Immer wieder entsteht der Eindruck, Datenschützer würden moderner Datenverarbeitung übertriebene Bedenken entgegenhalten. Das trifft so pauschal nicht zu. Häufig machen die Datenschutzaufsichtsbehörden und die betrieblichen Datenschutzbeauftragten einfach nur ihren Job. Und dazu gehört es gelegentlich auch, Verbote auszusprechen. Seltener wird berichtet, wenn Datenschützer kundtun: „Das ist datenschutzrechtlich erlaubt!“.

Solche Nachrichten finden sich eigentlich nur dann, wenn es auf den ersten Blick irritierend erscheint – so aktuell geschehen beim Gesichtsscan der Supermarktkette Real und der Deutschen Post.

Aufgabe der Aufsichtsbehörden und der Datenschutzbeauftragten

Beide schauen sich eine Verarbeitung personenbezogener Daten, wie beispielsweise eine Videoüberwachung, an und prüfen, ob die Einrichtung, der Betrieb und die Datenlöschung gesetzeskonform sind. Das gilt auch für moderne Datenverarbeitungen wie die Gesichtserkennung. Diese hat aus Datenschutzsicht erhebliche Risiken, wie das prinzipielle Überall-Erkennbarwerden einer Person. Aufgabe der Datenschützer ist es dennoch nicht, die Gesichtserkennung schlechthin zu verbieten, sondern unzulässige Verwendungen auszumachen und für deren Abschaltung oder Rückführung auf das Zulässige zu sorgen.

Gesichtserkennung

Bei der Gesichtserkennung muss der Datenschützer unterscheiden. Es gibt Systeme, die einfach nur ein Gesicht ausmachen und daran bestimmte Folgen knüpfen. So sind beispielsweise verschiedene Kameras für Verbrauchermärkte verfügbar, die automatisch auslösen, wenn sie ein Gesicht mit einem Lächeln erkennen. In einer weiteren Stufe bedeutet Gesichtserkennung, dass mittels eines Menschen oder eines Computers das erfasste Gesicht gleich oder in der Zukunft bestimmten anderen personenbezogenen Daten zugeordnet wird.

Anonyme Gesichtserkennung

Will man jede denkbare Datenschutzeinschränkung vermeiden, hat das Unternehmen von vornherein dafür zu sorgen, dass Gesichtsdaten nicht erfasst oder wenigstens nicht für weitere personenbezogene Zwecke genutzt werden. So kann sich ein Unternehmen mit dem Mittel der Videoüberwachung und -aufzeichnung vor Einbrüchen schützen. Doch dabei entstehende Bilddaten müssen nach Erreichen des Schutzes gelöscht oder anonymisiert werden.

Daneben gibt es „Kameras“, die lediglich bestimmte, nicht identifizierbare Aspekte eines Gesichts erfassen, wie beispielsweise den Altersbereich einer Person und/oder das Geschlecht und/oder die Dauer einer Fixierung auf ein bestimmtes Bild. Genau für diese Zwecke nutzen die Supermarktkette Real und andere Unternehmen ihre Kameras. Daher kam das Bayerische Landesamt für Datenschutzaufsicht zum Ergebnis seiner Prüfung: „Das ist datenschutzrechtlich erlaubt!“. Zudem würden die betroffenen Kunden hinreichend informiert.

Personenbezogene Gesichtserkennung

Da Menschen sich Gesichter häufig nicht so gut merken können, lässt man sich gern von Fotos helfen. Das geht schon beim Bewerbungsverfahren oder auch in der Arztpraxis los. Man lässt sich ein Foto zukommen oder nimmt ein Foto auf und ordnet Namen und weitere Informationen zu, um den Betroffenen später wieder zu erkennen und seinen Namen präsent zu haben. Es gab auch schon Mitarbeiter, die solche Fotos ihrer Kollegen zum besseren Wiedererkennen ungefragt aufgenommen haben. Entscheidend für die Zulässigkeit solcher Aufnahmen durch Private und private Unternehmen ist und bleibt auch künftig die Einwilligung.

(Philipp Kramer, Chefredakteur Datenschutz-Berater)