G20-Ermittlungen in Hamburg und biometrische Gesichtserkennung unter dem Blickwinkel der Europäischen Datenschutz-Grundverordnung
Am 23.10.2019 hat das Verwaltungsgericht Hamburg sein Urteil gesprochen zur Klage der Hamburger Innenbehörde gegen eine Anordnung des Hamburger Datenschutzbeauftragten, eine biometrische Datenbank zu löschen, die von der Polizei im Zuge der G20-Ermittlungen genutzt wird. Der Klage der Innenbehörde wurde stattgegeben.
In einer Stellungnahme des Hamburger Datenschutzbeauftragten vom 24.10.2019 wird dazu festgestellt: „Das Urteil des VG Hamburg wie auch die mündliche Urteilsbegründung werfen aus Datenschutzsicht eine Reihe von Fragen auf. Das Gericht beschränkt offenbar die Kompetenz des Datenschutzbeauftragten auf eine Überprüfung der Datenverarbeitung in konkret praktizierter Form und auf Verstöße gegen einzelne Datenschutzgesetze. Problematisch und widersprüchlich ist das in Fällen, in denen die Datenverarbeitung durch die verantwortliche Stelle ohne gesetzliche Grundlage erfolgt und damit ein gesetzlicher Überprüfungsrahmen gerade fehlt… Das Gericht sieht offenbar in der Generalklausel des § 48 BDSG, die in pauschaler Form die Verarbeitung besonderer Kategorien von Daten, wozu u.a. auch biometrische Daten gehören, regelt, eine hinreichende Grundlage für die massenhafte Erstellung von Gesichtsprofilen zur Strafverfolgung – gerade auch von unbeteiligten Personen. Damit ist im Prinzip der Weg frei, zur Strafverfolgung künftig alle erdenklichen Daten aus dem öffentlichen Raum zu sammeln und daraus biometrische Profile zu generieren, ohne dass konkrete gesetzliche Vorgaben eine unabhängige Kontrolle zur Sicherung von Rechten Betroffener ermöglichen. Es steht zu befürchten, dass sich eine entsprechende Praxis nicht nur in Hamburg, wo die zuständige Innenbehörde bereits weitere Einsatzfelder in Betracht zieht, sondern auch in den Zuständigkeitsbereichen des Bundes und anderer Länder Deutschlands etabliert…“
Ohne auf diese konkrete Auseinandersetzung einzugehen hat Wojciech Wiewiórowski, amtierender Europäischer Datenschutzbeauftragter, am 28.10.2019 unter der Überschrift
„Gesichtserkennung: Eine Lösung auf der Suche nach einem Problem?“
mit Blick auf die Regelungen der Europäischen Datenschutz-Grundverordnung (DSGVO) zu diesem Thema Stellung genommen. Mit wichtigen Feststellungen, die sich in der Entscheidung des Hamburger Verwaltungsgerichts nicht wiederfinden. Hier ein Auszug in deutscher Übersetzung:
„Es scheint zwei große Treiber hinter diesem Trend zu stecken. Erstens reagieren Politiker auf ein verbreitetes Gefühl der Unsicherheit oder Angst, das die grenzüberschreitenden Wanderungen von Ausländern mit Kriminalität und Terrorismus in Verbindung bringt. Die Gesichtserkennung präsentiert sich als eine Kraft für effiziente Sicherheit, öffentliche Ordnung und Grenzkontrolle… Die zweite Begründung ist der Köder, körperliche und geistige Anstrengungen zu vermeiden – ‚Bequemlichkeit‘: Einige Menschen würden es vorziehen, Zugang zu einem Bereich oder einer Dienstleistung zu haben, ohne ein Dokument vorlegen zu müssen.
Frankreich will das erste europäische Land sein, das diese Technologie zur Gewährung einer digitalen Identität einsetzt. Unterdessen hat die schwedische Datenschutzbehörde kürzlich eine Geldstrafe gegen eine Schule verhängt, die Gesichtserkennungstechnologie testet, um die Anwesenheit ihrer Schüler zu verfolgen…
Die Datenschutzfragen bei der Gesichtserkennung sind, wie alle Formen des Data Mining und der Überwachung, recht einfach.
- Erstens umfassen die EU-Datenschutzvorschriften eindeutig die Verarbeitung biometrischer Daten, einschließlich Gesichtsbilder: in Bezug auf die physischen, physiologischen oder Verhaltensmerkmale einer natürlichen Person, die eine eindeutige Identifizierung dieser natürlichen Person ermöglichen oder bestätigen… Die GDPR verbietet grundsätzlich die Verarbeitung biometrischer Daten zu Zwecken der eindeutigen Identifizierung, es sei denn, man kann sich auf eine der zehn in Art. 9(2) berufen.
