Fehlerhafte Gesichtserkennung in der Strafverfolgung – Datenschutz News KW 22/2024

Moderation:

Was ist in der KW 22 in der Datenschutzwelt passiert, was ist für Datenschutzbeauftragte interessant?
Wir geben einen kurzen Überblick der aktuellen Themen:

• Auktionshaus Christie’s nach Ransomwareangriff unter Druck
• Datenschutzpanne im EU-Parlament
• Britische Gesichtserkennung identifiziert Unschuldige als Kriminelle
• EDPD Stellungnahme zu Gesichtserkennung an Flughäfen
• Bußgelder für Innenministerium und Abgeordneten in Griechenland

Empfehlungen & Lesetipps

• Melderegisterauskünfte für Wahlwerbung
• FAQ zu TikTok

Weitere Infos, Blog und Newsletter finden Sie unter: https://migosens.de/newsroom/

Twitter: https://twitter.com/DS_Talk

Übersicht aller Themenfolgen: https://migosens.de/datenschutz-podcast-themenfolgen/
(als eigener Feed: https://migosens.de/show/tf/feed/ddt/)

Instagram: https://www.instagram.com/datenschutztalk_podcast/

Folge hier kommentieren: https://migosens.de/fehlerhafte-gesichtserkennung-in-der-strafverfolgung-datenschutz-news-kw-22-2024

