• Beschluss des Petitionsausschuss des Deutschen Bundestags

    at 07 Mar 2019 02:24

    Pet 1-18-06-298-040474 Datenschutz

    Der Deutsche Bundestag hat die Petition am 21.02.2019 abschließend beraten und
    beschlossen:

    Die Petition
    a.) der Bundesregierung – dem Bundesministerium des Innern, für Bau und Heimat
    – und dem Bundesbeauftragten für den Datenschutz und die
    Informationsfreiheit als Material zu überweisen,
    b.) den Landesvolksvertretungen zuzuleiten.

    Begründung

    Mit der Eingabe soll erreicht werden, dass das Scannen des Gesichtes von Menschen
    zum Zwecke der Steigerung des wirtschaftlichen Erfolges eines Unternehmens nur mit
    expliziter Zustimmung der betreffenden Person zulässig ist. Eine konkludente
    Zustimmung, z. B. allein durch das Betreten eines Raumes, soll nicht ausreichen.

    Zu der auf der Internetseite des Deutschen Bundestages veröffentlichten Eingabe
    liegen dem Petitionsausschuss 174 Mitzeichnungen und 15 Diskussionsbeiträge vor.
    Es wird um Verständnis gebeten, dass nicht auf alle der vorgetragenen Aspekte im
    Einzelnen eingegangen werden kann.

    Zur Begründung des Anliegens wird im Wesentlichen ausgeführt, dass laut
    Zeitungsberichten beispielsweise das sogenannte „Emotional Decoding“ bereits
    eingesetzt werde, z. B. von der Deutschen Post. Dabei würden die Gesichter der
    Kunden analysiert, um Gefühle und Stimmungslage zu identifizieren. Selbst wenn die
    Daten anonymisiert würden, solle die Methode nicht ohne explizite Zustimmung der
    Betroffenen erfolgen dürfen. Dabei ginge es den Unternehmen nicht um
    Sicherheitsmaßnahmen, sondern allein um die Steigerung des Konsums.

    Der Petitionsausschuss hat der Bundesregierung sowie der damaligen
    Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) als
    eigenständiger und unabhängiger oberster Bundesbehörde Gelegenheit gegeben, ihre
    Ansicht zu der Eingabe darzulegen. Das Ergebnis der parlamentarischen Prüfung lässt
    sich unter Einbeziehung der seitens der Bundesregierung angeführten Aspekte wie
    folgt zusammenfassen:

    Der Petitionsausschuss weist zunächst darauf hin, dass sich hinter dem Begriff
    „Emotional Decoding“ unterschiedliche Analyse-Werbe-Systeme verbergen, die
    jeweils im Einzelfall hinsichtlich ihrer Vereinbarkeit mit dem Datenschutzrecht bewertet
    werden müssen. Gemeinsam ist diesen Systemen, dass von natürlichen Personen
    (z. B. Kundinnen und Kunden eines Supermarkts oder einer Postfiliale)
    Videoaufnahmen angefertigt werden und aus den in den Aufnahmen enthaltenen
    Daten die Zugehörigkeit zu bestimmten Personengruppen automatisiert ermittelt wird.
    Dies kann beispielsweise die Zugehörigkeit zu einem bestimmten Geschlecht oder
    einer bestimmten Altersgruppe sein. In der Folge werden diese kategorisierten
    Informationen ausgewertet und der betroffenen Person auf ihre Gruppe
    zugeschnittene Werbung, beispielsweise auf Monitoren, angezeigt. Dabei können die
    Datenverarbeitungsprozesse in einer Weise ablaufen, dass die eigentlichen
    Videoaufnahmen auf Einzelbilder reduziert und im Übrigen wieder verworfen werden,
    ohne dass es zu einer dauerhaften Speicherung kommt. Die nur flüchtig gespeicherten
    Einzelbilder werden dann von einer Erkennungssoftware ausgewertet. Unmittelbar
    nach Auswertung der Daten werden diese gelöscht, sodass lediglich anonymisierte
    Datensätze weiterverarbeitet werden.

    Die damalige BfDI hat in ihrer Stellungnahme mitgeteilt, dass sie sich intensiv mit
    Fragen des Datenschutzes und der Datensicherheit beim so genannten „Emotional
    Decoding“ befasse. Derartige Systeme würden in der überwiegenden Anzahl von
    Unternehmen der Privatwirtschaft (z. B. im Einzelhandel) eingesetzt, für deren
    Datenschutzaufsicht die BfDI keine Zuständigkeit habe, denn diese beschränke sich
    auf die öffentlichen Stellen des Bundes sowie auf die Anbieter von Post- und
    Telekommunikationsdienstleistungen.

    Die Datenschutzaufsicht über nichtöffentliche Stellen im Übrigen werde von den
    Datenschutzaufsichtsbehörden der Länder ausgeübt.

