Ungefragte Beschaffung von Gesichtsdaten ist persönlichkeitsverletzend

Ungefragte Beschaffung von Gesichtsdaten ist persönlichkeitsverletzend

03/2020

 

In Ergänzung seiner Mitteilung zur Applikation Clearview präzisiert der EDÖB seine Haltung zur massenhaften Beschaffung und Weiterbearbeitung von Gesichtsdaten über das Internet.

 

Auch wenn Gesichtsdaten nicht per se als besonders schützenswert i.S. von Art. 3 Bst. c des Bundesgesetzes über den Datenschutz (DSG) einzustufen sind, stellt die Massenbeschaffung von Gesichtsdaten aus internet-zugänglichen Quellen eine Persönlichkeitsverletzung i.S.v. Art. 12 Abs. 2 Bst. a DSG dar, wenn die damit einhergehende Bearbeitung gegen die Grundsätze der Art. 4, 5 Abs. 1 und 7 Abs. 1 DSG verstösst. Wer ungefragt Gesichtsdaten in Massen beschafft und zu Zwecken bearbeitet, die bei der Beschaffung weder deklariert, noch aus den Umständen ersichtlich oder gesetzlich vorgesehen sind, verstösst gegen die Grundsätze der Transparenz, Verhältnismässigkeit und der Zweckbindung.
Diese Grundsätze sind anwendbar auf alle Bearbeitungen von Daten, welche Personen in der Schweiz betreffen, unabhängig davon, ob ein Bearbeiter die ungefragten Datenbeschaffungen im In- oder Ausland, manuell oder unter Einsatz von Robotern vornimmt.

 

Ungefragtes Herunterladen lässt sich schwerlich rechtfertigen
Hat eine Person ihre Gesichtsdaten einem sozialen Netzwerk anvertraut, das in seinen «Terms of Service» die automatische Datenbeschaffung resp. das sog. «Crawling» generell verbietet, indiziert dies, dass diese Person als Nutzer dieses Netzwerks die Bearbeitung durch Dritte ausdrücklich untersagt. Werden deren Gesichtsdaten von einem Dritten ungefragt von dem entsprechenden Netzwerk heruntergeladen, muss von einer widerrechtlichen Persönlichkeitsverletzung ausgegangen werden, wenn die Bearbeitung nicht durch ein überwiegendes privates oder öffentliches Interesse oder durch Gesetz i.S.v. Art. 13 DSG gerechtfertigt ist. Solche Rechtfertigungsgründe dürften sich in der Praxis schwerlich herleiten lassen.

 

Abgleich mit Gesichtsbildern erfordert eine Einwilligung
Nach Art. 13 Abs. 1 DSG liegt in der Regel keine Persönlichkeitsverletzung vor, wenn die betroffenen Personen die Daten allgemein zugänglich gemacht und eine Bearbeitung nicht ausdrücklich untersagt haben. Diese Regel kann indessen nicht Anwendung finden, wenn die Gesichtsdaten der Betroffen unter Missachtung des Transparenzgrundsatzes mit ungefragt aus einem sozialen Netzwerk oder einer Internetplattform beschafften Daten – wie oben geschildert – abgeglichen werden sollen. Der EDÖB rät deshalb davon ab, Abgleiche mit Gesichtsbildern ohne Einwilligung der Betroffenen vorzunehmen.
Wer zentrale biometrische Datenbanken aufbaut und diese insbesondere Strafbehörden für Abgleiche zur Verfügung stellt, verstösst in schwerer Weise gegen den Transparenzgrundsatz, weil diese Bearbeitung wesentlich über das bei Suchmaschinen Übliche hinausgeht und die von der ungefragten Verwendung ihrer Gesichtsbilder Betroffenen eine derartige Zweckentfremdung nicht voraussehen können.

 

Datenbearbeiter und Betreiber sozialer Netzwerke in der Verantwortung
Werden Bilddaten von sozialen Plattformen bewusst und gewollt weitergegeben, muss dies mit den Voreinstellungen durch die Betroffenen wie auch den «Terms of Service» resp. den Nutzungsbestimmungen in Einklang stehen. Werden die Daten von Dritten gegen den Willen von sozialen Plattformen beschafft, stellt dies grundsätzlich einen unkontrollierten Abfluss von Personendaten (Data Breach) dar, für den nebst den Datenbearbeitern auch die Betreiber der sozialen Netzwerke gegenüber ihren Benützern einzustehen haben. Werden die Daten durch die Benützer der sozialen Netzwerke beschafft oder weitergegeben, stellt dies eine Verletzung der Nutzungsbedingungen dar, für welche die fehlbaren Benutzer zusammen mit den Betreibern der entsprechenden Plattformen die Verantwortung tragen.

 

Fazit: Die ungefragte Beschaffung von Gesichtsdaten zwecks Weiterbearbeitung unter Einsatz automatischer Gesichtserkennungstechnologien kann in der Praxis nur schwerlich im Einklang mit den Bearbeitungsgrundsätzen des DSG erfolgen. Deshalb bedürfen solche Bearbeitungen in der Regel einer verfassungskonformen, gesetzlichen Grundlage für Behörden bzw. einer Einwilligung für Private.

 

Was unternimmt der Beauftragte? Nebst seinen konkreten Erhebungen im Fall Clearview (vgl. Mitteilung vom 21.01.2020) wird der Beauftragte im Rahmen seiner gesetzlichen Möglichkeiten alles unternehmen, um die Schweizer Bevölkerung vor ungefragten Beschaffungen ihrer Gesichtsbilder zu schützen. Er wird sich des Weiteren auch weiterhin dafür einsetzen, dass sich die Schweizer Bevölkerung im Sinne eines freien Wahlrechts im öffentlichen Raum anonym bewegen kann, sei das zu Fuss oder in Verkehrsmitteln.

 

Edoeb.admin.ch; Abgerufen am 11.02.2020 von https://www.edoeb.admin.ch/edoeb/de/home/aktuell/aktuell_news.html

 

Swiss Infosec AG; 27.02.2020
Kompetenzzentrum Datenschutz, +41 41 984 12 12, infosec@infosec.ch

 

datenschutz fingerabdruck

 

Datenschutz

Datenschutz greift auch in unsere Lebensprozesse ein

 

Datenschutz ist allgegenwärtig und begleitet uns im Berufsalltag wie auch im Privatleben. Erfahren Sie bei uns alles über Beratung, Ausbildung und Services im Fachbereich Datenschutz und wie wir Sie als erfahrene Datenschutzspezialisten unterstützen können.

 

Kontaktieren Sie uns, denn wir wissen, welche Daten wie zu schützen sind! Wir beraten Sie gerne. +41 41 984 12 12, infosec@infosec.ch

 

Mehr