Was ist erlaubt und was nicht
Wie erst jetzt in den Medien bekannt wurde, hat das BKA mit tausenden Polizeifotos eine Gesichtserkennungssoftware getestet. Die Vorgehensweise brachte einige Kritik auf den Plan, zeigt aber auch, wie wichtig der verantwortungsvolle Umgang mit biometrischen Daten – personenbezogene Daten der besonderen Kategorien – ist.
Der Bundesbeauftragter für den Datenschutz und die Informationsfreiheit (BfDI) stuft den Vorgang bereits im Jahr 2022 als „problematisch“ ein. Laut Medienberichten bezweifelt er, dass es bei den Tests um Wissenschaft ging, heißt es weiter in dem Schreiben: „Es mangelt an einer Rechtsgrundlage.“ Allerdings schreibe er auch: „Angesichts der Komplexität der Rechtslage, die uneinheitlich beurteilt wird (vgl. insbesondere das Meinungsbild zu § 48 BDSG), sehe ich von einer Beanstandung ab.“
BLOG-TIPP: PERSONENBEZOGENE DATEN BESONDERER KATEGORIEN IM DATENSCHUTZ
Worauf Unternehmen achten müssen
Auch dieses Beispiel zeigt, wie unterschiedlich personenbezogene Daten eingesetzt und daher auch geschützt werden müssen. In der heutigen technologischen Landschaft ist die Gesichtserkennung zu einer umstrittenen, jedoch zunehmend weit verbreiteten Methode für verschiedene Unternehmensanwendungen avanciert. Von verbesserten Sicherheitssystemen bis hin zum personalisierten Marketing – die Möglichkeiten scheinen grenzenlos. Doch wie steht es dabei um den Datenschutz?
Datenschutzrechtliche Rahmenbedingungen für Gesichtserkennung
Die DS-GVO setzt strenge Maßstäbe für die Verarbeitung von biometrischen Daten, zu denen auch die Gesichtserkennung zählt. Dabei gilt es insbesondere, den Grundsatz der Verhältnismäßigkeit einzuhalten: Nur wenn ein eindeutiges, legitimes Interesse seitens des Unternehmens besteht und keine weniger eingreifende Alternative zur Verfügung steht, darf diese Technologie zum Einsatz kommen.
BLOG-TIPP: EINWILLIGUNG IM DATENSCHUTZ FÜR DIE RECHTMÄSSIGE VERARBEITUNG
Erlaubte Verarbeitung von Gesichtsdaten
Eine zulässige Nutzung biometrischer Daten, wie sie in der Gesichtserkennung erhoben werden, ist dann gegeben, wenn die betroffene Person in die Verarbeitung nachweislich eingewilligt hat.
Im Kontext der Arbeitssicherheit darf Gesichtserkennung etwa eingesetzt werden, um Zutrittsberechtigungen zu verifizieren. Dem Datenschutz folgend sollten solche Systeme jedoch so konzipiert sein, dass sie die Privatsphäre der Mitarbeiter so wenig wie möglich beeinträchtigen.
Verarbeitungen, die vermieden werden sollten
Es sind Situationen denkbar, in denen der Einsatz von Gesichtserkennung unverhältnismäßig wäre. Ein Beispiel sind etwa pauschale Stimmerfassungen für Marketingzwecke ohne explizite Zustimmung der Kunden. Diese würden ein Eingreifen der Aufsichtsbehörden nach sich ziehen und könnten zu hohen Geldbußen führen.
Die Rolle des externen Datenschutzbeauftragten
Ein externer Datenschutzbeauftragter bietet Unterstützung bei der Bewertung von Datenschutzfolgen und stellt auch sicher, dass alle relevanten Datenschutzanforderungen erfüllt werden. Seine Expertise ermöglicht es, technische und organisatorische Maßnahmen (TOM) so zu implementieren, dass die Verwendung von Gesichtserkennung nicht nur rechtssicher, sondern auch effektiv ist.
Arbeitet ein Unternehmen mit einem externen Datenschutzbeauftragten zusammen, profitiert es von dessen unabhängiger Stellung und Fachkompetenz. Risiken werden minimiert und das Vertrauen der Kunden in die Integrität des Unternehmens gestärkt. Zudem bleibt das Unternehmen stets auf dem neusten Stand der rechtlichen Entwicklungen.
