Videoüberwachung mit Gesichtserkennung in Schulen in Frankreich durch Datenschutz-Aufsichtsbehörde untersagt

CCTV-NeinDanke/ Oktober 30, 2019/ alle Beiträge, Polizei und Geheimdienste (BRD), Videoüberwachung/ 1Kommentare

Die Commission Nationale de l’Informatique et des Libertés (CNIL), die nationale französische Datenschutz-Aufsichtsbehörde, hat vor wenigen Tagen eine Stellungnahme abgegeben, in der sie erklärt, dass das Gesichtserkennungssystem an zwei Gymnasien in den südfranzösischen Städten Marseille und Nizza nicht legal umgesetzt werden kann. Die CNIL schlägt keine Korrekturmaßnahmen vor und lehnt das System grundsätzlich ab.

Die überwachungskritische französische Gruppe La Quadrature du Net informiert dazu auf ihrer Homepage: „Im Dezember 2018 genehmigte der Rat der Südregion ein Experiment zur Installation von Gesichtserkennungsportalen an zwei Gymnasien, Les Eucalyptus in Nizza und Ampère in Marseille. Dieses Experiment wird vollständig von der amerikanischen Firma Cisco finanziert, die die Sicherheitspolitik der lokalen Mandatsträger nutzt, um ihre Überwachungstechnologien an den Gymnasiasten der Schule zu testen. Das vom Regionalrat… erklärte Ziel war es, dieses System am Ende dieses Experiments auf alle Gymnasien in der Region auszudehnen. Im Februar 2019 reichten La Quadrature du Net, die Ligue des Droits de l’Homme, CGT Educ’Action des Alpes-Maritimes und die Fédération des Conseils de Parents d’Élèves des écoles publiques des Alpes-Maritimes beim Verwaltungsgericht Marseille eine Beschwerde ein, um die Aufhebung dieser Entscheidung zu beantragen. Die Argumente stützen sich hauptsächlich auf die Allgemeine Verordnung zum Schutz personenbezogener Daten (DGPS): fehlende Folgenabschätzung vor dem Prozess, fehlender Rechtsrahmen für die Gesichtserkennung, Verarbeitung biometrischer Daten, die eindeutig in keinem Verhältnis zu dem verfolgten Ziel steht. Dieses letzte Argument wurde von der CNIL in ihrer vernichtenden Stellungnahme heute bekräftigt: ‚Die vorgesehenen Gesichtserkennungssysteme, auch wenn sie experimentell und auf der Grundlage der Zustimmung der Schüler durchgeführt wurden, um den Zugang zu zwei Gymnasien in Ihrer Region zu kontrollieren, entsprechen nicht den Grundsätzen der Verhältnismäßigkeit‘. Die CNIL ist der Ansicht, dass der Zweck dieses Gesichtserkennungssystems, das angeblich darin besteht, ‚den Zugang zu beiden Gymnasien zu sichern und zu erleichtern‘, ‚vernünftigerweise mit anderen Mitteln‘ wie ‚der Anwesenheit von Aufsichtspersonen am Eingang zu den Gymnasien‘ hätte erreicht werden können…“ (Übersetzt mit DeepL.com/Translator)

Auch in Schweden hat die nationale Datenschutz-Aufsichtsbehörde kürzlich eine Geldstrafe gegen eine Schule verhängt, die Gesichtserkennungstechnologie testet.

Und Wojciech Wiewiórowski, amtierender Europäischer Datenschutzbeauftragter, hat am 28.10.2019 unter der Überschrift „Gesichtserkennung: Eine Lösung auf der Suche nach einem Problem?“ mit Blick auf die Regelungen der Europäischen Datenschutz-Grundverordnung (DSGVO) zu diesem Thema Stellung genommen. Hier ein Auszug in deutscher Übersetzung:

„Die Datenschutzfragen bei der Gesichtserkennung sind, wie alle Formen des Data Mining und der Überwachung, recht einfach.

