+49 (55 03) 9 15 96 48 sorge@DatCon.de

Gesichtserkennung! Und der Datenschutz?

Ja, es liegt wieder nah. Auch hier kann man schnell sagen, dass der „blöde“ Datenschutz behindert. Aber behindert er wirklich? Schauen wir mal …
immer häufiger kommt man mit der Technik „Gesichtserkennung“ in Kontakt. Bei Vielen ist es das Handy, welches per Face-ID entsperrt wird.
Gesichtserkennung – wofür kann man diese verwenden?
Mögliche Szenarien sind bspw.:
•Identifikation
•Verifikation
•Profilbildung
•Überwachung
•Registrierung
•Verhaltenssteuerung
•Marketing
Die aufgeführten Einsatzbereiche sind mit Sicherheit nicht unwichtig. Ja, sie haben vielleicht hier einen gewissen oder höheren Bedarf an Schutz und Prüfung. Dennoch ist es ein sehr schmaler Grad zu Missachtung des Persönlichkeitsrechtes einer Person.
Vorgaben durch den Datenschutz?
Bei den biometrischen Daten handelt es sich gem. Art. 9 Abs. 1 DSGVO um besondere Kategorien personenbezogener Daten. Eine solche Verarbeitung ist erst einmal verboten. Der Erlaubnisbereich ist sehr eng gehalten. Da es nur sehr wenige Ausnahmen von diesem verbot gibt, hat man als Rechtsgrundlage am Ende oftmals nur die Einwilligung.Das bedeutet, dass ein datenschutzkonformer Einsatz einer Gesichtserkennung mit der Einwilligung steht und fällt.
Haben wir nun eine Einwilligung?
Das gilt es zu klären. Bei einer Authentifizierung durch Face-Id bei einem selbst genutzten Gerät ist es schnell beantwortet. Die Mitarbeiterin oder der Mitarbeiter haben es sich selbst eingerichtet, sie wissen Bescheid und haben „eingewilligt“.
Aber bei einer Videoüberwachung mit Gesichtserkennung sieht das Ganze schon anders aus. Wie kann eine Kundin oder ein Kunde vorab einwilligen? Da hier der Zweck in der Regel eine Überwachung, ein Schutz des Unternehmens, darstellt, macht auch eine Einwilligung nicht wirklich Sinn.
Aber welche andere Rechtsgrundlage haben wir? Gesetzliche Anforderungen oder vertragliche Festlegungen fallen eigentlich raus. Bleibt das berechtigte Interesse. Aber hier überwiegt gem. der DSGVO das Persönlichkeitsrecht sehr schnell. Anders, als bei einer Videoüberwachung ohne Gesichtserkennung.
Fazit?
Wenn Unternehmen eine Gesichtserkennung nutzen, begeben sie sich schnell auf dünnes Eis. Kommt bspw. eine Aufsicht ins Spiel, da sich eine Person beschwert hat, wird schnell die Frage nach milderen Mitteln gestellt. Und, wenn diese nicht klar zur Videoüberwachung mit Gesichtserkennung zu beantworten ist, hat man als Unternehmen oftmals das Nachsehen.
Aufzeichnung von Telefongesprächen
Machen wir es kurz.
Die Aufzeichnung von Gesprächen ohne Zustimmung der betreffenden Person ist nicht erlaubt!
Folgen bei einer Aufzeichnung?
Wenn ein Unternehmen ohne Einwilligung der betreffenden Personen das gesprochene Wort speichert, muss mit einer Freiheitsstrafe von bis zu 3 Jahren oder hohen Bußgeldern gerechnet werden.
Aber es ist auch der Datenschutz zu bedenken! Das Recht am gesprochenen Wort ist durch das allgemeine Persönlichkeitsrecht (Art. 2 I, 1 I GG) geschützt und muss somit beachtet werden.
Achtung! Dieses Recht wird auch dann verletzt, wenn Dritte beispielsweise durch die Lautsprecherfunktion unbemerkt mithören. Um dem vorzubeugen, sollte man vorab die betreffenden Personen informieren.
Fazit?
Einwilligung. Es geht in der Regel nicht ohne. Zumindest für die meisten Unternehmen trifft dies zu. Sobald bspw. der Staatsanwalt aktiv werden würde, gelten andere, in dem Fall gesetzliche, Grundlagen.
