04.04.2021

Europarat veröffentlicht Leitlinien zu Gesichtserkennung (Guidelines on Facial Recognition)

Ende Januar 2021 veröffentlichte der Europarat Leitlinien zu Gesichtserkennungstechnologien (Guidelines on Facial Recognition). Diese Leitlinien beinhalten unterschiedliche (unverbindliche) Empfehlungen („a set of reference measures“), die sich an die (i) Gesetzgeber der Mitgliedsstaaten (wie z.B. die Schweiz), (ii) an Entwickler, Hersteller sowie Service Provider von Gesichtserkennungstechnologien sowie an deren (iii) Nutzer im privaten sowie öffentlichen Sektor richten.

Sie bezwecken die Wahrung der „human dignity, human rights and fundamental freedoms of any person, including the right to protection of personal data“ im Sinne des Übereinkommens zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten (kurz: Datenschutzkonvention oder Konvention Nr. 108).

Die Bedeutung von Gesichtserkennung und damit der sachliche Anwendungsbereich der Leitlinien werden von Europarat wie folgt definiert: „Facial recognition is the automatic processing of digital images containing individuals' faces for identification or verification of those individuals by using face templates“.

Hinsichtlich der Anwendung von Gesichtserkennungstechnologien gibt der Europarat unter anderem folgende Empfehlungen ab:

(a) Zweckbeschränkung
Der Europarat empfiehlt den Verzicht auf Gesichtserkennung für bestimmte Zwecke oder aber den Einsatz von technischen/organisatorischen Massnahmen (TOM) zur Verhinderung von Diskriminierungsrisiken:

The use of facial recognition for the sole purpose of determining a person's skin colour, religious or other beliefs, sex, racial or ethnic origin, age, health condition or social condition should be prohibited unless appropriate safeguards are provided for by law to avoid any risk of discrimination.“

Similarly, affect recognition can also be carried out with facial recognition technologies to arguably detect personality traits, inner feelings, mental health or workers' engagement from face images. Linking recognition of affect, for instance, to hiring of staff, access to insurance, education may pose risks of great concern, both at the individual and societal levels and should be prohibited.

(b) Einwilligung
Anders als im schweizerischen DSG, ist z.B. unter dem Regime der EU DSGVO (vgl. Art 6 ff. ) für jede Bearbeitung von Personendaten ein konkreter Rechtsgrund („Rechtmässigkeit der Verarbeitung“) nötig. Der Europarat übernimmt die Logik der EU DSGVO und empfiehlt eine ausdrückliche Einwilligung als Voraussetzung für den Einsatz von Gesichtserkennungstechnologien (mit Personendaten) im privaten Sektor. Diese Einwilligung könne aber nicht durch ein blosses Durchqueren eines Bereiches, in welchem Gesichtserkennungstechnologien verwendet werden, erteilt werden. Für die Gesichtserkennung im öffentlichen Sektor sei eine Einwilligung dagegen grundsätzlich nicht geeignet; hier müssten andere Rechtsgründe verwendet werden.

Diese Logik und die darauf beruhende Empfehlung ist mit dem schweizerischen DSG nicht kompatibel. Danach ist eine Einwilligung nicht nötig, in der Regel ist Transparenz ausreichend.

(c) Privacy by Design
Ferner seien im Zusammenhang mit Gesichtserkennung insbesondere die datenschutzrechtlichen Vorgaben der Zweckbindung, Datenminimierung, Speicherbeschränkung sowie Richtigkeit besonders wichtig. In Anwendung des Grundsatzes von „Privacy by Design“ sollen die vorgenannten Vorgaben in (nicht-rechtliche) Vorgaben für technische/organisatorische Massnahmen (TOM-Vorgaben) übersetzt und von Anfang an berücksichtigt werden.

(d) Transparenz
Gemäss Europarat komme im Zusammenhang mit Gesichtserkennung dem Grundsatz der Transparenz grösste Bedeutung zu. Konkret sollen die nachfolgenden Informationen im Rahmen von „Privacy Policies“ bzw. „informational material regarding the [facial recognition] technologies“ offengelegt werden:

i) Whether and to which extent facial recognition data can be transmitted to third parties (and where such is the case, information on the identity of the third-party contractual partners receiving the data in the course of providing the product or service);
ii) The retention, deletion or de-identification of facial recognition data;
iii) Contact points available for individuals to ask questions about the collection, use and
sharing of facial recognition data;
iv) When the collection, use and sharing practices change significantly, entities should update their privacy policy or publicise these changes in light of the context of the change and its impact on individuals.


Diese spezifisch auf Gesichtserkennungstechnologien bezogenen Empfehlungen gehen über die Informationspflichten des DSG sowie der EU DSGVO hinaus und sind damit gesetzesüberschiessend.

(e) Ethical Framework
Schliesslich empfiehlt der Europarat die Berücksichtigung ethischer Aspekte bei der Gesichtserkennung:

In addition to the respect of legal obligations, giving an ethical framework to the use of this technology is also crucial, in particular with regard to higher risks inherent to the uses of facial recognition technologies in certain sectors“.

Im Unterschied zu rechtlichen Vorgaben, handelt es sich bei ethischen Aspekten um die freiwillige Beschränkung des rechtlich zulässigen Maximums um insbesondere Reputationsrisiken zu mitigieren.

Michal Cichocki
© LawBlogSwitzerland.ch
Maira Gall