Datenschutzrechtliche Zulässigkeit der neuen Gesichtskennungsfunktion bei Facebook

28. Juni 2011
[Gesamt: 0   Durchschnitt:  0/5]
1073 mal gelesen
0 Shares
Das derzeit größte soziale Netzwerk Facebook hat Anfang Juni eine neue Funktion veröffentlicht, welche es Nutzern des Dienstes ermöglicht, Personen auf hochgeladenen Bildern automatisch mit den eigenen Freunden abzugleichen. Wird eine Person von der Software erkannt, eröffnet sie dem Hochladenden die Möglichkeit, die Person automatisch markieren zu lassen, so dass eine Verknüpfung zu deren Profil hergestellt wird. Der nachfolgende Artikel möchte die Problemfelder aufzeigen, die sich aus datenschutzrechtlicher Sicht durch die Verwendung dieser neuen Funktion ergeben.

Das derzeit größte soziale Netzwerk Facebook hat Anfang Juni eine neue Funktion veröffentlicht, welche es Nutzern des Dienstes ermöglicht, Personen auf hochgeladenen Bildern automatisch mit den eigenen Freunden abzugleichen. Wird eine Person von der Software erkannt, eröffnet sie dem Hochladenden die Möglichkeit, die Person automatisch markieren zu lassen, so dass eine Verknüpfung zu deren Profil hergestellt wird. Der nachfolgende Artikel möchte die Problemfelder aufzeigen, die sich aus datenschutzrechtlicher Sicht durch die Verwendung dieser neuen Funktion ergeben.

Bisher war es in dem sozialen Netzwerk möglich, einzelne Personen nur per Hand zu markieren, nachdem das Bild hochgeladen war und die jeweils zu markierende Person in ihren Privatsphäreneinstellungen es zugelassen hat, dass Freunde oder Dritte die Person markieren. Problematisch an der neuen Gesichtsmarkierungsfunktion ist jedoch, dass diese ohne Vorwarnung von Facebook eingesetzt wird – und standardmäßig eingeschaltet ist.

Datenschutzrechtliches Problemfeld

Aus datenschutzrechtlicher Sicht stellt sich zunächst die Frage, ob die automatisierte Verarbeitung von Bildern mit abgebildeten Personen nach dem Bundesdatenschutzgesetz zulässig ist. Grundsätzlich besteht bei personenbezogenen Daten aus datenschutzrechtlicher Sicht ein Verbot mit Erlaubnisvorbehalt. Jede Verarbeitung, Nutzung oder Erhebung der personenbezogenen Daten ist danach zunächst einmal unzulässig, wenn der Betroffene nicht eingewilligt hat oder eine gesetzliche Vorschrift die Verarbeitung erlaubt.

Danach müsste es sich bei den hochgeladenen Bildern zunächst um ein personenbezogenes Datum handeln. Dies sind gem. § 3 Abs. 1 BDSG grundsätzlich Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person, also den Betroffenen. Bei einer Fotografie, auf welchem zumindest das Gesicht einer Person so deutlich erkennbar ist, dass dieses Gesicht als Gesicht von der Software erkannt und mit einer Person – wenn auch der falschen Person – verknüpft wird und einen Namen vorschlägt, kann wohl von einem personenbezogenen Datum ausgegangen werden.

Die Verarbeitung des Bildes bedarf daher grundsätzlich der Einwilligung nach § 4 Abs. 1 BDSG oder gesetzlichen Legitimation. Eine Einwilligung – also gem. § 183 BGB die vorherige Zustimmung – haben die Nutzer von Facebook gerade nicht erteilt, vielmehr wurden sie nicht mal auf diese Funktionsveränderung hingewiesen. Eine Einwilligung gem. § 4a Abs. 1 BDSG müsste auf der freien Entscheidung des Betroffenen und ohne Zwang erfolgen. Erst nachdem die Funktion eingeführt und standardmäßig aktiviert wurde, war es den Nutzern möglich, die Funktion über die Privatsphäreneinstellungen wieder zu deaktivieren. Facebook Nutzer hatten also zu keiner Zeit die Möglichkeit, eine Zustimmung vor Einführung der Funktion zu erteilen oder diese zu versagen. Eine Einwilligung seitens der Nutzer liegt also gerade nicht vor.

