Am 28.02.2018 verkündete Facebook im Rahmen eines Blog-Eintrags, dass die zuvor umstrittene Gesichtserkennungsfunktion testweise in Europa nun wieder eingeführt werde.
Bisher war diese Funktion in Europa nicht aktiviert. Zwar wurde das Feature bereits im Juni 2011 schon einmal in Deutschland eingeführt, jedoch war es seit 2012 nicht mehr verfügbar.
Die in 2011 eingeführte Version der Gesichtserkennung war für alle Facebook-Nutzer standardisiert. Grundsätzlich war die Funktion von vornherein aktiviert; erst durch eine Änderung der Einstellungen konnte der User die Gesichtserkennung deaktivieren.
Dies stoß auf enorme Kritik. Datenschützer wie Johannes Caspar monierten das hohe Missbrauchs- und Risikopotential. Caspar vertrat die Ansicht, dass Facebook die Erlaubnis eines jeden Nutzers bräuchte, um biometrische Daten zu speichern und schließlich zu nutzen. Dies sei erforderlich, um das informationelle Selbstbestimmungsrecht der Nutzer zu wahren. Sonst könnten Facebook und auch andere Unternehmen gesammelte Daten zweckentfremden, verbinden und entsprechende Profile erstellen, um beispielsweise dem Betroffenen personalisierte Werbung schicken zu können. Somit würde der Nutzer seine Anonymität verlieren und dadurch zu einem „gläsernen Bürger“ werden. Facebook hingegen behauptete, dass die Gesichtserkennung mit den deutschen als auch den europäischen Datenschutzbestimmungen im Einklang stehe.
Die irische Datenschutzbehörde, welche für die Kontrolle des sozialen Netzwerks Facebook in Europa zuständig ist, prüfte die Funktion in rechtlicher Hinsicht. Sie kam zu dem Schluss, dass das Feature zwar nicht an sich illegal sei, aber dennoch Änderungen in dem Verfahren erforderlich wären. In einem umfassenden Prüfbericht forderte die Datenschutzbehörde eine Gewährleistung erhöhter Transparenz, bessere Kontrollmöglichkeiten für den User und klare Fristen für die Löschung von Daten. Folglich hätte Facebook die Gesichtserkennungsfunktion weiterhin bereitstellen dürfen, wäre jedoch zu Verbesserungen in datenschutzrechtlicher Hinsicht verpflichtet gewesen. Trotzdem löschte Facebook alle bisherigen Gesichtsmuster und dazugehörige Daten, um klare Verhältnisse zu schaffen.
Nun soll die Gesichtserkennungsfunktion in Europa wieder eingeführt werden. Im Unterschied zu der damaligen Funktion sollen die Nutzer jetzt aber selbst über das „Ob“ der Nutzung der Funktion entscheiden können. Dabei wird das sogenannte „Opt-in“ Verfahren verwendet. Das bedeutet konkret, dass dem Nutzer die Gesichtserkennungsfunktion aktiv mit einer Meldung vorgeschlagen wird. Sodann kann er die Nutzung entweder explizit bestätigen oder aber ablehnen. Für den Fall, dass ein Facebook-Mitglied auf die Meldung nicht reagiert, wird das Feature deaktiviert. Vorläufig soll das Feature jedoch nur für von Facebook ausgewählte Mitglieder verfügbar sein. Diese sollen die Gesichtserkennung zunächst testen.
Laut Facebook wird durch die nun modifizierte Gesichtserkennungsfunktion, welche von dem Unternehmen als „Sicherheitsfeature“ bezeichnet wird, die Privatsphäre der Nutzer effektiver geschützt, da diese mehr Kontrolle über Fotos haben. Das Ziel der Gesichtserkennung ist primär, Betrugsversuche besser zu erkennen. So wird ein Nutzer automatisch benachrichtigt, wenn ein Dritter ein Foto des Nutzers als sein eigenes Profilbild hochlädt. Dadurch soll verhindert werden, dass Menschen auf Facebook die Identität eines anderen missbrauchen und sich somit als jemand anderes auf Facebook ausgeben. Des Weiteren können User durch die neue Funktion Bilder von sich finden, von deren Existenz auf Facebook sie bisher nichts wussten. Denn ein Nutzer, der die Gesichtserkennungsfunktion aktiviert hat, wird darauf hingewiesen, wenn er unmarkiert auf einem Foto eines anderen Facebook-Mitglieds erscheint. Daraufhin kann der betroffene User entscheiden, ob er künftig mit seinem Namen auf dem Bild markiert sein will oder nicht. Gegebenenfalls kann er sich an die Person wenden, die das Bild hochgeladen hat. Dies soll vermeiden, dass Bilder eines Nutzers hochgeladen werden, mit deren Veröffentlichung er nicht einverstanden ist. Ein weiterer Aspekt des neuen Features ist, dass Menschen mit Sehbehinderung leichter erkennen können, wer auf Fotos abgebildet ist. So verknüpft ein Algorithmus Namen mit Personen auf einem Foto und liest dem Nutzer bei Bedarf vor, wer auf dem Foto zu sehen ist.
