Wir freuen uns auf Ihre Anfrage!

Telefon:

+49 89 / 250 039 220

Öffnungszeiten:

Mo. - Fr.: 09:00 - 18:00 Uhr

Person mit Kapuzenjacke und unkenntlichem Gesicht

DSGVO & Gesichtserkennung

Man kennt sie vom Entsperren des Smartphones, den Einlasskontrollen am Flughafen oder der Fahndung nach Straftätern - die Gesichtserkennung. Doch in welchen Fällen ist das Sammeln biometrischer Daten überhaupt rechtens? Gesichtserkennung und DSGVO, wo sind die Grenzen?

Einlasskontrollen am Flughafen, die Fahndung nach Straftätern oder das automatische Entsperren des Smartphones – Gesichtserkennung kommt mithilfe von Apps oder anderen Technologien in vielen Bereichen zum Einsatz. Mit Gesichtserkennungssoftware und Geräten wie Kameras und Lasersensoren werden dabei bestimmte Bereiche des Gesichts registriert, vermessen und beschrieben und das Gesicht automatisch erkannt. So kann man beispielsweise mit einer Gesichtserkennungs-App die Identität einer Person feststellen.

Im Alltag kommen Nutzer nicht nur mit der Gesichtserkennung bei Facebook in Berührung. Auch die Smartphones iPhone X und Samsung Galaxy S9 arbeiten mit Gesichtserkennungsfunktionen.

Gesichtserkennung und die Nutzung biometrischer Daten

Gesichtserkennungstechnologien sind für die Authentifizierung von Personen einsetzbar und berühren zwangsläufig das Thema Datenschutz, weil sie auf der Nutzung personenbezogener Daten aufbauen. Sie arbeiten und funktionieren nur mit biometrischen Daten, anhand derer man eine natürliche Person eindeutig identifizieren kann. Diese werden in Art. 4 Nr. 14 Datenschutzgrundverordnung (DSGVO) definiert und zählen zur besonderen Kategorie von personenbezogenen Daten nach Art. 9 Abs. 1 DSGVO. Sie gelten als äußerst sensibel und schützenswert. Deshalb verbietet der Gesetzgeber deren Erhebung und Verarbeitung, sofern nicht einer der in Art. 9 Abs. 2 DSGVO normierten Ausnahmefälle vorliegt.

Gesichtserkennung und Ausnahmefälle laut DSGVO

Art. 9 Abs. 2 DSGVO regelt einige Ausnahmefälle, in denen biometrische Daten erhoben und verarbeitet werden dürfen. Demnach ist es beispielsweise erlaubt, biometrische Daten wie Gesichtsbilder zu verarbeiten, wenn

  1. der Betroffene in die Verarbeitung zu einem festgelegten Zweck ausdrücklich eingewilligt hat (nach Art. 9 Abs. 2 lit. a DSGVO)

  2. deren Verarbeitung erforderlich ist, um bestimmte Rechte und Pflichten wahrzunehmen (nach Art. 9 Abs. 2 lit. b DSGVO).

Fall 1: Gesichtserkennungstechnologie mit ausdrücklicher Einwilligung des Nutzers

Der Betroffene muss eine ausdrückliche Einwilligung in die Verarbeitung für einen festgelegten Verwendungszweck geben, wenn die Verarbeitung nicht erforderlich ist, damit Unternehmen die Gesichtserkennung laut DSGVO einsetzen dürfen. Im geschäftlichen Bereich nutzen Betriebe diese Technologien hauptsächlich, um den Nutzern eine einfache Authentifizierung zu ermöglichen. Eine solche Identitätsfeststellung ließe sich aber auch durch Passwörter oder andere Verfahren umsetzen. Die Nutzung von biometrischen Daten ist dabei also nicht erforderlich. Unternehmen müssen deshalb gem. Art. 9 Abs. 2 lit. a DSGVO die ausdrückliche Einwilligung der Betroffenen einholen, wenn sie Gesichtserkennungstechnologien einsetzen.

Anbieter, die Gesichtserkennungsfunktionen entwickeln, sollten die Technologien so gestalten, dass sie dieses Einwilligungserfordernis des Betroffenen, also des Nutzers, erfüllen. Mit Opt-in-Verfahren entspricht die Gesichtserkennung den gesetzlichen Vorgaben der DSGVO, weil sie standardmäßig erst einmal deaktiviert ist. Demnach kann das Unternehmen die Gesichtserkennungsfunktion nur dann einsetzen, wenn der Betroffene dieses Tool aktiviert und damit ausdrücklich eingewilligt hat. Eine solche Einwilligung in die Verarbeitung von biometrischen Daten setzt allerdings voraus, dass das Unternehmen den Nutzer über den Verarbeitungszweck im Vorhinein umfassend informiert hat. Die Datenverarbeitung muss sich zudem auf den Zweck, in den eingewilligt wurde, beschränken. In diesem Fall ist das der Einsatz von Gesichtserkennungsfunktionen zur Authentifizierung.

Fall 2: Verarbeitung von Gesichtsbildern aus erforderlichen Gründen

Darüber hinaus gilt das Verbot der DSGVO für die Verarbeitung von biometrischen Daten wie Gesichtsbildern nicht für den Fall, wenn sie nach Art. 9 Abs. 2 lit. b DSGVO zur Wahrnehmung bestimmter, gesetzlich festgelegter Rechte und Pflichten erforderlich ist. Dies betrifft Rechte und Pflichten die aus dem Recht sozialer Sicherheit, Arbeitsrecht und Sozialschutz erwachsen. In all diesen Fällen dürfen Gesichtserkennungstechnologien nur dann eingesetzt werden, wenn sie auf einer gesetzlichen Grundlage beruhen – zum Beispiel von der Polizei im Zuge von Ermittlungsarbeiten/Strafverfolgung.