Fraglich ist jedoch, ob sich aus einer gesetzlichen Vorschrift eine Zulässigkeit ergibt. Eine Zulässigkeit für die Verwendung personenbezogener Daten im nichtöffentlichen Bereich könnte sich im Fall von Facebook aus § 28 Abs. 1 BDSG ergeben. Danach müssten Daten entsprechend § 28 Abs. 1 BDSG zunächst erhoben, gespeichert, verändert oder übermittelt worden sein. Zumindest einschlägig dürfte in der vorliegenden Fallkonstellation die „Übermittlung“ von Daten sein, da die personenbezogenen Daten in Form der markierten Fotografien an Dritte bekanntgegeben werden. Indem die Bilder durch andere Facebook Nutzer automatisch abgerufen werden können – etwa durch die Möglichkeit, die Bilder auf den jeweiligen Profilseiten der Betroffenen oder in der Facebook Timeline abrufen zu können – ist eine Übermittlung nach dem BDSG zu sehen.

Allerdings ist die Übermittlung der personenbezogenen Daten nur unter einer der alternativen Voraussetzungen des § 28 Abs. 1 Nr. 1 bis 3 BDSG zulässig. Facebooks neue Funktion ist jedoch weder zur Begründung, Durchführung oder der Beendigung des rechtsgeschäftsähnlichen Schuldverhältnisses mit dem Betroffenen erforderlich, noch dient es der Wahrung sonstiger berechtigter Interessen von Facebook oder sind die Daten grundsätzlich allgemein zugänglich. Eine gesetzlich erlaubte Verarbeitung nach § 28 Abs. 1 BDSG muss danach grundsätzlich ausscheiden.

Mangels Einwilligung seitens der Nutzer und keinem einschlägigen gesetzlichen Legitimationstatbestand muss die automatisierte Gesichtserkennungsfunktion aus datenschutzrechtlicher Sicht – zumindest hinsichtlich der Gesichtserkennung von Personen auf Bildern, die nicht den Hochladenden allein zeigen – als unzulässig angesehen werden. Etwas anderes kann sich jedoch nach § 28 Abs. 6 Nr. 2 BDSG zumindest für solche Bilder ergeben, die der Betroffene von sich selbst offenkundig öffentlich bekannt gemacht hat. Lädt ein Nutzer also Bilder seiner eigenen Person hoch, kann die automatische Erfassung seines Gesichts in diesen Bildern als zulässig anzusehen sein.

Verletzung des Rechts am eigenen Bild möglich?

Das Recht am eigenen Bild als besondere Ausprägung des allgemeinen Persönlichkeitsrechts gem. Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG ist das Recht zu bestimmen, ob und welche Bilder einer Person veröffentlicht werden. Einfachgesetzlich hat dieses Recht seine Ausprägung im § 22 Satz 1 KunstUrhG gefunden, wonach die Veröffentlichung von der Einwilligung des Betroffenen abhängig gemacht wird, wenn kein Ausnahmetatbestand des § 23 KunstUrhG einschlägig ist.

Grundsätzlich ist eine Einwilligung in die Veröffentlichung eines Bildes nur nötig, wenn die Person individuell erkennbar ist. Sobald aber eine Software zumindest ein Gesicht als solches erkennt, wird die Person im Regelfall auch für das menschliche Auge individuell erkennbar sein. Nach dem § 22 KunstUrhG ist jedoch gerade nicht nötig, dass die Gesichtszüge erkennbar sind, sondern vielmehr nur, dass die Person – auch durch andere markante Körperstellen – eindeutig identifizierbar ist.

Allerdings geht es bei Facebooks automatisierter Gesichtserkennung um eine Funktion, die von der Veröffentlichung eines Bildnisses zu unterscheiden und dieser vielmehr zeitlich nachgelagert ist. Die Zulässigkeit der Funktion richtet sich gerade nicht ausschließlich nach §§ 22, 23 KunstUrhG. Vielmehr stellt sich die Frage, ob der abgebildeten und markierten Person ein Unterlassungsanspruch gem. §§ 1004, 823 BGB i.V.m. §§ 22f. KunstUrhG gegen die Verlinkung zustehen kann. Das Oberlandesgericht München nahm eine solche mögliche Verletzung des Persönlichkeitsrechts des Abgebildeten in einem Urteil von Mitte 2007 (Urteil vom 26.06.2007 – Az.: 18 U 2067/07) jedenfalls dann an, wenn das Bildnis einer Person durch Setzung eines Hyperlinks verknüpft und damit öffentlich zur Schau gestellt wird. Nichts anderes passiert durch das automatisierte Erfassen der Gesichter und Verlinkung mit den darauf befindlichen Personen auf Facebook, so dass den Betroffenen ein solcher Unterlassungsanspruch zustehen kann.

