Schreckgespenst Face Recognition
Die Fähigkeit zur Erkennung und Unterscheidung von Gesichtern erwerben wir normalerweise bereits in unseren ersten Lebensmonaten. Täglich begegnen wir hunderten Menschen, sei es auf der Straße, in der U-Bahn oder beim Einkaufen. Dabei sehen wir zwar ihre Gesichter, die Namen und die Personen dahinter kennen wir jedoch nicht. Noch nicht. Mit Hilfe von allerlei Referenzdaten, die wir primär über unsere Aktivitäten auf sozialen Netzwerken preisgeben, wird es immer einfacher, Gesichter, Personen und Namen miteinander zu verknüpfen. Dabei tauchen auch immer wieder die Schlagworte «Face Recognition» oder «automatische Gesichtserkennung» auf. Doch was versteht man darunter eigentlich? Wie funktioniert diese Technologie und welche datenschutzrechtlichen Probleme kommen dadurch auf uns zu?
Was ist Face Recognition und wie funktioniert die Technologie?
Technische Anwendungen zur Gesichtserkennung gehören zur Kategorie der biometrischen Verfahren und werden heute vor allem im Sicherheitsbereich eingesetzt um Personen zu identifizieren bzw. zu verifizieren.
Systeme zur Gesichtserkennung arbeiten dabei typischerweise mit numerischen Codes, den sogenannten Face-Prints. Dazu werden bis zu 80 Knotenpunkte, das heißt spezielle, messbare Eigenschaften des menschlichen Gesichts, wie zum Beispiel die Länge und Breite der Nase oder die Form der Wangenknochen in digitalen Aufnahmen erkannt und extrahiert. Diese Face-Prints dienen anschließend als Vergleichsbasis für andere Gesichtsdaten.
Soziale Netzwerke und Gesichtserkennung
Die Technik, die bisher vor allem staatlichen Organen wie Geheimdiensten oder der Polizei dazu diente, Kriminelle zu identifizieren, wird heute immer alltäglicher und bereits breitflächig von nicht-staatlichen Akteuren eingesetzt. So nutzt zum Beispiel die amerikanische Fast Food-Kette Kentucky Fried Chicken seit neustem ebenfalls eine Software zur Gesichtserkennung um ihren Kunden in Peking das ideale Menü vorzuschlagen. Und auch für Kreditkartenbesitzer soll die Technik in Zukunft angewendet werden. MasterCard und Amazon planen bereits, biometrische Daten mit ihren Bezahldiensten zu verknüpfen. Und auch der Einzelhandel möchte sich Gesichtserkennungssoftware für personalisierte Werbung zu Nutze machen.
Für den größten Aufschrei sorgte in den letzten Jahren jedoch die Verknüpfung dieser Technik mit den gigantischen Datenbanken sozialer Netzwerke.
Laut dem Designer Adam Harvey, der sich primär mit der Konvergenz von Überwachungs-, Datenschutz- und Datenanalysetechnologien beschäftigt, sind «Social-Media-Beiträge das Superfood für Gesichtserkennung», denn immer mehr Menschen teilen Bilder, Videos oder Livestreams auf diversen sozialen Netzwerken wie Facebook, Instagram oder Snapchat. Problematisch ist dabei, dass immer mehr Unternehmen daran interessiert sind, die geteilten Inhalte für andere Zwecke zu nutzen, was zu einer Reihe datenschutzrechtlicher Bedenken führt. Dabei gilt bis anhin die Datenschutzrichtlinie (95/46/EG) als einschlägiger Rechtsrahmen. Die 1995 vom Europäischen Parlament erlassene Richtlinie dient dem Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und beschreibt Mindeststandards für den Datenschutz, die in allen Mitgliedstaaten der EU durch nationale Gesetze sichergestellt werden müssen. Nach § 3 Abs. 1 Bundesdatenschutzgesetz (BDSG) handelt es sich bei den oben erwähnten Face-Prints, die von Gesichtserkennungssystemen gespeichert werden, um personenbezogenen Daten. Diese sind von besonderer Relevanz, da sie sich auch mit der Zeit nur wenig bis gar nicht verändern und Menschen somit auch nach Jahren noch mit Hilfe dieser Gesichtsmerkmale identifiziert werden können.
Zwei prominente Beispiele aus den letzten Jahren, die auf Gesichtserkennung setzen und damit auch immer wieder auf Kritik stießen sind Facebook und die russische App «FindFace».