Bei einer Aktivierung der Gesichtserkennung werden dem Nutzer somit viele Möglichkeiten geboten, seine Privatsphäre zu kontrollieren. Der Preis, den der Nutzer hierfür zahlen muss, sind seine persönlichen Daten.
Ob jedoch die neu eingeführte Facebook-Funktion mit der ab Mai 2018 geltenden Europäischen Datenschutz-Grundverordnung (DSGVO), welche EU-Bürgern in Zukunft zusätzliche Datenschutzrechte einräumt, vereinbar ist, wurde bis jetzt noch nicht geklärt. Wohl deswegen spricht Facebook in Bezug auf das Verfahren zur freiwilligen Aktivierung der Gesichtserkennung bisher von einem vorübergehenden Test.
Relevant für die Vereinbarkeit wird sein, wie transparent Facebook seine Mitglieder über die Folgen der Aktivierung und Deaktivierung der Gesichtserkennung informiert. Art. 13 und Art. 14 der neuen Datenschutz-Grundverordnung DSGVO regeln Informationspflichten, welche den Grundsatz der fairen und transparenten Datenverarbeitung gewährleisten. So soll zum Beispiel gem. Art. 13 I e) DSGVO der Empfänger der personenbezogenen Daten dem Betroffenen genannt werden. Auch das in Art. 17 DSGVO verankerte „Recht auf Vergessenwerden“, das heißt die Möglichkeit eines endgültigen Löschens von Daten, muss gewahrt werden. Bedenklich erscheint hierbei, dass ein Facebook-Profil zwar gelöscht werden kann, laut dem Untersuchungsbericht der irischen Datenschutzbehörde jedoch einige Daten weiterhin auf Facebook Servern gespeichert bleiben. Weiterhin ist zu beachten, dass Art. 8 DSGVO eine Einwilligung von Minderjährigen in die Verarbeitung personenbezogener Daten erst ab sechzehn Jahren vorsieht. Bei jüngeren Nutzern muss eine Einwilligung der Eltern eingeholt werden.
Bei der Entscheidung über die rechtliche Zulässigkeit der neuen Gesichtserkennungsfunktion sind zudem die §§ 11ff. des Telemediengesetzes (TMG) heranzuziehen. Auch hier werden Pflichten von Diensteanbietern statuiert.
Ob die modifizierte Gesichtserkennungsfunktion den Facebook-Nutzer tatsächlich besser schützt und inwieweit die neuen Vorschriften der DSGVO zugunsten der Bürger eingehalten werden, ist rechtlich zu prüfen. Dies wird entscheiden, ob das Feature in Zukunft für alle Facebook-Mitglieder in Europa zu Verfügung stehen wird.
Weiterführende Quellen:
2: https://www.heise.de/newsticker/meldung/Facebook-lenkt-bei-Gesichtserkennung-ein-1714932.html
3: http://www.spiegel.de/netzwelt/web/facebook-testet-gesichtserkennung-in-europa-a-1195952.html
4: https://www.netzwelt.de/news/164033-facebook-gesichtserkennung-startet-deutschland.html
6: https://newsroom.fb.com/news/h/preparing-for-gdpr/
9: http://www.dw.com/de/erfasst-erkannt-vorsicht-gesichtserkennung/a-16430298
10: https://beck-online.beck.de/Dokument?vpath=bibdata%5Czeits%5CVUR%5C2012%5Ccont%5CVUR.2012.207.1.htm