07/03/2019 3:24
Pet 1-18-06-298-040474 Datenschutz
Der Deutsche Bundestag hat die Petition am 21.02.2019 abschließend beraten und
beschlossen:
Die Petition
a.) der Bundesregierung – dem Bundesministerium des Innern, für Bau und Heimat
– und dem Bundesbeauftragten für den Datenschutz und die
Informationsfreiheit als Material zu überweisen,
b.) den Landesvolksvertretungen zuzuleiten.
Begründung
Mit der Eingabe soll erreicht werden, dass das Scannen des Gesichtes von Menschen
zum Zwecke der Steigerung des wirtschaftlichen Erfolges eines Unternehmens nur mit
expliziter Zustimmung der betreffenden Person zulässig ist. Eine konkludente
Zustimmung, z. B. allein durch das Betreten eines Raumes, soll nicht ausreichen.
Zu der auf der Internetseite des Deutschen Bundestages veröffentlichten Eingabe
liegen dem Petitionsausschuss 174 Mitzeichnungen und 15 Diskussionsbeiträge vor.
Es wird um Verständnis gebeten, dass nicht auf alle der vorgetragenen Aspekte im
Einzelnen eingegangen werden kann.
Zur Begründung des Anliegens wird im Wesentlichen ausgeführt, dass laut
Zeitungsberichten beispielsweise das sogenannte „Emotional Decoding“ bereits
eingesetzt werde, z. B. von der Deutschen Post. Dabei würden die Gesichter der
Kunden analysiert, um Gefühle und Stimmungslage zu identifizieren. Selbst wenn die
Daten anonymisiert würden, solle die Methode nicht ohne explizite Zustimmung der
Betroffenen erfolgen dürfen. Dabei ginge es den Unternehmen nicht um
Sicherheitsmaßnahmen, sondern allein um die Steigerung des Konsums.
Der Petitionsausschuss hat der Bundesregierung sowie der damaligen
Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) als
eigenständiger und unabhängiger oberster Bundesbehörde Gelegenheit gegeben, ihre
Ansicht zu der Eingabe darzulegen. Das Ergebnis der parlamentarischen Prüfung lässt
sich unter Einbeziehung der seitens der Bundesregierung angeführten Aspekte wie
folgt zusammenfassen:
Der Petitionsausschuss weist zunächst darauf hin, dass sich hinter dem Begriff
„Emotional Decoding“ unterschiedliche Analyse-Werbe-Systeme verbergen, die
jeweils im Einzelfall hinsichtlich ihrer Vereinbarkeit mit dem Datenschutzrecht bewertet
werden müssen. Gemeinsam ist diesen Systemen, dass von natürlichen Personen
(z. B. Kundinnen und Kunden eines Supermarkts oder einer Postfiliale)
Videoaufnahmen angefertigt werden und aus den in den Aufnahmen enthaltenen
Daten die Zugehörigkeit zu bestimmten Personengruppen automatisiert ermittelt wird.
Dies kann beispielsweise die Zugehörigkeit zu einem bestimmten Geschlecht oder
einer bestimmten Altersgruppe sein. In der Folge werden diese kategorisierten
Informationen ausgewertet und der betroffenen Person auf ihre Gruppe
zugeschnittene Werbung, beispielsweise auf Monitoren, angezeigt. Dabei können die
Datenverarbeitungsprozesse in einer Weise ablaufen, dass die eigentlichen
Videoaufnahmen auf Einzelbilder reduziert und im Übrigen wieder verworfen werden,
ohne dass es zu einer dauerhaften Speicherung kommt. Die nur flüchtig gespeicherten
Einzelbilder werden dann von einer Erkennungssoftware ausgewertet. Unmittelbar
nach Auswertung der Daten werden diese gelöscht, sodass lediglich anonymisierte
Datensätze weiterverarbeitet werden.
Die damalige BfDI hat in ihrer Stellungnahme mitgeteilt, dass sie sich intensiv mit
Fragen des Datenschutzes und der Datensicherheit beim so genannten „Emotional
Decoding“ befasse. Derartige Systeme würden in der überwiegenden Anzahl von
Unternehmen der Privatwirtschaft (z. B. im Einzelhandel) eingesetzt, für deren
Datenschutzaufsicht die BfDI keine Zuständigkeit habe, denn diese beschränke sich
auf die öffentlichen Stellen des Bundes sowie auf die Anbieter von Post- und
Telekommunikationsdienstleistungen.
Die Datenschutzaufsicht über nichtöffentliche Stellen im Übrigen werde von den
Datenschutzaufsichtsbehörden der Länder ausgeübt.
