Gesichtserkennung am Berliner Zoo
Geschrieben von Alexander Hönsch, veröffentlicht am 06.05.2021Der Berliner Zoo will Besitzern von Jahreskarten mit Hilfe von Gesichtserkennungssystemen einen schnellen und kontaktlosen Zugang ermöglichen. Laut einer Aussage des Zoo-Sprechers sei die Nutzung freiwillig, die Verwendung der Jahreskarte an einem Schalter wäre weiterhin möglich. Doch, obwohl die Pläne datenschutzrechtlich umstritten sind, wurde die Datenschutzbehörde vorab nicht informiert und einbezogen. Die Berliner Aufsichtsbehörde hat deshalb das neue Einlasssystem für Jahreskarteninhaber vorläufig gestoppt. Zudem erklärte die Berliner Beauftragte für Datenschutz und Informationsfreiheit, Frau Smoltczyk, einer hannoverischen Zeitung, dass die automatisierte Erkennung biometrischer Daten “nur in Ausnahmefällen” möglich sei.
Biometrische Daten im Sinne der DSGVO
Biometrische Daten nach Art. 4 DSGVO sind mit speziellen technischen Verfahren gewonnene personenbezogene Daten zu den physischen, physiologischen oder verhaltenstypischen Merkmalen eines Menschen, welche die eindeutige Identifizierung dieser Person ermöglichen oder bestätigen, wie beispielsweise Gesichtsbilder oder Fingerabdrücke.
Grundsätzlich ist die Verarbeitung biometrischer Daten nach Art. 9 Abs. 1 DSGVO „zur eindeutigen Identifizierung einer natürlichen Person“ aber verboten und nur im Ausnahmefall erlaubt. Denn biometrische Daten gelten im Sinne dieser Verordnung als besondere Kategorie personenbezogener Daten, und dürfen nur unter den strengen Voraussetzungen des Art. 9 Abs. 2 DSGVO verarbeitet werden.
Keine Gesichtserkennung ohne Einwilligung des Nutzers
Von den vorab genannten Ausnahmen kommt im Fall des Berliner Zoos lediglich die Ausnahme des Art. 9 Abs. 2 lit. a) DSGVO in Betracht: Die betroffene Person hat in die Verarbeitung der genannten personenbezogenen Daten für einen oder mehrere festgelegte Zwecke ausdrücklich eingewilligt. Doch es ist fraglich, inwiefern dem Zoo eine wirksame Einwilligung gem. Art. 7 DSGVO vorliegt, denn der Einsatz von einer Gesichtserkennungssoftware wurde bisher kaum öffentlich bekannt gemacht, und lediglich eine englischsprachige Seite auf der Webseite des Zoos informiert über dieses Vorhaben. So ist bereits fraglich, ob der Berliner Zoo seine Informationspflichten nach Art. 12 ff. DSGVO im erforderlichen Maße erfüllt hat.
Handlungsempfehlungen beim Einsatz von Gesichtserkennungssysteme
Die zuständige Datenschutzbehörde hat zudem beanstandet, dass keine Datenschutz-Folgeabschätzung gem. Art. 35 DSGVO durchgeführt worden ist, denn eine Datenschutz-Folgenabschätzung ist insbesondere dann erforderlich, wenn eine umfangreiche Verarbeitung besonderer Kategorien personenbezogener Daten gemäß Art. 9 Abs. 1 DSGVO stattfindet – was im vorliegenden Fall unstrittig vorliegt. Es muss also vorab eine Bewertung des Risikos für den Schutz der Rechte und Freiheiten einer betroffenen Person durchgeführt werden, und nicht erst, wenn die Verbreitung der Daten bereits stattfindet.
Ausblick
Noch ist unklar welche Folgen das datenschutzrechtlich umstrittene Vorgehen des Berliner Zoos haben wird. Die schwedische Datenschutzaufsichtsbehörde IMY leitete Anfang des Jahres jedenfalls Untersuchungen gegen die schwedische Polizeibehörde ein, nachdem bekannt wurde, dass einige Mitarbeiter die Software „ClearView AI“ zur Gesichtserkennung einsetzten. Die App sei ohne eine vorherige Einwilligung verwendet worden und die erforderliche Datenschutz-Folgenabschätzung wurden ebenfalls nicht durchgeführt, sodass ein Bußgeld von 250.000 € verhängt wurde. Ob das auch dem Berliner Zoo droht, bleibt abzuwarten.