Konferenzen und andere Präsenzveranstaltungen, die darauf drängen, den Teilnehmern in Europa Gesichtserkennung aufzuerlegen, ohne die erforderliche Sorgfalt in Bezug auf Datenschutzrisiken zu walten, Vorsicht: Die Organisatoren der globalen Konnektivitätsindustrie shindig, Mobile World Congress (MWC), die jährlich in Barcelona stattfindet, wurden von der spanischen Datenschutzbehörde mit einer Geldstrafe von 200.000 € (~224.000 $) wegen eines Verstoßes gegen die Datenschutzbestimmungen während der Ausgabe 2021 belegt.
Auf 8 Seiten Entscheidung (PDF auf Spanisch) Die Agencia Española de Protección de Datos (AEPD) weist einen Einspruch des Organisators der MWC, der GSMA, gegen die Feststellung der Verletzung zurück und kommt zu dem Schluss, dass sie gegen Artikel 35 der Datenschutz-Grundverordnung (DSGVO) verstoßen hat, der sich mit den Anforderungen für Durchführung einer Datenschutz-Folgenabschätzung (DSFA).
Die Feststellung des Verstoßes bezieht sich auf die Erfassung biometrischer Daten durch die GSMA bei Ausstellungsbesuchern, einschließlich für ein von ihr implementiertes Gesichtserkennungssystem (genannt BREEZZ), das den Teilnehmern die Möglichkeit bot, den Veranstaltungsort mithilfe einer automatischen Identitätsprüfung persönlich zu betreten, anstatt ihren Ausweis manuell vorzuzeigen Dokumentation für das Personal.
Wenn Sie an das Jahr 2021 zurückdenken, werden Sie sich daran erinnern, dass die Veranstaltung der Mobilfunkbranche zu einer Zeit stattfand, als die Bedenken im Zusammenhang mit der COVID-19-Pandemie hinsichtlich der Teilnahme an persönlichen Veranstaltungen noch hoch waren. Nicht, dass dies den Organisator der MWC davon abgehalten hätte, im Sommer dieses Jahres eine physische Konferenz durchzuführen – Monate später als der übliche Zeitpunkt der Messe und in einer unaufhaltsam abgespeckten Form mit weit weniger Ausstellern und Teilnehmern als in den vergangenen Jahren.
Tatsächlich nahmen weniger als 20.000 registrierte Personen persönlich am MWC 2021 teil (17.462, um genau zu sein), gemäß den Offenlegungen der GSMA gegenüber der AEPD – und von diesen nutzten nur 7.585 tatsächlich das Gesichtserkennungssystem BREEZZ, um Zugang zum Veranstaltungsort zu erhalten. Die Mehrheit entschied sich offenbar für die Alternative der manuellen Überprüfung ihrer Ausweisdokumente. (Obwohl der MWC 2021 (noch) mitten in der Pandemie stattfand, bot die GSMA auch eine virtuelle Teilnahme an, wobei Konferenzsitzungen an Remote-Zuschauer gestreamt wurden – und für diese Art der Teilnahme waren keine Ausweisprüfungen erforderlich.)
Zurück zur DSGVO: Die Verordnung verlangt, dass eine DSFA proaktiv in Situationen durchgeführt wird, in denen die Verarbeitung personenbezogener Daten ein hohes Risiko für die Rechte und Freiheiten des Einzelnen birgt. FDie Technologie zur sozialen Erkennung hingegen beinhaltet die Verarbeitung biometrischer Daten – die, wenn sie zur Identifizierung von Personen verwendet werden, gemäß der DSGVO als Daten einer besonderen Kategorie eingestuft werden. Dies bedeutet, dass die Verwendung biometrischer Daten zur Identifizierung unweigerlich in diese Art von Hochrisikokategorie fällt, die eine proaktive Bewertung erfordert.
Diese Bewertung muss die Notwendigkeit und Verhältnismäßigkeit der vorgeschlagenen Verarbeitung sowie die Prüfung der Risiken und die Einzelheiten der geplanten Maßnahmen zur Bewältigung der festgestellten Risiken berücksichtigen. Die DSGVO legt den Schwerpunkt darauf, dass Datenverantwortliche eine solide und strenge proaktive Bewertung riskanter Verarbeitungen durchführen – die Tatsache, dass die AEPD feststellte, dass die GSMA gegen Artikel 35 verstoßen hat, deutet also darauf hin, dass sie es versäumt hat, nachzuweisen, dass sie in dieser Hinsicht die erforderliche Sorgfalt walten ließ.
Tatsächlich befand die Regulierungsbehörde die DSFA der GSMA gemäß der Entschließung für „nur nominell“ und sagte, sie habe „wesentliche Aspekte“ der Datenverarbeitung nicht untersucht; Es wurden auch keine Risiken oder die Verhältnismäßigkeit und Notwendigkeit des von ihm eingeführten Systems bewertet.
