Internet-Law

Onlinerecht und Bürgerrechte 2.0

9.6.11

Ist die Gesichtserkennung von Facebook datenschutzwidrig?

Facebook hat gerade damit begonnen, ein Gesichtserkennungs-Feature einzubauen. Wenn Facebooknutzer neue Fotos hochladen, gleicht eine Software diese automatisch mit anderen Fotos ab. Wenn hierbei das Gesicht einer Person erkannt wird, das auch auf dem hochzuladenden Foto zu finden ist, schlägt Facebook dem Nutzer vor, diese Person zu markieren („taggen“). Damit werden letztlich Fotos mit den Namen der abgebildeten Personen beschriftet.

Dieser Vorgang beinhaltet eine Verarbeitung und Nutzung personenbezogener Daten. Denn der Bezug zwischen der abgebildeten Person und ihrem Namen wird erst durch die Gesichtserkennungssoftware hergestellt und anschließend durch die Markierung auch öffentlich gemacht. Eine solche Verarbeitung personenbezogener Daten erfordert nach dem Bundesdatenschutzgesetz grundsätzlich die Einwilligung der betroffenen Person. Ganz unabhängig davon, dass natürlich auch das Hochladen von Fotos, auf denen fremde Personen abgebildet sind, rechtlich nur dann zulässig ist, wenn die abgebildeten Personen in die Veröffentlichung eingewilligt hat (§ 22 KUG).

Das grundsätzliche Problem der Vorgehensweise von Facebook besteht darin, dass Facebook diese Funktion bei allen Nutzern standardmäßig aktiviert hat. Wer sich nicht erkennen und markieren lassen will, muss diese Funktion deshalb in seinen Einstellungen deaktivieren. Nach deutschem und europäischem Datenschutzrecht wäre allerdings die umgekehrte Vorgehensweise erforderlich. Facebook hätte diese neue Funktion also per Default deaktiviert halten müssen. Es ist dann den Nutzern überlassen, diese Funktion ausdrücklich zu aktivieren. Aber auch in diesem Fall müsste Facebook den Nutzern die Funktion erläutern und auch erklären, welche konkreten Daten dadurch kombiniert und gespeichert werden. Denn der Betroffene muss auf den Zweck der Datenerhebung und -verabreitung hingewiesen werden (§ 4a BDSG).

Nach geltender Rechtslage könnte eine solche Gesichtserkennung nur mithilfe eines sauberen Opt-In-Verfahrens datenschutzkonform ausgestaltet werden.

posted by Stadler at 18:30  

13 Comments »

  1. Hm, ich glaube wir machen da ein zu grosses Fass deswegen auf.
    Aber der erste Artikel, der zumindest mit seiner Kritik neutral an das Thema ran geht und mir die Gesetze dazu liefert (ok, wer sonst;)
    Gerne dazu meinen Beitrag weiterlesen https://weberklaerer.wordpress.com/2011/06/09/soziales-netz-leben-an-sich-am-bsp-facebooks-automatischer-gesichtserkennung

    Comment by Tom Siegmund — 9.06, 2011 @ 18:49

  2. ich kann mir vorstellen, dass man die Einwilligung gibt in dem man die AGB der Plattform akzeptiert. Kann aber nur mutmaßen, dass es auch drinsteht.

    Comment by fasel — 9.06, 2011 @ 18:53

  3. Hier hat jemand das ganze wirklich mal systematisch und anhand von Beispielen nachvollziehbar getestet:
    http://www.pop64.de/blog/2011/06/08/das-ist-die-automatische-gesichtserkennung-auf-facebook/

    Bei obigen Diskussion/Auslegung der DSB stellt sich aber doch auch die Frage, was mit Programmen wie Picasa u.a. ist, die seit längerem im Einsatz sind und wohl noch besser funktionieren.

    Comment by xwolf — 9.06, 2011 @ 19:08

  4. Soweit ich es verstehe, handelt es sich um die Automatisierung einer Funktion, die es schon lange gibt. Bisher haben meine FB-Freunde mich manuell in Bildern getaggt, ich bekam eine Benachrichtigung, konnte mir das Bild ansehen und ggbf. meinen Namen rauslöschen. Wurde ein Bild hochgeladen, in dem ich zu sehen war, aber ich wurde nicht getaggt, ging das an mir vorbei.

    Sicherlich wäre es besser, ein Tag müsste erst akzeptiert werden, statt dass er hinterher entfernt wird, aber insgesamt scheint mir die automatisierte Funktion eine wesentliche Verbesserung gegenüber früher, da keiner meiner Freunde jetzt – z.B. nach einer Auseinandersetzung – ein Bild hochladen, kann, das mich herabwürdigt, ohne dass ich es merke. wieder einmal schießen einige professionelle Datenschützer, allen voran der Hamburger Casper, sehr schnell. Und vorsichtshalber mit Kanonen, um die Spatzen zumindest zu verscheuchen.

