Gesichtserkennung im Unternehmen unter der DSGVO

Der Einsatz von Gesichtserkennung im täglichen Leben nimmt rasant zu. Viele Unternehmen erlauben ihren Mitarbeitern bereits technische Geräte per Gesichtserkennung zu entsperren. Manch einer überlegt die Gesichtserkennung in weiteren Unternehmensbereichen einzusetzen. Dieser Artikel will aufzeigen, wie es der mit der Gesichtserkennung verbundenen Technologie gelingt Gesichter zu vergleichen. Ebenso wird erklärt, was bei der Verarbeitung biometrischer Daten gemäß DSGVO zu beachten ist.

Wie funktioniert biometrische Gesichtserkennung?

Bei der biometrischen Gesichtserkennung erfasst eine Kamera charakteristische Gesichtsmerkmale einer Person. Dies können z.B. obere Kanten der Augenhöhlen, Gebiete um die Wangenknochen und die Seitenpartien des Mundes sein. Diese Gesichtsmerkmale werden per herkömmlicher Bildverarbeitungs- und Bildanalyseverfahren als Merkmalsdatensatz, dem sogenannten „Muster-Gesichtsbild“, in einer Datenbank gespeichert.

Ein mathematischer Algorithmus kombiniert das erzeugte „Muster-Gesichtsbild“ byteweise mit den in der Datenbank bereits gespeicherten Gesichtsbildern. Der hierbei ermittelte Wert gibt Aufschluss über den Grad der Übereinstimmung der verglichenen Gesichtsbilder und entscheidet darüber, ob beide Gesichter identisch sind.

Wofür kann man Gesichtserkennung verwenden?

Die wohl am häufigsten genutzte Gesichtserkennung ist das Entsperren des Handys. Der Nutzer wählt diese Art der Authentifizierung bewusst, um in Sekundenschnelle Zugriff auf sein Gerät zu haben. Daneben gibt es zahlreiche weitere Einsatzszenarien, wie z.B. die mit der Fahndung nach einem Verbrecher verbundene Sichtung von Videoaufnahmen. Mögliche Szenarien sind u.a.:

• Identifikation
• Verifikation
• Wiedererkennung
• Profilbildung
• Beobachtung / Überwachung
• Registrierung
• Verhaltenssteuerung
• Werbung / Marketing
• Interaktion (Mensch – Maschine)

Identifizierung von Personen mittels Gesichtserkennung

Die Identifizierung von Personen mittels Gesichtserkennung zielt darauf ab, eine Person in einer Gruppe von Personen, in einem bestimmten Bereich, einem Bild oder einer Datenbank zu erkennen. In diesem Fall muss das System jedes erfasste Gesicht verarbeiten, um ein biometrisches Muster zu erstellen und dann zu prüfen, ob es mit einer bekannten Person übereinstimmt. Diese Art der Biometrie findet man häufiger bei öffentlichen Stellen im Einsatz als bei Unternehmen.

Zu den klassischen Anwendungsfällen gehören die Suche nach einem Opfer oder Verdächtigen in einer Foto-Datenbank und die biometrische Fernidentifizierung von gesuchten Personen im öffentlichen Raum. Hierbei werden alle Gesichter, die live von Videoüberwachungskameras aufgenommen werden, in Echtzeit mit einer Datenbank der Polizeibehörden abgeglichen.

Gesichtserkennung: Authentifizierung dank Biometrie

Die Authentifizierung dank Biometrie zielt darauf ab zu überprüfen, ob eine Person diejenige ist, die sie vorgibt zu sein. In diesem Fall vergleicht das System ein zuvor aufgezeichnetes biometrisches Muster oder eine Probe (z.B. gespeichert auf einer Chipkarte oder einem biometrischen Reisepass) mit einem einzelnen Gesicht, wie zum Beispiel einer Person, die sich bei der Passkontrolle am Flughafen befindet. Diese Art der Authentifizierung wird auch 1-zu-1 Authentifizierung genannt, da am Ende zwei Gesichter vergleichen werden. Die Entsperrung von Geräten per biometrischer Gesichtserkennung fällt auch in diese Kategorie.

Chancen und Risiken der Gesichtserkennung für Betroffene

Auf den ersten Blick macht der Einsatz der biometrischen Gesichtserkennung gerade bei der Authentifizierung das Leben von Betroffenen einfacher. Die Technologie bietet gegenüber konventionellen Passwörtern mehr Sicherheit. Aber ist dem wirklich so?

Welche Vorteile verspricht man sich beim Einsatz von Gesichtserkennung?

Biometrische Gesichtserkennung bietet dem Nutzer einen hohen Bedienkomfort und mehr Sicherheit. Lästiges Merken und Aktualisieren komplexer Passwörter fällt weg. Passwörter können schnell gehackt werden. Biometrische Gesichtsmerkmale zu manipulieren ist hingegen deutlich aufwendiger.