Transkript zur Folge: Ja jetzt so. Die Heizung. Okay, warten wir kurz ab. Es dürfte gleich zu Ende sein. Ich will auch mal einmal ihren großen Auftritt haben. Ja, warum auch nicht? Einmal einmal ins Radio, nee, einmal in Podcast die Heizung, genau. Herzlich willkommen zum Datenschutztalk, eurem wöchentlichen Datenschutz ab, Heute ist Freitag, der 31. Mai 2024 und wir starten wieder gemeinsam ins Wochenende, das natürlich äh mit einem Blick auf die Datenschutzwoche. Mein Name ist Heiko Gossen. Und mein Name ist Laura Duschinski. Unser Redaktionsschluss war wie immer um 10 Uhr und äh ein paar Themen haben wir heute mit dabei nicht so viele, glaube ich diesmal, Laura, aber das muss ja nicht schlimm sein. Geht’s halt früher ins Wochenende. So ist es und wir dürfen nicht vergessen heute Brückentag. Wir hatten ja gestern einen wohlverdienten Feiertag. Das heißt wahrscheinlich war es auch deshalb an der einen oder anderen Stelle ruhiger, weil wir ja nicht das einzige Bundesland sind mit einem freien Tag. So ist es. Und was hast du dabei? Zuallererst habe ich dabei einen rainzom Wearangriff auf das Auktionshaus Christies Dann geht’s weiter mit unserem Topthema, nämlich den Fehlern, die in einer Gesichtserkennungssoftware nun sichtbar werden, Und dann habe ich noch zwei ganz interessante Bußgeldbescheide aus Griechenland mitgebracht und zu guter Letzt ein FAQ zum Thema TikTok. Was hast du aufm Zettel? Ich würde auch eine Datenpanne besprechen wollen und zwar eine, die beim EU-Parlament passiert ist, Anfang des Monats, Gucken wir auf eine Veröffentlichung des europäischen Datenschutzausschusses zur Gesichtserkennung an Flughäfen und ich hätte noch zwei Hinweise für Veröffentlichungen und Veranstaltungen. Alles klar. Dann starte ich mal sofort. Nach einem Angriff auf das Auktionshaus Christis wird dieses nun durch die kriminellen erpresst. Die Veröffentlichung der erbeuteten Daten sollen hohe DSGVO-Strafen nach sich ziehen, so die Angreifer der Gruppe Ransom Hub, die sich, Zu diesem Angriff bekannt haben. Wie der Nachrichtendienst Blumberg berichtete, bestätigte Kristies den Einbruch bereits, spricht jedoch nur von einer begrenzten Menge an betroffenen Daten und betont, dass keine Finanzinformation oder Transaktionsdaten komprimiert wurden. Hat aber bereits auch Angaben mit Namen, Nationalitäten und Geburtsdaten veröffentlicht und setzt Christies nun weiter unter Druck bis Ende Mai zu zahlen. Sonst würden alle erbeutischen Daten öffentlich gemacht. Besonders brisant dabei, zwar mit weniger datenschutzbezug ist, aber dass Christis weniger befürchtet, dass die Person bezogene Daten veröffentlicht werden, als vielmehr, dass die Details über die Aufbewahrungsorte wertvoller Kunstwerke veröffentlicht werden könnten. Der Angriff wurde am 9. Mai bereits öffentlich und Christies nahm daraufhin ihre Webseite offline, obwohl dies kurz vor den wichtigen Mai-Auktionen war. Trotz der zehntägigen Offlinephase der Webseite gelang es Christis, über ein entsprechendes Notfallmanagement, die Auktion über eine rudimentäre Webseite dennoch erfolgreich durchzuführen, also hier hat glaube ich ein ganz Positives Beispiel, weil es nun mal auch der Kern des Geschäfts dieses Unternehmens diese Aktion zu haben. Deshalb, ich glaube, ein ganz ganz positives Beispiel. Na ja, bei den personenbezogenen Daten, das ist dann am Ende nicht so schlimm sei, ist jetzt mal so Ansichtssache, würde ich sagen. Ja, ich glaube, das ist dann auch eher vom Schadens äh Potenzial her wahrscheinlich von ihnen gedacht. Aber was ich sehr interessant finde, ist, dass die Angreifergruppe, selber sich zu der möglichen DSGVO-Strafe dann äußert, also von daher, Ja spannend, interessant. Vielleicht verhängen Sie ja noch demnächst oder preisen Sie direkt in Ihr Lösegeld mit ein. Das äh wäre noch mal ganz spannend. Können das dann direkt an die Aufsichtsbehörden beziehungsweise an die Staatskassen abführen. Ja, wer weiß, vielleicht verstecken sich auch Datenschutzexperten in dieser Gruppe. Du meinst jetzt die Aufsichtsbehörden vielleicht sogar Auftraggeber sein könnten? Wir sind da was Großem auf der. Wir sind da was großem auf der Spur. Was anderem Großen vielleicht auch, bei einer Datenpanne Anfang des Monats im EU-Parlament waren Daten von circa 9.000 Mitarbeitern von Abgeordneten betroffen. Bei der Panne sind circa 9.000 aktuelle und ehemalige Mitarbeiter der Abgeordneten betroffen und zu den