Gesichtserkennung an Flughäfen: Einzelpersonen sollten die maximale Kontrolle über biometrische Daten haben

24 May 2024

Brüssel, 24. Mai – Auf seiner letzten Plenartagung verabschiedete der EDSA eine Stellungnahme zum Einsatz von Gesichtserkennungstechnologien durch Flughafenbetreiber und Fluggesellschaften zur Straffung des Passagierflusses auf Flughäfen*. Diese Stellungnahme nach Artikel 64 Absatz 2 behandelt auf Ersuchen der französischen Datenschutzbehörde eine Frage von allgemeiner Geltung und entfaltet Wirkungen in mehr als einem Mitgliedstaat.

Der Vorsitzende des EDSA, Anu Talus, sagte: „Mehr und mehr Flughafenbetreiber und Fluggesellschaften auf der ganzen Welt pilotieren Gesichtserkennungssysteme, die es Fluggästen ermöglichen, die verschiedenen Checkpoints leichter zu durchlaufen. Es ist wichtig zu beachten, dass biometrische Daten besonders sensibel sind und dass ihre Verarbeitung erhebliche Risiken für den Einzelnen darstellen kann. Gesichtserkennungstechnologie kann zu falschen Negativen, Voreingenommenheit und Diskriminierung führen. Der Missbrauch biometrischer Daten kann auch schwerwiegende Folgen haben, wie Identitätsbetrug oder Identitätsbetrug. Deshalb fordern wir Fluggesellschaften und Flughafenbetreiber auf, sich für weniger aufdringliche Wege zur Straffung der Passagierströme zu entscheiden, wenn möglich. Nach Ansicht des EDSA sollten Einzelpersonen die größtmögliche Kontrolle über ihre eigenen biometrischen Daten haben.“

In der Stellungnahme wird die Vereinbarkeit der Verarbeitung mit dem Grundsatz der Speicherbegrenzung (Artikel 5 Absatz 1 Buchstabe e DSGVO), dem Integritäts- und Vertraulichkeitsgrundsatz (Artikel 5 Absatz 1 Buchstabe f) DSGVO, dem Datenschutz durch Technik und Voreinstellungen (Artikel 25 DSGVO) und der Sicherheit der Verarbeitung (Artikel 32 GPDR) analysiert. Die Einhaltung anderer Bestimmungen der DSGVO, einschließlich der Rechtmäßigkeit der Verarbeitung, fällt nicht in den Anwendungsbereich dieser Stellungnahme.**

Es gibt in der EU keine einheitliche gesetzliche Verpflichtung für Flughafenbetreiber und Luftfahrtunternehmen, zu überprüfen, ob der Name auf der Bordkarte des Fluggastes mit dem Namen auf ihrem Identitätsdokument übereinstimmt, und dies kann den nationalen Rechtsvorschriften unterliegen. Wenn daher keine Überprüfung der Identität der Fluggäste mit einem amtlichen Ausweis erforderlich ist, sollte keine solche Überprüfung unter Verwendung biometrischer Daten durchgeführt werden, da dies zu einer übermäßigen Verarbeitung der Daten führen würde.

In seiner Stellungnahme prüfte der EDSA, ob die Verarbeitung biometrischer Daten der Fluggäste mit vier verschiedenen Arten von Speicherlösungen vereinbar ist, von solchen, die die biometrischen Daten nur in den Händen des Einzelnen speichern, bis hin zu denjenigen, die auf eine zentralisierte Speicherarchitektur mit unterschiedlichen Modalitäten angewiesen sind. In allen Fällen sollten nur die biometrischen Daten von Fluggästen verarbeitet werden, die sich aktiv anmelden und der Teilnahme zustimmen.

Der EDSA stellte fest, dass die einzigen Speicherlösungen, die mit dem Integritäts- und Vertraulichkeitsprinzip, dem Datenschutz durch Design und Standard und der Sicherheit der Verarbeitung vereinbar sein könnten, die Lösungen sind, bei denen die biometrischen Daten in den Händen der Einzelperson oder in einer zentralen Datenbank gespeichert werden, jedoch mit dem Verschlüsselungsschlüssel allein in ihren Händen. Diese Speicherlösungen, wenn sie mit einer Liste von empfohlenen Mindestgarantien implementiert werden, sind die einzigen Modalitäten, die der Eindringlichkeit der Verarbeitung angemessen entgegenwirken, indem sie Einzelpersonen die größte Kontrolle bieten. 


Der EDSA stellte fest, dass die auf der Speicherung in einer zentralen Datenbank basierenden Lösungen entweder innerhalb des Flughafens oder in der Cloud, ohne die Verschlüsselungsschlüssel in den Händen der Einzelperson, nicht mit den Anforderungen des Datenschutzes durch Design und Voreinstellungen vereinbar sein können und, wenn sich der Verantwortliche auf die in den analysierten Szenarien beschriebenen Maßnahmen beschränkt, die Anforderungen der Verarbeitungssicherheit nicht erfüllen würden.
In Bezug auf den Grundsatz der Speicherbeschränkung müssen die für die Verarbeitung Verantwortlichen sicherstellen, dass sie über eine ausreichende Begründung für die geplante Aufbewahrungsfrist verfügen und sie auf das für den vorgeschlagenen Zweck erforderliche Maß beschränken.

