Nutzung von Smartcams und biometrischen Daten aus Perspektive der DSGVO

Mit der zunehmenden Informationsbeschaffung und Bedeutung von Big Data ist mit einer häufigeren Nutzung von Smartcams zu rechnen.
Man findet sie bereits heute in und an Drohnen sowie Kraftfahrzeugen. Die Aufnahmen durch nichtöffentliche Personen im öffentlichen Raum werfen Fragen nach der Berechtigung auf.
Ein nicht weniger brisantes Feld ist die Aufzeichnung biometrischer Merkmale an Zutrittskontrollen.
Nachstehend erfolgen eine Darstellung technologischer Anwendungsmöglichkeiten und deren Zulässigkeit aus Sicht des Datenschutzrechts.

I. Anwendungsmöglichkeiten und Funktionsweise

Als „smart“ bezeichnet man vernetzte Funktionseinheiten. Im Gegensatz zur klassischen Überwachungskamera zeichnet die Smartcam nicht nur auf, sondern gewinnt aus den Aufnahmen zusätzliche Informationen.
Aufgrund technischer Innovation in den vergangenen Jahren ist die Technik mobil geworden. In praktisch allen Lebensbereichen sind Smartcams gegenwärtig.
Millimetergroße Frontkameras identifizieren Gesichter anhand von ca. 30.000 Referenzpunkten und ermöglichen dadurch das Entsperren des Mobiltelefons.
Ebenso werden Zutrittskontrollen mithilfe dieser Technik vereinfacht. Spezielle Sensoren erkennen Nutzer an ihren biometrischen Merkmalen, und das obligatorische Scannen eines Besucherausweises oder das Eingeben von Kennwörtern entfällt.
Autoassistenzsysteme sind in der Lage, gefährliche Hindernisse zu erkennen.
Schließlich nutzen Supermarktketten die Technologie zur Verbesserung von Marketingstrategien. Videoüberwachungssysteme können Alter und Geschlecht der Kunden identifizieren und dadurch mehr über die Zielgruppe erfahren.
Neben diesen Anwendungsmöglichkeiten birgt die Technologie allerdings auch die Gefahr, die Privatsphäre Dritter massiv einzuschränken. Fühlt sich die Gesellschaft im öffentlichen Raum observiert, könnte dies eine Verhaltensanpassung zur Folge haben und damit eine selbstbestimmte Entfaltung der Bürger hemmen.
Optisch sind keine Unterschiede zwischen der Smartcam und den regulären Modellen feststellbar.
Zunächst einmal benötigt die Smartcam ein Aufnahmemodul. Darüber hinaus ist ein Programm zur Bildanalyse notwendig. Im Rahmen dieser Bildanalyse werden die gesammelten Informationen einem Rechenmodul zugeführt, das die Aufnahmen entweder speichern oder dauerhaft löschen kann.
Ferner können einzelne Informationen extrahiert oder mit weiteren Angaben aus der Datenbank verknüpft werden. Biometrische Überwachungssysteme extrahieren biometrische Daten. Biometrie ist in Art. 4 Nr. 14 DSGVO definiert und demnach ein technisches Verfahren, „mit dem personenbezogene Daten zu den physischen, physiologischen oder verhaltenstypischen Merkmalen einer natürlichen Person, die die eindeutige Identifizierung dieser natürlichen Person ermöglichen oder bestätigen“, gewonnen werden.
Biometrische Daten betreffen also stets die Charakteristika einer Person. Dazu zählen körperliche Merkmale wie die Größe, die Abstände oder die Verhältnisse einzelner Gesichtsmerkmale.
Die extrahierten Daten können als Referenzwerte gespeichert werden. Man bezeichnet diese Daten auch als „Templates“. Zutrittskontrollen und Smartphones speichern solche Templates zur Wiedererkennung einer Person. Der Zugang wird freigegeben, wenn aufgenommene Daten mit einem in der Datenbank gespeicherten Referenzwert übereinstimmen.