kompromitierten Daten gehören sensible Informationen wie Strafregister, Auszüge, Krankenakt Arbeitsnachweise sowie Angaben zu sozialen Leistungen und Versicherungen. Außerdem sind auch persönliche Dokumente wie Geburtsurkunden, Wohnsitz, Aber auch weitere Daten aus Ausweisen und Reisepässen betroffen. Lautive oder urective wurde bereits Anfang des Jahres das Leck Im Einstellungs- und Personalmanagementsystem People festgestellt. Unklar ist, wohl aber noch, ob der Vorfall durch einen Cyberangriff oder eine andere Sicherheitslücke verursacht wurde und auch ob gegebenenfalls Drittstaaten an dem Vorfall beteiligt, Der Ausschuss für Akkreditierte parlamentarische Assistentin, kurz Apa. Der forderte nun von der Parlamentspräsidentin eine Aufklärung des äh Vorfalls und natürlich auch, dass Maßnahmen zur Minderung der Datenschutzrisiken ergriffen würden. Betroffene, also unter anderem halt auch dieser APA kritisiert, die unzureichende Informationspolitik, aber auch das Fehlen von konkreten Anweisungen seitens der Verwaltung. Da wächst äh der Unmut wohl, da es bisher auch nur zwei recht unpersönliche E-Mails von der Generaldirektion, auch ohne Entschuldigung oder detaillierte Hinweise gab und man hat wird dann auch sich beklagt, dass ja hier durchaus Risiken durch Identitätsdiebstahl und andere äh Verletzungen dann natürlich auch an den eigenen Rechten äh bestehen könnten. Was Ich persönlich natürlich, vielleicht nachvollziehen kann, aber vor allen Dingen, glaube ich, ist es halt wichtig, dass man das natürlich auch wieder mal jetzt von den Betroffenen selber hört, die auch im EU-Parlament arbeiten. Dass man halt das Thema da natürlich auch selber als Betroffene plötzlich vielleicht etwas ähm noch höher priorisiert. Das war’s von mir zu der Meldung. Jetzt, darfst du. Darf ich? Ich hatte noch überlegt, ob ich die Brücke schon schlage zu meiner späteren Nachricht, äh weil’s da auch um ähm Pannen geht im Ministerium und ich das immer wieder überraschend finde, dass in diesen Kreisen eben das auch nicht immer perfekte Hand habt, wir. Findest du’s so überraschend? Ehrlich gesagt wundert’s mich, dass wir früher nie so viel davon mitbekommen haben, weil ich glaube, die gab’s früher schon genauso. Wahrscheinlich wird so sein, ja hast du recht. Ich komme zu unserem Titelthema heute und zwar sind im Laufe der Woche brisante Fälle von Fehlidentifizierung durch Gesichtserkennungssoftware in Großbritannien bekannt geworden. Die BBC berichtet von mehreren Personen, die zu Unrecht als Kriminelle beschuldigt wurden Darunter unter anderem ein Mitarbeiter der Anti-Gewaltsorganisation Streetfathers. Er wurde auf dem Heimweg von der Polizei irrtümlich als gesuchte Person identifiziert, festgehalten und musste trotz Ausweis mehrerer Dokumente, Fingerabdrücke abgeben. In einem weiteren Fall wurde eine Frau in Manchester fälschlicherweise des Diebstahls beschuldigt, nachdem sie Software sie als Verdächtiger erkannt hatte. Sie erhielt Hausverbot in einer Kette von Geschäften und die ist eben auch unberechtigt Die Metropolitan Police nutzt Gesichtserkennung, um Personen auf einer Beobachtungsliste zu identifizieren. Dieses Jahr führte das System bereits zu 192 Festnahmen. Das finde ich persönlich im Endemonat Mai ganz schön viel. Gegenüber der BBC sagte die Metropolitan Police, dass die Wahrscheinlichkeit, dass die Software Passanten fälschlicherweise bezichtigt, lediglich, 1zu 33tausend liegt. Jedoch werden jetzt halt immer mehr Fälle bekannt. Forscher und Bürgerrechtsorganisationen in Großbritannien kritisieren nun und ich finde zurecht die unklare Rechtslage rund um die noch neue Technologie. Waren vor der Normalisierung der Gesichtserkennung, also dass die Menschen sich eben dran gewöhnen, dauerhaft überwacht zu werden, dass Daten im Hintergrund gesammelt werden, aber halt eben auch in diesen Ernstfällen falsch ausgewertet werden. In Europa und in den USA haben Datenschutzbehörden und Städte ja bereits Maßnahmen gegen den Einsatz von Gesichtserkennungssoftware an der ein oder anderen Stelle ergriffen und wohl angeblich soll’s auch in Großbritannien eine neue Strategie kurz vor Einführung stehen. Halten wir natürlich weiterhin ein Auge drauf. Also bleibt weiterhin immer noch die Diskussion zwischen der Balance der Sicherheit grundsätzlich, aber natürlich auch der Bürgerrechten. Warum sollte es auch in Großbritannien anders sein als bei uns, oder Heiko. Ja, wobei