Verwarnung gegen eine Schule in Essex wegen des unrechtsmäßigen Verwendens von Gesichtserkennungstechnologie ausgesprochen zu haben – ein Verstoß gegen Art. 58 Abs.2 lit. b UK GDPR.
Was war passiert?
Die Schule hatte im März 2023 begonnen, Gesichtserkennungstechnologien in der Kantine der Schule einzusetzen, um den Schüler*innen bargeldloses Bezahlen zu ermöglichen.
Die Gesichtserkennungstechnologie (Facial Recognition Technologie – FRT) verarbeitet biometrische Daten der Schüler*innen zur eindeutigen Identifizierung. Die Gesichtserkennungstechnologie sollte in der Schule das seit 2016 genutzte – ebenfalls biometrische – Verfahren des Erfassens von Fingerabdrücken ablösen.
Der Datenschutzbeauftragte wurde bei Einführung der Technologie zunächst nicht einbezogen. Den Eltern der Kinder wurde im März 2023 ein Brief zugesandt, den diese zurückschicken sollten, falls sie mit der Teilnahme ihres Kindes an der Gesichtserkennung nicht einverstanden seien. Im November 2023 wurden dann Einwilligungen durch eine aktiv bestätigende Handlung nachgeholt und auch der Datenschutzbeauftragte beteiligt, der eine Datenschutz-Folgenabschätzung (DSFA) durchführte und bei der Behörde einreichte.
Einschätzung der Aufsichtsbehörde
Der ICO sah in dem Fall hohe Datenschutzrisiken. Für eine rechtmäßige und verantwortungsbewusste Nutzung der Gesichtserkennungstechnologie sei die Durchführung einer DSFA im Sinne von Art. 35 Abs. 1 UK GDPR erforderlich gewesen.
Wie auch andere Datenschutzbehörden hat der ICO eine Liste und weitere Leitfäden veröffentlicht, in welchen Fällen eine DSFA nach Art. 35 Abs. 4 UK GDPR durchzuführen ist. Diese Liste beinhaltet die Notwendigkeit der Durchführung einer DSFA für die Daten besonders vulnerabler Gruppen wie hier der von Minderjährigen als auch die Verwendung von biometrischen Daten.
Die High School, die rund 1200 Schüler*innen im Alter von 11-18 Jahren besuchen, habe es versäumt, vor dem Einsatz die erforderliche DSFA durchzuführen. Es habe keine vorherige Bewertung der Risiken für die Daten der Minderjährigen gegeben.
Auch eine ordnungsgemäße und eindeutige Einwilligung in die Verarbeitung biometrischer Daten der Betroffenen habe die Schule nicht eingeholt. Die Schüler*innen hätten somit keine Möglichkeit gehabt zu entscheiden, ob ihre biometrischen Daten auf diese Weise verwendet werden dürfen oder nicht. Die UK GDPR wie auch die DSGVO betrachtet die Ablehnung (sog. Opt-Out), welche die Eltern durch Rücksendung der versandten Briefe geltend machen konnten, nicht als hinreichende und ausdrückliche Einwilligung. Bis zur Einholung von Einwilligungen im November 2023 habe daher keine Rechtsgrundlage für die Verarbeitung bestanden.
Zudem weist der ICO darauf hin, dass ein Großteil der Schüler*innen alt genug war, um eine eigene Einwilligung in die Datenverarbeitung zu erteilen. Durch das Opt-Out-Vorgehen habe man die Schüler* innen der Ausübung ihrer Rechte und Freiheiten beraubt.
Lynne Currie, Leiterin für Datenschutzinnovation beim ICO, wird zu den Beweggründen wie folgt zitiert (Zitat ins Deutsche übersetzt):
„Der korrekte Umgang mit personenbezogenen Daten in einer Schulkantine ist genauso wichtig wie der Umgang mit dem Essen selbst. Wir erwarten von allen Organisationen, dass sie bei der Einführung einer neuen Technologie die notwendigen Bewertungen durchführen, um etwaige Datenschutzrisiken zu mindern und die Einhaltung der Datenschutzgesetze zu gewährleisten.
