Die schwedische Datenschutzbehörde (Datainspektionen, DPA) verhängte zum ersten Mal eine Geldbusse aufgrund eines Verstosses gegen die EU-Datenschutzgrundverordnung (DSGVO). Gebüsst wurde eine Schule in Skellefteå, welche die Anwesenheitskontrolle der Schüler einer Pilotklasse über einen dreiwöchigen Zeitraum mittels einer Gesichtserkennungssoftware durchführte. Die DPA erachtete die Einwilligung der Eltern der Schüler im vorliegenden Fall wegen des Abhängigkeitsverhältnisses als nicht freiwillig erteilt. Zudem habe es die Schule gemäss der DPA unterlassen, eine vorgängige Datenschutz-Folgenabschätzung durchzuführen, obwohl eine solche in casu nötig gewesen wäre. Die in Nordschweden liegende Schule wird wegen dieser Verstösse gegen die DSGVO mit einer Busse von rund 21’000 CHF gebüsst.

Einsatz von Gesichtserkennungssoftware zur Anwesenheitskontrolle von Schülern

Dem Sanktionsentscheid der DPA lag folgender Sachverhalt zugrunde: Um die Anwesenheitskontrolle effizient zu gestalten, startete eine Schule im nordschwedischen Skellefteå mit einer Klasse von 22 Schülern ein Pilotprojekt und führte über einen Zeitraum von drei Wochen die Anwesenheitskontrolle mittels einer Software zur Gesichtserkennung durch. Die Gesichter der Schüler wurden jeweils beim Eintreten und Verlassen des Klassenzimmers gescannt. Die Eltern der Kinder der Pilotklasse willigten in den testweisen Einsatz der Gesichtserkennung ein. Trotz der Einwilligung der Eltern, schritt nun die DPA ein und verhängte gegen die verantwortliche Schulbehörde eine Geldbusse von 200’000 SEK (rund 21’000 CHF).

Rechtswidrige Verarbeitung sensibler biometrischer Daten

Nach der EU-Datenschutzgrundverordnung (DSGVO) muss sich der Verantwortliche einer Verarbeitung von personenbezogenen Daten auf einen Erlaubnistatbestand, wie z.B. eine Einwilligung, einen Vertrag oder eine gesetzliche Pflicht stützen können (Art. 6 Abs. 1 DSGVO). Fehlt ein Erlaubnistatbestand, ist die Verarbeitung der Daten unzulässig und verstösst gegen die DSGVO. Im vorliegenden Fall stützte sich die Schule in Skellefteå auf die von den Eltern der Schüler erteilte Einwilligung. An die Gültigkeit einer Einwilligung stellt die DSGVO strenge Anforderungen (vgl. z.B. MLL-News vom 31.5.2019). Die Einwilligung muss insbesondere freiwillig erfolgen, was im Lichte der Umstände ermittelt wird, wie zum Beispiel dem Vorliegen eines Abhängigkeitsverhältnisses zwischen den betroffenen Personen und dem für die Verarbeitung Verantwortlichen (Art. 7 DSGVO).

Im vorliegenden Fall setzt die nordschwedische Schule eine Gesichtserkennungssoftware ein, welche die Daten der Schüler der Pilotklasse verarbeitet. Bei personenbezogenen Daten, welche mit speziellen technischen Verfahren gewonnen werden und die physischen, physiologischen oder verhaltenstypischen Merkmale einer Person erfassen, so dass diese eindeutig identifiziert werden kann, handelt es sich um sog. biometrische Daten (Art. 4 Abs. 1 Ziff. 13 DSGVO). Als Beispiel für biometrische Daten nennt die DSGVO explizit Lichtbilder, die mit speziellen technischen Mitteln verarbeitet werden und so die eindeutige Identifizierung oder Authentifizierung einer natürlichen Person ermöglichen. Insofern handelte es sich beim Einsatz der Gesichtserkennungssoftware zur Anwesenheitskontrolle um die Verarbeitung von biometrischen Daten der betroffenen Schüler. Biometrische Daten in diesem Sinne qualifizieren als besondere Kategorien von personenbezogenen Daten im Sinne der DSGVO und bedürfen somit eines erhöhten Schutzes (Art. 9 Abs. 1 DSGVO). Beispielsweise kann eine Einwilligung in die Verarbeitung von besonderen Kategorien von personenbezogenen Daten, wie bei den hier vorliegenden Gesichtsbildern, nur ausdrücklich erfolgen.

Die DPA kritisierte sodann auch nicht, dass keine Einwilligung vorlag. Jedoch bestehe in der vorliegenden Konstellation ein deutliches Ungleichgewicht zwischen der Schulbehörde und den betroffenen Personen, sodass zwar eine Einwilligung vorliege, diese aber nicht freiwillig erteilt worden sei. Gemäss der DPA ist das Abhängigkeitsverhältnis der betroffenen Schüler zur Schule zu gewichtig, sodass die Einwilligung im vorliegenden Fall keine gültige Rechtsgrundlage für den Einsatz der Gesichtserkennungssoftware sei.

Schliesslich sei der Einsatz einer Gesichtserkennung zur Anwesenheitskontrolle auch unverhältnismässig, da genügend andere mildere Mittel zur Verfügung stünden, um die An- bzw. Abwesenheit einzelner Schüler einer Klasse zu kontrollieren, ohne derart stark in deren Rechte und Freiheiten einzugreifen.

