Verfahren gegen Facebook wegen Gesichtserkennung wieder aufgenommen

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) Johannes Caspar hat das Anfang Juni ausgesetzte Verfahren gegen die Gesichtserkennungsfunktion von Facebook wieder aufgenommen. Zwar habe das Social Network auf Nachfrage eingeräumt, vorerst auf die Erstellung weiterer Gesichtsmodelle von neuen Nutzern zu verzichten, weitergehende Verpflichtungen aber abgelehnt. „Damit ist und bleibt die bestehende Datenbank biometrischer Muster, die ohne Einwilligung der Betroffenen angelegt wurde, rechtswirdrig“, heißt es in einer Mitteilung des HmbBfDI.

„Zunächst ist zu begrüßen, dass Facebook offenbar mittlerweile selbst erkennt, dass das vom Netzwerk derzeit eingesetzte Verfahren der Sammlung biometrischer Gesichtsmodelle zumindest in Europa nicht mit dem Datenschutzrecht vereinbar ist“, sagte Caspar. „Facebook darf jetzt aber nicht auf halbem Weg stehen bleiben.“

Anfang Juni hatte der Hamburger Datenschutzbeauftragte den Erlass einer Anordnung gegen Facebook zurückgestellt. Grund dafür waren Verhandlungen des Unternehmens mit dem irischen Datenschutzbeauftragten über die Änderung des Einsatzes der automatischen Gesichtserkennung. Mit dem Aussetzen des Verfahrens verband Caspar die Hoffnung, dass Facebook den datenschutzrechtlichen Forderungen doch noch auf diesem Weg nachkommen würde. Diese Hoffung habe sich jetzt aber nur zum Teil erfüllt.

Von einer Biometrie-Datenbank, die millionenfach Geischtsabdrücke enthält, gehe ein immenses Risiko- und Missbrauchspotential aus, so der Hamburger Datenschutzbeauftragte. Eine Wiederaufnahme des unterbrochenen Verfahrens mit dem Ziel, auch eine tragfähige Lösung für die ohne Einwilligung erstellten biometrischen Erkennungsmuster durchzusetzen, sei daher unumgänglich. Als Mindestvoraussetzung komme nur eine Einwilligungslösung für bereits biometrisch erfasste Nutzer in Betracht, andernfalls seien die Daten zu löschen.

„Den Anforderungen der Artikel-29-Gruppe der Europäischen Datenschutzbeauftragten zur Gesichtserkennung ist gerade hinsichtlich der bereits erhobenen Daten nachzukommen“, führt Caspar aus. „Das informationelle Selbstbestimmungsrecht gilt nicht nur für die neuen, sondern auch für die existierenden Nutzer. Die bereits erhobenen Daten der Betroffenen sind zu löschen oder es ist zumindest sicherzustellen, dass die Betroffenen einer weiteren Speicherung und Verwendung ihrer Gesichtsdaten nachträglich ausdrücklich zustimmen können.“ Bedauerlich sei, dass Facebook die Chance für eine einvernehmliche Lösung nicht genutzt habe und offenbar in dieser Frage auch weiterhin auf Zeit spiele.

Seit Juni 2011 steht die Hamburger Datenschutzaufsicht mit Facebook in Verhandlungen über die Zulässigkeit der Gesichtserkennung. Da keine einvernehmliche Lösung erzielt wurde, leitete der HmbBfDI Ende letzten Jahres ein formales Verwaltungsverfahren ein. Ziel ist es, die Umsetzung der gesetzlichen Anforderungen durch eine Anordnungsverfügung durchzusetzen.

Auch Caspars Schleswig-Holsteinischer Kollege Thilo Weichert ist der Ansicht, dass Facebook europäische Datenschutzrichtlinien verletzt. Er stört sich vor allem daran, dass Facebook Profile von Nutzern erstellt, die den „Gefällt mir“-Button anklicken, ohne sie darüber zu informieren. Schon im August 2011 hatte er öffentliche und große private Websitebetreiber in Schleswig-Holstein unter Androhung eines Bußgelds von bis zu 50.000 Euro aufgefordert, Fanpages in dem Social Network und Plug-ins wie den „Gefällt mir“-Button auf ihren Sites bis spätestens Ende Oktober zu entfernen.

In den USA schloss die Federal Trade Commission (FTC) ihre Ermittlungen zu Facebooks Datenschutzrichtlinien vergangene Woche offiziell ab. Im Rahmen einer Vereinbarung mit der Behörde muss das Social Network verschiedene Auflagen erfüllen. Dazu gehört, dass Nutzer künftig informiert werden müssen, sobald ihre Daten anderen zur Verfügung gestellt werden. Facebook hat sich auch verpflichtet, die Zustimmung seiner Mitglieder einzuholen, bevor es Informationen weitergibt, die in den Privatsphäreeinstellungen nicht ausdrücklich freigegeben wurden. Darüber hinaus wird die FTC künftig zweimal im Jahr Kontrollen bei Facebook durchführen.