Gesichtserkennungs-Suchmaschinen: Wann dürfen sie genutzt werden?
PimEyes sorgt für Aufmerksamkeit
Ende Februar 2024 sorgte die Festnahme der seit 30 Jahren untergetauchten Ex-RAF-Terroristin Daniela Klette für große mediale Aufmerksamkeit. Später stellte sich heraus, dass Klette bereits im November 2023 fast durch Journalisten aufgespürt worden war. Diese hatten die Gesichtserkennungs-Suchmaschine „PimEyes“ verwendet und konnten mithilfe der 30 Jahre alten Fahndungsbilder aktuelle, auf diversen Websites gespeicherte Fotos von Klette finden, die auf ihren Aufenthalt in Berlin schließen ließen.
KI-gestützte Gesichtserkennungs-Suchmaschinen wie „PimEyes“ oder „Clearview AI“ ermöglichen es jedem, auf einfache Weise gegen Bezahlung Bilder zu Personen auf der ganzen Welt zu finden, und können Personen selbst über Jahrzehnte alte Bilder wiedererkennen. Derartige Tools werden insbesondere von US-Behörden verwendet, um Straftäter zu finden, aber auch von Stalkern, um ihre Opfer zu finden bzw. zu verfolgen. Die Anwendungsbereiche sind vielfältig und oft umstritten. Auch Arbeitgeber könnten geneigt sein, eine solche Suchmaschine zu nutzen, um mehr über Bewerber oder Arbeitnehmer in Erfahrung zu bringen.
Verwendung durch Arbeitgeber
Gesichtserkennungs-Suchmaschinen bieten Arbeitgebern eine einfache Möglichkeit, mehr über ihre Angestellten und Bewerber in Erfahrung zu bringen. Durch die Tools lässt sich je nach Person ein fast lückenloses Profil mit tiefen Einblicken in die Privatsphäre erstellen. Allerdings ist die Nutzung von solchen Gesichtserkennungs-Suchmaschinen zu diesem Zweck grundsätzlich unzulässig.
Bei der Nutzung von „PimEyes“ kommt es aus Sicht des Nutzers zur Verarbeitung von personenbezogenen Daten im Sinne der Datenschutz-Grundverordnung (DSGVO). Verarbeitet werden u.a. biometrische Daten zur eindeutigen Identifizierung von Personen, also Daten zu den physischen, physiologischen oder verhaltenstypischen Merkmalen. Diese biometrischen Daten zählen gemäß Art. 9 Abs. 1 DSGVO zu den besonderen Kategorien personenbezogener Daten, die datenschutzrechtlich einen erhöhten Schutz genießen. So ist die Verarbeitung nur zulässig, wenn die betroffene Person ihre Einwilligung gegeben oder die personenbezogenen Daten offensichtlich öffentlich gemacht hat. Schon diese Voraussetzung dürfte in den meisten Fällen nicht erfüllt sein.
Weiterhin bedarf es dann einer geeigneten Rechtsgrundlage für die Datenverarbeitung. Für die Verarbeitung personenbezogener Daten im Beschäftigungsverhältnis stellt in der Regel § 26 des Bundesdatenschutzgesetzes (BDSG) die maßgebliche Rechtsgrundlage dar. Danach dürfen personenbezogene Daten von Beschäftigten für Zwecke des Beschäftigungsverhältnisses verarbeitet werden, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses (im Falle des Bewerbers) oder für die Durchführung des Beschäftigungsverhältnisses (im Falle des Mitarbeiters) erforderlich ist. Die Verarbeitung von Fotos, die den Betroffenen in vielen Fällen in seinem privaten Umfeld, also in seiner Privatsphäre, zeigen dürften, ist aber grundsätzlich weder für die Entscheidung über die Einstellung eines Bewerbers noch für die Durchführung des Beschäftigungsverhältnisses erforderlich und kann daher nicht auf die Rechtsgrundlage des § 26 BDSG gestützt werden.
Daher dürfen Arbeitgeber „PimEyes“ oder vergleichbare Suchmaschinen grundsätzlich nicht verwenden, um Hintergrundinformationen über Bewerber oder Mitarbeiter zu sammeln.
Anwendung durch die Polizei
Tools wie „PimEyes“ richten sich in erster Linie an Polizei- und Strafverfolgungsbehörden. Straftäter können durch „PimEyes“ – wie im Beispiel von Daniela Klette – etwa über Fahndungsbilder identifiziert und aufgespürt werden, und das sogar Jahre später. Vor allem US-amerikanische Behörden haben mit der Nutzung von Gesichtserkennungs-Suchmaschinen bereits bemerkenswerte Erfolge erzielt und dadurch Schlagzeilen gemacht.
Deutsche Polizei- und Strafverfolgungsbehörden unterliegen im Vergleich zu ihren US-amerikanischen Pendants jedoch sowohl in datenschutzrechtlicher als auch in strafprozessrechtlicher Hinsicht bestimmten Einschränkungen. So sieht die Strafprozessordnung (StPO) vor, dass die Veröffentlichung von Bildern eines Beschuldigten, der einer Straftat von erheblicher Bedeutung verdächtig ist, zulässig ist, wenn die Aufklärung der entsprechenden Straftat sonst erheblich weniger Erfolg versprechend oder wesentlich erschwert wäre. Unter diesen Voraussetzungen darf der Richter die Fahndung mit Abbildungen anordnen, nur ausnahmsweise bei Gefahr in Verzug dürfen auch die Staatsanwaltschaft und ihre Ermittlungspersonen (etwa Polizeibeamte) die Fahndung anordnen.