Versäumte Durchführung einer Datenschutz-Folgenabschätzung

Sobald eine Verarbeitung ein hohes Risiko für die Freiheiten und Rechte einer natürlichen Person zur Folge hat, ist der Verantwortliche dazu verpflichtet, eine Datenschutz-Folgenabschätzung vorzunehmen (vgl. MLL-News vom 31.5.2019). Ob ein hohes Risiko besteht, wird aufgrund des Umfangs, der Umstände, der Art und Weise, des Zwecks oder bei Verwendung neuer Technologien beurteilt (Art. 35 Abs. 1 DSGVO). Der Verantwortliche muss die Aufsichtsbehörde zudem konsultieren, wenn aus der Datenschutz-Folgenabschätzung hervorgeht, dass die Verarbeitung ein hohes Risiko für die Freiheiten und Rechte der betroffenen Personen mit sich bringt und insbesondere keine Massnahmen getroffen werden können, welche zu einer Minimierung der Risiken führen (Art. 36 Abs. 1 DSGVO).

Die DPA ging vorliegend davon aus, dass eine Datenschutz-Folgenabschätzung und ggf. eine Konsultation der Aufsichtsbehörde nötig gewesen wäre, weil besondere Kategorien von personenbezogenen Daten – namentlich biometrische Daten – durch die Schule verarbeitet wurden. Folglich mangelte es nicht nur an der Freiwilligkeit der Einwilligung. Die nordschwedische Schule habe es gemäss der DPA auch unterlassen, eine Datenschutz-Folgenabschätzung durchzuführen und ggf. die DPA zu konsultieren.

Fazit und Anmerkungen aus Schweizer Sicht

Der vorliegende Fall veranschaulicht einmal mehr, dass vor jeder Implementierung neuer Datenverarbeitungen die Rechtmässigkeit sorgfältig zu prüfen ist und gegebenenfalls auch eine Datenschutz-Folgenabschätzung durchgeführt werden muss. Dies gilt in besonderem Masse für die Verarbeitung von besonderen Kategorien von personenbezogenen Daten, wie biometrische Daten. Letztlich müssen also interne Prozesse geschaffen werden, die sicherstellen, dass neue Datenverarbeitungen oder Änderungen von Datenverarbeitungen erst dann implementiert werden, wenn die erforderlichen rechtlichen Abklärungen vorgenommen wurden.

Der vorliegende Fall ist sodann auch für Schweizer Unternehmen bedeutsam. Denn bekanntlich können auch diese vom Anwendungsbereich der DSGVO erfasst sein und zwar auch dann, wenn sie über keine Niederlassung in der EU bzw. im EWR verfügen. Gerade bei Angeboten, die inhärent internationaler Natur sind, wird der räumliche Anwendungsbereich regelmässig eröffnet sein und die DSGVO extraterritoriale Wirkung entfalten (vgl. zum Ganzen auch MLL-News vom 10.12.2018). Daran ändert grundsätzlich auch der Umstand nichts, dass eventuelle Massnahmen zur Gesichtserkennung in der Schweiz durchgeführt werden. Denn für die Anwendung der DSGVO ist irrelevant, wo eine Datenverarbeitung stattfindet. Im Falle eines Verstosses gegen die DSGVO bestünde somit grundsätzlich auch für Schweizer Unternehmen im Anwendungsbereich der DSGVO das Risiko einer Busse in Millionenhöhe.

Im Zusammenhang mit dem Einsatz einer Gesichtserkennungssoftware interessant ist ferner, dass das sich zurzeit in Revision befindliche Schweizer Datenschutzgesetz (E-DSG), künftig ebenfalls den Begriff der biometrischen Daten enthalten und als besonders schützenswerte Daten definieren soll (Art. 4 Abs. 1 lit. c E-DSG; zum Ganzen auch MLL-News vom 17.09.2019). Auch in der Schweiz gelten für besonders schützenswerte Daten erhöhte Anforderungen, beispielsweise an die Einwilligung.

Schlussendlich ist auch zu beachten, dass verschiedene kantonale Datenschutzgesetze bereits jetzt eine Pflicht zur Durchführung einer Datenschutz-Folgenabschätzung enthalten (vgl. z.B. Art. 8a des Datenschutzgesetzes des Kantons St.Gallen). Zudem soll auch das E-DSG den Verantwortlichen in Zukunft dazu verpflichten, vor der Bearbeitung personenbezogener Daten eine Datenschutz-Folgenabschätzung durchzuführen, wenn die Bearbeitung ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person mit sich bringen kann (Art. 20 Abs. 1 E-DSG). Die Höhe des Risikos ergibt sich, wie in der DSGVO, aus der Art, dem Umfang, den Umständen und dem Zweck der Bearbeitung. Das E-DSG geht insbesondere bei der umfangreichen Bearbeitung von besonders schützenswerten Personendaten (wie z.B. bei der Verwendung von Technologien zur Gesichtserkennung), beim Profiling und wenn systematisch umfangreiche öffentliche Bereiche überwacht werden von einem hohen Risiko aus. Folglich gelten auch in der Schweiz – spätestens nach Inkrafttreten der Revision des Bundes-DSG – ähnliche Anforderungen beim Einsatz von Gesichtserkennungssoftware wie unter der EU-DSGVO.