sp3n - stock.adobe.com
Biometrische Gesichtserkennung und der Datenschutz
Das BMI plant, dass die Polizei für die Suche nach Verdächtigen künftig Gesichtserkennung einsetzen darf. Doch biometrische Verfahren unterliegen einem strengen Datenschutz.
Biometrische Gesichtserkennung ist nicht neu, sondern beschäftigt den Datenschutz schon seit vielen Jahren. Bei der biometrischen Gesichtserkennung wird über eine Kamera das Gesicht einer Person aufgenommen und mit einem oder mehreren zuvor gespeicherten Gesichtsbildern verglichen, erklärt zum Beispiel das BSI (Bundesamt für Sicherheit in der Informationstechnik).
Natürlich muss kein neues Bild für den angestrebten Vergleich erstellt werden, man könnte auch bereits vorhandene nutzen, zum Beispiel aus den sozialen Netzwerken, wenn es denn dem Datenschutz entspräche.
Die Aufsichtsbehörden für den Datenschutz warnen schon seit vielen Jahren vor den Risiken der biometrischen Analysen zur Gesichtserkennung, sei es bei Pilotprojekten zur Videoüberwachung an Bahnhöfen (PDF), sei es als biometrischer Lichtbildabgleich durch Skiliftbetreiber (PDF).
In den Medien wird nun über die stattgefundene Nutzung biometrischer Gesichtserkennung durch Landespolizeien und die geplante Nutzung durch Bundespolizei und BKA (Bundeskriminalamt) berichtet.
Neben der Biometrie soll dabei auch KI (künstliche Intelligenz) zum Einsatz kommen, für den Abgleich von Bildern, nicht aber zur Überwachung des öffentlichen Raumes.
KI und Biometrie sind Top-Themen für den Datenschutz
Nun können bestimmte Einsatzfelder für KI-Anwendungen von vornherein unzulässig sein. So gelten nach der europäischen KI-Verordnung biometrische Echtzeitüberwachung öffentlicher Räume als Praktiken im Bereich der künstlichen Intelligenz, die entweder ganz verboten sind oder nur unter sehr engen Ausnahmebedingungen zulässig sind, wie die Datenschutzaufsichtsbehörden erklären (PDF).
Auch generell sind biometrische Daten besonders schutzbedürftig, sie gehören zu den besonderen Kategorien personenbezogener Daten. Deshalb ist sowohl hinsichtlich der Eingabe als auch hinsichtlich der Verarbeitung und der Ausgabe besonders geschützter Daten zu prüfen, ob eine der Ausnahmen nach DSGVO (Datenschutz-Grundverordnung) erfüllt ist. Dazu gehört der Fall, dass sich die Verarbeitung auf personenbezogene Daten bezieht, die die betroffene Person offensichtlich öffentlich gemacht hat. Es stellt sich also zum Beispiel die Frage, ob die öffentlich zugänglichen Fotos in sozialen Netzwerken dann eine entsprechende Ausnahme darstellen, oder ob an dem biometrischen, KI-gestützten Bilderabgleich, wie ihn womöglich Polizeien durchführen könnten, ein erhebliches öffentliches Interesse besteht.
Befürworter der geplanten biometrischen Gesichtserkennung unter Nutzung von KI würden dies sicherlich so argumentieren. Was aber sagen die Datenschützer zu solchen Fragen der Gesichtserkennung?
Klare Positionen der Datenschutzaufsichtsbehörden
Ohne den konkreten Fall damals kennen zu können, hatte der Bundesdatenschutzbeauftragte im Juni 2024 erklärt: „Technologien zur Gesichtserkennung sind weltweit auf dem Vormarsch, gerade angesichts der aktuellen Entwicklungen im Bereich der künstlichen Intelligenz. Wir erleben das zum Beispiel an Flughäfen bei Passkontrollen“.
Prof. Kelber gab zu bedenken: „Damit wir am Ende von diesen Technologien profitieren können, ist es wichtig, ihre Grenzen abzustecken und auf die Risiken hinzuweisen“. Ein gemeinsames Arbeitspapier () der Berlin Group hat deshalb deutlich gemacht, dass vor allem der Einsatz im öffentlichen Raum hohe Risiken für die Freiheiten und Rechte der betroffenen Personen birgt. Die Datenschützer, die an der Berlin Group beteiligt sind, hatten sich außerdem geeinigt, Gesichtserkennungstechnologien, die Emotionen erkennen oder gar Charakterzüge aus bestimmten biometrischen Eigenschaften ableiten sollen, aufgrund ihrer Ungenauigkeit und der extrem hohen Diskriminierungsrisiken abzulehnen. Man solle sich bewusst machen, dass Gesichtserkennungstechnologie auch zu eingriffsintensiver, willkürlicher und unrechtmäßiger Überwachung führen könne.
In dem Arbeitspapier nehmen die Datenschützer auch explizit zu Anwendungen durch Polizeien (Law Enforcement Use) Stellung. Zudem erklären die Datenschützer auch: Es ist zu beachten, dass die Veröffentlichung eines Fotos nicht automatisch eine Rechtsgrundlage für die Verarbeitung der biometrischen Daten mit sich bringt, die aus diesem Foto gewonnen werden können.
Auch der Europäische Datenschutzausschuss (EDSA) macht auf die Risiken einer biometrischen Gesichtserkennung aufmerksam, mit Blick auf den zunehmenden Einsatz an Flughäfen: „Es ist wichtig zu wissen, dass biometrische Daten besonders sensibel sind und dass ihre Verarbeitung erhebliche Risiken für Einzelpersonen mit sich bringen kann“, so die Vorsitzende des EDSA, Anu Talus. „Gesichtserkennungstechnologie kann zu falschen Negativergebnissen, Voreingenommenheit und Diskriminierung führen. Der Missbrauch biometrischer Daten kann auch schwerwiegende Folgen haben, wie etwa Identitätsbetrug oder Identitätsdiebstahl.“
Es ist offensichtlich wichtig und notwendig, an die Datenschutzfolgen biometrischer Gesichtserkennung zu denken und diese zu bestimmen (Datenschutzfolgen-Abschätzung, DSFA). Zudem bedarf es einer auf den Datenschutz abgestimmten Rechtsgrundlage, auch für den Einsatz bei Polizeien. Es bleibt abzuwarten, wie das gesetzliche Vorhaben nun vorangetrieben wird und was die Datenschützer zu dem geplanten Gesetz sagen.
Unternehmen sollten aus diesem Beispiel lernen, dass biometrische Verfahren nicht leichtfertig eingesetzt werden sollten, auch und insbesondere nicht in Verbindung mit KI. Eine DSFA sollte und darf nicht fehlen, bevor weiter über entsprechende Projekte nachgedacht wird.