Logo LDI NRW

Datenschutzkonferenz: Vorsicht bei dem Einsatz von Gesichtserkennungssystemen durch Sicherheitsbehörden

Entschließung der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder vom 20. September 2024

Bereits jetzt setzen einige Behörden automatisierte biometrische Gesichtserkennungssysteme im öffentlichen Raum ein und berufen sich dabei auf unspezifische strafprozessuale Normen. (So wurde etwa im Frühjahr 2024 bekannt, dass eine sächsische Polizeidirektion über ein Gesichtserkennungssystem verfügt, welches bereits für Ermittlungsverfahren in verschiedenen Bundesländern genutzt wurde. Als Rechtsgrundlagen wurden §§ 100h, 163f StPO für die Aufzeichnung von Bildern auf öffentlichen Straßen und § 98a StPO für den Abgleich mittels automatisierter Gesichtserkennung herangezogen.)  Hierbei werden nach Ansicht der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) der einschlägige Rechtsrahmen und die Freiheitsrechte der Betroffenen – also potentiell aller Bürgerinnen und Bürger – nicht hinreichend beachtet. Die bestehenden Regelungen in der Strafprozessordnung bieten für biometrische Gesichtserkennung im öffentlichen Raum keine Grundlage. Aktuell gibt es zudem Bestrebungen der Politik, das Instrument der automatisierten biometrischen Gesichtserkennung in unterschiedlichen rechtlichen Zusammenhängen zu erlauben. 

Eine Regelung durch den Gesetzgeber wäre hierbei nur in einem engen Rahmen mit den europäischen und nationalen Grundrechten der betroffenen Personen vereinbar. 

Der Einsatz von Gesichtserkennungssystemen kann ein sehr intensiver Eingriff in die Grundrechte der betroffenen Personen sein. Die Intensität hängt insbesondere von der Art der ausgewerteten Daten, der eingesetzten Technik und dem Grad der Automatisierung ab. Von besonderer Bedeutung ist die Streubreite der Maßnahme, wie z. B. beim Einsatz von Gesichtserkennungssystemen im öffentlichen Raum. Erfasst die Analyse viele Menschen und zudem solche, die dafür keinerlei Anlass gegeben haben, führt dies zu einem noch intensiveren Eingriff. Relevant sind ferner eine eventuelle Heimlichkeit der Maßnahme und das erhebliche Risiko von Fehlerkennungen. Diese können auch für unschuldige Menschen zu intensiven Folgeeingriffen, wie z. B. Freiheitsentziehungen, führen. 

Aus diesem Grund hat der europäische Gesetzgeber in der KI-Verordnung bestimmte Anwendungen ausgeschlossen und für andere Anwendungen enge Grenzen bestimmt. 

Sofern nach der KI-Verordnung und dem Verfassungsrecht Regelungsspielraum für den nationalen Gesetzgeber verbleibt und er den entsprechenden Einsatz als zwingend erforderlich betrachtet, muss er spezifische, verhältnismäßige Rechtsgrundlagen für den Einsatz von Gesichtserkennungssystemen schaffen. Hierin sind in Abhängigkeit von der Eingriffsintensität hinreichende Eingriffsschwellen, aus-reichende Anforderungen an den Rechtsgüterschutz und zusätzliche Schutzmechanismen festzulegen. 

Zu dieser Thematik hat der Europäische Datenschutzausschuss (EDSA) Leitlinien erlassen. Auch nach Ansicht des EDSA darf Gesichtserkennungstechnologie nur unter strikter Einhaltung des einschlägigen Rechtsrahmens und ausschließlich in solchen Fällen verwendet werden, in denen die Anforderungen an die Erforderlichkeit und Verhältnismäßigkeit belegbar erfüllt sind. 

Sofern und soweit der Gesetzgeber den entsprechenden Einsatz nach sorgfältiger Prüfung als unbedingt erforderlich betrachtet, fordert die DSK, sich mit den rechtlichen Vorgaben intensiv auseinander-zusetzen und diese zu beachten.