Ein Blick in die Zukunft
Gesichtserkennung birgt großes Potenzial für Unternehmen doch darf sie nicht auf Kosten des Datenschutzes gehen. Es ist empfehlenswert, dass Unternehmen, die mit dieser Technologie arbeiten, eng mit einem qualifizierten Datenschutzbeauftragten zusammenarbeiten. Nur so kann gewährleistet werden, dass Gesichtserkennung sowohl als Geschäftsvorteil fungiert als auch im Einklang mit den geltenden Datenschutzgesetzen steht.
Handlungsempfehlungen für eine datenschutzkonforme Gesichtserkennung
Um die Vorteile der Gesichtserkennungstechnologie zu nutzen, ohne dabei die Datenschutzgesetze zu verletzen, sollten Unternehmen und Organisationen folgende Handlungsempfehlungen beachten:
1. Transparente Informationspolitik
Klären Sie Nutzer, Kunden und Mitarbeiter umfassend darüber auf, wie und zu welchem Zweck ihre personenbezogenen Daten verarbeitet werden. Es sollte klare Informationen über das Erfassungssystem geben sowie darüber, wer Zugriff auf die Daten hat. Datenschutzhinweise müssen leicht zugänglich und verständlich sein.
2. Einholung von Einwilligungen
Stellen Sie sicher, dass bei allen nicht zwingend erforderlichen Anwendungen eine freiwillige, spezifische und informierte Einwilligung der betroffenen Personen eingeholt wird. Ein Widerruf muss jederzeit und unkompliziert möglich sein.
3. Datenschutz-Folgenabschätzung (DSFA)
Bevor biometrische Verfahren wie die Gesichtserkennung implementiert werden, sollte ein Unternehmen gemäß Artikel 35 DS-GVO eine Datenschutz-Folgenabschätzung durchführen. Diese hilft, potenzielle Risiken für die Rechte und Freiheiten der Betroffenen zu identifizieren und zu bewerten.
4. Verhältnismäßigkeitsprinzip beachten
Prüfen Sie genau, ob die Gesichtserkennung wirklich notwendig ist oder ob es eventuell weniger eingreifende Lösungen gibt. Nur wenn kein milderes Mittel zur Verfügung, sollten Sie zu dieser Technologie greifen.
5. Datensicherheit gewährleisten
Ergreifen Sie geeignete technische und organisatorische Maßnahmen (TOM), um ein hohes Sicherheitsniveau bei der Verarbeitung biometrischer Daten zu gewährleisten. Verschlüsselung der Daten und der Zugriffsberechtigungen sollten hierbei Standard sein.
6. Limitierung der Datenspeicherung
Speichern Sie Gesichtsdaten nicht länger, als es für den festgelegten Zweck erforderlich ist. Regelmäßige Überprüfungen und Löschungen der Daten sind unabdingbar, um dem Grundsatz der Datenminimierung gerecht zu werden.
7. Partnerschaften und Schulungen
Arbeiten Sie eng mit Datenschutzexperten zusammen und schulen Sie Ihr Personal regelmäßig im Umgang mit sensiblen Daten.
Das Team von Datenschutzberater.NRW bietet Organisationen unterschiedlicher Art Beratung im Datenschutz an. Mit unseren Fachleuten aus dem Bereich Datenschutz, IT und Steuerrecht erstellen wir Ihnen gerne ein individuelles Angebot für eine Datenschutz-Erstberatung, die Betreuung durch einen externen Datenschutzbeauftragten und entwickeln ein für Sie passendes Konzept. Nehmen Sie einfach Kontakt zu uns auf.
Wir betreuen Mandanten in Köln, Düsseldorf, Siegen, Bonn, Siegburg und ganz NRW. Lesen Sie mehr zu unserem individuellen Angebot.
Dieser Artikel dient zur allgemeinen Erstinformation, ersetzt keine fachliche und individuelle Beratung und erhebt keinen Anspruch auf Vollständigkeit. Wenn Sie sich unsicher sind, ob Sie den Datenschutz ausreichend umsetzen, dann lassen Sie sich von uns professionell beraten.
Dennis Manz ist seit über 20 Jahren selbstständig. Ist in der IT für unterschiedliche Branchen und seit langer Zeit auch im Bereich Buchhaltung und Steuerrecht tätig. Als Gründer und Geschäftsführer der Datenschutzberater.NRW GmbH betreut er zusammen mit seinem Team erfolgreich Unternehmen, Praxen, Steuerberater und unterschiedliche Einrichtungen in Sachen Datenschutz und GoBD-Beratung.