In datenschutzrechtlicher Hinsicht findet die DSGVO für Polizei- und Strafverfolgungsbehörden bei der Nutzung von „PimEyes“ ausnahmsweise keine Anwendung. Denn Art. 2 Abs. 2 lit. d DSGVO schließt die Anwendbarkeit der DSGVO aus, soweit Daten von den zuständigen Behörden zum Zweck der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung verarbeitet werden. In solchen Fällen findet stattdessen die Datenschutzrechtliche Richtlinie für Justiz und Inneres (JI-Richtlinie) Anwendung, die durch Teil 3 des BDSG in nationales Recht umgesetzt wurde.
Zunächst sind bei der Verarbeitung der personenbezogenen Daten zu jedem Zeitpunkt die Grundsätze des BDSG einzuhalten. Dazu zählt etwa, dass die Daten nur auf rechtmäßige Weise verarbeitet werden und für das Erreichen des Verarbeitungszwecks erforderlich sind. Dies dürfte gerade bei einer Massenspeicherung, wie sie von „PimEyes“ oder „Clearview AI“ vorgenommen wird, nicht der Fall sein.
Das BDSG erlaubt die Verarbeitung von besonderen Kategorien personenbezogener Daten (wie beispielsweise biometrischen Daten) nur, wenn sie zur Aufgabenerfüllung unbedingt erforderlich ist. Gemäß BDSG müssen außerdem geeignete Garantien für die Rechtsgüter der betroffenen Personen (also der gesuchten Beschuldigten) vorliegen. Insbesondere die Gewährleistung dieser Garantien dürfte bei der Nutzung von „PimEyes“ oder „Clearview AI“ schwierig sein. Das BDSG nennt eine Reihe von Beispielen, die sich als Garantien eignen können. Hierzu zählen u.a. „die Sensibilisierung der an Verarbeitungsvorgängen Betroffenen“, „die Pseudonymisierung personenbezogener Daten“, „die Verschlüsselung personenbezogener Daten“ oder „die von anderen Daten getrennte Verarbeitung“.
Zudem stellt das BDSG zusätzliche Anforderungen an die Sicherheit der Datenverarbeitung im Falle des Rückgriffs auf einen Auftragsverarbeiter. So müssen der Verantwortliche (hier also die Polizei- und Strafverfolgungsbehörden) und der Auftragsverarbeiter (also der Anbieter der Gesichtserkennungs-Suchmaschine) die erforderlichen technischen und organisatorischen Maßnahmen treffen, um ein angemessenes Schutzniveau für die Sicherheit der Daten zu gewährleisten. Nach BDSG bleibt die jeweilige Polizei- und Strafverfolgungsbehörde bei der Verarbeitung von personenbezogenen Daten durch einen Auftragsverarbeiter für die Einhaltung aller einschlägigen Datenschutzvorschriften verantwortlich. Das Gesetz nimmt den für die Verarbeitung Verantwortlichen bereits bei der Auswahl des Auftragsverarbeiters in die Pflicht. Weiterhin muss mit dem Auftragsverarbeiter ein Vertrag zur Auftragsverarbeitung ( „AVV“) geschlossen werden, der den Anforderungen des BDSG genügt. Zumindest die Website von „PimEyes“ enthält keine Informationen über die Bereitschaft zu einer solchen Vereinbarung.
Da es bei der Verwendung von „PimEyes“ oder „Clearview AI“ auch zur Übertragung von Daten (etwa in Form des zum Abgleich hochgeladenen Fotos) in Drittländer außerhalb der EU kommen dürfte, sind des Weiteren die Vorgaben der § 78 ff. BDSG zu beachten. Danach bedarf es eines Angemessenheitsbeschlusses der Europäischen Kommission für das jeweilige Drittland oder, falls es einen solchen nicht gibt, der Existenz rechtsverbindlich vorgesehener geeigneter Garantien für den Schutz personenbezogener Daten.
Insgesamt ist die Nutzung von Gesichtserkennungs-Suchmaschinen durch die Polizei zwar theoretisch möglich, jedoch mit erheblichen Hürden verbunden. Jedenfalls die derzeit bekannteren Tools wie „PimEyes“ oder „Clearview AI“ scheinen keinen großen Wert auf die Einhaltung datenschutzrechtlicher Prinzipien zu legen, sodass sich ihre Nutzung durch Polizei- und Strafverfolgungsbehörden kaum mit geltendem Recht vereinbaren lässt.
Fazit
Während es in der Theorie viele interessante Anwendungsmöglichkeiten für die Nutzung einer Gesichtserkennungs-Suchmaschine gibt, sind diesen in der Praxis oft rechtliche Grenzen gesetzt. Insbesondere die völlig wahllose Verarbeitung und kommerzielle Zurverfügungstellung von Bildern und biometrischen Daten wirft erhebliche Zweifel an der datenschutzkonformen Nutzbarkeit von Tools wie „PimEyes“ auf. Aus diesem Grund dürfte europäischen Nutzern nach aktueller Rechtslage in vielen Fällen von einem Rückgriff auf diese Tools abzuraten sein.
Es wird sich zeigen, ob die aktuellen Anbieter von Gesichtserkennungs-Suchmaschinen ihr Geschäftsmodell zukünftig in irgendeiner Form umstellen werden, um eine Konformität mit europäischem Datenschutzrecht zu gewährleisten.