• Erstens umfassen die EU-Datenschutzvorschriften eindeutig die Verarbeitung biometrischer Daten, einschließlich Gesichtsbilder: in Bezug auf die physischen, physiologischen oder Verhaltensmerkmale einer natürlichen Person, die eine eindeutige Identifizierung dieser natürlichen Person ermöglichen oder bestätigen… Die GDPR verbietet grundsätzlich die Verarbeitung biometrischer Daten zu Zwecken der eindeutigen Identifizierung, es sei denn, man kann sich auf eine der zehn in Art. 9(2) berufen.
• Zweitens muss jede Einmischung in die Grundrechte… nachweislich notwendig sein. Der Balken für diesen Test wird umso höher, je tiefer die Störung ist. Gibt es schon Belege dafür, dass wir die Technologie überhaupt brauchen? Gibt es wirklich keine anderen weniger aufdringlichen Mittel, um das gleiche Ziel zu erreichen? Offensichtlich konnten “Effizienz” und “Komfort” nicht als ausreichend angesehen werden.
• Drittens, könnte es eine gültige Rechtsgrundlage für die Anwendung dieser Technologie geben, da sie auf der groß angelegten Verarbeitung sensibler Daten beruht? Die Zustimmung müsste sowohl explizit als auch frei gegeben, informiert und spezifisch sein. Doch zweifellos kann eine Person nicht aussteigen, noch weniger, wenn sie Zugang zu öffentlichen Räumen benötigt, die von der Überwachung der Gesichtserkennung erfasst werden. Gemäß Artikel 9 Absatz 2 Buchstabe g) haben die nationalen und EU-Gesetzgeber das Ermessen, die Fälle zu entscheiden, in denen der Einsatz dieser Technologie eine angemessene und notwendige Beeinträchtigung der Menschenrechte gewährleistet.
• Viertens, Rechenschaftspflicht und Transparenz. Der bisherige Einsatz dieser Technologie ist von Unklarheit geprägt. Wir wissen grundsätzlich nicht, wie Daten von denjenigen verwendet werden, die sie erheben, wer Zugang hat und an wen sie gesendet werden, wie lange sie aufbewahrt werden, wie ein Profil erstellt wird und wer am Ende für die automatisierte Entscheidungsfindung verantwortlich ist. Darüber hinaus ist es fast unmöglich, die Herkunft der Eingabedaten zu verfolgen; Gesichtserkennungssysteme werden von zahlreichen Bildern gespeist, die ohne unsere Zustimmung aus dem Internet und sozialen Medien gesammelt wurden. Folglich könnte jeder das Opfer der kalten Aussage eines Algorithmus werden und entsprechend kategorisiert (und mehr als wahrscheinlich diskriminiert) werden.
• Schließlich ist die Übereinstimmung der Technologie mit Prinzipien wie Datenminimierung und Datenschutz durch Designpflicht höchst zweifelhaft. Die Gesichtserkennungstechnologie war noch nie so genau, und das hat schwerwiegende Folgen für Personen, die fälschlicherweise identifiziert wurden, sei es als Kriminelle oder anderweitig. Das Ziel der “Genauigkeit” impliziert eine Logik, die unwiderstehlich zu einer endlosen Sammlung von (sensiblen) Daten führt, um einen letztlich unperfektiven Algorithmus zu perfektionieren. Tatsächlich wird es nie genug Daten geben, um Verzerrungen und das Risiko von False Positives oder False Negatives zu vermeiden…..

Es wäre jedoch ein Fehler, sich nur auf Fragen des Datenschutzes zu konzentrieren. Dies ist im Grunde genommen eine ethische Frage für eine demokratische Gesellschaft. Das Gesicht eines Menschen ist ein wertvolles und zerbrechliches Element seiner Identität und seines Sinnes für Einzigartigkeit. Es wird sich im Laufe der Zeit im Aussehen verändern und sie könnte sich entscheiden, es zu verdunkeln oder kosmetisch zu verändern – das ist ihre Grundfreiheit. Die Verwandlung des menschlichen Gesichts in ein weiteres Objekt der Messung und Kategorisierung durch automatisierte Prozesse, die von mächtigen Unternehmen und Regierungen kontrolliert werden, berührt das Recht auf Menschenwürde – auch ohne die Gefahr, dass es als Werkzeug zur Unterdrückung durch einen autoritären Staat eingesetzt wird. Darüber hinaus wird es tendenziell an den Ärmsten und Schwächsten der Gesellschaft, ethnischen Minderheiten, Migranten und Kindern getestet. In Kombination mit anderen öffentlich zugänglichen Informationen und den Techniken von Big Data könnte dies natürlich die individuelle Meinungs- und Vereinigungsfreiheit beeinträchtigen. In Hongkong ist das Gesicht zu einem Schwerpunkt geworden. Das Tragen von Masken war eine Reaktion auf den Einsatz von Gesichtserkennung und wurde wiederum nach einem neuen Gesetz verboten…“ (Übersetzt mit DeepL.com/Translator)

Vor dem Hintergrund dieser Stellungnahmen wird die Fragwürdigkeit einer Entscheidung des Verwaltungsgerichts Hamburg vom 23.10.2019 zur Klage der Hamburger Innenbehörde gegen eine Anordnung des Hamburger Datenschutzbeauftragten, eine biometrische Datenbank zu löschen, vollends deutlich. Der Hamburger Datenschutzbeauftragte hatte verfügt, dass die Polizei im Zuge der G20-Ermittlungen keine biometrischen Foto- und Videodateien nutzen darf. Der Klage der Innenbehörde gegen die Anordnung wurde stattgegeben. In einer Stellungnahme des Hamburger Datenschutzbeauftragten vom 24.10.2019 wird dazu u. a. festgestellt: „Das Gericht sieht offenbar in der Generalklausel des § 48 BDSG, die in pauschaler Form die Verarbeitung besonderer Kategorien von Daten, wozu u.a. auch biometrische Daten gehören, regelt, eine hinreichende Grundlage für die massenhafte Erstellung von Gesichtsprofilen zur Strafverfolgung – gerade auch von unbeteiligten Personen. Damit ist im Prinzip der Weg frei, zur Strafverfolgung künftig alle erdenklichen Daten aus dem öffentlichen Raum zu sammeln und daraus biometrische Profile zu generieren, ohne dass konkrete gesetzliche Vorgaben eine unabhängige Kontrolle zur Sicherung von Rechten Betroffener ermöglichen. Es steht zu befürchten, dass sich eine entsprechende Praxis nicht nur in Hamburg, wo die zuständige Innenbehörde bereits weitere Einsatzfelder in Betracht zieht, sondern auch in den Zuständigkeitsbereichen des Bundes und anderer Länder Deutschlands etabliert…“