In den letzten Jahren ist die Debatte über den Einsatz von Gesichtserkennungssoftware immer mehr entbrannt. Das US-amerikanische Startup ClearView hat dabei besondere Aufmerksamkeit erlangt. Ist die Software des Unternehmens auch in Europa denkbar und datenschutzrechtlich zulässig?
Was macht ClearView?
Die App funktioniert folgendermaßen: der Verwender lädt ein Foto einer Person in der App hoch, das Programm identifiziert daraufhin die fotografierte Person innerhalb kürzester Zeit und zeigt alle öffentlichen Fotos, den Wohnort, was die Person arbeitet oder auch mit wem sie in Kontakt steht, an.[1] Diese Bilder und Daten stammen von öffentlich zugänglichen Quellen wie Facebook, Instagram, Twitter oder Webseiten von Unternehmen und wurden von ClearView über Jahre hinweg in einer Fotodatenbank zusammengestellt. Zu den gespeicherten Bildern zählen auch Daten, die mittlerweile auf privat gestellt wurden, aber zuvor öffentlich zugänglich waren und dann von ClearView gespeichert wurden. In der Datenbank sind also sämtliche Bilder und Daten enthalten, die irgendwann in irgendeiner Form öffentlich in eine zugängliche Quelle im Internet hochgeladen wurden.[2]
Nach Gründer Hoan Ton-Than arbeitet die Software dabei mit einem biometrischen Verfahren. Beim Hochladen eines Bildes rechnet ClearView das Gesicht in ein mathematisches Modell um und gleicht es dabei mit anderen Modellen in der Datenbank ab, sodass durch diese abgeglichenen und passenden Modelle dem Benutzer alle öffentlich im Netz zugänglichen Fotos der Person angezeigt werden.[3] Das Start-up verkauft die Gesichtserkennung nicht an Privatpersonen, sondern an US-Behörden und die Software wird momentan von mehr als 600 US-Strafverfolgungsbehörden eingesetzt.[4]
Kritik
Die Gesichtserkennungsapp ist auf viel Gegenwind gestoßen. Es besteht ein hohes Missbrauchspotenzial, denn es ist schwer zu kontrollieren, wer die Software wann und wie benutzt. Die App soll zwar nur Strafverfolgungsbehörden zur Verfügung stehen, wie jedoch festgestellt wurde, haben Mitarbeiter dieser Behörden die App zu privaten Zwecken genutzt und die Funktionen zum Beispiel auf Veranstaltungen Freunden und Bekannten gezeigt.[5]
Auch gibt es noch technische Bedenken gegen das Verfahren biometrischer Gesichtserkennung. Denn insbesondere bei veränderten Lichtverhältnissen und Schattenwürfen funktioniert die Gesichtserkennung nicht fehlerfrei und auch Personen mit dunkler Hautfarbe können tendenziell schlechter identifizieren werden. Ob diese Fehlerraten auch bei ClearView auftreten, ist noch unbekannt, da die App noch nicht von Experten getestet wurde. Falsche Ergebnisse können aber generell nicht ausgeschlossen werden.[6]
Ein weiteres Problem ist die Gefahr der Einengung der Privatsphäre. Kritiker bezweifeln, dass es für Bürger nach der Einführung derartiger Systeme noch die Möglichkeit geben wird, sich unerkannt und unbeobachtet in öffentlichen Räumen bewegen zu können, ohne dabei mit einer Erfassung durch eine Software rechnen zu müssen.[7] Im Gegenteil: Durch die Einführung der App besteht gerade die Möglichkeit, dass Bürger dauerhaft und von jedem identifiziert werden können.
Datenschutzrechtliche Beurteilung der App
Die Gesichtserkennung durch ClearView bringt auch rechtliche Herausforderungen mit sich. Grundsätzlich verstößt das Herunterladen von öffentlich zugänglichen Bildern und Daten von den genannten Webseiten in der Regel gegen deren Nutzungsbedingungen.[8] Dies könnte möglicherweise auch nicht mit dem Datenschutz vereinbar sein. Bei der Nutzung durch private Unternehmen ist die Datenschutzgrundverordnung (DSGVO), beim Einsatz durch Behörden die Datenschutzrichtlinie im Bereich Justiz und Inneres (JIRL) zu beachten.[9]
Die App könnte gegen den Grundsatz des Art. 6 Abs. 1 DSGVO verstoßen, wonach eine Verarbeitung von personenbezogenen Daten nur erlaubt ist, wenn eine Einwilligung des jeweiligen Betroffenen oder eine sonstige Rechtmäßigkeitsvoraussetzung vorliegt. Bei der Verarbeitung der personenbezogenen Daten, also der Speicherung von Bildern und Daten von öffentlichen Webseiten, bekommen die Nutzer gar nichts von der Speicherung durch die App mit und können meist nicht damit rechnen, dass ihre ins Netz gestellten Bilder von außerhalb gescannt und gespeichert werden. Eine Einwilligung gem. Art. 6 Abs. 1 lit. a) DSGVO liegt somit meist nicht vor.[10] Die Verarbeitung könnte nach Art. 6 Abs. 1 lit. f) DSGVO zulässig sein, wenn diese zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich sind, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person überwiegen. Die Zulässigkeit wird im Rahmen der Interessenabwägung ermittelt. Grundsätzlich kann nicht angenommen werden, dass das Interesse der Verantwortlichen, zu einem bestimmten Zweck die Person durch die Software zu identifizieren, das schutzwürdige Interesse der Betroffenen überwiegt. Auch weitere Rechtfertigungsgründe des Art. 6 Abs. 1 DSGVO scheinen nicht zu greifen. Die Vereinbarkeit von ClearView mit Art. 6 Abs. 1 DSGVO ist zwar grundsätzlich anhand der Abwägung im Einzelfall zu betrachten, wird jedoch meist an einer Rechtfertigung scheitern.[11]
