Gesichtserkennungsfunktion von Facebook verstößt gegen europäisches und deutsches Datenschutzrecht

Quelle: datenschutz.de, 02.08.2011

Löschung biometrischer Daten bei Facebook gefordert

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit hat Facebook aufgefordert, die über die Gesichtserkennung gespeicherten biometrischen Daten der Nutzer zu löschen. Die Funktion der Gesichtserkennung ist an europäische und nationale Datenschutzstandards anzupassen oder abzuschalten.

Die Gesichtserkennung dient zur automatischen Erkennung von Freunden, die auf Fotos der Nutzer abgebildet sind. Hierfür wertet Facebook die von Nutzern auf ihren Fotos markierten Gesichter nach biometrischen Merkmalen aus und speichert sie. So entsteht die vermutlich weltweit größte Datenbank mit biometrischen Merkmalen einzelner Personen. Lädt ein Nutzer neue Fotos hoch, folgt ein Abgleich mit diesen Informationen. Sobald die Software auf diesen Fotos Übereinstimmungen mit Freunden erkennt, wird automatisch ein Vorschlag für die namentliche Markierung der erkannten Person generiert.

Dabei ist nicht der Einsatz der Gesichtserkennungssoftware zur Erleichterung des sogenannten Foto-Taggings von Freunden das Problem. Vielmehr ist bedenklich, dass Facebook für diese Funktion im Hintergrund eine Datenbank zur Gesichtserkennung mit Millionen von Nutzern aufbaut. Bei einer Gesamtzahl von über 75 Milliarden hochgeladener Fotos wurden bisher nach Angaben von Facebook mehr als 450 Millionen Personen getaggt. Schätzungen zu Folge werden pro Sekunde mehr als 1.000 Namens-Taggs eingetragen. Die Risiken einer derartigen Ansammlung biometrischer Daten sind immens.

Derzeit wird jeder auf einem Foto markierte Nutzer in der Datenbank erfasst, der der Speicherung seiner Fotoinformationen nicht ausdrücklich widerspricht. Das derzeitige Opt-Out durch Facebook ist dabei irreführend.

Unter den Privatsphäre-Einstellungen bietet Facebook den Nutzern an, das Unterbreiten von Markierungsvorschlägen zu unterbinden (unter “Freunden Fotos von mir vorschlagen”). Facebook hat dazu schriftlich mitgeteilt, dass nach Abschalten dieser Funktion auch eine Löschung der biometrischen Daten erfolge. Laut Facebooks Online-Hilfesystem werden damit aber lediglich die Markierungsvorschläge unterdrückt. Es ist davon auszugehen, dass die biometrischen Daten gespeichert bleiben. Wenn Nutzer ihre bereits gespeicherten biometrischen Informationen löschen wollen, müssen sie zunächst das Online-Hilfesystem durcharbeiten. Darin wird zur Löschung der biometrischen Daten ein Weg über die Privatsphäre-Einstellungen gewiesen.

Die entsprechende Funktion (“Daten aus Fotovergleich löschen”) existiert jedoch nicht. An einer anderen Stelle im Hilfesystem findet sich ein Link, über den der Nutzer das “Facebook Foto-Team” kontaktieren kann. Dort soll er um die Entfernung aller bisher über ihn selbst in der biometrischen Datenbank gespeicherten Fotoinformationen bitten. Eine Opt-Out-Möglichkeit ist damit zwar vorhanden, für den normalen Nutzer aber kaum zu finden. Angesichts dessen scheint besonders bedenklich, dass sogar für minderjährige Nutzer die Gesichtserkennung voreingestellt ist.

Aber selbst wenn Facebook ein nutzerfreundliches Verfahren zum Opt-Out anböte, würde es weder nationalen noch europäischen Datenschutzanforderungen genügen. Für eine Speicherung von biometrischen Merkmalen ist eine vorab erteilte, unmissverständliche Einwilligung der Betroffenen erforderlich. Zu unterstellen, durch bloßes Nichteinlegen eines Widerspruchs läge eine Zustimmung vor, reicht hierfür nicht aus. Auch die Art.-29-Gruppe, der Zusammenschluss der Datenschutzbeauftragten Europas, hat deutlich gemacht, dass die Beibehaltung von Voreinstellungen in sozialen Netzwerken keinen eindeutigen Erklärungsgehalt hat.