Allerdings setze die der Aufsicht der BfDI unterliegende Deutsche Post AG in einigen
Partner-Filialen im Rahmen einer Pilotierungsphase ein derartiges System ein, das die
BfDI derzeit hinsichtlich seiner Vereinbarkeit mit dem Datenschutzrecht prüfe.
Diese Prüfung ist auch nach dem Amtswechsel beim BfDI gegenwärtig noch nicht
abgeschlossen.
In datenschutzrechtlicher Hinsicht stellt der Petitionsausschuss grundsätzlich
Folgendes fest:
Seit dem 25. Mai 2018 bilden die Verordnung (EU) 2016/679 des Europäischen
Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei
der Verarbeitung personenbezogener Daten und zum freien Datenverkehr
(Datenschutz-Grundverordnung - DSGVO) und das neue Bundesdatenschutzgesetz
den rechtlichen Rahmen für das deutsche Datenschutzrecht.
Unabhängig von der konkreten Ausgestaltung ist allein mit der Anfertigung der
Videoaufnahmen bereits eine Verarbeitung personenbezogener Daten im Sinne von
Artikel 4 Nr. 2 DSGVO verbunden. Die dort zu findende gesetzliche Definition umfasst
„jeden ausgeführten Vorgang ... im Zusammenhang mit personenbezogenen Daten“
und ist daher sehr weit zu verstehen. Dies hat zur Folge, dass bei dem Einsatz solcher
Systeme in der Regel der Anwendungsbereich des Datenschutzrechts auch dann
eröffnet ist, wenn die Daten unverzüglich wieder anonymisiert werden.
Die datenschutzrechtlichen Verarbeitungsschritte solcher Systeme sind voneinander
getrennt zu betrachten. Insofern muss jeder Datenverarbeitungsprozess durch eine
entsprechende Rechtsgrundlage legitimiert sein.
Die Bestimmung, ab wann seriell hintereinander geschaltete
Datenverarbeitungsvorgänge derartig miteinander verschränkt sind, dass sie als
einheitlicher Vorgang zu bewerten sind, ist hier entscheidend, da mit dieser
Bestimmung im vorliegenden Fall die Frage verbunden ist, ob und welche
datenschutzrechtlichen Vorschriften zu beachten sind. Ist die stattfindende serielle
Datenverarbeitung nicht als ausreichend verschränkt zu betrachten, sondern handelt
es sich um klar voneinander trennbare Vorgänge, sind diese datenschutzrechtlich
jeweils einzeln zu bewerten.
Als Rechtsgrundlage für den ersten Schritt – die Erstellung der Videoaufnahmen –
käme einerseits die Einwilligung der betroffenen Personen im Sinne von Artikel 6 Abs.
1 Buchstabe a) DSGVO in Betracht. Diese muss, um wirksam zu sein, bestimmten
Anforderungen genügen, die sich aus Artikel 4 Nr. 11 und Artikel 7 DSGVO ergeben.
Eine wirksame Einwilligung bedarf einer unmissverständlichen Willensbekundung, sie
muss freiwillig und jederzeit widerrufbar sein und muss informiert erfolgen. In der
Praxis dürften wirksame Einwilligungen nicht immer leicht zu erlangen sein. Dies
betrifft sowohl Zweifel im Hinblick auf die Informiertheit, aber auch auf die Freiwilligkeit
oder die Widerruflichkeit.
Bei Beachtung bestimmter Maßgaben können die notwendigen Verarbeitungsschritte
aber auch auf Artikel 6 Abs. 1 Buchstabe f) DSGVO gestützt werden. Dieser erlaubt
eine Verarbeitung personenbezogener Daten dann, wenn „die Verarbeitung ... zur
Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten
erforderlich ist, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der
betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen,
insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.“
Nach dieser Norm ist also durch den Verantwortlichen eine Interessenabwägung
durchzuführen. Als berechtigtes Interesse auf Seiten der Verantwortlichen ist
allgemein anerkannt, dass das wirtschaftliche Interesse an einer zielgenaueren und
effektiveren Werbung berücksichtigt werden kann, vgl. auch Erwägungsgrund 47 der
DSGVO.
Auf der anderen Seite stehen die schutzwürdigen Interessen der betroffenen
Personen, sich unbeobachtet und ohne Verarbeitung ihrer personenbezogenen Daten
beispielsweise in einem Einzelhandelsgeschäft oder einer Postfiliale bewegen zu
können. Dabei muss auch berücksichtigt werden, dass aufgrund der weiter
fortschreitenden Digitalisierung ein herausragendes Interesse der betroffenen
Personen daran besteht, nicht das Opfer einer missbräuchlichen technischen
Ausleitung von Daten oder der Erstellung von technischen Schattensystemen zu
werden. Dies gilt besonders vor dem Hintergrund, dass es sich bei den erhobenen
Daten um solche handelt, aus denen bereits durch kleinere systemseitige Änderungen
sensibelste biometrische Informationen gewonnen werden können. Zudem ist zu
berücksichtigen, ob das Unternehmen Dienstleistungen anbietet, auf die die Menschen
angewiesen sind, wie es etwa im Bereich der Deutschen Post AG oder bei einem
Einzelhändler im ländlichen Raum der Fall sein kann. In diesen Fällen können sich die
betroffenen Personen nicht ohne weiteres der Gesichtserkennung entziehen.