Als nächstes wurde von den Datenschutzbehörden ein Bericht über die Arbeit der ChatGPT- Taskforce angenommen. Diese Taskforce wurde vom EDSA eingerichtet, um die Zusammenarbeit zwischen den Datenschutzbehörden zu fördern, die den von OpenAI entwickelten Chatbot untersuchen.

Der Bericht enthält vorläufige Ansichten zu bestimmten Aspekten, die zwischen den Datenschutzbehörden erörtert werden, und greift der Analyse, die von jeder Datenschutzbehörde in ihrer jeweiligen laufenden Untersuchung*** vorgenommen wird, nicht vor.

Es analysiert mehrere Aspekte der gemeinsamen Auslegung der geltenden DSGVO-Vorschriften, die für die verschiedenen laufenden Untersuchungen relevant sind, wie z. B.:

  • Rechtmäßigkeit der Erhebung von Schulungsdaten („Web Scraping“) sowie Verarbeitung von Daten für Input, Output und Training von ChatGPT.
  • Fairness: die Sicherstellung der Einhaltung der DSGVO liegt in der Verantwortung von OpenAI und nicht bei den betroffenen Personen, auch wenn Personen personenbezogene Daten eingeben.
  • Transparenz und Datengenauigkeit: der für die Verarbeitung Verantwortliche sollte angemessene Informationen über den wahrscheinlichen Charakter der Ausgabe von ChatGPT bereitstellen und ausdrücklich darauf hinweisen, dass der generierte Text voreingenommen oder komponiert sein kann.
  • In dem Bericht wird darauf hingewiesen, dass es unerlässlich ist, dass betroffene Personen ihre Rechte wirksam ausüben können.

Die Taskforce-Mitglieder entwickelten auch einen gemeinsamen Fragebogen als mögliche Grundlage für ihren Austausch mit der offenen KI, der als Anhang zu dem Bericht veröffentlicht wird.

Darüber hinaus beschloss der EDSA, Leitlinien für generative KI zu entwickeln, die sich als ersten Schritt auf das Datenabwracken im Rahmen von KI-Schulungen konzentrieren.

Schließlich nahm der EDSA eine Erklärung zum „Paket für den Zugang zu Finanzdaten und Zahlungen“ der Kommission an (das die Vorschläge für die Verordnung über den Rahmen für den Zugang zu Finanzdaten (FIDA), die Verordnung über Zahlungsdienste (PSR) und die Zahlungsdiensterichtlinie 3 (PSD3) enthält).

Der EDSA nimmt die Berichte des Europäischen Parlaments zu den Vorschlägen der FIDA und der PSR zur Kenntnis, ist jedoch der Auffassung, dass im Hinblick auf die Verhinderung und Aufdeckung betrügerischer Transaktionen zusätzliche Datenschutzgarantien in den Transaktionsüberwachungsmechanismus des PSR-Vorschlags aufgenommen werden sollten. Es ist wichtig sicherzustellen, dass das Ausmaß des Eingriffs in das Grundrecht auf den Schutz personenbezogener Daten der betroffenen Personen erforderlich und in einem angemessenen Verhältnis zum Ziel der Verhinderung von Zahlungsbetrug steht. 
 

Hinweis an die Redakteure:
* Die Stellungnahme hat einen begrenzten Anwendungsbereich und prüft nicht die Verwendung der Gesichtserkennung im Allgemeinen und umfasst insbesondere nicht die Verwendung der Gesichtserkennung zu Sicherheitszwecken, Grenzkontrollen oder Strafverfolgungsbehörden.
** In der Anfrage wird davon ausgegangen, dass die Verarbeitung auf der Zustimmung jedes Passagiers beruht. Aufgrund des begrenzten Umfangs des Antrags prüft die Stellungnahme jedoch nicht die Rechtsgrundlage und insbesondere die Gültigkeit der Einwilligung für eine solche Verarbeitung.

***Bis zum 15. Februar 2024 verfügte OpenAI nicht über eine Niederlassung in der EU, weshalb der One-Stop-Shop-Mechanismus (OSS) nicht anwendbar war und jede Datenschutzbehörde für potenzielle Verstöße zuständig ist, die vor diesem Datum begangen und beendet wurden. 

Nationale Untersuchungen zu potenziellen Verstößen, die vor Februar 2024 begangen wurden, werden weiterhin in der Taskforce erörtert. Für Verstöße, die nach Februar 2024 andauern oder auftreten, gilt der OSS-Mechanismus. 

Alle Dokumente, die auf der Plenartagung des EDSA angenommen wurden, unterliegen den erforderlichen rechtlichen, sprachlichen und formatierenden Kontrollen und werden auf der Website des EDSA zur Verfügung gestellt, sobald diese abgeschlossen sind.

 

Die hier veröffentlichte Pressemitteilung wurde automatisch aus dem Englischen übersetzt.  Der EDSA übernimmt keine Gewähr für die Richtigkeit der Übersetzung. Bitte beachten Sie den offiziellen Text in seiner englischen Fassung, falls Zweifel bestehen.