II. Personenbezogene Daten

Die Rechtmäßigkeit von Überwachungstechnologien mit Biometriefunktion ist nur dann am Maßstab der DSGVO zu prüfen, sofern es sich dabei um „personenbezogene Daten“ handelt. Denn nach Art. 1 Abs. 1 DSGVO dienen die Vorschriften dem Schutz natürlicher Personen. Hierzu müssten die erhobenen Informationen im Sinne des Art. 4 Nr. 2 DSGVO „Ausdruck der physiologischen oder psychologischen Identität“ des Betroffenen sein.
Datensätze sind personenbezogen, wenn sie eine Person identifizierbar machen.
Das Aufnehmen biometrischer Merkmale schließt allerdings nicht zwingend eine Identifikation des Betroffenen mit ein. Denn eine Maschine kann lediglich registrieren. Sie ist im Unterschied zum Menschen nicht in der Lage, daraus unmittelbar Schlussfolgerungen über die persönliche Identität zu treffen.
Der automatische Fahrassistent unterscheidet lediglich zwischen Mensch und Tier. Den gemessenen Werten sind keine Aussagen über die aufgenommene Person zu entnehmen. Die Verwendung dieser Daten ist folglich am Maßstab der DSGVO nicht zu prüfen.
Gleiches gilt für Supermarktbetreiber, die Alter und Geschlecht der Kunden lediglich zu statistischen Zwecken analysieren, wenn der Einzelne an sich irrelevant ist. Eine ganz andere Sachlage ist natürlich gegeben, wenn die Überwachung der individuellen Kennzeichnung dient (beispielsweise zum Anlegen von Kundenprofilen).
Problematisch ist im Allgemeinen das Speichern von Templates. Deren Zweck ist gerade die Wiedererkennung einer bestimmten Person, so dass deren Verarbeitung unter die datenschutzrechtlichen Bestimmungen fällt. Dies ist erst recht bei Aufnahmen zur Autorisierung im Rahmen einer Zutrittskontrolle der Fall. Selbst wenn die Aufnahmen im Zuge der Prüfung anonymisiert werden, entfällt dadurch bloß die Biometrieeigenschaft. Die Information bleibt weiterhin eine personenbezogene Information, welche im System kurzzeitig als solche gespeichert wird.
Abhängig von der Aufnahmequalität, können die Daten gegebenenfalls als Gesundheitsdaten beziehungsweise Daten über Rasse und Ethnie eingestuft werden. Gesundheitsdaten und Daten über Rasse und Ethnie gehören zu den „besonderen personenbezogenen Daten“. Ist das Vorliegen einer solchen Kategorie zu bejahen, hätte dies eine strengere Regulierung nach Art. 9 DSGVO zur Folge. Gemäß Art. 4 Nr. 15 DSGVO sind Gesundheitsdaten Informationen, die auf die körperliche oder geistige Gesundheit des Betroffenen schließen lassen. Dies ist bei biometrischen Merkmalen regelmäßig der Fall. Aber im Einzelfall ist es nicht immer einfach, eine Unterscheidung zu treffen. Aufnahmen, die eine Person beim Rauchen zeigen, lassen Rückschlüsse auf deren Gesundheit zu.
Dennoch sind die Videodaten nicht als Gesundheitsdaten zu werten. Denn dieser Argumentation zufolge müssten folgerichtig auch Aufnahmen leichtbekleideter Menschen bei schlechtem Wetter als besondere personenbezogene Daten nach Art. 9 Abs. 1 DSGVO angesehen werden. Mit Blick auf die strenge Behandlung gesundheitsbezogener Daten im Gesetz ist der Gesundheitsbegriff also restriktiv auszulegen.
Verschärftere Zulässigkeitsanforderungen könnten sich daraus ergeben, wenn die Aufnahmen Aussagen über die Rasse oder Ethnie der Person enthalten. Dies kommt jedoch nur bei Farbaufnahmen in Betracht. Und sofern dieses Merkmal in keiner Beziehung zum mit der Aufnahme beabsichtigten Zweck steht, ist eine Einordnung in diese Kategorie besonderer Daten zu verneinen. Ist das aufgenommene Material hingegen in die Gruppe des Art. 9 Abs. 1 DSGVO einzuordnen, ist entweder eine ausdrückliche Einwilligung des Betroffenen oder eine gesetzliche Erlaubnis nach Art. 9 Abs. 2 DSGVO erforderlich.

