Gesichtserkennung hat sich von einer spezialisierten Sicherheitstechnologie zu einer weitverbreiteten Funktion in öffentlichen CCTV-Systemen, Einzelhandelsanalysen, Zugangskontrollen, Verkehrsknotenpunkten und Werkzeugen der Strafverfolgung entwickelt. Obwohl sie oft als Effizienz- oder Sicherheitsverbesserung dargestellt wird, bringt die Gesichtserkennung erhebliche Datenschutz-, ethische und regulatorische Risiken mit sich. Diese Risiken steigen weiter an, wenn die Technologie mit groß angelegten, KI-gestützten Überwachungsnetzen kombiniert wird. Dieser Artikel beleuchtet die wichtigsten Gefahren, die regulatorischen Rahmenbedingungen und Schutzmaßnahmen, die Organisationen ergreifen sollten.
Vor der Analyse der Risiken ist es wichtig zu verstehen, wie Regulierungsbehörden die Gesichtserkennung einordnen. Weltweit behandeln die meisten Datenschutzgesetze sie als biometrische Hochrisikoverarbeitung.
Unter der DSGVO gelten biometrische Daten, die zur eindeutigen Identifizierung einer Person verwendet werden, als „besondere Kategorien personenbezogener Daten“, die strengere Schutzmaßnahmen erfordern [1]. Das UK ICO erklärt, dass Gesichtserkennung in Überwachungssystemen biometrische Daten darstellt und in der Regel eine legitime, notwendige und verhältnismäßige Grundlage benötigt [2]. In den USA regulieren Staaten wie Illinois Gesichtserkennung durch spezielle Gesetze wie BIPA, die strenge Einwilligungs- und Aufbewahrungsanforderungen enthalten [3].
Gesichtserkennung wird besonders sensibel, wenn sie mit CCTV-Netzen kombiniert wird, die eine ständige Überwachung und Identifizierung von Personen ermöglichen, ohne dass diese es wissen.
Eines der am besten dokumentierten Risiken ist die Ungenauigkeit der Algorithmen und ihre Tendenz zu Verzerrungen.
Das US-amerikanische NIST hat wiederholt große Unterschiede in den Fehlerraten verschiedener Algorithmen festgestellt, wobei insbesondere Frauen und Menschen mit dunkler Hautfarbe häufiger betroffen sind [4].
Videoüberwachungsmaterial leidet oft unter schlechten Lichtverhältnissen, ungünstigen Kamerawinkeln oder Bewegungsunschärfe, was die Matching-Genauigkeit weiter verringert.
Fehlidentifikationen können zu ungerechtfertigten Festnahmen, Dienstverweigerungen oder diskriminierenden Entscheidungen führen. Reale Fälle belegen die Folgen solcher Fehler [4][5].
Gesichtserkennung verstärkt die Überwachung erheblich, indem sie großflächige Identifikation und Profilbildung ermöglicht.
Traditionelle CCTV-Systeme zeichnen Ereignisse auf. Gesichtserkennung verwandelt sie in aktive Überwachungssysteme, die Personen in Echtzeit identifizieren können. Die EDPB warnt, dass derartige Systeme in öffentlichen Räumen selten rechtmäßig sind [6].
Permanente Identifikation kann Menschen davon abhalten, Demonstrationen oder sensible Orte aufzusuchen und kann eine einschüchternde Wirkung (chilling effect) erzeugen.
Gesichtserkennungsdaten können mit Loyalitätsprogrammen, mobilen Analysen oder polizeilichen Datenbanken kombiniert werden, was zu invasivem Profiling führt.
Organisationen, die Gesichtserkennung einsetzen, setzen sich erheblichen rechtlichen Risiken aus.
Nach der DSGVO erfordert Gesichtserkennung in der Regel ausdrückliche Einwilligung oder eng definierte Ausnahmen [1]. Die EDPB stellt klar, dass biometrische Identifikation in öffentlichen Räumen grundsätzlich unzulässig ist [6].
Gesetze wie BIPA in Illinois schreiben schriftliche Einwilligung, Aufbewahrungsgrenzen und Klagebefugnisse vor [3].
Europäische Behörden haben mehrfach Bußgelder gegen Organisationen verhängt, die Gesichtserkennung ohne angemessene Grundlage eingesetzt haben.
Biometrische Daten sind hochsensibel, da sie nicht geändert werden können.
Gestohlene Gesichtsvorlagen können verwendet werden, um Personen zu imitieren. Deepfakes und synthetische Manipulationen verstärken die Gefahr.
Viele CCTV-Systeme nutzen veraltete Hardware, was sie anfällig macht. Gesichtserkennung erweitert die Angriffsfläche.
Integrierte Überwachungsnetzwerke können bei einem einzigen Fehlerpunkt umfassend kompromittiert werden.
Neben rechtlichen Risiken bestehen erhebliche gesellschaftliche Bedenken.
NIST- und MIT-Studien zeigen, dass Algorithmen Minderheiten unverhältnismäßig falsch identifizieren [4][5].
Viele Einsätze von Gesichtserkennung erfolgen ohne klare Information der Betroffenen.
Geheime oder umstrittene Einsätze untergraben das Vertrauen.
Organisationen können Risiken reduzieren.
Wenn Identifikation nicht erforderlich ist, schützt Anonymisierung die Privatsphäre. Moderne Tools wie Gallio PRO bieten automatische Unschärfe von Gesichtern und Kennzeichen.
Regulierungsbehörden empfehlen eine Notwendigkeits- und Verhältnismäßigkeitsprüfung [2][6].
DPIAs helfen, Risiken zu erkennen und Maßnahmen abzuleiten.
Nein. Viele Länder schränken sie ein.
Weil sie biometrische Identifikatoren verarbeitet und Tracking ermöglicht.
Ja. Sie kann zu Sanktionen führen.
Ja. Sie reduziert Risiken erheblich.
Der Bias bleibt ein Problem.
