Erlaubt die DSGVO Gesichtserkennung zur Abwehr von Gefahren?

Fachbeitrag

Der Artikel geht speziellen Fragen im Hinblick auf die Gesichtserkennung auf Grundlage der DSGVO nach. Kann die Gesichtserkennung zur Abwehr von Gefahren, etwa in öffentlich zugänglichen Räumen, eingesetzt werden? Ist diese an denselben rechtlichen Maßstäben zu messen, wie eine „bloße“ Videoüberwachung?

Gesichtserkennung im Dienste der Öffentlichkeit – Entwicklungen in Deutschland

Das Thema Gesichtserkennung wird oft ambivalent gesehen. Die Risiken, die sich aus dieser Technik ergeben können, sind nicht zu unterschätzen, Identitätsdiebstahl und damit einhergehender Identitätsmissbrauch durch erlangte biometrische Daten, stellen ein ernstzunehmendes Problem dar. Allerdings wird auch immer wieder berichtet, dass Täter sich dank dieser Technik nicht mehr so einfach der Identifizierung entziehen könnten.

Die rechtliche Lage nach der DSGVO

Dieser Artikel geht nicht auf Maßnahmen durch Strafverfolgungsbehörden ein, welche unter die Richtlinie (EU) 2016/680 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung fallen.

Gemäß Art. 4 Nr. 14 DSGVO handelt es sich bei Gesichtsbildern um biometrische Daten.

„biometrische Daten“ mit speziellen technischen Verfahren gewonnene personenbezogene Daten zu den physischen, physiologischen oder verhaltenstypischen Merkmalen einer natürlichen Person, die die eindeutige Identifizierung dieser natürlichen Person ermöglichen oder bestätigen, wie Gesichtsbilder oder daktyloskopische Daten;“

Gemäß Art. 9 I DSGVO handelt es sich bei biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person zudem um besondere Kategorien personenbezogener Daten. Die Verarbeitung besonderer Kategorien personenbezogener Daten ist grundsätzlich untersagt und nur in streng geregelten Ausnahmefällen zulässig. Entsprechende Ausnahmen finden sich in Art. 9 Abs. 2 DSGVO (oder in § 22 BDSG). Zu diesem Thema finden sich in den Kurzpapieren Nr. 15 – Videoüberwachung nach der Datenschutz-Grundverordnung und Nr. 17 – Besondere Kategorien personenbezogener Daten weitere Informationen.

Die „bloße“ Videoüberwachung, Gegenstand von Art. 9 DSGVO?

Da die Definition ausdrücklich „Gesichtsbilder“ nennt, ist zu überlegen, ob eine bloße Videoüberwachung (ohne Verarbeitung der biometrischen Daten) bereits an den strengen Voraussetzungen aus Art. 9 DSGVO zu messen ist. Bis zum 25.05.2018 war die Videoüberwachung in öffentlich zugänglichen Räumen nach § 6 b BDSG-alt zu beurteilen. Seit dem 25.05.2018 ist die Videoüberwachung in öffentlich zugänglichen Räumen in § 4 BDSG geregelt (allerdings wird diskutiert, inwieweit die Umsetzung in nationales Recht den Öffnungsklauseln der DSGVO entspricht und ob § 4 BDSG – zumindest teilweise – europarechtswidrig sei).

Gegen die Sichtweise kann angeführt werden, dass gemäß der Definition der biometrischen Daten, diese erst mit speziellen technischen Verfahren aus den Bildern herausgewonnen werden müssen. Die Erläuterung in Erwägungsgrund 51 spricht ebenfalls eher gegen eine generelle Anwendung auf die Videoüberwachung.

„Die Verarbeitung von Lichtbildern sollte nicht grundsätzlich als Verarbeitung besonderer Kategorien von personenbezogenen Daten angesehen werden, da Lichtbilder nur dann von der Definition des Begriffs „biometrische Daten“ erfasst werden, wenn sie mit speziellen technischen Mitteln verarbeitet werden, die die eindeutige Identifizierung oder Authentifizierung einer natürlichen Person ermöglichen.“ (Erwägungsgrund 51, S. 3)

Anforderungen an eine zulässige Gesichtserkennung in Deutschland

Wie bereits erwähnt ist eine Verarbeitung besonderer Kategorien personenbezogener Daten grundsätzlich untersagt und nur in bestimmten Ausnahmefällen gestattet (Art. 9 Abs. 2 DSGVO, § 22 BDSG).