III. Rechtmäßigkeit der Verarbeitung

An erster Stelle wird im Katalog von Rechtfertigungsmöglichkeiten nach Art. 6 Abs. 1 DSGVO die Einwilligung genannt.
In der Praxis ist es nicht immer möglich, eine Einwilligung des Betroffenen zu erhalten. An Durchgangsbereichen kann von Privatpersonen nicht verlangt werden, sämtliche Passanten nach ihrer Zustimmung zu fragen. Dies gilt besonders beim Einsatz mobiler Smartcams in Form sogenannter Bodycams oder Dashcams. Über eine Einwilligung hinausgehend müssten die Betroffenen umfassend über Art, Zweck und Umfang der Verarbeitung informiert werden. Bewegen sich Minderjährige im Überwachungsbereich, müsste die Einwilligung von Seiten des Vormunds aus erfolgen, da unter Sechzehnjährige nicht einwilligungsfähig sind.
Folglich ist eine Erteilung des Einverständnisses nicht durchführbar und die Überwachung wäre nur durch eine explizite Rechtsnorm zulässig.
Gem. Art. 6 Abs. 1 Buchst. f DSGVO ist die Überwachung durch Smartcams zulässig, wenn sie aufgrund berechtigter Interessen des Verantwortlichen oder eines Dritten erforderlich ist und sofern nicht die Interessen oder die Grundrechte und Grundfreiheiten der betroffenen Person überwiegen. Die Vorschrift sieht eine umfassende und auf den Einzelfall bezogene Interessensabwägung vor. Der Verwender muss sich fragen, welche Drittinteressen er möglicherweise beeinträchtigen könnte.
Bei der Zumutbarkeit ist zu berücksichtigen, mit welchem Ausmaß an Überwachung der Betroffene rechnen konnte. Dies wiederum hängt von der Transparenz, Aufklärung und dem Stand der Technik ab. Ebenso beeinflusst der Standort das Empfinden. So macht es einen erheblichen Unterschied, ob die Smartcam in einer Bankfiliale oder einer Parkanlage angebracht werden soll. Je mehr Smartcams in das Alltagsleben gelangen, desto geringer werden die Zumutbarkeitshürden und umso häufiger wird sich der Verwender auf Art. 6 Abs. 1 Buchst. f DSGVO berufen können.

IV. Zulässigkeit der Verarbeitung nach dem BDSG

Vor Inkrafttreten der DSGVO am 25. Mai 2018 regelte das Bundesdatenschutzgesetz das Datenschutzrecht in Deutschland. Es enthielt eine Vorschrift zur Zulässigkeit des Einsatzes von Videoanlagen in öffentlich zugänglichen Räumen durch nicht öffentliche Stellen in § 6b BDSG.
Da das Europarecht gegenüber nationalem Recht bei gleicher Regelungsmaterie vorrangig anzuwenden ist, wurde das BDSG fast vollständig durch das DSGVO verdrängt. Der nationale Gesetzgeber kann allenfalls ergänzende Regelungen treffen. Am 25. Mai trat gleichzeitig eine Neufassung des § 4 BDSG in Kraft, welcher den § 6b quasi kopierte. Demnach ist Videoüberwachung durch nichtöffentliche Stellen zulässig, soweit sie zur Wahrnehmung des Hausrechts oder zur Wahrnehmung berechtigter Interessen dient. Kritiker gehen davon aus, dass § 4 BDSG gegen Unionsrecht verstößt, da der Inhalt bereits umfassend von Art. 6 Abs. 1 DSGVO geregelt sei. Vermutlich wird der EuGH hierzu in der kommenden Zeit eine Entscheidung treffen. Unternehmern ist zu empfehlen, sich nach der DSGVO zu richten, da deren Vorschriften auf jeden Fall rechtmäßig sind.

V. Ausblick

Im Ergebnis ist festzustellen, dass der Einsatz von Smartcams nicht generell unzulässig ist. Können anhand der aufgenommenen Informationen einzelne Personen identifiziert werden, so handelt es sich um personenbezogene Daten. In diesem Fall ist eine (ausdrückliche) Einwilligung der Person nötig. Andernfalls kann die Verarbeitung durch gesetzliche Erlaubnistatbestände gerechtfertigt werden. Dazu lässt sich auf abstrakter Ebene allerdings nicht viel sagen, sondern muss im konkreten Fall geprüft werden. Hierfür ist Art. 6 Abs. 1 DSGVO für personenbezogene und Art. 9 Abs. 2 DSGVO für besondere personenbezogene Daten heranzuziehen. Die Parallelregelung des § 4 BDSG wird vermutlich zu Rechtsunsicherheiten und Wertungswidersprüchen gegenüber der DSGVO führen. Denn das BDSG kennt nicht das Merkmal „personenbezogen“.
Der Verwender ist bei der Verarbeitung dazu angehalten, alle Anonymisierungs-möglichkeiten auszuschöpfen. Hierzu wären automatische Anonymisierungsverfahren, die bereits im Aufnahmegerät implementiert sind, äußert hilfreich. Bislang fehlt es an Anreizen und Zertifizierungen privatgerechter Smartcams.