Nach Clearview-Enthüllungen: Ist Gesicht­s­er­ken­nung erlaubt?

Vergangene Woche deckte die New York Times auf, dass zahlreiche US-Behörden bis dato verdeckt mit der Gesichtserkennungs-App des Start-ups "Clearview" arbeiten. Der App hinterlegt ist eine Datenbank mit über drei Milliarden Bildern, die Menschen selbst hochladen, zum Beispiel in den sozialen Netzwerken. Medienberichten zufolge können die Verwender der App ein Foto von einer beliebigen Person machen, das Programm zeigt dem Anwender daraufhin alle öffentlichen Fotos dieses Menschen an – inklusive Verknüpfung zu möglichen weiteren Daten, etwa Name oder Adresse.

Dieser Bericht in der New York Times hat eine Technologie ans Licht gezerrt, deren gesellschaftliche Auswirkungen offensichtlich sind. Eine flächendeckende Gesichtserkennung wäre nicht weniger als die Einführung einer Klarnamenpflicht im öffentlichen Raum. Mit ihr ginge eine digitale Vermessung des analogen menschlichen Alltags in einer Weise einher, wie wir sie bisher unter dem Schlagwort "Tracking" nur im Online-Leben kennen.

Clearview selbst richtet sich bisher ausdrücklich nicht an Privatnutzende, sondern ausweislich seines Internetauftritts ausschließlich an US-Behörden. Das Start-up will sich angeblich sogar bewusst gegen eine profitable Version für Endnutzende entschieden haben und sieht sich nach eigener Darstellung einzig als Werkzeug zur Bekämpfung und Aufdeckung von Straftaten. Es wirbt in seinen Testimonials gar mit der unaufgeforderten (und damit aus Gesichtspunkten des Opferschutzes kritikwürdigen) Identifizierung von Opfern von Sexualstraftaten.

Die aktuelle öffentliche Aufmerksamkeit hat zu einer allgemeinen Debatte über die datenschutzrechtliche Zulässigkeit der Nutzung von Gesichtserkennungsverfahren durch Private einerseits und (europäische) Strafverfolgungsbehörden andererseits geführt. Diese Differenzierung ist entscheidend: Der Einsatz durch natürliche Personen, Unternehmen und Behörden im Allgemeinen unterliegt der Anwendung der Datenschutzgrundverordnung (DSGVO). Der Einsatz durch Behörden zum Zweck der Verfolgung von Straftaten im Besonderen richtet sich hingegen nach der Datenschutz-Richtlinie im Bereich von Justiz und Inneres (JIRL) und des auf ihrer Grundlage ergangenen mitgliedstaatlichen Rechts.

Clearview als gefährliche Suchmaschine?

Die DSGVO enthält keine spezifischen Vorgaben für die automatisierte Verarbeitung von Gesichtsbildern. Stattdessen richtet sich die Rechtmäßigkeit jeder Datenverarbeitung nach abstrakten Rechtsgrundlagen, die in Art. 6 DSGVO zusammengefasst sind. Ob ein öffentlich angebotener Dienst, der wie Clearview funktioniert, rechtlich zulässig wäre, ist tatsächlich aber weniger eindeutig zu beantworten als stellenweise angedeutet. Vor allem die Frage, ob ein solcher Dienst auch ohne Einwilligung der Betroffenen zulässig wäre, kann durchaus kontrovers diskutiert werden, obwohl prominente Datenschutzrechtler einen anderen Eindruck erwecken.

Die DSGVO sieht neben der Einwilligung jedenfalls reichlich Erlaubnistatbestände vor, unter anderem die Wahrnehmung berechtigter Interessen (Art. 6 Abs. 1 Satz 1 Buchst. f DSGVO). Auf Basis dieser Rechtsgrundlage arbeiten etwa auch alle Internetsuchmaschinen, wenn sie vorhandenen Text sowie Bilder im Web indizieren und durchsuchbar machen. Jedenfalls haben weder der Europäische Gerichtshof, das Bundesverfassungsgericht noch die Aufsichtsbehörden die Rechtmäßigkeit von Suchmaschinen bisher kategorisch in Frage gestellt. Und das obwohl diese – auch solche mit datenschutzfreundlichem Ruf wie Startpage oder DuckDuckGo – reihenweise ohne Einwilligung personenbezogene Informationen erheben und verarbeiten.

Dabei ist der Unterschied zu Diensten wie Clearview erst einmal kein elementarer. Während klassische Suchmaschinen Texte und – in Form der umgekehrten Bildersuche bei Google –auch Bilder zumindest rudimentär durchsuchbar machen, errechnen Gesichtserkennungsverfahren allerdings aus Position und Abstand definierender Gesichtsmerkmale individuelle mathematische Größen. Diese werden dann mit einem Vergleichsdatensatz, etwa den im Internet öffentlich verfügbaren Bilddateien, abgeglichen.