Weiterhin ist Art. 9 DSGVO zu beachten, da es sich bei der Verarbeitung der Daten von ClearView oft um biometrische Daten handelt. In Betracht kommt der Rechtfertigungsgrund des Art. 9 Abs. 2 lit. e) DSGVO. Demnach ist die Verarbeitung personenbezogener Daten zulässig, wenn die betroffene Person die Daten offensichtlich öffentlich zugänglich gemacht hat. Es besteht zwar die Möglichkeit, dass die betroffenen Personen ihre Bilder in Facebook, Instagram etc. selbst veröffentlicht haben, die Funktion der öffentlichen Sichtbarkeit ist aber bei den meisten sozialen Netzwerken vom Verwender voreingestellt und muss aktiv vom Verwender ausgeschaltet werden. Eine bewusste Veröffentlichung der Bilder liegt demnach meistens nicht vor. Auch auf anderen Webseiten wie denen von Unternehmen werden die Daten nicht aktiv selbst vom Betroffen öffentlich gemacht, sondern vom Arbeitgeber. Die Rechtmäßigkeit ist auch hier im Einzelfall zu betrachten. Auch weitere Rechtfertigungsgründe des Art. 9 Abs. 2 DSGVO scheinen ohne weitere Betrachtung der Einzelumstände nicht zu greifen.[12]
Die Rechtmäßigkeit beim Einsatz der App durch Strafverfolgungsbehörden richtet sich nach der JIRL. Hier kommt es gerade nicht auf die Einwilligung des Betroffenen an, sondern auf die Rechtfertigungsgründe des Art. 8 JIRL.[13] Dieser lässt grundsätzlich einen gewissen Spielraum zu und eine Verarbeitung ist nur dann rechtmäßig, wenn die Verarbeitung für die Erfüllung einer Aufgabe erforderlich ist. Dass dieser Rechtfertigungsgrund bei der Verarbeitung erfüllt werden kann, ist nach Verwaltungsrichter Malte Engeler grundsätzlich nicht ganz auszuschließen. Im Ergebnis ist dies aber ebenfalls einzelfallbezogen zu beurteilen.[14]
Fazit
Ob die Technologie von ClearView zukünftig in Europa eingesetzt werden kann, bleibt abzuwarten, denn es bestehen noch erheblich rechtliche und auch technische Bedenken. Nach Ansicht von Malte Engeler ist dies jedoch nicht ganz unwahrscheinlich, denn die App macht gerade im Grundsatz nichts anderes wie herkömmliche Suchmaschinen. ClearView verstößt bei der Verwendung lediglich gegen die Nutzungsbedingungen der jeweiligen Webseiten, die verwendeten Daten sind jedoch öffentlich.[15] Auch haben sich derartige Systeme bereits bewährt. Strafverfolgungsbehörden konnten schon erfolgreich die App von ClearView benutzt, um Fälle etwa mit Bezug zum sexuellen Missbrauch von Kindern, Identitätsdiebstahl und vielen weiteren Straftatbeständen aufzuklären.[16] Die weiteren Entwicklungen bleiben abzuwarten.
[1] Engeler, Ist Gesichtserkennung erlaubt?, lto.de, 28.01.2020 (zuletzt abgerufen am 11.03.2020).
[2] Hill, The Secretive Company That Might End Privacy as We Know It, nytimes.com, 20.01.2020 (zuletzt abgerufen am 12.03.2020).
[3] Hurtz, Warum automatisierte Gesichtserkennung so gefährlich ist, sueddeutsche.de, 21.01.2020, (zuletzt abgerufen am 11.03.2020).
[4] Hill, nytimes.com, 20.01.2020, (vgl. Fn. 2).
[5] Mihalcik, Clearview AI app was reportedly used for fun by company’s investors, friends, cnet.com, 05.03.2020, (zuletzt abgerufen am 12.03.2020).
[6] Hill, nytimes.com, 20.01.2020, (vgl. Fn. 2).
[7] Dachwitz, SPD-Vorsitzende lehnt Seehofers Vorstoß zur Ausweitung der Gesichtserkennung ab, netzpolizik.org, 04.01.2020 (zuletzt abgerufen am 11.03.2020).
[8] Nehring, Clearview AI – Die unheimliche Seite der Gesichtserkennung, clausnehring.com, 20.01.2020, (zuletzt abgerufen am 12.03.2020).
[9] Engeler, lto.de, 82.01.2020, (vgl. Fn. 1).
[10] Brühl, Clearview bestohlen, sueddeutsche.de, 27.02.2020 (zuletzt abgerufen am 12.03.2020).
[11] Kühling/Buchner/Buchner/Petri, DSGVO, Art. 6 Rn 141 f.
[12] Paal/Pauly/Frenzel, DSGVO, Art. 9 Rn 36.; Jandt, Biometrische Gesichtserkennung – was wäre wenn…, ZPR 2018, 18.
[13] Engeler, lto.de, 82.01.2020, (vgl. Fn. 1).
[14] Köver, EU-Datenschutzregeln schützen nicht vor Gesichter-Suchmaschinen, netzpolitik.org, 21.01.2020, (zuletzt abgerufen am 12.03.2020.).
[15] Köver, netzpolitik.org, 21.01.2020, (vgl. Fn. 14).
[16] Swan, Facial-Recognition Company That Works With Law Eforcement Says Entire Client List Was Stolen, thedailybeast.com, 26.02.2020, (zuletzt abgerufen am 12.03.2020).