    Allerdings setze die der Aufsicht der BfDI unterliegende Deutsche Post AG in einigen
    Partner-Filialen im Rahmen einer Pilotierungsphase ein derartiges System ein, das die
    BfDI derzeit hinsichtlich seiner Vereinbarkeit mit dem Datenschutzrecht prüfe.

    Diese Prüfung ist auch nach dem Amtswechsel beim BfDI gegenwärtig noch nicht
    abgeschlossen.
    In datenschutzrechtlicher Hinsicht stellt der Petitionsausschuss grundsätzlich
    Folgendes fest:

    Seit dem 25. Mai 2018 bilden die Verordnung (EU) 2016/679 des Europäischen
    Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei
    der Verarbeitung personenbezogener Daten und zum freien Datenverkehr
    (Datenschutz-Grundverordnung - DSGVO) und das neue Bundesdatenschutzgesetz
    den rechtlichen Rahmen für das deutsche Datenschutzrecht.

    Unabhängig von der konkreten Ausgestaltung ist allein mit der Anfertigung der
    Videoaufnahmen bereits eine Verarbeitung personenbezogener Daten im Sinne von
    Artikel 4 Nr. 2 DSGVO verbunden. Die dort zu findende gesetzliche Definition umfasst
    „jeden ausgeführten Vorgang ... im Zusammenhang mit personenbezogenen Daten“
    und ist daher sehr weit zu verstehen. Dies hat zur Folge, dass bei dem Einsatz solcher
    Systeme in der Regel der Anwendungsbereich des Datenschutzrechts auch dann
    eröffnet ist, wenn die Daten unverzüglich wieder anonymisiert werden.

    Die datenschutzrechtlichen Verarbeitungsschritte solcher Systeme sind voneinander
    getrennt zu betrachten. Insofern muss jeder Datenverarbeitungsprozess durch eine
    entsprechende Rechtsgrundlage legitimiert sein.

    Die Bestimmung, ab wann seriell hintereinander geschaltete
    Datenverarbeitungsvorgänge derartig miteinander verschränkt sind, dass sie als
    einheitlicher Vorgang zu bewerten sind, ist hier entscheidend, da mit dieser
    Bestimmung im vorliegenden Fall die Frage verbunden ist, ob und welche
    datenschutzrechtlichen Vorschriften zu beachten sind. Ist die stattfindende serielle
    Datenverarbeitung nicht als ausreichend verschränkt zu betrachten, sondern handelt
    es sich um klar voneinander trennbare Vorgänge, sind diese datenschutzrechtlich
    jeweils einzeln zu bewerten.

    Als Rechtsgrundlage für den ersten Schritt – die Erstellung der Videoaufnahmen –
    käme einerseits die Einwilligung der betroffenen Personen im Sinne von Artikel 6 Abs.
    1 Buchstabe a) DSGVO in Betracht. Diese muss, um wirksam zu sein, bestimmten
    Anforderungen genügen, die sich aus Artikel 4 Nr. 11 und Artikel 7 DSGVO ergeben.
    Eine wirksame Einwilligung bedarf einer unmissverständlichen Willensbekundung, sie
    muss freiwillig und jederzeit widerrufbar sein und muss informiert erfolgen. In der
    Praxis dürften wirksame Einwilligungen nicht immer leicht zu erlangen sein. Dies
    betrifft sowohl Zweifel im Hinblick auf die Informiertheit, aber auch auf die Freiwilligkeit
    oder die Widerruflichkeit.
    Bei Beachtung bestimmter Maßgaben können die notwendigen Verarbeitungsschritte
    aber auch auf Artikel 6 Abs. 1 Buchstabe f) DSGVO gestützt werden. Dieser erlaubt
    eine Verarbeitung personenbezogener Daten dann, wenn „die Verarbeitung ... zur
    Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten
    erforderlich ist, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der
    betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen,
    insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.“

    Nach dieser Norm ist also durch den Verantwortlichen eine Interessenabwägung
    durchzuführen. Als berechtigtes Interesse auf Seiten der Verantwortlichen ist
    allgemein anerkannt, dass das wirtschaftliche Interesse an einer zielgenaueren und
    effektiveren Werbung berücksichtigt werden kann, vgl. auch Erwägungsgrund 47 der
    DSGVO.

    Auf der anderen Seite stehen die schutzwürdigen Interessen der betroffenen
    Personen, sich unbeobachtet und ohne Verarbeitung ihrer personenbezogenen Daten
    beispielsweise in einem Einzelhandelsgeschäft oder einer Postfiliale bewegen zu
    können. Dabei muss auch berücksichtigt werden, dass aufgrund der weiter
    fortschreitenden Digitalisierung ein herausragendes Interesse der betroffenen
    Personen daran besteht, nicht das Opfer einer missbräuchlichen technischen
    Ausleitung von Daten oder der Erstellung von technischen Schattensystemen zu
    werden. Dies gilt besonders vor dem Hintergrund, dass es sich bei den erhobenen
    Daten um solche handelt, aus denen bereits durch kleinere systemseitige Änderungen
    sensibelste biometrische Informationen gewonnen werden können. Zudem ist zu
    berücksichtigen, ob das Unternehmen Dienstleistungen anbietet, auf die die Menschen
    angewiesen sind, wie es etwa im Bereich der Deutschen Post AG oder bei einem
    Einzelhändler im ländlichen Raum der Fall sein kann. In diesen Fällen können sich die
    betroffenen Personen nicht ohne weiteres der Gesichtserkennung entziehen.