Rechtlich relevant ist der Unterschied nur dann, wenn es sich bei der Umrechnung der Gesichtsmerkmale um "biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person" handelt. Dann greift Art. 9 DSGVO, der nach herrschender Ansicht die juristische Interessenabwägung ausschließt und stattdessen praktisch nur die Einwilligung der Betroffenen als Rechtsgrundlage zulässt.

Darüber, wie genau Clearview funktioniert, ist allerdings zu wenig bekannt, um beurteilen zu können, ob Verfahren im Sinne des Art. 9 DSGVO eingesetzt werden. Dagegen spricht unter anderem, dass Clearviews Treffersicherheit laut Berichten kaum verifizierbar und womöglich gar nicht so hoch ist, wie das Unternehmen selbst behauptet. Um die vergleichsweise hohen Anforderungen des Art. 9 DSGVO auszulösen, verlangt der Europäische Datenschutzausschuss aber unter anderem, dass die Verfahren eine Person eindeutig identifizieren. Es könnte also sein, dass die Erkennungsrate schlicht zu schlecht ist, um die Anforderungen des Art. 9 DSGVO auszulösen. Ob Clearview also eindeutigere Ergebnisse produziert als eine Rückwärts-Bildersuche, ist damit stets eine im Einzelfall zu klärende Frage.

Keine freiwillige Einwilligung in Gesichtserkennung zur Strafverfolgung

Doch selbst wenn man Art. 9 DSGVO für einschlägig hält, bleiben weitere Fragen offen. Die Nutzung einer App wie Clearview durch natürliche Personen, etwa zur Kontrolle, auf welchen Webseiten das eigene veröffentlichte Profilbild identitätstäuschend missbraucht wird, könnte unter die sogenannte Haushaltsausnahme (Art. 2 Abs. 2 Buchst. c DSGVO) fallen. Mit dieser Rückausnahme aus dem Anwendungsbereich der DSGVO wird in der Rechtsprechung etwa die Nutzung von Whatsapp zu rein privaten Kommunikationszwecken (datenschutzrechtlich) legitimiert. Und schließlich bleibt je nach adressiertem Markt auch die Anwendbarkeit der DSGVO insgesamt fraglich.

Nutzen Strafverfolgungsbehörden eine Gesichtserkennung wie Clearview, kommt es auf eine Einwilligung ohnehin nicht an. Die maßgebliche JIRL verweist jedenfalls einzig auf gesetzliche Rechtfertigungsgründe (Art. 8 JIRL) und viele Fachleute gehen davon aus, dass eine Einwilligung gegenüber Trägern öffentlicher Gewalt mangels Freiwilligkeit nur in absoluten Ausnahmefällen überhaupt wirksam sein kann. Ob biometrische Gesichtserkennungsverfahren im öffentlichen Raum zu Zwecken der öffentlichen Sicherheit zulässig sind, richtet sich also einzig nach den dafür geschaffenen rechtlichen Vorgaben.

Zwar ist Bundesinnenminister Seehofer aktuell von Plänen abgerückt, derartige Verfahren ins Bundesrecht aufzunehmen. Das hat in der Vergangenheit indes nicht verhindert, dass aller Kritik zum Trotz im Rahmen des Pilotprojektes "Sicherheitsbahnhof Berlin Südkreuz" dennoch entsprechende Verfahren eingesetzt wurden. Die Bundesregierung sah sich dazu auch durch das BPolG berechtigt, wie sie im November 2018 auf eine kleine Anfrage der Fraktion der Linken mitteilte. Der darin konkret angesprochene § 27 BPolG ist allerdings wortgleich noch immer in Kraft. Dass Seehofer aktuell davon absieht, biometrische Gesichtserkennung gesetzlich zu erlauben, erscheint deshalb widersprüchlich, denn offenbar ist die Nutzung solcher Gesichtserkennungsverfahren nach Auffassung der Bundesregierung bereits nach geltender Rechtslage erlaubt.

Um so größeres Gewicht kommt damit der aktuell auf europäischer Ebene geführten Debatte zu, biometrische Videoüberwachung jedenfalls zeitlich begrenzt gesetzlich zu verbieten. Das ist angesichts der fundamentalen Bedeutung, die unbeobachtete öffentliche Räume für die Bereitschaft zur ungehemmten Grundrechtsentfaltung haben, auch dringend geboten.

Der Autor Dr. Malte Engeler ist Richter am Schleswig-Holsteinischen Verwaltungsgericht und war bis 2017 stellvertretender Leiter des aufsichtsbehördlichen Bereichs am Unabhängigen Landeszentrum für Datenschutz in Schleswig-Holstein.