Dazu Johannes Caspar, der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit: “Wir haben Facebook wiederholt aufgefordert, die Funktion der Gesichtserkennung abzuschalten und die bereits gespeicherten Daten zu löschen. Sollte Facebook diese Funktion weiterhin aufrechterhalten, muss sichergestellt werden, dass nur Daten von Personen in die Datenbank eingehen, die zuvor wirksam ihre Einwilligung zur Speicherung ihrer biometrischen Gesichtsprofile erklärt haben. Die automatische Gesichtserkennung ist ein schwerer Eingriff in das informationelle Selbstbestimmungsrecht des Einzelnen. Das muss auch ein global agierendes Unternehmen berücksichtigen. Daher darf Facebook nicht lediglich auf ein intransparentes Widerspruchsverfahren verweisen. Eine selbstbestimmte Entscheidung macht die Einwilligung des informierten Nutzers erforderlich. Facebook sollte dies erkennen und unseren Forderungen schnell nachkommen.”

 

Sie haben ein Thema ‘auf dem Herzen’, das soziale Verantwortung verlangt?

Peter Schaar: Der Gesetzentwurf zum Arbeitnehmer-Datenschutz soll verbessert werden.

Ein interessantes Interview mit Peter Schaar, dem Bundesbeauftragten für den Datenschutz, zum Gesetzesentwurf zum Arbeitnehmer-Datenschutzrecht führte Jan-Christoph Kitzler von Deutschlandradio Kultur.

Quelle: Deutschlandradio Kultur, 25.02.2011

http://www.dradio.de/dkultur/sendungen/interview/1397080/

Im Wortlaut:

“Die Überwachung soll abgebaut werden.”

Bundesdatenschutzbeauftragter Schaar zum neuen Datenschutzgesetz Peter Schaar im Gespräch mit Jan-Christoph Kitzler

Peter Schaar (Foto: AP)

 

Der Bundesdatenschutzbeautragte, Peter Schaar, fordert Verbesserungen am Gesetzentwurf zum Arbeitnehmer-Datenschutz. Ziel müsse es auch sein, mehr rechtliche Klarheit zu schaffen.

Jan-Christoph Kitzler: Affären beim Discounter Lidl, bei der Deutschen Bahn oder bei der Telekom haben es gezeigt: Der Datenschutz ist nicht nur ein Problem im Privatleben, wenn zum Beispiel Google mal vorbeischaut, sondern auch in der Berufswelt. Alle drei Unternehmen hatten Mitarbeiter ausgespäht. Mal ging es darum, herauszufinden, ob die Kassiererin im Supermarkt eine Diebin ist, mal, ob ein Mitarbeiter interne Informationen an die Öffentlichkeit gebracht hat.

In allen drei Fällen aber standen Angestellte eines Unternehmens unter Generalverdacht. Dass das so nicht geht, hat inzwischen auch die Bundesregierung erkannt, sie hat einen Gesetzentwurf auf den Weg gebracht, der heute erstmals im Bundestag verhandelt wird, zum Angestelltendatenschutz. Ich spreche jetzt darüber mit Peter Schaar, dem Bundesdatenschutzbeauftragten. Schönen guten Morgen!

Peter Schaar: Guten Morgen, Herr Kitzler!

Kitzler: Erst mal zur Klärung: Was ändert sich denn durch das Gesetz, so wie es die Bundesregierung jetzt auf den Weg gebracht hat?

Schaar: Na, vor allem ist es eine Klarstellung. Wir haben im Augenblick im Bundesdatenschutzgesetz allgemeine Abwägungsklauseln, und die legen dann die Arbeitnehmer und Arbeitgeber unterschiedlich aus, und die Arbeitgeber entscheiden dann. Und dazu … Das hat nun dazu geführt, dass sehr viele Überwachungsmaßnahmen durchgeführt wurden, dass auch eine alltägliche Überwachung beiläufig stattfindet, zum Beispiel, wenn man seinen Computer auf dem Büroschreibtisch bedient, und da war dringender Handlungsbedarf. Und die Affären haben in der Tat die Politik offensichtlich überzeugt, dass man da wirklich was tun muss.

Kitzler: Das heißt, der Spielraum für die Arbeitgeber, was man im Rahmen des Datenschutzes machen kann, wird geringer?

Schaar: Das ist richtig, die Überwachung soll abgebaut werden, aber es soll auch Rechtsklarheit geschaffen werden, und beides ist, finde ich, gleichermaßen wichtig.

