Gesichtserkennungstechnologien datenschutzkonform einsetzen
Die Berlin Group (Internationale Arbeitsgruppe für Datenschutz in der Technologie (IWGDPT)) hat am 05.06.2024 ein Arbeitspapier zum Einsatz von Facial Recognition Technology (FRT) angenommen. Darin behandelt es die verschiedenen Anwendungsoptionen von Gesichtserkennungstechnologien im privaten und öffentlichen Bereich und wie man diese datenschutzkonform einsetzen kann. Das Papier beleuchtet auch die damit verbundenen Risiken und gibt konkrete Handlungsempfehlungen.
Gesichtserkennungstechnologie
Gesichtserkennung ist eine biometrische Technologie, die Gesichtsmerkmale von Menschen untersucht. Regelmäßig basieren solche Systeme auf maschinellem Lernen (machine learning). Das Arbeitspapier erläutert die vier Grundfunktionen von Gesichtserkennungstechnologien. Dazu gehört zunächst das bloße Erkennen, dass auf einem Bild ein Gesicht ist. Zudem gewährt die Kontrollfunktion, etwa bei der Passkontrolle, das gescannte Bild mit einem anderen abzugleichen und die Identität so zu verifizieren. Die Identifikationsfunktion ermöglicht es, ein unbekanntes Gesicht mit einer Datenbank abzugleichen und einem Individuum zu zuordnen. Zuletzt können mit der Gesichtsanalysefunktion sogar Charaktermerkmale zugeordnet werden.
Einsatzbereiche
FRT findet in verschiedenen Gebieten des privaten und öffentlichen Sektors Anwendung. Im privaten Bereich zählen hierzu insbesondere Zugangsüberprüfungen und Sicherheitsmaßnahmen wie zum Beispiel bei den verschiedenen Checkpoints an Flughäfen oder in Sportstadien. Auch soziale Netzwerke haben in der Vergangenheit Gesichtserkennungstechnologien zur automatischen Markierung von Personen auf Fotos eingesetzt. Im öffentlichen Sektor findet die Anwendung hauptsächlich aus Sicherheitsgründen etwa bei der Videoüberwachung an Bahnhöfen, an Grenzen oder bei sonstigen Zugangskontrollen statt. Daneben spielt Gesichtserkennung auch bei der Verfolgung von Straftaten eine wesentliche Rolle. Erst kürzlich hatte das Bundeskriminalamt Millionen von Fahndungsfotos datenschutzrechtlich fragwürdig eingesetzt, um ein Gesichtserkennungssystem zu testen.
Chancen und Risiken
Da die biometrischen Merkmale weitgehend unverändert bleiben, können Betroffene auch über eine längere Zeit überwacht werden. Dies ermöglicht umfangreiche Bewegungsprofile zu erstellen und auch sensible personenbezogene Daten wie politische Meinungen oder Gesundheitsdaten ohne Wissen der Betroffenen zu sammeln. Dies kann zum einen Sicherheitsaspekte adressieren, aber auch die Effizienz steigern und neue Verfahren oder Technologien ermöglichen.
Ulrich Kelber, Vorsitz der Berlin Group und Bundesbeauftragter für Datenschutz und Informationsfreiheit (BfDI), hebt hervor, dass zum Ausschöpfen des vollen Potenzials dieser Technologien effektive Grenzen zur Eindämmung der Risiken erforderlich sind. In der Pressemitteilung erläutert er, dass der Einsatz von FRT insbesondere „im öffentlichen Raum erhebliche Risiken für die Freiheiten und die Rechte der betroffenen Personen birgt“.
Praktische Empfehlungen zur datenschutzkonformen Anwendung
Das Arbeitspapier (abrufbar hier) erläutert verschiedene Handlungsempfehlungen, die zu einem datenschutzkonformen Einsatz führen sollen. Dazu gehört zunächst eine Risiko- und Folgenabschätzung. Im Weiteren sei für gewisse Einsatzbereiche ein umfassendes Verbot gewünscht. Aufgrund der enormen Risiken müsse dies etwa für Verfahren gelten, die Emotionen oder Charakterzüge bestimmen können. Zu empfehlen sei auch, den Einsatz nur zu gestatten, wenn es einen eindeutigen und spezifischen Rechtsrahmen hierfür gibt. Im Übrigen müssten auch Transparenzpflichten existieren, die die Öffentlichkeit über den Einsatz von Gesichtserkennungsverfahren informieren. Außerdem müsse es Rahmenbedingungen geben, die die Fehlerfreiheit solcher Systeme gewährleisten und gewisse Standards festlegen. Dazu gehöre auch die Implementierung explizierter Sicherheitsmaßnahmen.
Fazit
Das Arbeitspapier der Berlin Group zeigt, dass man Gesichtserkennungstechnologien sowohl wirksam als auch datenschutzkonform einsetzen kann. Zwar birgt die Technologie nicht zu unterschätzende Risiken. Allerdings kann diesen bei einer sorgfältigen Ausarbeitung eines Rechtsrahmens und effektiven Sicherheitskonzepten nachhaltig entgegengetreten werden. Wir als Externe Datenschutzbeauftragte helfen Ihnen gerne dabei, entsprechende Technologien datenschutzkonform zu implementieren.