Im Rahmen der Interessenabwägung können dabei über das Merkmal des Zwecks der
Datenverarbeitung bei der einzelnen Betrachtung der Datenverarbeitungen die
Merkmale der direkt folgenden Verarbeitungsvorgänge – wie z. B. die unverzügliche
Anonymisierung – berücksichtigt werden.
Die Interessensabwägung kann nur dann zugunsten des Einsatzes solcher Systeme
ausfallen, wenn durch technische und organisatorische Maßnahmen sichergestellt ist,
dass die Eingriffe in die Rechte der betroffenen Personen auf ein vertretbares
Minimum reduziert werden. Hierzu gehören etwa die unverzügliche Anonymisierung,
eindeutige Hinweisschilder (die klar herausstellen, dass eine Auswertung mittels
Gesichtserkennungssoftware stattfindet, damit zielgruppenspezifische Werbung
abgespielt werden kann), getrennte Kundenbereiche, in denen keine
Gesichtserfassung erfolgt (sonst wäre auch das Widerspruchsrecht der Betroffenen
nach Artikel 21 DSGVO faktisch nicht durchsetzbar), revisionssichere Dokumentation
und beschränkter Zugriff auf das (Gesamt-) System, auch auf Administratorenebene.
Sofern sich entsprechende Parameter, wie z.B. eine Änderung der technischen
Prozesse, ergeben, wäre die rechtliche Bewertung neu durchzuführen. Gleichzeitig ist
an den Nachweis der technisch-organisatorischen Maßnahmen ein strenger Maßstab
anzulegen, da das Risiko für die betroffenen Personen im Falle eines Missbrauchs
oder eines erfolgreichen Angriffs erheblich ist.
Darüber hinaus sind für einen rechtmäßigen Einsatz weitere Voraussetzungen zu
erfüllen, z. B. die Information der betroffenen Personen nach Artikel 13 DSGVO oder
die Durchführung einer Datenschutz-Folgenabschätzung nach Artikel 35 DSGVO.
Ergänzend merkt der Ausschuss an, dass die Verarbeitung von biometrischen Daten
zur eindeutigen Identifizierung einer natürlichen Person generell untersagt ist (Artikel
9 DSGVO). Ausnahmsweise darf die Verarbeitung biometrischer Daten erfolgen, wenn
die betroffene Person in eine solche Verarbeitung ausdrücklich eingewilligt hat (Artikel
9 Abs. 2 Buchstabe a) DSGVO).
Im Ergebnis hält der Ausschuss fest, dass der Einsatz von Analyse-Werbe-Systemen
(„Emotional Decoding“) unter Beachtung enger datenschutzrechtlicher Maßgaben in
bestimmten Fällen zulässig sein kann.
Abschließend hebt der Ausschuss hervor, dass zu den datenschutzrechtlichen
Anforderungen an Analyse-Werbe-Systeme ein intensiver Austausch zwischen den
Datenschutzaufsichtsbehörden des Bundes und der Länder stattfindet, um hier
deutschlandweit zu einem möglichst einheitlichen Vorgehen zu kommen. Die dazu
geführten Beratungen dauern gegenwärtig noch an.
Vor diesem Hintergrund empfiehlt der Petitionsausschuss, die Petition der
Bundesregierung – dem Bundesministerium des Innern, für Bau und Heimat – und
dem BfDI als Material zu überweisen, um auf das Anliegen der Petition besonders
aufmerksam zu machen und um zu erreichen, dass die Eingabe in die o. g. laufenden
datenschutzrechtlichen Beratungen einbezogen wird. Zudem empfiehlt er, die Petition
den Landesvolksvertretungen zuzuleiten, da auch deren Zuständigkeit betroffen ist.
Der von der Fraktion der AfD gestellte Antrag, die Petition dem Europäischen
Parlament zuzuleiten, ist mehrheitlich abgelehnt worden.
Der von der Fraktion der FDP gestellte Antrag, die Petition der Bundesregierung zur
Berücksichtigung zu überweisen, ist ebenfalls mehrheitlich abgelehnt worden.
Begründung (PDF)