Fotos, Fotos, Kinderfotos
Es kommt vor. Es hängt zwar sehr von der jeweiligen Branche ab, aber es kommt irgendwann dann doch vor, dass man als Unternehmen Fotos von Kindern bzw. Minderjährigen machen möchte. Ist hier aber etwas anderes zu beachten als bei Erwachsenen?
JA!
Sehr häufig erlebe ich solche Situationen, oftmals eigentlich schon Beschwerden, bei denen mit Eltern über die Fotos ihrer Kinder diskutiert wird. Dabei ist es eigentlich klar.
Werden Aufnahmen von Minderjährigen gemacht, müssen Erziehungsberechtigte einwilligen.
Aber was so einfach klingt … Fakt ist, es wird oftmals vergessen.
Was sind mögliche Situationen?
•Tag der offenen Tür
•Praktika
•Zukunftstage
•Bewerbungstage
•Aktionstage
Fazit?
Machen Sie sich vorab Gedanken und bereiten Sie Ihr Event dahingehend vor. Klar, die sozialen Medien sollen genutzt werden, wenn man als Unternehmen sich schon die Mühe eines „Tag der offenen Tür“ macht. Aber hier ist der Anspruch dann noch einmal höher, hier werden die Daten nicht nur erhoben, sondern auch verbreitet. Und das auch noch weltweit!
Microsoft 365 und der liebe Datenschutz
Was ist von Seiten der Aufsichten klar bei der Nutzung von MS 365?
•Kein Unternehmen kann davon ausgehen, dass personenbezogene Daten in den Produkten von MS 365 grundsätzlich datenschutzkonform verarbeitet werden.
•Auch, wenn der Wille von Seiten Microsoft da ist, so reicht der Datenschutznachtrag von Microsoft vom September 2022 nicht.
Bedeutet?
Das Unternehmen muss sich selbst kümmern, dass Microsoft 365 datenschutzkonform eingesetzt wird. Sie müssen sich über den Umfang der Daten und auch Techniken bewusst sein. Und diese müssen durch die IT-Abteilung bzgl. möglicher Schutzmaßnahmen geprüft werden, wie bspw. „nach Hause telefonieren“. Sämtliche Übertragungswage müssen identifiziert werden um im nächsten Schritt, ggf. mit Tools von Drittanbietern, die „Kanäle“ zu schließen.
Wenn jetzt nun eine Aufsichtsbehörde in der Tür steht. Was prüft diese?
•Die Aufsichtsbehörde prüft, ob ein Defizit vorliegt.
•Dann wird das Unternehmen zur Nachbesserung aufgefordert.
•Bußgelder werden nach dem Gesichtspunkt der Verhältnismäßigkeit verhängt.
•Das Risiko für ein Bußgeld ist dann gegeben, wenn grundlegende Anforderungen an den Datenschutz nicht vorhanden sind bzw. ignoriert werden.
LinkedIn! Auftragsverarbeitung? Gemeinsame Verantwortung?
Wenn ein Unternehmen LinkedIn nutzen möchte, müssen auch die datenschutzrechtlichen Anforderungen erfüllt werden, wie bspw. die Informationspflicht gem. Art. 13 DSGVO, welche in der Regel in einer Datenschutzerklärung einer Website untergebracht werden.
Aber wie sieht es mit der Stellung aus? Ist LinkedIn ein Auftragsverarbeiter oder vielleicht sogar mit dem Unternehmen gemeinsam verantwortlich?
Sie erinnern sich das Fanpage-Urteil des EuGH? Am Ende kam eine gemeinsame Verantwortlichkeit heraus. Und genau diese ist auch bei LinkedIn vorhanden.
Bei LinkedIn werden personenbezogene Daten verarbeitet, um dem Betreiber der Unternehmenspräsenz sog. „Page Insights“ bereitzustellen. Es werden bspw. Statistiken über personenbezogene Daten mit Filter- bzw. Einstellungsmöglichkeiten zur Verfügung gestellt.
Und nun?
Zwar stellt LinkedIn im Mitgliederbereich eine Vereinbarung zu diesem Zweck zur Verfügung (Page Insights Joint Controller Addendum (the “Addendum”), aber ob dieser einer Prüfung durch eine Aufsichtsbehörde standhält, bleibt fragwürdig.