Wie Facebook automatische Gesichtserkennung einsetzt (und wie man sie deaktiviert)
Starke Opposition kam bereits im Jahr 2012 auf, als Facebook erstmals ein Verfahren der automatischen Gesichtserkennung auf seiner Social Media Plattform einsetzen wollte. Schon damals haben Datenschützer vor dem großen Missbrauchspotenzial gewarnt und argumentiert, dass das Recht am eigenen Bild dadurch komplett ausgehebelt würde. Der zuständige Hamburgische Datenschutzbeauftragte erließ im September 2012 eine Verwaltungsanordnung gegen Facebook, die das Unternehmen zur datenschutzkonformen Umsetzung der Technik verpflichtete. Diese beinhaltet unter anderem eine ausdrückliche Einwilligung der Nutzer und deren Aufklärung über Folgen und Risiken. Um ein Datenschutzverfahren zu vermeiden, zog Facebook seine eingeführte Gesichtserkennung in ganz Europa zurück und löschte alle bis dahin erfassten biometrischen Daten.
Mit der Funktion «DeepFace» startete Facebook 2014 dann einen neuerlichen Anlauf zur automatischen Gesichtserkennung mit dem Ziel, das Markieren von Personen auf Fotos zu vereinfachen. Stellt man ein Foto auf Facebook, vergibt das System den darauf abgebildeten Personen automatisch den richtigen Namen. Und zwar mit beängstigender Genauigkeit. Laut einem Artikel aus dem Bieler Tagblatt können in 97,25 Prozent aller Fälle korrekte Aussagen über Personen gemacht werden machen, die auf einem Foto abgebildet sind. Zur Zeit greift die Gesichtserkennungssoftware erst bei den Facebook-Freunden eines Nutzers. Ist man hingegen nicht mit dem Benutzer befreundet, erhält dieser keine automatischen Angaben zur eigenen Person.
Aktuell lässt sich die automatische Gesichtserkennung bei Facebook übrigens gänzlich deaktivieren. Eine Anleitung auf Englisch mit weiteren Facebook-spezifischen Tipps und Tricks gibt’s hier.
Trotz ausgeschaltetem Face Recognition Feature können Facebook-Freunde allerdings manuell immer noch eine eine Markierung auf einem Foto vornehmen. Doch auch dies lässt sich mit ein paar Klicks besser kontrollieren. Facebook erklärt in der Hilfe-Sektion, wie man Markierungen kontrollieren kann.
Lebendige Horrorvision: Die Flirt-App «FindFace»
Welche negativen Folgen der Einsatz der Gesichtserkennung haben kann, zeigt die russische App «FindFace» eindrücklich. Die Anfang 2016 lancierte App wurde ursprünglich dazu entwickelt, Onlinedating zu revolutionieren.
Die App funktioniert eigentlich ganz einfach: Man kann eine beliebige Person auf der Straße fotografieren und das Programm durchsucht auf VK, dem russischen Pendant zu Facebook mit ca. 300 Millionen Nutzern, alle Bilder nach möglichen Übereinstimmungen. Die App liefert dann das Profil, das dem hochgeladenen Gesicht am ehesten entspricht und zehn weitere Personen, die ähnlich aussehen. Die Genauigkeit der modernen Formelberechnung soll dabei bei 70 Prozent liegen.
Doch die App erleichtert nicht nur das digitale Anbandeln. Vielmehr ist eine heftige Diskussionen um die Privatsphäre entbrannt. So sammelten Nutzer beispielsweise Fotos von Pornodarstellerinnen und -darstellern und konnten mit Hilfe von «FindFace» deren Identitäten ausfindig machen, diese kontaktieren oder sogar erpressen. Alexander Kabakov, einer der beiden Gründer der App zeigt sich in einem Gespräch mit WIRED wenig beeindruckt von den negativen Folgen von FindFace: «Man kann unsere Technologie auch für schlechte Zwecke einsetzen, aber daran können wir nichts ändern».
Zukunft der Gesichtserkennung — Ende der Anonymität?
Für Datenschützer sind Anwendungen wie Facebooks Gesichtserkennung oder «FindFace» eine reine Horrorvision. Sie gehen davon aus dass die Anonymität in Zukunft sogar auf der Straße aufgelöst wird (sofern dies nicht schon längst geschehen ist). Die Technologie macht weiter große Fortschritte und wird immer genauer, so dass jedes öffentlich entstandene Bild eines Menschen auf die genaue Identität hin analysiert werden kann.
Verhalten positiv stimmt zumindest, dass ein Dienst wie «FindFace» in der EU vorerst Schwierigkeiten haben dürfte, sich durchzusetzen. Eine aktive Datenschutzbewegung wehrt sich seit Jahren gegen eine blinde Adaption von Technologien, die unsere Privatsphäre in solch krasser Art und Weise untergraben. Und auch das neue Datenschutzabkommen der EU, das Anfang 2018 in Kraft tritt, setzt der Bildverarbeitung sozialer Netzwerke Schranken. Doch wie schlagkräftig diese Richtlinien und Gesetze, die im EU-Raum gelten, in einer globalisierten Welt effektiv sind, wird sich erst noch zeigen müssen.