Reaktion des Gesetzgebers: Änderungsgesetz zum Telemediengesetz

Auch der Gesetzgeber sieht in Telemediendiensten mit nutzergenerierten Inhalten wie Facebook aus datenschutzrechtlicher Sicht derzeit große Bedenken. So hat der Bundesrat  einen Gesetzesentwurf zur Änderung des Telemediengesetzes beschlossen, wonach soziale Netzwerke entsprechend dem gegenwärtigen Stand der Technik die höchste Sicherheitsstufe aus datenschutzrechtlicher Sicht einhalten müssen, bis der einzelne Nutzer diese Vorgabe an seine eigenen Bedürfnissen anpasst. Insbesondere soll Betreibern eine gesetzliche Pflicht auferlegt werden, die Nutzer über die Risiken der Veröffentlichung ihrer Daten zu informieren. Die Mitglieder sollten jederzeit die Möglichkeit haben, zu bestimmen, ob einmal veröffentlichte Daten wieder gelöscht oder der Zugang zu ihnen gesperrt wird, zumindest aber sollen die Informationen anonymisiert werden. Insbesondere bei Nutzern, die noch unter 16 Jahre alt sind, soll diese Voreinstellung nicht verändert werden können.

Darüber hinaus sollen die Betreiber der entsprechenden sozialen Netzwerke verpflichtet werden, den Zugriff auf einzelne Profilseiten von außen – beispielsweise durch Suchmaschinen – deutlich einzuschränken. Eine entsprechende Vorschrift will der Gesetzgeber in einem neugeschaffenen § 13a TMG umsetzen.

Insbesondere auch die Nutzung und Verwendung von Cookies, also insbesondere die Speicherung und der Abruf von Daten im Endgerät des Mitglieds eines Telemediendienstes, sollen nach einem neu zu schaffenden § 13 Abs. 8 TMG künftig nur zulässig sein, wenn dieser darauf davor hingewiesen wird und in die Verwendung ausdrücklich eingewilligt hat. Der sich im Gesetzgebungsverfahren befindende Gesetzesentwurf muss aber noch der Bundesregierung zugeleitet und dem Bundesrat vorgelegt werden, bevor es ausgefertigt und verkündet werden kann.

Fazit

Die Frage nach der Zulässigkeit der neuen Gesichtserkennungsfunktion lässt sich aus datenschutzrechtlicher Sicht stark bezweifeln. Eine Einwilligung durch die markierten Mitglieder liegt gerade nicht vor und ein gesetzlicher Legitimationstatbestand ist auch nicht ersichtlich. Jedenfalls für den automatischen Abgleich von Fotos des Hochladenden selbst kommt ein gesetzlicher Erlaubnistatbestand nach § 28 Abs. 6 Nr. 2 BDSG in Betracht.

Hinsichtlich des Gesetzesentwurfs bleibt abzuwarten, ob dieser in seiner derzeitigen Form tatsächlich umgesetzt wird. Insbesondere hinsichtlich der vorliegenden Einwilligungspflicht der Nutzer bei Telemediendiensten, die Cookies in irgendeiner Form verwenden, kann dies jedoch angezweifelt werden.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Jetzt zum Newsletter anmelden!

Erlaubnis zum Versand des Newsletters: Ich möchte regelmäßig per E-Mail über aktuelle News und interessante Entwicklungen aus den Tätigkeitsfeldern der Anwaltskanzlei Hild & Kollegen informiert werden. Diese Einwilligung zur Nutzung meiner E-Mail-Adresse kann ich jederzeit für die Zukunft widerrufen, in dem ich z. B. eine E-Mail an newsletter [at] kanzlei.biz sende. Der Newsletter-Versand erfolgt entsprechend unserer Datenschutzerklärung.

n/a