Die Altersverifikation im digitalen Raum gilt als sensibles Feld, insbesondere dann, wenn sie auf biometrischen Verfahren beruht. Eine aktuelle Entscheidung der spanischen Datenschutzaufsicht (AEPD) verdeutlicht, dass der Einsatz solcher Technologien strengen rechtlichen Maßstäben unterliegt. Mit einem Bußgeld von 950.000 Euro sanktionierte die Behörde ein Unternehmen, das bei der Alters- und Identitätsprüfung per Gesichtserkennung zentrale datenschutzrechtliche Anforderungen nicht erfüllte – darunter auch besondere Schutzvorgaben für Minderjährige unter 14 Jahren.
Sachverhalt der Entscheidung
Gegenstand des Verfahrens war ein digitaler Dienst, der Nutzern ermöglichen sollte, ihr Alter oder ihre Identität online nachzuweisen. Hierzu wurden sie angehalten, ihr Gesicht mit der Kamera eines Endgeräts zu scannen und zusätzlich ein Ausweisdokument zu erfassen. Auf diese Weise erstellte das System eine rechnerische Repräsentation der Gesichtsmerkmale, die gespeichert und bei späteren Nutzungsvorgängen erneut herangezogen wurde.
Nach den Feststellungen der AEPD beschränkte sich die Verarbeitung nicht auf eine einmalige Altersprüfung. Vielmehr diente das gespeicherte biometrische Template dazu, wiederkehrend zu bestätigen, dass es sich um dieselbe Person handelte. Parallel dazu sah das System vor, die erhobenen Daten auch für Analyse‑, Forschungs‑ und interne Entwicklungszwecke zu verwenden. Diese weitergehende Nutzung war über Einstellungen erlaubt, die standardmäßig aktiviert waren und nicht auf einer aktiven Entscheidung der Nutzer beruhten.
Einordnung als Verarbeitung biometrischer Daten
Zentraler Ausgangspunkt der Entscheidung war die Qualifikation der verarbeiteten Gesichtsdaten als biometrische Daten im Sinne der Datenschutz‑Grundverordnung. Die AEPD stellte dabei nicht auf die bloße Behauptung ab, es gehe lediglich um eine Altersabschätzung. Maßgeblich war aus Sicht der Behörde, dass ein dauerhaft nutzbares Template erzeugt und gespeichert wurde, um Personen erneut wiederzuerkennen. Damit lag eine Verarbeitung vor, die in den Anwendungsbereich der besonderen Kategorien personenbezogener Daten fällt.
Anforderungen an eine wirksame Einwilligung
Auf dieser Grundlage prüfte die AEPD die Rechtmäßigkeit der Einwilligungen. Sie beanstandete insbesondere, dass zusätzliche Verarbeitungszwecke – etwa zur Verbesserung der Systeme oder zu internen Auswertungen – über Voreinstellungen ermöglicht wurden. Ein solches Vorgehen genügt nach Auffassung der Behörde nicht den Anforderungen an eine eindeutige und freiwillige Zustimmung, zumal biometrische Daten betroffen waren und der Dienst auch von Minderjährigen genutzt werden konnte. Die fehlende aktive Entscheidung der Nutzer führte dazu, dass die Einwilligungsgrundlage als unwirksam eingestuft wurde.
Schutz von Minderjährigen
Besondere Bedeutung maß die AEPD dem Umstand bei, dass sich das Angebot auch an Personen unter 14 Jahren richtete. Für diese Altersgruppe gelten im spanischen Datenschutzrecht erhöhte Schutzanforderungen. Nach den Feststellungen der Behörde hatte das Unternehmen diese Vorgaben nicht hinreichend berücksichtigt, insbesondere im Hinblick auf die Gestaltung der Einwilligungsmechanismen und die Transparenz der Datenverarbeitung.
Zweckbindung und datenschutzfreundliche Voreinstellungen
Schließlich kritisierte die AEPD, dass die Systemarchitektur nicht hinreichend auf den Grundsatz der Zweckbindung und auf datenschutzfreundliche Voreinstellungen ausgerichtet war. Die Möglichkeit, biometrische Daten standardmäßig für weitere Zwecke zu verwenden, widersprach aus Sicht der Behörde den Vorgaben der DSGVO zur Datenminimierung und „Privacy by Default“, nach denen Dienste so konfiguriert sein müssen, dass standardmäßig die höchste Vertraulichkeit gewährleistet ist.
Fazit
Die Entscheidung der AEPD zeigt exemplarisch, dass Altersverifikationslösungen auf biometrischer Basis einer umfassenden datenschutzrechtlichen Prüfung unterzogen werden. Maßgeblich ist dabei nicht die technische Etikettierung einzelner Funktionen, sondern die tatsächliche Systemlogik und der Verwendungszusammenhang der Daten. Insbesondere bei sensiblen Daten und bei Angeboten, die sich auch an Minderjährige richten, genügt es nicht, Einwilligungen über voreingestellte Optionen einzuholen. Die Sanktion macht deutlich, dass Aufsichtsbehörden in diesem Bereich eine konsequente Anwendung der DSGVO erwarten.
Bereit, die Verantwortung an einen externen Datenschutzbeauftragten zu übergeben?
Kontaktieren Sie uns noch heute, um zu erfahren, wie wir Ihr Unternehmen in Fragen des Datenschutzes und der Datenschutz-Compliance unterstützen können.
