– Geschrieben von Aurora Agostini, Jessica Giussani und Giorgia Rastelli

Am 14. Juni 2023 schlug das Europäische Parlament das erste europäische Gesetz über künstliche Intelligenz vor (das „AI Act“), das nach der Zustimmung der Europäischen Union voraussichtlich ab nächstem Jahr in Kraft treten wird. Dieses Ereignis festigt Europas Position als Zentrum einer hitzigen Debatte über biometrische Technologien (auch bekannt als Biometrie), d.h. „alle automatisierten Prozesse, die zur Erkennung einer Person dienen, indem physische, physiologische oder Verhaltensmerkmale quantifiziert werden […]“.

In diese Kategorie fällt auch die Gesichtserkennung, die eine automatische Erkennung von Personen „auf Grundlage ihres Gesichts zur Authentifizierung oder Identifizierung“ ermöglicht.

Wie die Gesichtserkennung funktioniert

Die Gesichtserkennung basiert auf der Erfassung des Bildes des Gesichts einer Person und der Extraktion ihrer einzigartigen Merkmale, um eine digitale Darstellung davon zu erstellen, die als biometrisches Template bezeichnet wird und in einer Datenbank gespeichert wird. Das System führt dann einen Vergleich zwischen dem erhaltenen Template und denen, die bereits in der Datenbank vorhanden sind, durch, um mögliche Übereinstimmungen zu überprüfen.

Es ist erwähnenswert, dass die Gesichtserkennung eine probabilistische Technologie ist, was bedeutet, dass Übereinstimmungen basierend auf der Wahrscheinlichkeit festgelegt werden, dass die „untersuchte“ Person tatsächlich die Person ist, nach der das System sucht.

Die Anwendungen von künstlicher Intelligenz

Es ist erwähnenswert, dass Gesichtserkennungssysteme zwei Funktionen haben können:

  1. Authentifizierung einer Person: Diese Funktion wird auch als „eins-zu-eins-Verifizierung“ bezeichnet, da die Aktivität des Systems darauf abzielt, die Identität der Person zu überprüfen. Das System vergleicht den „Echtzeit“-Template der Person mit dem bereits im Datensatz vorhandenen, um festzustellen, ob eine Übereinstimmung besteht. Ein Beispiel für ein Authentifizierungssystem ist die Gesichtserkennungsfunktion, die es ermöglicht, ein Smartphone zu entsperren.
  2. Identifizierung einer Person: Diese Funktion wird auch als „eins-zu-viele-Verifizierung“ bezeichnet, da das System alle in einem bestimmten Moment erfassten Templates mit einem bestimmten Template vergleicht, das bereits im Datensatz vorhanden ist. Das Ziel des Systems ist es, eine bestimmte Person innerhalb einer Gruppe von Menschen oder einem geografischen Bereich zu identifizieren. Ein Beispiel für ein solches System ist das Gesichtserkennungssystem, das für das Olympiastadion Rom genehmigt wurde und die Identifizierung von Straftätern ermöglichen sollte, denen der Zugang zu öffentlichen Orten wie Sportarenen untersagt ist.

Risiken der künstlichen Intelligenz

In Bezug auf Punkt (2.) oben würde der AI Act den Einsatz unmittelbarer realer biometrischer Identifikationssysteme in öffentlich zugänglichen Räumen ohne Ausnahme verbieten. Ferngesteuerte Systeme können jedoch weiterhin für die Verfolgung schwerer Straftaten und mit gerichtlicher Genehmigung verwendet werden.

Der AI Act würde ein Regelungssystem einführen, das in verschiedene Risikostufen unterteilt ist und Verpflichtungen für Anbieter und Nutzer festlegt:

  • In der höchsten Kategorie, derjenigen des inakzeptablen Risikos, werden künstliche Intelligenzsysteme, die eine Bedrohung für Einzelpersonen darstellen, verboten sein. Dies umfasst die kognitive Verhaltensmanipulation bestimmter gefährdeter Personen oder Gruppen, soziale Bewertungen, die Menschen basierend auf Verhalten, sozioökonomischem Status und persönlichen Merkmalen klassifizieren, sowie Echtzeit- und Fernerkennungssysteme für biometrische Identifikation wie Gesichtserkennung.
  • KI-Systeme, die eine negative Auswirkung auf die Sicherheit oder grundlegende Rechte haben, werden als Hochrisiko eingestuft. Hochrisiko entspricht einem „erheblichen Risiko“ für die Gesundheit, Sicherheit oder grundlegende Rechte. In diesem Fall verbietet der AI Act nicht ihren Einsatz, sondern legt spezifische Anforderungen fest, die erfüllt werden müssen.
  • Künstliche Intelligenzsysteme mit begrenztem Risiko unterliegen Mindestanforderungen an Transparenz, um Benutzern eine informierte Entscheidungsfindung zu ermöglichen. Dies umfasst KI-Systeme, die Bild-, Audio- oder Videomaterial generieren oder manipulieren.
  • Im Falle von Szenarien mit geringem Risiko besteht keine rechtliche Verpflichtung.

