Ein Customer Relationship Managment System, kurz CRM, dient zur langfristigen und zielgerichteten Initiierung, Selektion, Steuerung und Kontrolle von Geschäftsbeziehungen. Im Mittelpunkt steht dabei die Kundenbeziehung.
Um ein klares Bild von der Geschäftsbeziehung zu erhalten, werden alle Geschäftsbereiche einbezogen, also Marketing, Vertrieb und Service. Auch wenn je nach Branche oder Unternehmensvorgaben die gesammelten Daten unterschiedlich sind, werden die Systeme zur Kundenpflege, Kundenbetreuung, Kundenbindung und Verwaltung von Interessenten eingesetzt.
Warum ein CRM-System einsetzen?
Durch die Digitalisierung ist in den letzten Jahren die Datenmenge in den Unternehmen ständig gewachsen und wächst stetig weiter. Die dadurch bereitgestellten Informationen sind für jedes Unternehmen wichtig und geben Auskunft über das vorhandene Geschäftspotential. Um die Geschäftspotentiale gezielt ausnutzen zu können, möchten die Unternehmen den sogenannten 360°-Blick auf Ihre Interessenten oder Kunden.
Allerdings werden die Informationen höchst unterschiedlich gesammelt. Mal auf einem Notizzettel notiert, meist in verschiedenen Datenbanken oder sogar ellenlangen Excel-Listen gespeichert. Durch Auflösen dieser unterschiedlichen Datenquellen ist es erst möglich, dass abteilungsübergreifend alle Informationen zur Kundenbeziehung sofort verfügbar sind. Und genau an dieser Stelle sollte der Datenschutzbeauftragte die Verantwortlichen und Mitarbeiter sensibilisieren.
Zu welchen Zwecken werden die Daten genutzt?
Die Informationen werden zu unterschiedlichen Zwecken genutzt. Im Marketing werden sie für das Kampagnenmanagement, Online- und E-Mail-Marketing sowie Leadmanagement, idealerweise über alle Kanäle, eingesetzt. Mit der Möglichkeit, diese Daten auszuwerten ist abzulesen, wofür sich er Kunde interessiert und ermöglicht eine gezielte Akquise. Aus welcher Quelle stammt der Kontakt, welche Marketingaktion hat den Kunden angesprochen, wann und an welcher Veranstaltung hat er teilgenommen, welche Produkte hat er im Einsatz, liegen ggf. Reklamationen vor oder gibt es Service-Einsätze? Der Vertrieb kann ohne lange Vorbereitungszeit Kontakt aufnehmen und die Verkaufschancen effektiv nutzen. Up-Selling- und Cross-Selling-Potentiale lassen sich leicht ermitteln. Das bietet dem Unternehmen natürlich einen erheblichen Mehrwert und kann die Kundenzufriedenheit steigern.
Leistungsfähige CRM-Systeme bieten darüber hinaus automatisierte Workflows an. Diese Automatismen steigern die Produktivität und helfen Fehler zu vermeiden. Sie gewährleisten eine gleichbleibende Qualität die Kommunikation mit Kunden, unabhängig von dem jeweiligen Mitarbeiter. Aber ist den Kunden auch mitgeteilt worden, dass die Daten in dieser Form ausgewertet werden? Hier gilt es sich genau die Hinweise gemäß Artikel 13 DS-GVO zu überprüfen und festzustellen, ob die Datenverarbeitung eine Einwilligung der Betroffenen benötigt oder nicht! Das berechtigte Interesse gemäß Artikel 6 (1) lit. f DS-GVO wird bei einer detaillierten Profilerstellung als Grundlage zur Datenverarbeitung nicht herangezogen werden können.
Hinweis: Die in einem CRM-System genutzten Daten unterliegen, wie bei anderen Verfahren auch, den Anforderungen der DS-GVO. Da die in einem CRM-System verwalteten Kundendaten auch personenbezogene Daten beinhalten, ist darauf zu achten, dass die Zweckbindung nach Art. 5 Abs. 1 lit. b) DS-GVO und Art. 5 Abs. 1 lit. c) DS-GVO berücksichtigt wird. Das bedeutet, dass nur Daten, die dem Zweck entsprechen, verarbeitet werden dürfen. Beispielsweise dürfen besondere personenbezogene Daten wie Religionszugehörigkeit oder Gesundheitsdaten nicht gespeichert werden.
Auf was muss ich im Datenschutz achten?
Der Grundsatz der Datensparsamkeit und Datenminimierung ist ebenfalls berücksichtigen. Werden personenbezogene Daten verarbeitet, die nicht der Vertragserfüllung oder dem zuvor angegebenen Zweck entsprechen drohen sanktionsrelevante Verstöße. Artikel 28 DS-GVO besagt, dass im Falle der Übermittlung an Dritte ein Auftragsverarbeitungsvertrag zu schließen ist. Darunter fallen auch CRM-Dienstleister bzw. Hersteller, das Betreiben eines CRM-Systems in einer Cloud oder Wartung durch IT-Dienstleister. Werden die Daten an einen Dienstleister außerhalb der EU weitergeleitet sind zusätzliche Besonderheiten zu berücksichtigen, die den Vorgaben des Art. 44 ff DS-GVO entsprechen.
Die Betroffenenrechte aber auch die technisch-organisatorischen Maßnahmen, Art. 32 DS-GVO (Sicherheit der Verarbeitung) und Art. 25 DS-GVO (datenschutzfreundliche Voreinstellungen) sind einzuhalten.