„Die Entschließung kommt zu dem Schluss, dass a [DPIA] die ihre wesentlichen Elemente nicht berücksichtigt, ist weder wirksam noch erfüllt sie irgendein Ziel“, fügt die AEPD hinzu und bestätigt ihre Ansicht, dass die DSFA der GSMA die Anforderungen der DSGVO nicht erfüllt [NB: this is a machine translation of the original Spanish text].
Mehr aus der Resolution der AEPD:
Der [GSMA’s DPIA] dem Dokument fehlt eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge im Hinblick auf seinen Zweck; die Verwendung der Gesichtserkennung für den Zugang zu Veranstaltungen, ihre Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen gemäß Artikel 35 Absatz 1 der DSGVO und der geplanten Maßnahmen zur Bewältigung der Risiken, einschließlich Schutzmaßnahmen, Sicherheitsmaßnahmen und Mechanismen zum Schutz personenbezogener Daten und zum Nachweis der Einhaltung der DSGVO unter Berücksichtigung der Rechte und berechtigten Interessen der betroffenen Personen und anderer betroffener Personen. Es listet auch die Pass- und Personalausweisdaten auf, die laut eigenen Angaben von der gefordert werden Mossos d’Esquadra [local police] die angeblich einen Zweck haben, um es mit dem Foto zu verbinden, das mit der Software aufgenommen wurde, die den Prozess der Gesichtserkennung einleitet und Ihre Identität abgleicht, um den Zugriff zu erleichtern.
Eine Beschreibung der DSFA der GSMA in der Entschließung der AEPD deutet darauf hin, dass die GSMA nicht nur keine angemessene Bewertung vorgenommen, sondern auch eine Sicherheitsbegründung für das Einsammeln der Pässe/EU-ID-Dokumente der Messebesucher geliefert hat – sie sei von der spanischen Polizei angewiesen worden, sie zu verstauen „strenge Prozesse“ für die Identitätsprüfung von Teilnehmern eingeführt.
Es scheint auch von den Teilnehmern verlangt zu haben, der biometrischen Verarbeitung ihrer Gesichtsdaten als Teil des ID-Upload-Prozesses zuzustimmen, wobei die AEPD die in BREEZZ bereitgestellten Einwilligungsinformationen zur Kenntnis nahm, in denen die Person um ihre Zustimmung dazu gebeten wurde, indem „biometrische Daten aus den Fotos verwendet wurden zur Identifizierungsvalidierung im Zusammenhang mit der Online-Registrierung und MWC Barcelona für den Zugang zum Veranstaltungsort bereitgestellt“.
Dies ist wichtig, da die DSGVO ein klares Hindernis dafür setzt, dass die Einwilligung eine gültige Rechtsgrundlage ist – sie verlangt, dass sie informiert, spezifisch (dh nicht gebündelt) und freiwillig erteilt wird. Ergo kann man die Zustimmung nicht erzwingen. (Während die Zustimmung zur Verarbeitung sensibler Daten wie Gesichtsbiometrie eine noch höhere Hürde für die ausdrückliche Zustimmung zur legalen Verarbeitung hat.)
Es war die mangelnde Wahlfreiheit der Konferenzteilnehmer beim Hochladen sensibler biometrischer Daten, die dazu führte, dass Dr. Anastasia Dedyukhina, eine Referentin für digitales Wohlbefinden, die eingeladen worden war, auf einem Podium zu sprechen, eine Beschwerde gegen die Datenverarbeitung der GSMA bei der AEPD einreichte MWC 2021. Es ist ihre Beschwerde, die – ein paar Jahre später – dazu führte, dass die GSMA jetzt sanktioniert wird.