das ja da echt grade in den Großstädten wie London eine sehr intensiv genutzte Technologie ist. Das hatten wir ja auch schon mehrfach, wo wir drüber berichtet haben, wie viel Kameras da überall in der Stadt hängen und auch in der Vergangenheit ja schon immer wieder fälschlicherweise Leute darüber dann als irgendjemand anders identifiziert wurden, Ist natürlich, glaube ich, grade jetzt mit dem Eieck noch mal interessant, weil da ist das Thema ja auch äh drin und wenn ich’s richtig in Erinnerung habe, gehört’s ja auch zu den Risiko- beziehungsweise Hochrisiko-KIs, Von daher wird’s da wahrscheinlich eh ein bisschen strengere Anforderungen zukünftig zu beachten geben. Ja, Thema Gesichtserkennung bleiben wir bei, In seiner Plenarsitzung in der letzten Woche hat der europäische Datenschutzausschuss eine Stellungnahme zum Einsatz von Gesichtserkennungstechnologie zur Identitätsfeststellung durch Flughafenbetreiber und Fluggesellschaften veröffentlicht Die Etzer-Vorsitzende Arno Talus warnte nun vor den möglichen Gefahren wie falschen Negativergebnissen, Diskriminierung und Identitätsdiebstahl. Fordert daher, dass äh Flughäfen und Fluggesellschaften weniger aufdringliche Methoden bevorzugen, und den Fluggästen die größtmögliche Kontrolle über ihre biometrischen Daten erhalten lassen sollten. Die Stellungnahme beleuchtet unter anderem die Vereinbarkeit der Datenverarbeitung mit verschiedenen Datenschutzgrundsätzen, wie wir sie aus der DSGVO natürlich alle kennen. Der untersuchte dabei verschiedene Speicherlösungen wohl auch für biometrische Daten und empfiehlt, dass nun solche Lösungen nur solche Lösungen eingesetzt werden, denen die Daten in den Händen der Betroffenen verbleiben oder Wenn Sie als zentral gespeichert werden, dann nur in einer verschlüsselten Datenbank mit Schlüsseln, wo der Betroffene selber Besitzer des Schlüssels bleibt. Andere zentralisierte Lösungen ohne eine ausreichende Sicherheitstechnik erfüllten laut Etzer wohl nicht die Datenschutzanforderungen Zum Hintergrund, es gibt keine einheitliche gesetzliche Pflicht innerhalb der EU, die eine Überprüfung der Identität der Fluggäste vorschreibt, aber natürlich entsprechende nationale ähm Gesetze können das entsprechend verlangen. Insgesamt betonte Etze auch die Notwendigkeit, dass nur biometrische Daten von freiwillig teilnehmenden Fluggästen verarbeitet werden dürfen und dass die für die Verarbeitung klare und begrenzte Aufbewahrungsfristen festlegen müssten, Hintergrund ist, dass diese Technologie halt natürlich verstärkt eingesetzt wird, um den Passagierfluss zu verbessern und ähm auf der anderen Seite aber natürlich die Risiken für die Privatsphäre der Reisenden. Da halt biometrische Daten natürlich verarbeitet werden. Hier als besonders sensibel gelten. Auf der anderen Seite stehen und hier immer wieder dann auch abgewogen werden muss. Solch eine Datenverarbeitung wirklich gerechtfertigt ist. Wir, Denken dran, dass die biometrischen Daten natürlich unter die besonderen Kategorien personenbezogener Daten fallen. Wir gelten strengere Anforderungen, das wissen wir alle und äh deswegen glaube ich, ist auch hier noch mal der Hinweis ganz gut. Das Ganze wurde in Frankreich ausgelöst, ist aber halt für alle Mitgliedsstaaten gilt. Sinnvoll. Mein Kommentar dazu. Eher schon zu Beginn angekündigt habe ich, Bußgelder oder bisher so gesagt ähm Bußgeldbescheide aus Griechenland mitgebracht oder äh die Nachricht dazu und zwar verschickte nun die griechische Aufsichtsbehörde diese, da Wählerdaten zu politischen Werbung missbraucht wurden. Die griechische Aufsichtsbehörde fordert vom dortigen Innenministerium eine Geldstrafenhöhe von 400.000 Euro, da dieses unrechtmäßig Wählerlisten mit rund, 25.000 griechischen Staatsbürgern, die im Ausland lebten, an ein Mitglied des Europaparlaments weitergeleitet hatte, Ebenso wurde auch der Empfänger der Daten belangt, der Abgeordnete hatte mit den erhaltenen E-Mail-Adressen nämlich politisch motivierte Newsletter verschickt, was ihnen persönlich nun einen Bußgeldbescheid in Höhe von 40.000 Euro einbrachte. Neben der mangelhaften Information zum Datenschutz gemäß Artikel 14, DSGVO wurde auch die fehlende Möglichkeit des Widerspruchs an die Datenverarbeitung bemängelt, denn als die Empfänger sich von diesem scheinbaren Newsletter äh abzumelden versuchte wurde dies laut der Webseite abgelehnt. Auch für Fisch gelöst. Ähm die Aufsichtsbehörde