- Zweitens muss jede Einmischung in die Grundrechte… nachweislich notwendig sein. Der Balken für diesen Test wird umso höher, je tiefer die Störung ist. Gibt es schon Belege dafür, dass wir die Technologie überhaupt brauchen? Gibt es wirklich keine anderen weniger aufdringlichen Mittel, um das gleiche Ziel zu erreichen? Offensichtlich konnten “Effizienz” und “Komfort” nicht als ausreichend angesehen werden.
- Drittens, könnte es eine gültige Rechtsgrundlage für die Anwendung dieser Technologie geben, da sie auf der groß angelegten Verarbeitung sensibler Daten beruht? Die Zustimmung müsste sowohl explizit als auch frei gegeben, informiert und spezifisch sein. Doch zweifellos kann eine Person nicht aussteigen, noch weniger, wenn sie Zugang zu öffentlichen Räumen benötigt, die von der Überwachung der Gesichtserkennung erfasst werden. Gemäß Artikel 9 Absatz 2 Buchstabe g) haben die nationalen und EU-Gesetzgeber das Ermessen, die Fälle zu entscheiden, in denen der Einsatz dieser Technologie eine angemessene und notwendige Beeinträchtigung der Menschenrechte gewährleistet.
- Viertens, Rechenschaftspflicht und Transparenz. Der bisherige Einsatz dieser Technologie ist von Unklarheit geprägt. Wir wissen grundsätzlich nicht, wie Daten von denjenigen verwendet werden, die sie erheben, wer Zugang hat und an wen sie gesendet werden, wie lange sie aufbewahrt werden, wie ein Profil erstellt wird und wer am Ende für die automatisierte Entscheidungsfindung verantwortlich ist. Darüber hinaus ist es fast unmöglich, die Herkunft der Eingabedaten zu verfolgen; Gesichtserkennungssysteme werden von zahlreichen Bildern gespeist, die ohne unsere Zustimmung aus dem Internet und sozialen Medien gesammelt wurden. Folglich könnte jeder das Opfer der kalten Aussage eines Algorithmus werden und entsprechend kategorisiert (und mehr als wahrscheinlich diskriminiert) werden.
- Schließlich ist die Übereinstimmung der Technologie mit Prinzipien wie Datenminimierung und Datenschutz durch Designpflicht höchst zweifelhaft. Die Gesichtserkennungstechnologie war noch nie so genau, und das hat schwerwiegende Folgen für Personen, die fälschlicherweise identifiziert wurden, sei es als Kriminelle oder anderweitig. Das Ziel der “Genauigkeit” impliziert eine Logik, die unwiderstehlich zu einer endlosen Sammlung von (sensiblen) Daten führt, um einen letztlich unperfektiven Algorithmus zu perfektionieren. Tatsächlich wird es nie genug Daten geben, um Verzerrungen und das Risiko von False Positives oder False Negatives zu vermeiden…..
Es wäre jedoch ein Fehler, sich nur auf Fragen des Datenschutzes zu konzentrieren.
Dies ist im Grunde genommen eine ethische Frage für eine demokratische Gesellschaft.
Das Gesicht eines Menschen ist ein wertvolles und zerbrechliches Element seiner Identität und seines Sinnes für Einzigartigkeit. Es wird sich im Laufe der Zeit im Aussehen verändern und sie könnte sich entscheiden, es zu verdunkeln oder kosmetisch zu verändern – das ist ihre Grundfreiheit. Die Verwandlung des menschlichen Gesichts in ein weiteres Objekt der Messung und Kategorisierung durch automatisierte Prozesse, die von mächtigen Unternehmen und Regierungen kontrolliert werden, berührt das Recht auf Menschenwürde – auch ohne die Gefahr, dass es als Werkzeug zur Unterdrückung durch einen autoritären Staat eingesetzt wird. Darüber hinaus wird es tendenziell an den Ärmsten und Schwächsten der Gesellschaft, ethnischen Minderheiten, Migranten und Kindern getestet. In Kombination mit anderen öffentlich zugänglichen Informationen und den Techniken von Big Data könnte dies natürlich die individuelle Meinungs- und Vereinigungsfreiheit beeinträchtigen. In Hongkong ist das Gesicht zu einem Schwerpunkt geworden. Das Tragen von Masken war eine Reaktion auf den Einsatz von Gesichtserkennung und wurde wiederum nach einem neuen Gesetz verboten…“
(Übersetzt mit www.DeepL.com/Translator)