Das Video-Ident-Verfahren, in welchem die Identität eines Antragstellers ortsunabhängig per Videochat geprüft wird, wird mittlerweile zur Absicherung digitaler Unterschriften oder elektronischer Patientenakten eingesetzt. Der Nutzer braucht lediglich ein Gerät mit Webcam und wenige Minuten seiner wertvollen Zeit. Bequem daheim sitzend hält der Nutzer seinen Personalausweis in die Kamera. Die Erkennungssoftware gleicht das Ausweisbild mit dem Echtzeit-Kamerabild ab, prüft die Sicherheitsmerkmale des Personalausweises und schwupp die wupps ist die Authentifizierung abgeschlossen.

Welche Nachteile und Gefahren hat die biometrische Gesichtserkennung?

Auch biometrische Gesichtsmerkmale können gehackt werden. Eine Woche nach Markteinführung des iPhone X überlisteten vietnamesische Forscher das gesichtsbasierte Entsperrsystem Face ID von Apple. In ihrem YouTube-Video zeigen die Forscher wie sie das iPhone X zunächst mithilfe einer handgefertigten Nase aus Silikon, aufgeklebten Bildern von Augen und Mund sowie einer mumienartigen Maske aus Gewebeband und im Anschluss mit dem eigenen Gesicht entsperren.

Dem Chaos Computer Club gelang es unter falscher Identität auf elektronische Patientenakten zuzugreifen. Hierbei wurde das in Echtzeit übertragene ID-Dokument (sogenanntes Ziel-Dokument) im Videobild durch Austausch einzelner ID-Attribute (beispielsweise des Passbildes) mithilfe eines zweiten ID-Dokuments (Quell-Dokument) ersetzt. Der Betrüger bzw. der Inhaber des Quell-Dokuments wird somit fälschlicherweise als rechtmäßiger Ausweisinhaber identifiziert. Dies setzt voraus, dass der Betrüger ein eigenes ID-Dokument und beliebige weitere ID-Dokumente der gleichen Art besitzt. Der Angriff blieb unentdeckt.

Nicht zu vernachlässigen ist die Tatsache, dass gehackte Passwörter zurückgesetzt werden können. Gestohlene biometrische Daten sind auf immer und ewig verloren.

Welche Vorgaben macht der Datenschutz bei der Gesichtserkennung

Biometrische Daten fallen gemäß Art. 9 Abs. 1 DSGVO unter den Begriff der besonderen Kategorien personenbezogener Daten. Die Verarbeitung solcher Daten zur eindeutigen Identifizierung einer natürlichen Person ist grundsätzlich verboten. Ausnahmsweise ist die Verarbeitung biometrischer Daten gemäß Art. 9 Abs. 2 DSGVO lit. a bis j in eng definierten Fällen erlaubt. Was sind biometrische Daten und unter welchen Umständen ist eine biometrische Gesichtserkennung erlaubt?

Begriff der biometrischen Daten

Die Definition finden wir in Art. 4 Nr. 14 DSGVO. Gemäß dieser Vorschrift handelt es sich um biometrische Daten, wenn personenbezogene Daten zu den physischen, physiologischen oder verhaltenstypischen Merkmalen einer natürlichen Person mit einem speziellen technischen Verfahren gewonnen werden und somit die eindeutige Identifizierung dieser natürlichen Person ermöglichen.

Im Gegensatz zu den übrigen in Art. 9 DSGVO erwähnten Daten gehören biometrische Daten nur dann zu diesen Daten, wenn sie zum Zweck der automatisierten biometrischen Erkennung, sprich Identifizierung, verarbeitet werden. Bei einer manuellen Sichtkontrolle wäre die automatisierte Erkennung im Sinne des Art. 9 Abs. 1 DSGVO verwendeten Begriffs der Verarbeitung biometrischer Daten zur eindeutigen Identifizierung einer natürlichen Person nicht gegeben. Sind die Voraussetzungen des Art. 4 Nr. 14 DSGVO erfüllt, besteht ein erhöhtes Risiko für Betroffene, und der Anwendungsbereich der in Art. 9 Abs. 2 DSGVO definierten Ausnahmefälle ist eröffnet.

Voraussetzungen für den datenschutzgerechten Einsatz biometrischer Gesichtserkennung

Die DSGVO lässt die Verarbeitung biometrischer Daten zur eindeutigen Identifizierung einer natürlichen Person nur in wenigen Fallgruppen zu. Da eine biometrische Gesichtskontrolle schwerlich zur Erfüllung rechtlicher Pflichten aus dem Arbeitsrecht, dem Recht der sozialen Sicherheit und des Sozialschutzes erforderlich sein dürfte, bliebe damit im Grunde oft nur die Einwilligung der betroffenen Personen. Insbesondere an die freiwillige Einwilligung zur Verarbeitung biometrischer Daten im Rahmen eines Abhängigkeitsverhältnisses, wie zum Beispiel eines Beschäftigtenverhältnis, sind sehr hohe Anforderungen geknüpft. Mehr dazu erfahren Sie auch in unserem Beitrag Anforderungen an ein biometrisches Authentifizierungssystem.

