Ob bei der Terroristenfahndung oder bei der Smartphone-Anmeldung – Gesichtserkennung soll für mehr Sicherheit sorgen. Halten Sie das grundsätzlich für ein geeignetes Mittel?
Ob die Gesichtserkennung ein geeignetes Mittel ist, hängt zu einem großen Teil auch von Ihrer Zuverlässigkeit und Manipulierbarkeit ab. Kann die Sperre beim Smartphone schnell überwunden werden, besteht ein entsprechend hohes Nutzungs- und Manipulationsrisiko. Apple verspricht hier beispielsweise, durch den gemeinsamen Einsatz verschiedener Komponenten, eine sehr hohe Sicherheit. Allerdings muss dies erst einmal dem Praxistest standhalten. Bereits auf dem Markt befindliche Geräte mit Gesichtserkennung haben jedenfalls gezeigt, dass sie durchaus ausgetrickst werden können.
Zur Terrorismus- und Verbrechensbekämpfung ist die Zuverlässigkeit der Gesichtserkennung natürlich ebenso wichtig, sie kann aber in jedem Fall zur Erhöhung des subjektiven, allgemeinen Sicherheitsgefühls der Bevölkerung beitragen. Aber selbst wenn die Technik zuverlässig arbeitet, besteht für Straftäter hier immer noch die einfache Möglichkeit das Gesicht zu bedecken und so einer Erkennung zu entgehen. Außerdem müsste dann für einen effektiven Einsatz, auch eine schnelle Festnahme vor Ort erfolgen können.
Die Daten werden oft auf externen Servern gespeichert und von anderen Diensten oder Behörden verwendet. Wie lässt sich sicherstellen, dass die Menschen die Hoheit über die (Gesichts-)Daten behalten – oder wiedererlangen?
Eine vollständige Hoheit über die Daten zur Gesichtserkennung kann in der Tat nur dann gewährleistet werden, wenn die Daten eben nicht auf externen Servern landen, sondern auf einem eigenen Endgerät gespeichert werden. Die Algorithmen würden dann direkt auf und vom Endgerät ausgeführt werden. Eine Nutzung von anderen Diensten dürfte ohnehin nur mit der Einwilligung der Benutzer geschehen.
Bei der Speicherung von Daten auf externen Servern, ist es für die Datenhoheit am besten, wenn die Gesichtserkennungsdaten zumindest getrennt von anderen Daten gespeichert werden, um die Zusammenführung und die Erstellung von Personenprofilen zu verhindern. Denn auch wenn viele Menschen davon ausgehen, sie hätten nichts zu verbergen, kann ein Personenprofil, dessen Daten aus vielen verschiedenen Quellen stammen, durchaus Informationen zu Tage fördern, die ein falsches Bild auf den Betroffenen werfen.
Die Betroffenen sollten auch wissen, dass ihnen ein Löschungs- und Auskunftsrecht, für die, über sie gespeicherten Daten, zusteht und von dem sie auch Gebrauch machen sollten. Nur so können sie erfahren welche Daten wo über sie gespeichert sind.
Algorithmen werten auch Bilder aus, die aufgenommen wurden, lange bevor Gesichtserkennung ein öffentliches Thema war – was können Betroffene dagegen tun?
Betroffene können in den meisten Fällen nur dann etwas dagegen tun, wenn ihnen die Auswertung auch bewusst ist. Oft passiert die Bewertung automaisch und unbewusst. Dann ist es natürlich schwierig auch etwas dagegen zu unternehmen.
Eine erste Maßnahme für Betroffene, die eine Bewertung nicht wünschen, ist, bei einzelnen Anwendungen, Internetseiten und auf dem Smartphone in den Einstellungen entsprechende Funktionen wie beispielsweise „Smart Photos“ auszuschalten.
Welchen gesetzlichen Regulierungsbedarf sehen Sie in Hinblick auf die Gesichtserkennung?
Die datenschutzrechtlichen Aspekte der Gesichtserkennung, wie die einer ausreichenden Transparenz und die Rechte der Betroffenen sind rechtlich bereits im Bundesdatenschutzgesetz und auch in der kommenden EU-Datenschutz-Grundverordnung verankert. Im Großen und Ganzen besteht hier also erst einmal kein direkter Regulierungsbedarf. Jedoch muss natürlich sichergestellt werden, dass die datenschutzrechtlichen Grundsätze bei der Gestaltung der Technik auch Anwendung finden.
Schwieriger sieht es bei der Transparenz in Bezug auf den dahinter befindlichen Algorithmus der Gesichtserkennung aus. Hier ist es für den Verbraucher nahezu unmöglich nachzuvollziehen, wie die Anwendung oder der einzelne Algorithmus zur Gesichtserkennung arbeitet. Dafür sindunabhängigeKontrollen der Algorithmen, zumindest bei besonders sensiblen Internet-Dienstleistungen, notwendig. In der Praxis könnte man dabei allerdings auf Umsetzungsprobleme stoßen.