Kitzler: Datenschutz soll jetzt die Arbeitnehmer schützen, auf der anderen Seite soll es ja auch nicht zu umständlich sein für die Unternehmen, die sollen nicht behindert werden. Jetzt haben sich gestern sowohl Arbeitgeber als auch Arbeitnehmer kritisch geäußert. Ist das jetzt ein gutes oder ein schlechtes Zeichen?

Schaar: Na ja, das kann man so und so sehen, aber offensichtlich gibt es sozusagen in beide Richtungen eine gewisse Unzufriedenheit. Das deutet darauf hin, dass die Richtung insgesamt gar nicht so falsch ist.

Kitzler: Welche Bedenken hat denn der Bundesdatenschutzbeauftragte?

Schaar: Nun, also ich denke, diese Ziele, die ich genannt habe, also Verringerung der Überwachung und Klarstellung, könnten noch etwas stärker dort zum Ausdruck gebracht werden. Der Gesetzentwurf enthält – ich mache das mal an einem Beispiel deutlich – ein Verbot der heimlichen Videoüberwachung. Das finde ich erst mal ganz gut, allerdings war diese heimliche Videoüberwachung in der Vergangenheit auch nur in extremen Ausnahmefällen zulässig.

Auf der anderen Seite sollen aber die Möglichkeiten zur offenen Videoüberwachung sogar erweitert werden, jedenfalls lese ich den Entwurf so, und das würde dann doch ein etwas schlechter Deal sein, und insgesamt hätte man dann möglicherweise sogar mehr Überwachung statt weniger. Zweites Beispiel: Gesundheitsdaten – es ist völlig klar, dass man für bestimmte Arbeitsplätze fitte Arbeitnehmer braucht beziehungsweise Arbeitnehmer, die sich nicht gesundheitlich schweren Gefahren aussetzen, wenn sie auf diesem Arbeitsplatz sind.

Da ist die Regelung doch auch noch unklar, was die Frage anbelangt: Wann dürfen solche Untersuchungen durchgeführt werden? Insbesondere, wenn der Arbeitgeber jemanden nur umsetzen will, dann rechtfertigt das aus meiner Sicht noch keine Gesundheitsuntersuchung, das muss schon in ein Stadium getreten sein, dass der Arbeitnehmer das auch will. Und dann eine Gesundheitsuntersuchung vorzunehmen, dagegen wäre sicherlich nichts einzuwenden.

Kitzler: Da gibt es also noch Klärungsbedarf. Nehmen wir mal einen ganz konkreten Fall: Ein Supermarktfilialleiter stellt jetzt fest, dass in seinem Lager immer wieder Sachen verschwinden. Wie kann er denn auf eine datenrechtlich saubere und doch effiziente Weise herausfinden, wer von seinen Angestellten der Dieb ist?

Schaar: Nun, also zunächst müsste er mal mit den Mitarbeitern sprechen, das ist das Erste, und dann sollte er sicherlich die entsprechenden Räumlichkeiten besser sichern. Aber eine heimliche Videoüberwachung wäre ihm danach dann versagt. Mit einer offenen Videoüberwachung eines Lagerraums oder so etwas dürfte er dann in Zukunft durchaus da weiter vorgehen. Das darf er aber im Augenblick auch.

Kitzler: Durch die sozialen Netzwerke, sozusagen durch das Internet in der Tasche und die immer größere Vernetzung verschwimmt ja auch ein wenig am Arbeitsplatz die Grenze zwischen Beruflichem und Privatem, wenn zum Beispiel auch am Arbeitsplatz private Mails geschrieben werden. Wo sehen Sie denn da die Grenze?

Schaar: Das Problem ist, dass der Gesetzentwurf dazu überhaupt nichts sagt. Das ist so ein weißer Fleck in dem Gesetzentwurf. Diese Privat- beziehungsweise gemischte private und dienstliche Nutzung von E-Mail am Arbeitsplatz – da hätte ich mir doch eine Regelung erwartet, aber der Bundestag kann da ja noch nachbessern.

Kitzler: Die Affären, die ich am Anfang genannt habe, die liegen ja jetzt schon einige Zeit zurück, zum Beispiel diese Lidl-Spitzelaffäre war im Frühjahr 2008. Warum hat denn das eigentlich so lange gedauert?

Schaar: Na ja, gut, die Mühlen des Gesetzgebers mahlen nun mal langsam, und ich habe mich natürlich gefreut, dass überhaupt diese Gesetzgebungsmaschine in Gang gesetzt wurde. Wir Datenschützer fordern ja ein solches Beschäftigen- oder Arbeitnehmerdatenschutzgesetz schon seit vielen Jahren.

