„Unabsehbare Risiken für die Gesellschaft“: Datenschützer Caspar warnt vor Facebook-Gesichtserkennung

Trotz massiver Kritik hat Facebook die Gesichtserkennung wieder aktiviert. Ist das im Zuge der Datenschutzgrundverordnung (DSGVO) überhaupt erlaubt? Oder ist es sogar ein sinnvolle Maßnahme? Wir haben den Hamburger Datenschützer Professor Johannes Caspar gefragt.
Professor Johannes Caspar steht der Einführung der Gesichtserkennungstechnologie von Facebook kritisch gegenüber

Der 25. Mai rückt immer näher. Der Tag, ab dem in der EU die neuen, strengeren Datenschutzregeln (DSGVO) gelten werden. Das weiß auch Facebook und kündigte Anfang vergangener Woche in einem Blogeintrag an, seine Nutzungsbedingungen und Datenpolitik in Europa an die DSGVO anpassen zu wollen.

Facebook verspricht mehr Sicherheit

Eine Aktualisierung, für die Facebook derzeit alle 370 Millionen europäischen Nutzer um Erlaubnis bittet, ist die Gesichtserkennung. Diese neue Funktion umwirbt das Soziale Netzwerk mit dem Aspekt der Sicherheit. So nutze Facebook die Gesichtserkennungstechnologie, um besser zu kontrollieren, wann der User auf Fotos, in Videos oder vor der Kamera erscheint. „Auf diese Weise schützen wir dich davor, dass Fremde dein Bild verwenden; wir finden und zeigen die Fotos, auf denen du zu sehen, aber nicht markiert bist; wir teilen Menschen mit Sehbehinderung mit, wer auf einem Foto oder in einem Video zu sehen ist; und wir schlagen dir Personen vor, die du möglicherweise markieren möchtest“, heißt es seitens Facebook.

Ausschalten? Gar nicht so einfach

Etwas „tricky“ ist es für den User, die Technologie „abzuwählen“: Ein einfaches „Nein“ gibt es nämlich nicht. Wer sein Gesicht nicht hergeben möchte, muss auf „Dateneinstellungen verwalten“ klicken und sich anschließend noch einmal zu Gemüte führen, was er verpasst, wenn er die Gesichtserkennung nicht zulässt.

(Zum Vergrößern Anklicken)

Datenschützer sind kritisch

Schon 2011 hatte Facebook die Gesichtserkennung eingeführt, sie aber bereits ein Jahr später nach heftiger Kritik in Europa ausgesetzt und die Daten gelöscht. Und jetzt? Wir kritisch stehen Datenschützer der Gesichtserkennung sieben Jahre später gegenüber? Wir haben mit Professor Dr. Johannes Caspar, Hamburgischer Beauftragter für Datenschutz und Informationsfreiheit, gesprochen.


Herr Professor Caspar, gibt es aus datenschutzrechtlicher Perspektive Kritik an der Einführung der Gesichtserkennung?

Die Erhebung und Verarbeitung biometrischer Daten ist immer bedenklich, denn sie erlaubt ein automatisiertes Identifizieren und gezieltes Verfolgen („Tracken“) von Personen, auch ohne optische Vorlage des jeweiligen Gesichts. Über biometrische Daten beziehungsweise Gesichts-IDs können aus Bild- oder Videodateien und den dortigen Informationen zu Aufenthaltsorten oder Begleitpersonen umfassende Profile gebildet werden, ferner lassen sich so unterschiedliche Profile oder mehrere Identitäten, die eine Person in sozialen Netzwerken gegebenenfalls gezielt nutzt, leicht zusammenführen.

Die Technik der Gesichtserkennung birgt daher unabsehbare Risiken für die Gesellschaft und hat das Potenzial, Anonymität und das Grundrecht auf informationelle Selbstbestimmung weitgehend auszuhebeln. Täglich werden Millionen von Bildern und Videos auf die Server von Facebook hochgeladen. Häufig sind dort auch Nichtmitglieder und Unbeteiligte erkennbar. Über alle diese Gesichter können prinzipiell Identifizierungsprozesse stattfinden und Aufenthalts- und Beziehungsprofile in bislang unvorstellbarem Umfang erstellt werden.

Wie berechtigt oder fraglich ist der angebliche Sicherheitsaspekt der Gesichtserkennung?

Ein Argument, mit dem Facebook-Nutzer zur Erteilung der Einwilligung in die Gesichtserkennung motiviert werden sollen, ist die Information darüber, wenn Dritte Bilder oder Videos mit dem eigenen Gesicht hochladen. Allerdings beschränkt sich dies auf Bilder, die der jeweilige Nutzer mit seinen Berechtigungen sehen kann. Werden Dateien zum Beispiel direkt unter Mitgliedern ausgetauscht oder in eine geschlossene Facebook-Gruppe hochgeladen, findet keine Inkenntnissetzung der betroffenen Person statt.

Weiterhin gibt es gute Gründe, weshalb eine Person mehrere Profile in einem sozialen Netzwerk anlegen und betreiben möchte. Durch Gesichtserkennung droht die Gefahr, dass diese verschiedenen Profile anhand der biometrischen Daten offengelegt und miteinander verknüpft werden. Auch steht zu befürchten, dass ein zusätzliches Profil zukünftig automatisch als „Fälschung“ deklariert wird und Facebook mehrere Profile unter Verweis auf die eigenen Nutzungsbedingungen, die unter anderem auch den Echtnamen fordern, zukünftig nicht mehr zulassen wird.

Ist die Gesichtserkennungstechnologie überhaupt konform mit der DSGVO?

Sofern Betroffene in die Gesichtserkennung freiwillig einwilligen und vom Anbieter vorab und ausreichend über die Folgen aufgeklärt werden, kann Gesichtserkennung durchaus gesetzeskonform angeboten und betrieben werden.

Die Vorstellung von Facebook zur Einführung der automatischen Gesichtserkennung in Europa lässt jedoch erhebliche Zweifel aufkommen. Die suggestive Einrichtung der Wahlmöglichkeit bietet keine faire Wahlmöglichkeit. Facebook macht es den Nutzenden wesentlich leichter, der biometrischen Datenverarbeitung zuzustimmen als sich ihr zu entziehen. Ob das mit den Vorschriften zur Einwilligung und dem Grundsatz der datenfreundlichen Voreinstellungen vereinbar ist, wird zu prüfen sein.

Durch die „Sammelabfrage“ zusammen mit anderen Aspekten zur Datenschutzgrundverordnung wird eine „Ermüdung“ der Nutzer und in der Folge ein voreiliges Bestätigen dieser kritischen Einwilligung geradezu provoziert. Es genügt für die Zustimmung ein einziger Klick auf „Fortfahren“. Für den Fall der Ablehnung muss der Nutzer jedoch ein separates Untermenü durchlaufen und dabei letztlich vier Klicks mehr ausführen.