Clearview AI und PimEyes: Datenschutz an seiner Grenze?

Das Unternehmen Clearview AI und PimEyes haben in Deutschland und Europe eine hitzige Diskussion um ein Verbot von Gesichtserkennungstechnologie entfacht. Das US-amerikanische Unternehmen Clearview AI verfügt laut eigenen Angaben über eine Datenbank mit mehr als 30 Milliarden Gesichtsbildern, welche ausschließlich aus öffentlichen Internetquellen wie z.B. Nachrichtenmedien, Fahndungswebsites oder öffentlichen sozialen Medien wie Facebook oder YouTube stammen. Zu den Kunden gehören bisher Strafverfolgungsbehörden aus mehreren Ländern, eine Ausweitung auf private Unternehmen ist laut Clearview AI geplant.

Die Bilder-Datenbank von PimEyes, welchen seinen Sitz auf den Seychellen hat, funktioniert wie Clearview AI und richtet sich an jedermann. Je nach gewähltem Vertragsmodell können PimEyes‘ Kunden das Internet nach einer bestimmten Anzahl von Fotos durchsuchen und erfahren auf welchen Webseiten diese veröffentlicht sind.

Datenschutzrechtlich problematisch ist zum einen die Tatsache, dass Clearview AI sowie PimEyes die Bilder von Personen ohne deren Wissen und Zustimmung sammelt (sogenanntes scraping). Zum anderen ist es für europäische Betroffene unmöglich ihre Betroffenenrechte vollumfänglich im europäischen Ausland geltend zu machen. Das zeigt der Fall von Matthias Marx, der sich in der Datenbank wiederfand und die hamburgische Datenschutzbehörde konsultierte. Erst nach Einleitung eines Verwaltungsverfahrens kam Clearview AI, welchen seinen Sitz in den USA hat, der Anordnung nach und löschte den Hash-Wert von Matthias Marx. Nur über den aus Marx‘ Fotos erstellten Hash vergleicht Clearviews Gesichtserkennungssoftware, ob biometrische Merkmale aus diversen Fotos übereinstimmen und weiß somit, auf welchen Fotos dieselbe Person zu sehen ist.

Leider haben die europäischen Datenschutzbehörden nach heutigem Stand keine Möglichkeit die Unternehmen wie Clearview AI und PimEyes nachhaltig zu sanktionieren. PimEyes verlagerte seinen Unternehmenssitz von Polen auf die Seychellen. Bei der Durchsetzung von Bußgeldern wäre Europa auf die Kooperation der Seychellen angewiesen. Deren Kooperationsbereitschaft ist fraglich. Vier europäische Aufsichtsbehörden haben inzwischen hohe Bußgelder gegen Clearview AI verhangen. Ob diese Bußgelder inzwischen von Clearview AI gezahlt wurden, ist sehr ungewiss. Zumindest in Großbritannien hatte man sich mit dem Argument der fehlenden Zuständigkeit erfolgreich gegen ein Bußgeld gewehrt. Bei Unternehmen, die ausschließlich im Ausland sitzen, stößt die DSGVO an ihre Grenzen.

Dreh- und Angelpunkt ist die Einwilligung

Die biometrische Gesichtserkennung ermöglicht eine Authentifizierung an einem Gerät in Sekundenschnelle. Sofern man sich freiwillig für eine Gesichtserkennung vorab entscheidet, wie etwa bei der Nutzung der Face-ID von Apple, gibt es viele, die auf den Vorteil der Gesichtserkennung nicht mehr verzichten wollen. Dabei nimmt man die oben beschriebenen Gefahren der biometrischen Gesichtserkennung dann (bewusst) in Kauf.

Ein datenschutzkonformer Einsatz der Gesichtserkennung steht und fällt mit der Einwilligung, welche die DSGVO in den allermeisten Fällen vorschreibt. Bei der Bilderdatenbank von Clearview AI und PimEyes stehen besteht für die Betroffenen hingegen keine Wahlmöglichkeit. Man kann nur hoffen, dass der europäische Gesetzgeber schnell handelt und einheitliche Regelungen für die Nutzung der biometrische Gesichtserkennung und deren Rechtsdurchsetzung über die Ländergrenzen hinaus trifft. Vielleicht sind die Behörden in Ländern wie den USA oder den Seychellen dann auch kooperativer in der Zusammenarbeit!