Aber lange ist außer, sage ich mal, verbaler Zustimmung bis hin also zur entsprechenden Bundestagsentschließung überhaupt nichts geschehen, jedenfalls hat es an entsprechenden Regierungsaktivitäten gemangelt. Und jetzt liegt ein solcher Gesetzentwurf vor, und ich bin doch sehr dafür, dass der Bundestag sich dem ernsthaft widmet, und das nicht nur diskutiert, sondern auch beschließt.

Kitzler: Einen Punkt habe ich noch gefunden im Gesetzentwurf, der wahrscheinlich auch nicht ganz in Ihrem Sinne ist, da steht nämlich sinngemäß drin, dass Arbeitnehmer, wenn sie datenschutzrechtliche Probleme sehen, sich zuerst an die Geschäftsleitung ihres Unternehmens wenden müssen und dann an den Datenschutzbeauftragten. Werden da die Datenschutzbeauftragten quasi ausgebremst?

Schaar: Da sprechen Sie einen ganz wichtigen Punkt an. Jeder muss das Recht haben, sich auch weiterhin ungefiltert an den Datenschutzbeauftragten zu wenden, und gerade wenn man sagt, du musst dich zunächst erst mal an deinen Arbeitgeber wenden, dann hätte das ja zur Konsequenz, dass man bei schwierigen Situationen dann das doch nicht macht und das dann auch nicht an die Datenschutzbehörde gelangt, die dann auch keine Prüfung durchführt. Das wäre eine ganz schlechte Lösung. Auch hier erwarte ich mir noch eine Verbesserung.

Kitzler: Die Bundesregierung aber will Klarheit schaffen. Heute geht ein Gesetzentwurf zum Beschäftigungsdatenschutz in die erste Lesung in den Bundestag. Das war Peter Schaar, der Bundesdatenschutzbeauftragte. Vielen Dank für das Gespräch!

Schaar: Vielen Dank auch!

Unterstützung für die Datenschutz-Initiative der EU-Kommission

Quelle: Virtuelles Datenschutzbüro (datenschutz.de)

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit:

Unterstützung für die Datenschutz-Initiative der EU-Kommission

Die von der Europäischen Kommission für den heutigen Tag angekündigte Mitteilung zur Weiterentwicklung des europäischen Datenschutzrechts ist aus Sicht des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit, Peter Schaar, eine gute Grundlage für die notwendige Datenschutzmodernisierung. Dabei geht es vor allem um die Verbesserung des Datenschutzes im Internet sowie bei den Sicherheitsbehörden.
Schaar erklärt: Ich begrüße den ehrgeizigen Ansatz, die Regelungen der EU-Datenschutzrichtlinie von 1995 an die technologischen Entwicklungen anzupassen. Der Kommission ist darin zuzustimmen, dass das durch die Grundrechte-Charta gewährleistete Recht der EU-Bürgerinnen und Bürger auf Schutz ihrer persönlichen Daten uneingeschränkt auch im Verhältnis zu Nicht-EU-Staaten gelten muss.

Dies, so Schaar, gelte für die Verarbeitung persönlicher Daten durch globale Internetunternehmen wie Google und Facebook. Das Grundrecht der Bürgerinnen und Bürger auf Schutz ihrer Daten müsse aber auch gegenüber staatlichen Behörden gestärkt werden.

Schaar:

Die Skepsis der Bürger gegenüber der Übermittlung etwa ihrer Flug- oder Kontodaten durch Sicherheitsbehörden anderer Staaten muss ernst genommen werden. Ich unterstütze daher die Absicht der Kommission, die Grundprinzipien des EU-Datenschutzes auch auf die europäische und internationale Zusammenarbeit von Polizei- und Justizbehörden auszudehnen.
Bedeutsam sind auch die Vorstellungen der Kommission zur Einführung eines Grundsatzes in das europäische Datenschutzrecht, wonach die Entwickler und Hersteller von IT-Systemen und -Anwendungen von vornherein datenschutzfreundliche Technologien in ihre Produkte integrieren sollen. Die generelle Anwendung dieser ?Privacy by Design? genannten Methode wurde auch jüngst von der 32. Internationalen Datenschutzkonferenz in Israel gefordert.
Ich unterstütze ferner die Vorstellungen der Kommission im Hinblick auf die künftige Rolle der Datenschutzbehörden aller Mitgliedstaaten. Sie müssen ihre Aufgaben in völliger Unabhängigkeit wahrnehmen und über wirksame Instrumente zur Durchsetzung der Datenschutzanforderungen verfügen. Hier gibt es sowohl auf Bundes- wie auf Länderebene erheblichen Nachholbedarf.
Ich fordere die Bundesregierung auf, sich in den anstehenden Beratungen auf EU-Ebene für höhere Rechtsstandards sowohl im privaten als auch im öffentlichen Bereich gerade im internationalen Verhältnis einzusetzen.