Wir sind gegen diese Schule vorgegangen, um zu zeigen, dass die Einführung von Maßnahmen wie FRT nicht auf die leichte Schulter genommen werden sollte, insbesondere wenn es um Kinder geht.
Wir möchten nicht, dass dies andere Schulen davon abhält, neue Technologien einzuführen. Aber dies muss korrekt und unter Berücksichtigung des Datenschutzes geschehen, um das Vertrauen zu stärken, die Privatsphäre der Kinder zu schützen und ihre Rechte zu wahren.”
In seiner Pressemitteilung zitiert der ICO Mrs. Lynne Currie weiter wie folgt:
„Eine Datenschutz-Folgenabschätzung ist gesetzlich vorgeschrieben – es handelt sich nicht um ein Abhakverfahren. Sie ist ein wichtiges Instrument, das die Rechte der Nutzer schützt, für Rechenschaftspflicht sorgt und Organisationen dazu anregt, sich schon zu Beginn eines Projekts Gedanken über den Datenschutz zu machen.“
Die Verwarnung mit den weiteren Empfehlungen des ICO an die High School ist ebenfalls auf der Webseite des ICO im Volltext einsehbar.
Trotz Anerkennung, dass die Schule – zwar verspätet – letztlich eine Datenschutz-Folgenabschätzung durchgeführt hat, sieht der ICO weiteren Verbesserungsbedarf. Bei der Erforderlichkeits- und Verhältnismäßigkeitsprüfung sollten auch die Risiken einer Voreingenommenheit (Bias) und Diskriminierung durch das eingesetzte System mitbedacht werden. Der ICO verweist diesbezüglich auch auf eine eigene, hierzu veröffentlichte Fallstudie zu den Anforderungen an Gesichtserkennungssysteme im Schulbereich.
Schlussfolgerung
Verantwortliche sollten im Blick haben, dass die Durchführung einer Datenschutz-Folgenabschätzung bei Verarbeitungen mit hohem Risiko gesetzlich erforderlich ist um die Risiken zu ermitteln und diesen mit ausreichenden Maßnahmen zu begegnen.
Im vorliegenden Fall ging es zum einen um den Einsatz neuer Technologien, um die Verarbeitung von biometrischen Daten als sensible Daten und zum anderen um Minderjährige als Betroffene der Datenverarbeitung.
Die frühzeitige Einbindung des Datenschutzbeauftragten wäre hier notwendig gewesen und hätte bei der Einordnung, Bewertung und Auswahl geeigneter Maßnahmen geholfen. Auch die Einwilligungen der betroffenen Personen wäre vermutlich von Beginn an rechtswirksam erfolgt.
Die High School ist nicht die erste Schule in Großbritannien, die Gesichtserkennungstechnologien in ihren Kantinen einsetzen wollte. Bereits im Jahr 2021 gab es Medienberichte, dass in schottischen Schulen diese Technologie eingesetzt wurden. Nach massiver Kritik von Datenschützern und auch des ICO deaktivierten zehn Schulen ihre eingesetzten Gesichtserkennungstechnologien wieder. Bezogen auf Minderjährige sollte die Anwendung dieser Technologie nur nach sorgfältiger Prüfung erfolgen und einer Erforderlichkeits- und Verhältnismäßigkeitsprüfung standhalten. Die Organisation Defend Digital Me hat hierzu ebenfalls einen Forderungskatalog zum Schutz von Daten von Kindern im Bildungssektor veröffentlicht, der auch die Erfassung von biometrischen Daten umfasst.
Anonymous
19. September 2024 @ 14:29
Und dann verlassen die Kinderlein ihr Schulgebäude und werden umgehend oder spätestens auf dem Nachhauseweg von CCTV-Kameras mit Gesichtserkennungstechnologie erfasst?