„Ich konnte keine vernünftige Begründung dafür finden“, erklärte sie in einem LinkedIn-Beitrag Ende letzter Woche, als sie ihre Beschwerde öffentlich machte, diskutierte sie eine ihrer Meinung nach unverhältnismäßige Forderung der GSMA, dass MWC-Teilnehmer Ausweisdokumente hochladen sollten. „Ihre Website schlug vor, dass ich auch meinen Personalausweis/Reisepass zur persönlichen Überprüfung mitbringen könnte, was mir nichts ausmachte. Die Organisatoren bestanden jedoch darauf, dass ich, wenn ich meine Passdaten nicht hochlade, NICHT an der Live-Veranstaltung teilnehmen könnte und virtuell teilnehmen müsste, was ich schließlich tat.“
Der Technologe Adam Leon Smith, der ihre Beschwerde mitverfasst hat, schrieb darüber auch in a LinkedIn-Beitrag – in dem er warnt: „Die Gesichtserkennung im öffentlichen Raum ist hochsensibel und wenn Sie sie wirklich brauchen, wenden Sie sich an einen hervorragenden Anwalt und ein technisches Team.“
Smith erläuterte die in ihrer Beschwerde geäußerten Bedenken gegenüber Tech: „Erstens stellten wir fest, dass die Datenschutzrichtlinie besagte, dass wir eine Identifizierung für die Gesichtserkennung für Identitätszwecke auf der Grundlage einer Einwilligung bereitstellen. Es wurde jedoch klar, dass es eigentlich nicht möglich war, sich abzumelden. Zweitens befand sich das Unternehmen, das die Technologie verwaltete, in Weißrussland außerhalb der EU. Dies waren die Informationen, die wir zum Zeitpunkt der Beschwerde öffentlich finden konnten. Wie ich sehe, listet ScanViz, das Unternehmen, das die Technologie bereitstellt, jetzt eine Adresse in Hongkong auf seiner Website auf.“
„Die AEPD konnte interne Datenschutzbewertungsdokumente von MWC anfordern und feststellen, dass diese veraltet und unzureichend waren. Die Entscheidung der AEPD konzentriert sich hauptsächlich darauf“, sagte er auch. „Es gab keine anderen spezifischen Abhilfemaßnahmen, obwohl ich denke, dass das MWC diese Risiko- und Folgenabschätzung sehr sorgfältig durchführen muss.“
Während die Entschließung der spanischen Datenschutzbehörde keinen Einfluss darauf hat, ob die Rechtsgrundlage der GSMA für die biometrische Verarbeitung gültig war oder nicht, schlägt Smith vor, dass dies nur eine Folge der Feststellung der DSFA als unzureichend sein könnte – dh sie hätte möglicherweise eine umfassendere technische Bewertung beschlossen lohnt sich nicht.
„Ich wäre nicht überrascht, wenn sie auf die Verwendung von Gesichtserkennungstechnologie verzichten würden“, schlug er der GSMA vor. „Diese Art der Anwendung der Technologie würde in den neuesten Entwürfen des in die Kategorie mit hohem Risiko fallen [EU] KI-Gesetz, das heißt, sie bräuchten irgendeine Form der Konformitätsbewertung durch eine unabhängige Partei.“
Die GSMA wurde mit der Bitte um Stellungnahme zur Strafe der AEPD kontaktiert, hatte aber zum Zeitpunkt der Abfassung dieses Berichts noch nicht geantwortet.
Es ist erwähnenswert, dass das Verwaltungsverfahren der AEPD zu dieser Beschwerde zwar mit dieser Entschließung endet, die GSMA jedoch versuchen könnte, das Ergebnis durch einen Rechtsbehelf bei der Audiencia Nacional (dem obersten spanischen Gericht) anzufechten.
Heruntergezoomt, wie Smith betont, soll das kommende EU-weite KI-Gesetz in den kommenden Jahren einen risikobasierten Rahmen für die Regulierung von KI-Anwendungen einführen.
Die von der Kommission bereits im Jahr 2021 vorgeschlagene Entwurfsversion dieser Rechtsvorschrift enthält ein Verbot der Verwendung von Fernbiometrie wie Gesichtserkennung an öffentlichen Orten, das – wenn es in die endgültige Fassung gelangt – das regulatorische Risiko bei der Umsetzung sicherlich erhöhen wird automatisierte Verifizierungsprüfungen in der Zukunft. (Darüber hinaus waren Parlamentarier darauf drängen, das Verbot der Fernbiometrie weiter zu verstärken.) Und das kommt zu den bestehenden DSGVO-Risiken für alle Datenverarbeiter hinzu, die einen nachlässigen Ansatz zur Risiko-Due-Diligence verfolgen (oder tatsächlich die harte Anforderung, eine gültige Rechtsgrundlage für eine solche Verarbeitung sensibler Daten zu haben).
Die GSMA ihrerseits bietet den Teilnehmern des MWC (sowohl in diesem als auch im letzten Jahr) weiterhin eine auf Gesichtsbiometrie basierende automatische ID-Prüfungsoption an – und verlangt weiterhin das Hochladen von ID-Dokumenten für die Registrierung für die persönliche Teilnahme. Es wird also interessant sein zu sehen, ob es angesichts der DSGVO-Sanktion seine Datenschutzerklärungen ändert und/oder Änderungen am Registrierungsprozess für den MWC 2024 vornimmt. (Und wenn es weiterhin eine biometriebasierte automatische ID-Check-Option auf der Messe in der Zukunft anbietet, ist es möglicherweise gut beraten, sicherzustellen, dass sein Technologielieferant vollständig innerhalb der EU ansässig ist.)