Die Kommission hat wohl ein Vorschlagsrecht für neue Datenschutzregeln auf EU-Ebene. Im Ergebnis entscheiden aber die Mitgliedstaaten und das Europäische Parlament darüber, ob diese in Gesetzesform gegossen werden.
Die heute veröffentlichte Mitteilung der Europäischen Kommission Ein Gesamtkonzept für den Datenschutz in der Europäischen Union ist Bestandteil der für das kommende Jahr von der Europäischen Kommission angekündigten Überarbeitung der EU-Datenschutzrichtlinie 95/46/EG aus dem Jahre 1995. Das Vorhaben gilt als eine der politischen Prioritäten der Europäischen Kommission im Bereich der EU-Justiz- und Innenpolitik.

Aigner und Facebook können Streit um Datenschutz nicht beilegen

Die Kontroverse zwiwschen Bundesverbraucherministerin Aigner und dem Internet-Netzwerk facebook geht in eine ‘neue Runde’: Nachdem facebook Ende Mai dieses Jahres Veränderungen integriert hatte, die den Vorgaben des deutschen Datenschutzrechts entgegen kamen, erklärte Ministerin Aigner am 3. Juni, dass diese Änderungen bei weitem nicht ausreichen.

Dazu eine Meldung der Nachrichtenagentur Reiters vom 4.6.2010:

http://de.reuters.com/article/companiesNews/idDEBEE65304G20100604

Berlin/Palos Verdes (Reuters) – Verbraucherschutzministerin Ilse Aigner und das soziale Internet-Netzwerk Facebook haben ihren Streit über den Datenschutz nicht ausräumen können.

Zwar gebe es Verbesserungen, räumte die CSU-Politikerin am Donnerstag nach einem Treffen mit Facebook-Direktoriumsmitglied Richard Allan in Berlin ein. Allerdings reichten diese bei weitem nicht aus, um die Privatsphäre der Mitglieder zu schützen. Das Gespräch mit dem Manager habe ihre Skepsis bestätigt.

Von Facebook lag zunächst keine Stellungnahme vor. Allerdings hatte der Chef des Unternehmens, Mark Zuckerberg, bei einer Konferenz im amerikanischen Palos Verdes am Mittwoch die neuen Facebook-Datenschutz-Richtlinien rechtfertigt. Er verwies darauf, dass das automatisierte Weiterleiten persönlicher Daten an bestimmte Internet-Seiten eine Innovation sei, die das Unternehmen groß gemacht habe. Facebook werde weiter das machen, was es für richtig halte, auch wenn dies Kontroversen auslöse.

Aigner bekräftige, ihrer Ansicht nach verstoße Facebook mit seiner Datenschutz-Praxis gegen deutsche Gesetze. Sie verwies darauf, dass der für Facebook zuständige Datenschutzbeauftragte Hamburgs bereits prüfe, ob das mit weltweit 400 Millionen Mitgliedern größte soziale Netzwerkwerk gegen deutsche Vorschriften verstoße. In Deutschland hat Facebook rund acht Millionen Kunden.

“Es kann nicht sein, dass unsere Daten, (…) ungefragt veröffentlicht, weitergeleitet und vermarktet werden”, sagte Aigner. Sie werde ihre Mitgliedschaft kündigen. “Ich trete zwar aus, aber an dem Thema bleibe ich dran”, erklärte sie weiter. Die von Facebook angekündigten Verbesserungen beim Datenschutz seien nicht nur unzureichend, sie seien auch viel zu kompliziert.

Vor einer Woche hatte Facebook angekündigt, durch neue Einstellungen würden die Nutzer die Kontrolle darüber erhalten, wer genau ihre Informationen und Inhalte sehen könne. Zusätzlich will Facebook demnach neue Einstellungsmöglichkeiten hinzufügen, mit Hilfe derer es einfacher werden soll, externe Anwendungen und Webseiten Dritter zu blockieren. Die Änderungen sollten schrittweise in Kraft treten.