KI-Privatsphäre und -Sicherheit

In jedem Fall, unabhängig von der Tätigkeit, die vom System durchgeführt wird, stellt der Gesichtserkennungsvorgang eine Verarbeitung personenbezogener Daten dar, insbesondere von biometrischen Daten. Es ist darauf hinzuweisen, dass „biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person“ gemäß Artikel 9 der DSGVO in die Definition „besonderer Kategorien von Daten“ fallen, die aufgrund ihrer sensiblen Natur einen erhöhten Schutz für diese Art von Daten gewährleisten. Aus diesem Grund muss die Einführung eines Gesichtserkennungssystems zwangsläufig im Rahmen der Datenschutz-Grundverordnung Nr. 2016/679 („DSGVO„) und der Richtlinie über die Strafverfolgung [1] (“LED”) untersucht werden, um festzustellen, ob diese Art von Technologie mit den in den Artikeln 7 und 8 der Europäischen Menschenrechtskonvention („EMRK„) verankerten Rechten, nämlich dem Recht auf Achtung des Privatlebens und der Kommunikation sowie dem Recht auf Schutz personenbezogener Daten, vereinbar ist.

KI und DSGVO

Es ist wichtig zu beachten, dass diese Systeme gemäß der DSGVO (oder der LED) nur dann konform sind, wenn ihre Einführung strikt notwendig und verhältnismäßig für die beabsichtigten Zwecke ist und auf einer der im Rahmen der Verordnung festgelegten rechtlichen Grundlagen beruht. Angesichts der Art der betroffenen Daten könnte man annehmen, dass die Einholung einer Einwilligung der sicherste und einfachste Weg ist, um eine rechtmäßige Verarbeitung sicherzustellen. Dies gilt jedoch nur, wenn der Datenverantwortliche ein privates Unternehmen ist.

Wenn Gesichtserkennung von einer öffentlichen Behörde verwendet wird, ist eine andere Rechtfertigung für die Verarbeitungstätigkeit erforderlich, insbesondere „zu Zwecken der Verhütung, Untersuchung, Aufdeckung oder Verfolgung von Straftaten oder der Vollstreckung von Strafen einschließlich des Schutzes vor und der Verhinderung von Gefahren für die öffentliche Sicherheit“. Dies bedeutet jedoch nicht, dass die Verarbeitungstätigkeiten in beliebigen Umständen ohne ordnungsgemäße Information der betroffenen Personen durchgeführt werden können. Eine solche Vorgehensweise würde nicht nur gegen den Datenschutz verstoßen, sondern auch ein weit verbreitetes Gefühl der ständigen Überwachung erzeugen, was andere grundlegende Rechte wie das Recht auf Meinungsfreiheit (Artikel 10 EMRK) und das Recht auf Vereinigungsfreiheit (Artikel 11 EMRK) beeinträchtigen würde.

Aufsichts-KI

Ein weiterer Aspekt, der berücksichtigt werden muss, ist, dass der rechtliche Rahmen des Datenschutzes das Recht Einzelner beinhaltet, „nicht einer ausschließlich auf automatisierter Verarbeitung beruhenden Entscheidung unterworfen zu sein, einschließlich Profiling, die ihm oder ihr rechtlich erheblich betrifft oder ähnlich erheblich beeinflusst“ (Artikel 22 der DSGVO und Artikel 11 der LED).

Diese Bestimmung gewährleistet, dass Einzelpersonen sowohl ein menschliches Aufsichtsrecht über die Verarbeitungstätigkeit haben als auch die Möglichkeit, sich gegen automatisierte Verarbeitung zu entscheiden und ihre Daten von einer menschlichen Person bewerten zu lassen. Diese Garantie ist besonders wichtig aufgrund von zwei Faktoren:

  • Gesichtserkennungssysteme verarbeiten sensible Daten;
  • die Verarbeitungstätigkeit kann zu Profiling und potenziell diskriminierenden Ergebnissen führen.

Abschließend ist es erwähnenswert, dass der bestehende rechtliche Rahmen für die Gesichtserkennung bald durch die bevorstehende Umsetzung des AI Act Änderungen erfahren wird. Diese neue Verordnung nimmt eine strengere Haltung gegenüber Gesichtserkennungstechnologien ein, indem sie sie als „hochriskante Künstliche Intelligenzsysteme“ einstuft und strenge Konformitätsanforderungen und Einhaltungspflichten vorschreibt.

[1]Die Richtlinie (EU) 2016/680 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Untersuchung, Aufdeckung oder Verfolgung von Straftaten oder der Vollstreckung von Strafen sowie zum freien Datenverkehr, regelt den Schutz personenbezogener Daten im Zusammenhang mit der Verarbeitung durch staatliche Stellen.