Gesichtserkennung kann Personen identifizieren und auch das Alter, Geschlecht oder Emotionen erkennen. Es gibt viele Stimmen, die eine stärkere Regulierung oder ein Verbot dieser Form von Technologie fordern. Was ist an der Sache dran?
Biometrische Gesichtserkennung im öffentlichen Raum
Besonders umstritten ist die biometrische Gesichtserkennung im öffentlichen Raum. Die EU-Kommission möchte in ihren Regulierungsvorschlägen zu Künstlicher Intelligenz diese Systeme grundsätzlich verbieten und nur ausnahmsweise erlauben. Sie will also einen Rahmen für die Technologie vorgeben. Jetzt kommt es auf das EU-Parlament und den Rat der EU an. Beide müssten einem Gesetz zustimmen. Das EU-Parlament hat sich außerhalb des laufenden Gesetzgebungsverfahrens in einer Entschließung gegen die biometrische Gesichtserkennung im öffentlichen Raum ausgesprochen. Der Rat der EU ist nach einem bereits veröffentlichten Kompromisspapier dafür, abgesehen von kleinen Änderungen. Der Ausgang ist also offen.
Sollte der deutsche Gesetzgeber innerhalb des europäischen Rahmens, so er denn kommt, eine Rechtsgrundlage für die Technologie schaffen? Rein rechtlich dürfte er es wohl, aber seine vom Grundgesetz vorgegebenen Grenzen sind enger als der Rahmen, den die EU-Kommission anvisiert. Einige Beispiele: Nicht an sämtlichen „öffentlich zugänglichen Orten“, wie etwa öffentlichen Straßen oder auch Einkaufszentren, kann die Technologie zulässig sein. Sie stellt einen sehr schweren Grundrechtseingriff dar, indem eine Vielzahl von Personen ohne Anlass betroffen ist. Dadurch könnten auch Einschüchterungseffekte auftreten. Verhältnismäßig wäre nur der Einsatz an bestimmten öffentlichen Orten, wie Bahn- oder Flughäfen. Auch dürfte biometrische Gesichtserkennung im öffentlichen Raum nur zur Aufklärung von besonders schweren Straftaten zulässig sein, und nicht bereits wegen eines Betrugs, wie der Rahmen der EU-Kommission es vorsieht. In jedem Fall bedarf es einer Überwachungsgesamtrechnung.
Selbst wenn der deutsche Gesetzgeber eine Rechtsgrundlage schaffen dürfte, so sollte er dies nur tun, wenn die deutsche Bevölkerung die Technologie auch will. Das Recht bedarf stets auch der Akzeptanz der Gesellschaft. Einer Studie der Freien Universität Berlin und der Universität St. Gallen aus dem Jahr 2020 zufolge, waren 39 Prozent der Befragten gegen den Einsatz, 37 Prozent akzeptieren die Technik. Dies sollte zu einer breiteren demokratischen Debatte über biometrische Gesichtserkennung im öffentlichen Raum führen. Bis zur Klärung der gesellschaftlichen Akzeptanz sollte keine Rechtsgrundlage geschaffen werden. Ein Moratorium dieser Technik wäre sinnvoll.
Clearview und PimEyes
Nicht minder umstritten sind private Unternehmen wie Clearview und PimEyes, die gigantische Bilddatenbanken aus dem Internet aufgebaut haben, und diese biometrisch mittels Gesichtserkennungssoftware auf Kundenanfragen auswerten.
Die Praxis der in New York beziehungsweise den Seychellen ansässigen Unternehmen ist verboten, jedenfalls soweit es EU-Bürgerinnen und EU-Bürger betrifft. Es gibt keine gesetzliche Rechtsgrundlage und in der Regel auch keine Einwilligung für die Datenverarbeitung. Warum können diese Unternehmen einfach so weitermachen? Es scheint kein Problem des geltenden Rechts, sondern eines der Durchsetzung zu sein. Dies ist nicht minder schwerwiegend, gehört dessen „Verlässlichkeit“, das Vertrauen auf seine Durchsetzung, doch zum Wesen des Rechts.