In Art. 9 Abs. 2 lit. g DSGVO heißt es:

„die Verarbeitung ist auf der Grundlage des Unionsrechts oder des Rechts eines Mitgliedstaats, das in angemessenem Verhältnis zu dem verfolgten Ziel steht, den Wesensgehalt des Rechts auf Datenschutz wahrt und angemessene und spezifische Maßnahmen zur Wahrung der Grundrechte und Interessen der betroffenen Person vorsieht, aus Gründen eines erheblichen öffentlichen Interesses erforderlich“

An den Voraussetzungen insbesondere dem Wort „erheblich“, wird deutlich, dass sich hier aber an strenge Vorgaben gehalten werden muss. Es darf sich nicht um unerhebliche Gefahren handeln, sondern um solche für besonders schützenswerte Rechtsgüter. Generalklauseln genügen den Erfordernissen grundsätzlich nicht. Vielmehr muss eine gesetzliche Erlaubnisnorm dem Bestimmtheitsgrundsatz genügen und auch das Wesen und die wesentlichen Grundsätze des Datenscvhutzes berücksichtigen. Der Schutz der öffentlichen Sicherheit (Art. 23 Abs. 1 lit. c) und der Strafverfolgung (Art. 23 Abs. 1 lit. d) könnten als erhebliche Interessen Umsetzung in einem nationalen Gesetz finden. Selbst bei Erlass eines solchen Gesetzes auf Grundlage von Art. 9 Abs. 2 lit. g DSGVO müsste der jeweilige Sachverhalt jedoch den Grundsatz der Verhältnismäßigkeit wahren.

Mit § 22 BDSG findet sich eine solche nationale Umsetzung im Datenschutzgesetz. Gerade § 22 Abs. 1 Nr. 2 a BDSG wird aber bereits als Generalklausel angesehen. Die Norm sei zu offen formuliert und daher zu unbestimmt. Auch die übrigen Aufzählungen aus § 22 Abs. 1 Nr. 2 BDSG erfordern eine Interessenabwägung: Die Verarbeitung muss zu dem zu erreichenden Zweck im Verhältnis stehen. Außerdem muss der Wesensgehalt des Datenschutzes gewahrt sein. Gerade auch im Hinblick auf § 22 Abs. 1 Nr. 2 b BDSG ist eine einfache Gefahr nicht ausreichend. Hier muss es sich um eine Gefahr wie Leib, Leben, Gesundheit handeln. Im Hinblick auf § 22 Abs. 1 Nr. 2 c BDSG wird angeführt, dass es sich ebenfalls um unbestimmte Begrifflichkeiten handelt. Daher komme eine Anwendung nur in Ausnahmefällen in Betracht. Diese Kriterien zeigen, dass es nicht ohne weiteres möglich ist, die Gesichtserkennung auf diese Vorschrift zu stützen. Die Anforderungen an die Verhältnismäßigkeit sind, wie an den aufgezeigten Beispielen deutlich wird, als hoch einzustufen.

Die DSGVO bietet eine Öffnungsklausel für die Gesichtserkennung

Die Videoüberwachung verbunden mit biometrischer Analyse ist rechtlich nicht ohne weiteres möglich. Als Kategorie besonderer personenbezogener Daten unterliegen die biometrischen Daten dem Schutz aus Art. 9 DSGVO. Generell bedarf es nach Art. 9 Abs. 2 lit. g immer einer Umsetzung in nationales Recht, die den Anforderungen aus der DSGVO gerecht wird. Neben den Anforderungen aus der Vorschrift muss der Verhältnismäßigkeitsgrundsatz gewahrt sein, sodass die Hürden durchaus nicht niedrig, aber wohl auch nicht unüberwindbar sind. Zu erwarten ist aber, dass Gesetzesvorstoße folgen werden, die versuchen eine biometrische Datenanalyse möglich zu machen.

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

Videoüberwachung

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.