    Im Rahmen der Interessenabwägung können dabei über das Merkmal des Zwecks der
    Datenverarbeitung bei der einzelnen Betrachtung der Datenverarbeitungen die
    Merkmale der direkt folgenden Verarbeitungsvorgänge – wie z. B. die unverzügliche
    Anonymisierung – berücksichtigt werden.

    Die Interessensabwägung kann nur dann zugunsten des Einsatzes solcher Systeme
    ausfallen, wenn durch technische und organisatorische Maßnahmen sichergestellt ist,
    dass die Eingriffe in die Rechte der betroffenen Personen auf ein vertretbares
    Minimum reduziert werden. Hierzu gehören etwa die unverzügliche Anonymisierung,
    eindeutige Hinweisschilder (die klar herausstellen, dass eine Auswertung mittels
    Gesichtserkennungssoftware stattfindet, damit zielgruppenspezifische Werbung
    abgespielt werden kann), getrennte Kundenbereiche, in denen keine
    Gesichtserfassung erfolgt (sonst wäre auch das Widerspruchsrecht der Betroffenen
    nach Artikel 21 DSGVO faktisch nicht durchsetzbar), revisionssichere Dokumentation
    und beschränkter Zugriff auf das (Gesamt-) System, auch auf Administratorenebene.

    Sofern sich entsprechende Parameter, wie z.B. eine Änderung der technischen
    Prozesse, ergeben, wäre die rechtliche Bewertung neu durchzuführen. Gleichzeitig ist
    an den Nachweis der technisch-organisatorischen Maßnahmen ein strenger Maßstab
    anzulegen, da das Risiko für die betroffenen Personen im Falle eines Missbrauchs
    oder eines erfolgreichen Angriffs erheblich ist.

    Darüber hinaus sind für einen rechtmäßigen Einsatz weitere Voraussetzungen zu
    erfüllen, z. B. die Information der betroffenen Personen nach Artikel 13 DSGVO oder
    die Durchführung einer Datenschutz-Folgenabschätzung nach Artikel 35 DSGVO.

    Ergänzend merkt der Ausschuss an, dass die Verarbeitung von biometrischen Daten
    zur eindeutigen Identifizierung einer natürlichen Person generell untersagt ist (Artikel
    9 DSGVO). Ausnahmsweise darf die Verarbeitung biometrischer Daten erfolgen, wenn
    die betroffene Person in eine solche Verarbeitung ausdrücklich eingewilligt hat (Artikel
    9 Abs. 2 Buchstabe a) DSGVO).

    Im Ergebnis hält der Ausschuss fest, dass der Einsatz von Analyse-Werbe-Systemen
    („Emotional Decoding“) unter Beachtung enger datenschutzrechtlicher Maßgaben in
    bestimmten Fällen zulässig sein kann.

    Abschließend hebt der Ausschuss hervor, dass zu den datenschutzrechtlichen
    Anforderungen an Analyse-Werbe-Systeme ein intensiver Austausch zwischen den
    Datenschutzaufsichtsbehörden des Bundes und der Länder stattfindet, um hier
    deutschlandweit zu einem möglichst einheitlichen Vorgehen zu kommen. Die dazu
    geführten Beratungen dauern gegenwärtig noch an.

    Vor diesem Hintergrund empfiehlt der Petitionsausschuss, die Petition der
    Bundesregierung – dem Bundesministerium des Innern, für Bau und Heimat – und
    dem BfDI als Material zu überweisen, um auf das Anliegen der Petition besonders
    aufmerksam zu machen und um zu erreichen, dass die Eingabe in die o. g. laufenden
    datenschutzrechtlichen Beratungen einbezogen wird. Zudem empfiehlt er, die Petition
    den Landesvolksvertretungen zuzuleiten, da auch deren Zuständigkeit betroffen ist.

    Der von der Fraktion der AfD gestellte Antrag, die Petition dem Europäischen
    Parlament zuzuleiten, ist mehrheitlich abgelehnt worden.
    Der von der Fraktion der FDP gestellte Antrag, die Petition der Bundesregierung zur
    Berücksichtigung zu überweisen, ist ebenfalls mehrheitlich abgelehnt worden.

    Begründung (PDF)

Help us to strengthen citizen participation. We want your petition to get attention and stay independent.

Donate now