Cyberattacken aus Oktober 2023 in Deutschland (Textliche Auszüge aus www.dsgvo-portal.de)
Vorab, es geht hier nicht ums „Angstmachen“. Vielmehr ist das Ziel die Sensibilisierung
→ „So etwas ist ja auch bei uns vorgekommen.“
•Bauer (Spezialtiefbau-Unternehmen)
Das Unternehmen schaltet nach Cyberangriff Server ab.
•Südwestfalen IT
Zugriff auf Systeme legte 70 Kommunen lahm.
•Hochschule Hannover
Systeme nach Cyberangriff heruntergefahren
•Maternus Kliniken
Systeme nach Cyberangriff betroffen
•Weiterführende Schulen im Rhein-Hunsrück-Kreis
IT-Angriff auf die Infrastruktur
Europäische Bußgelder im Oktober 2023? (Textliche Auszüge von Dr-Datenschutz)
Es ist nur eine kleine Übersicht! Aber es sind praxisnahe Fälle, die ggf. auch bei Ihnen auftreten können.
•Inkasso-Unternehmen verarbeitet Daten von Nicht-Schuldnern
Behörde: Agencija za zaštitu osobnih podataka (AZOP)
Branche: Inkasso
Verstoß: Art. 5 Abs. 2 DSGVO, Art. 6 Abs. 1 DSGVO, Art. 9 Abs. 2 DSGVO, Art. 12 Abs.1 DSGVO, Art. 13 Abs.1 und Abs. 2 DSGVO, Art. 32 Abs. 1 lit. b DSGVO, Art. 32 Abs. 2 DSGVO
Bußgeld: 5.470.000 Euro
•Newsletterversand trotz Widerspruch
Behörde: Datainspektionen (IMY)
Branche: Textileinzelhandel
Verstoß: Art. 6 Abs. 1 DSGVO, Art. 12 Abs. 2 und 3 DSGVO, Art. 21 Abs. 3 DSGVO
Bußgeld: 30.265 Euro
•Haustürgeschäfte führen zu Millionenbußgeld
Behörde: Garante per la protezione dei dati personali (GPDP)
Branche: Energieversorger
Verstoß: Art. 5 Abs. 1 lit. a und d DSGVO, Art. 24 Abs. 2 DSGVO
Bußgeld: 10.000.000 Euro
•Umfangreiche Videoüberwachung von Sport- und Messehalle
Behörde: Persónuvernd
Branche: Veranstaltungsbetreiber
Verstoß: Art. 5 DSGVO, Art. 6 Abs. 1 DSGVO, Art. 8 Abs. 1 und Abs. 2 DSGVO, Art. 9 Abs. 2 DSGVO, Art. 13 DSGVO, Art. 17 DSGVO
Bußgeld: 23.890 Euro
•Geschäftsdaten für Wahlwerbung genutzt
Behörde: Datenschutzbehörde (Österreich)
Verstoß: Art. 6 Abs. 1 und Abs. 4 DSGVO
Bußgeld: 1.000 Euro
Es geht nicht vorrangig um das Bußgeld. Auch nicht welche Behörde zuständig war. Die Unternehmen sollen sich hier bspw. die Fragen stellen: „Kann uns das auch passieren? Oder ist das auch bei uns so?“
Gesamtfazit?
Man sollte realistisch bleiben und nicht davon ausgehen, dass man alle Anforderungen bspw. bei der Nutzung von MS 365, erfüllt. Aber nichts zu machen wäre fatal. Die Unternehmen sollten ihren IT-Abteilungen die Aufgaben geben die Systeme möglichst gut abzusichern bzw. datenschutzkonformer zu machen.
Auch, wenn interessante Techniken noch so gern genutzt werden möchten, so sollte ein Unternehmen vorab die datenschutzrechtliche Umsetzung besprechen. Das Ziel mit kleinen Lücken zu erreichen ist in der Regel besser als nichts zu machen.
Sie haben Fragen? Melden Sie sich bitte bei uns! Es bleibt spannend!
Was kommt in der nächsten Ausgabe von HINGESCHAUT?
Schauen wir mal. 😉
Ein Thema wird aber das „ChatGPT als Mittäter bei Cyberangriffen“ sein.
Es bleibt spannend!

468