ist aufgrund einer Vielzahl von Beschwerden aktiv geworden, obwohl, Wie gesagt, ähm über 25.000 waren davon betroffen und laut Aussagen der Aufsichtsbehörde hatten sich nur in Anführungsstrichen 66 beschwert, aber ja schon mal zu begrüßen, dass Team dann natürlich auch nachgekommen worden ist. Wie er grad schon mal in der anderen Meldung gesagt, Wie gesagt, ich bin ja immer wieder dann doch überrascht, dass doch die Ministerien das nicht so eng sehen mit dem Datenschutz Was ich aber in den weiteren Recherchen noch gefunden hatte, ist, dass das gar nicht so selten sind, dass in Griechenland die Datenschutzaufsichtsbehörde auch äh Bußgeld Bescheide Richtung Ministerien verhängt, denn im April diesen Jahres äh hat auch hier war hier auch Empfänger das Ministerium für Migration und Asyl wegen einer rechtswidrigen Überwachung von Flüchtlingscamps auf verschiedensten griechischen Inseln. Da wurden sie damals mit einem Bußgeldbescheid in Höhe von 175.000 Euro belangt. Also da scheint die nationale Datenschutzaufsicht würde in Griechenland doch sehr aktiv zu sein und auch in diese Richtung zu ermitteln. Bin ja immer noch kein Freund davon, dass das in Deutschland nicht möglich ist gegenüber Behörden, entsprechende Bußgelder auch zu verhängen. Ich glaube, das tät ihn hier auch manchmal ganz gut, kommen dann zu den Veröffentlichungen Veranstaltungen. Ich hätte da eine Pressemitteilung des äh Landesbeauftragten für den Datenschutz Niedersachsen zur Wahlwerbung per Post. Und äh auch die auch dem Hinweis auf ein Widerspruchsrecht, Er erklärt noch mal, dass Parteien auch aus dem Melderegisterdaten beziehen können, sechs Monate vor einer Wahl und diese natürlich aber auch einen Monat nach der Wahl wieder löschen müssen, die aber halt nutzen dürfen für Wahlwerbung und dass man dem Ganzen natürlich widersprechen darf. Das Ganze geht zurück auf Paragraph fünfzig, das ist im Bundesmeldegesetzes. Er sagt in seiner Pressemitteilung, das fand ich ganz interessant, dass es für Bundes- und Kommunalwahlen und Landeswahlen gilt, was ja die Europawahl eigentlich gar nicht ist. Aber das Bundesmeldegesetz sagt halt auf äh staatlicher Ebene und von daher vermute ich, dass halt auch die Parteien Auch bei der Europawahl wahrscheinlich dieses Recht haben, aber vielleicht weiß ja jemand mehr und kann’s dazu auch noch mal aufschlauen hier. Wäre auf jeden Fall interessant, Ich habe auch eine Veröffentlichung mitgebracht und zwar hat das Team vom Landesbeauftragten für Datenschutz und die Informationsfreiheit aus Baden-Württemberg ein FAQ zum Thema TikTok, veröffentlicht, nämlich dann, wenn es durch behördliche Stellen genutzt wird, also für behördliche Zwecke eingesetzt wird Von öffentlichen Stellen. So ist es, glaube ich, richtig. Kritisiert ja immer wieder dieses Thema, insbesondere Social Media Aktivitäten auf diesem Portal, aber es betrifft nicht nur TikTok, sondern natürlich auch andere Portale, wo die Einflussmöglichkeiten auf die Verarbeitung personenbezogener Daten einfach beschränkt ist und natürlich auch die Nutzungsbedingungen meistens nur ja recht intransparent sind, Dieses FAQ bietet nun eine Checkliste an, um eben für die öffentlichen Stellen festzustellen, ob der Einsatz vom, im jeweiligen Anwendungskontext überhaupt Datenschutzkonform möglich ist. Der LFTI stellt natürlich wie auch so viele andere Datenschützer infrage, ob denn überhaupt die Plattform. Mit den Anforderungen des europäischen und des deutschen Datenschutzrechts, Übereinkommen. Insbesondere führt er hier auch noch mal an, die datenschutzrechtlichen Grundprinzipien, dass diese eingehalten werden und das natürlich immer wieder gültige Rechtsgrundlagen auch in den Fokus gerückt werden müssen, wenn man dieses, verarbeiten möchte oder wenn man Daten hierüber auch verarbeiten möchte, dann sieht er natürlich äh das Risiko bei der Datenverarbeitung von Minderjährigen auf diesen Plattformen natürlich an und zu guter Letzt natürlich auch, Dass die Informationspflichten entsprechend der Anforderung an die Transparenz auch eingehalten werden, also dass es da auch den öffentlichen Stellen möglich ist, einmal abzuhaken, ob diese Punkte denn alle erfüllt sind. Also auch das packen wir hier gerne in die Shownotes. Wunderbar. Damit sind wir für heute durch. Wie gesagt, eine etwas kürzere Folge heute. Wir wünschen euch ein schönes Wochenende und dir vielen Dank Laura. Bleibt uns gewogen und auf bald.