Facebook droht Sammelklage in den USA wegen Gesichtserkennung

Milliarden-Strafe in den USA – erlaubt in Europa?

Ein Beitrag von Thomas Repka

Ein jahrelanger Streit um die Gesichtserkennungsfunktion von Facebook geht in die nächste Runde. 2015 wurde Klage gegen das soziale Netzwerk eingereicht. Ein Richter in San Francisco ließ nun zu, dass sich alle Einwohner des US-Bundesstaats Illinois, deren Gesichtszüge von Facebook nach dem 7. Juni 2011 erfasst wurden, an der Klage beteiligen können.

Strenge gesetzliche Regelung in Illinois

Mit der Gesichtserkennungsfunktion erkennt Facebooks Logarithmus automatisch Personen auf Fotos. Durch die Analyse von Profilfotos und Bildern mit Markierungen wird ein sogenanntes Template erstellt. Bei anschließend hochgeladenen Bildern, werden diese auf Gemeinsamkeiten mit dem Template hin untersucht und erkannte Personen automatisch markiert.

Problem dabei: Das Gesetz in Illinois verlangt für die Erhebung biometrischer Informationen eine ausdrückliche Zustimmung. Trotz dieser eindeutigen gesetzlichen Regelung bestreitet Facebook einen Rechtsverstoß und kündigt an, sich weiter gegen die Klage wehren zu wollen. Nach Auffassung des Konzerns müssen die einzelnen Kläger beweisen, dass sie durch die Vorgehensweise tatsächlich beeinträchtigt worden seien.

Das Gesetz sieht Strafen bis zu 5.000 Dollar pro Verletzung vor. Es droht also eine Millionen- oder gar Milliardenforderung.

Und in Europa?

Pikant: Während in der EU und Deutschland derzeit helle Aufregung um das neue Datenschutzrecht herrscht und überall propagiert wird, dass sich mit der Datenschutzgrundverordnung das Schutzniveau für EU-Bürger verbessern wird, wird Facebook genau diese technische Funktion in Europa wieder einführen.

Die Gesichtserkennungsfunktion kennen europäische Nutzer des Netzwerks bereits aus dem Jahr 2011. Die EU-Datenschützer liefen damals solange Sturm, bis Facebook die Funktion wieder stoppte und die Daten löschte. Durchgesetzt haben sich die Datenschützer aber offenbar nicht – die Funktion kommt im Mai zurück.

Verarbeitung biometrischer Daten nur in Ausnahmefällen erlaubt

Im Zuge der Anpassungen an die Datenschutzgrundverordnung (DSGVO) wird Facebook Einwilligungen aller Nutzer einholen – eben auch für die Gesichtserkennung. Warum ist klar: Es handelt sich hier um biometrische und damit um besonders sensible Daten, die nach dem Willen des Gesetzgebers (Art. 9 DSGVO) besonders schützenswert sind. Eine Verarbeitung solcher Daten ist daher verboten. Ausnahme: Der Nutzer hat ausdrücklich in die Verarbeitung biometrischer Daten eingewilligt.

Anforderungen an die Einwilligung

Auch aus diesem Grund werden Nutzer in Kürze nach ihrer Einwilligung gefragt und können über bestimmte Daten und Funktionen entscheiden. Dass diese Einwilligungen eine rechtmäßige Grundlage für die Datenverarbeitung sind, ist zumindest zweifelhaft.

Die Datenschutzgrundverordnung sieht strenge Maßstäbe und hohe Anforderungen für Einwilligungen in Datenverarbeitungstätigkeiten vor. Die Einwilligung muss

1. freiwillig,
2. in informierter Weise
3. unmissverständlich und
4. ausdrücklich erfolgen.

Bei Minderjährigen unter 16 Jahren müssen die Eltern der Datenverarbeitung sogar zustimmen.

Es lässt sich darüber streiten, ob Facebooks Einwilligungen diesen Anforderungen genügen. Ob ein Nutzer wirklich überblicken kann, zu welchem Zweck und in welchem Umfang seine Daten benutzt werden, darf bezweifelt werden. Vor allem deshalb, weil die Voreinstellungen des Social-Media-Netzwerkes gerade nicht datenschutzfreundlich gestaltet sind, wie das US-Magazin TechCrunch anmerkt. Am Ende werden wohl Gerichte darüber entscheiden, ob die eingeholten Einwilligungen den Anforderungen der DSGVO genügen.

Für alle Nutzer, die voreilig ihre Einwilligung erteilt haben bleibt ein Trost: Die Einwilligung ist nach Art. 7 Abs. 3 DSGVO jederzeit widerrufbar.