    Comment by Dierk — 9.06, 2011 @ 19:27

  5. Datenschutzrechtliche Einwilligungen in AGB sind nicht wirksam und schon gar nicht, wenn sie sich auf künftige Umstände beziehen, die im Zeitpunkt der Einbeziehung der AGB noch gar nicht bekannt waren. Wie soll denn da die Aufklärung über den Zweck der Datenverarbeitung umgesetzt werden?

    Comment by Stadler — 9.06, 2011 @ 20:21

  6. Es ist schon deshalb gesetzeswidrig, weil ja auch Personen getaggt werden können, die überhaupt nicht Mitglied bei Facebook sind.

    Comment by Avantgarde — 9.06, 2011 @ 21:29

  7. Kann Facebook das nicht einfach ignorieren? Warum sollten die auch nur das geringste auf deutsche Gesetze geben?

    Comment by Rangar — 9.06, 2011 @ 21:49

  8. Man kann die Funktion gar nicht deaktivieren.

    http://blog.koehntopp.de/archives/3090-Placebo-Forte-N.html

    Comment by Konni Scheller — 9.06, 2011 @ 22:13

  9. @Avantgarde
    Das ist so nicht richtig, man muss mit jemandem bei FB befreundet sein, sonst wird nicht automatisch getaggt. Das hat auch praktische Gründe, da so nicht jedesmal das gesamte Internet durchsucht werden muss.

    Ein wenig anders sieht dies bei manuellem Tagging aus, obwohl ich im Moment nicht weiß, inwieweit FB echte Tags nur aus FB-Mitgliedern generiert. Theoretisch könnte ich meine Schwester, die nicht bei FB ist einem Partyfoto zuordnen, automatisch geht das nicht.

    Comment by Dierk — 9.06, 2011 @ 22:23

  10. Wäre nach derselben Logik nicht auch jeder Bookmarking-Dienst gefährlich? Denn auch diese werden in der Regel bei der Eingabe von Webadressen, die u.a. auch auf persönlichen Homepages verweisen, den Titel und weitere Attribute der Seite eben durch Analyse des Inhaltes der Zielseite ermitteln und dem user vorschlagen.

    Comment by xwolf — 9.06, 2011 @ 23:55

  11. Beitrag mit klarer Kante, jetzt auch auf http://www.politikalarm.de veröffentlicht!

    Comment by Politikalarm — 10.06, 2011 @ 01:10

  12. Mich interessiert an dieser Sache eigentlich weniger, ob das Datenschutzinteresse von Facebook-Mitgliedern gewahrt bleibt. Wer mit einigermaßen wachen Augen im Internet unterwegs ist, weiß, dass Zuckerberg Datenschutzinteressen der Nutzer niedrig priorisiert. Wenn man sich dennoch dafür entscheidet, dort zu bleiben, ist die Schutzwürdigkeit aus meiner Sicht nicht besonders hoch.

    Anders sieht es aus, wenn Personen, die nicht bei Facebook registriert sind, dort so erfasst werden können – ob automatisch oder durch die Nutzer, das ist im Endeffekt unerheblich.
    Dummerweise habe ich als Nicht-Facebook-Nutzer gar keine Chance herauszubekommen, ob so etwas gegen meinen Willen möglich ist und auch getan wird.
    Hier ist die Schutzbedürftigkeit erheblich höher, dennoch habe ich den Eindruck, dass dieser Aspekt in der Diskussion allenfalls eine untergeordnete Rolle spielt.
    Sind die Nicht-Facebook-Nutzer inzwischen eine aussterbende Spezies ?

    Comment by Oliver — 10.06, 2011 @ 09:36

  13. Ich bekomme ständig „Einladungen“ von Facebook, weil wieder irgendein Vollpfosten sein komplettes Adressenverzeichnis preisgegeben hat.

    Dabei kann ich dann feststellen, welche Personen das noch getan haben, weil mir Facebook mitteilt, wen ich bei FB kennen könnte (obwohl ich da nicht Mitglied bin).

    FB speichert also nicht nur meine Mailadresse, sondern speichert auch, mit wem diese Adresse in Beziehung steht.

    Da bin ich wenig optimistisch, dass man sich beim Taggen von Nichtmitgliedern zurückhält.

    Comment by Avantgarde — 10.06, 2011 @ 22:12

RSS feed for comments on this post.

Leave a comment