Die bisherigen Verfahren der deutschen Datenschutzaufsichtsbehörden von Hamburg und Rheinland-Pfalz haben gezeigt, dass Clearview nicht feststellen kann, wer in der konzerneigenen Datenbank Bürgerinnen und Bürger von Hamburg sind. Dies dürfte für sämtliche EU-Bürgerinnen und EU-Bürger gelten. PimEyes hat schlichtweg den Fragenkatalog nicht beantwortet. Hier ist der Gesetzgeber gefragt, gemeinsam mit den Datenschutzaufsichtsbehörden über Lösungswege zu beraten. Gegebenenfalls bedarf es völkerrechtlicher Verträge der EU mit Drittstaaten, um das Datenschutzrecht auch gegenüber im Ausland ansässigen Unternehmen durchzusetzen.
Gesichtserkennung und G20-Gipfel
Momentan ist ein Gerichtsverfahren zwischen der hamburgischen Datenschutzaufsicht und der dortigen Polizei über den Einsatz von Gesichtserkennungssoftware während des G20-Gipfels anhängig. Das Verwaltungsgericht hat der Polizei Recht gegeben, der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit hat daraufhin die Zulassung der Berufung eingelegt.
Gestritten wird darüber, ob eine unbestimmte Generalklausel den Einsatz der Technik gegen eine Vielzahl auch unverdächtiger Personen rechtfertigen kann. Dies ist jedoch nach der Rechtsprechung des Bundesverfassungsgerichts zum Grundsatz der Normenklarheit und Bestimmtheit zu verneinen. Je tiefer ein Grundrechtseingriff wirkt, wie hier gegen tausende auch Unverdächtige, umso bestimmter muss die entsprechende Ermächtigungsgrundlage sein. Eine Generalklausel genügt dafür nicht. Über eine solch wesentliche Frage muss der Gesetzgeber und nicht die Exekutive auf Basis einer Generalklausel entscheiden. Abhilfe könnte eine Spezialrechtsgrundlage schaffen.
Klassifikationen durch Gesichtserkennung
Neben den beschriebenen Fällen der Identifikation sind auch Klassifikationen durch Gesichtserkennung hochproblematisch. Der Europarat sowie der Europäische Datenschutzausschuss und der Europäische Datenschutzbeauftragte wollen insbesondere Gesichtserkennung, die die ethnische Herkunft, die Hautfarbe, das Geschlecht, das Alter und die religiöse Überzeugung erfassen kann, ausdrücklich gesetzlich verbieten. Auch Technologien der Gesichtserkennung, die Emotionen erkennen können, sollen verboten werden, wobei die Datenschutzaufsichtsbehörden Ausnahmen für die Bereiche Gesundheit und Forschung zulassen wollen. Die Europäische Kommission möchte in ihren Regulierungsvorschlägen zur Künstlichen Intelligenz hingegen nur Transparenzvorschriften für eine derartige Technologie erlassen.
Ohne Zweifel gehören diese Formen der Gesichtserkennung aus ethischer Sicht gesetzlich verboten, weil Personen auf Basis dieser Ergebnisse diskriminiert werden könnten. Nur sind sie, abgesehen von wenigen Ausnahmen, bereits verboten. Denn grundsätzlich ist jede Datenverarbeitung verboten, es sei denn es gibt eine gesetzliche Rechtsgrundlage oder eine Einwilligung.
Fakt ist, dass es keine gesetzliche Grundlage gibt und eine solche wohl auch nicht geschaffen werden kann, denn sie wäre unverhältnismäßig und würde Grundrechte verletzen. Da eine Einwilligung auch freiwillig erteilt werden müsste, verbleiben wenige Ausnahmen, wie der bereits genannte Bereich Gesundheit und Forschung sowie etwa die Aufmerksamkeitskontrolle von Kraftfahrzeugführern.
Es bedarf also keines weiteren ausdrücklichen Verbots. Dennoch sollten die europäischen Datenschutzaufsichtsbehörden die engen Anwendungsfälle in einer gemeinsamen Stellungnahme festlegen, um Rechtssicherheit für Bürgerinnen und Bürger zu schaffen. Im Ergebnis ist etwas dran an den Forderungen nach mehr Regulierung beziehungsweise rechtlichen Maßnahmen. Es besteht also Handlungsbedarf in Sachen Gesichtserkennung.