Zusätzlich zu den vorgenannten haben Betroffene das Recht
auf Vergessenwerden (Löschung der Daten),
auf Berichtigung,
auf Einschränkung der Verarbeitung,
auf Datenübertragbarbeit (z. B. Datenübertragung von einem CRM ins andere),
auf die Einhaltung von Transparenz und Informationspflichten.
Es ist sinnvoll als Datenschutzbeauftragter vorab das Berechtigungs- und Löschkonzept zu überprüfen. Den Zugang zu den personenbezogenen Daten sollten nur Mitarbeiter erhalten, die diese Daten für ihre tägliche Arbeit benötigen. Im Löschkonzept ist definiert festgelegt, wann die personenbezogenen Daten zu löschen sind.
Hinweis: Funktionen wie ein Doubletten-Check sind hilfreich um Datenminimierung sicherzustellen.
Die wichtigen Funktionen in einem CRM-System, die den Datenschutz betreffen sind u. a. das Einholen und Dokumentieren von Einwilligungen, die Dokumentation der Datenstrukturen, -herkunft, Einwilligungserklärungen oder andere Rechtsgrundlagen und Verarbeitungszwecke. Dokumentation der Anfragen von Kunden oder Interessenten nach Herkunft ihrer Daten oder Löschwünsche. Funktionen für die Einschränkung der Verwendung, Löschung und Portierung der Daten sowie die Umsetzung von Lösch- und Anonymisierungsfristen mit Wiedervorlage.
Was bietet ein CRM-Systeme?
Die meisten Unternehmen haben ein CRM-System, eine CRM-Software oder CRM-Tools im Einsatz oder denken darüber nach. Dem entsprechend gibt es tausende von Anbietern. Je nach Branche, Unternehmensgröße, Geschäftsmodell sind entsprechende Systeme am Markt zu finden. Einer der bekannten Anbieter ist Salesforce. Salesforce arbeitet web-basiert und bietet Lösungen für jede Unternehmensgröße, für verschiedene Branchen und Geschäftsbereiche. Die Systeme sind skalierbar bis hin zu speziellen Anforderungen wie die Integration von Daten aus vorhandenen Systemen, z. B. SAP, Oracle etc.
Fazit: Ein CRM-System ist hilfreich, wenn das passende System ausgewählt wurde. Bevor es jedoch soweit ist, müssen Sie als Datenschutzbeauftragter die verschiedenen Aspekte bedenken. Zuerst sollten Sie abstimmen, welche Anforderungen das Unternehmen hat und wo die Schwerpunkte liegen. Unterteilen Sie die Funktionen nach unbedingt erforderlich und wünschenswert. Stellen Sie sicher das nur die vorhandenen Daten in das neue System übernommen werden zu denen Sie auch eine Rechtmäßigkeit der Verarbeitung sicherstellen können. Achten Sie dabei auf die Vorgaben der DS-GVO, damit das neue System Datenschutzkonform ist. Dazu müssen Sie die Zugriffsberechtigungen festlegen, die technisch-organisatorischen Maßnahmen prüfen wie Vertraulichkeit (u. a. Zugriffskontrolle), Integrität (u. a. Weitergabekontrolle), Verfügbarkeit und Belastbarkeit..
Ein Blick ins Kinderzimmer, der sollte Eltern, Freunden und Spielkameraden vorbehalten bleiben. Und die meisten Heranwachsenden sind durchaus scheu, wenn es um ihre Privatsphäre geht und lassen Mutter und Vater kaum oder nur unwillig in ihren ganz privaten Lebensraum. Rasch wird dies, oft in vorausschauender Erwartung einer elterlichen Bemerkung oder gar Ermahnung, als Eindringen verwehrt.
Umso verwunderlicher, dass Plattformen wir Snapchat, Instagram oder Onlinespiele mit großem Erfolg gerade dort ihr größtes Potential finden: Im Lebensraum der Kids und Teenager. Jeder kann im Web digital einen Kanal öffnen und mit Notebook inkl. Webcam, Tablet oder Smartphone anderen Einblick geben. Und das ganz ohne Alters-Check, denn zur Anmeldung genügt oft nur ein Facebook, Twitter oder Google+-Account. Zusehen kann man meistens anonym oder pseudonym, was den Verdacht bestärkt, dass im Publikum Platz für Unerwünschte ist.
So ist es kein Wunder, dass fast 85 Prozent der Erwachsenen einen verschärften Jugendmedienschutz fordern. Zu diesem Ergebnis kommt eine aktuelle Studie des Deutschen Jugendinstituts (DJI) bei der 4690 Mütter und 3089 Väter in Deutschland zu ihrer Einschätzung des Jugendmedienschutzes in Deutschland befragt wurden (Grobbin, 2016). Dabei sehen sich die Eltern von jungen Kindern noch weitestgehend in der Lage diese vor Risiken im digitalen Raum zu schützen (vgl. Rüdiger, 2015). Je älter die Kinder aber werden umso mehr wünschen sich die Eltern das die Betreiber und der Staat eine größere Verantwortung beim Schutz der Kinder vor Risiken einnehmen (Grobbin, 2016). Diese Entwicklung geht auch einher mit der Verlagerung der Risiken von eher statischen Phänomenen – wie gewalthaltigen Programmen – hin zu den Interaktions- und Kommunikationsrisiken. Aus der genannten Studie lässt sich dieser Trend ebenfalls ablesen. So sahen nur zwei Prozent der Eltern von Grundschulkindern den Kontakt zu Unbekannten im digitalen Raum als ein Problem, aber bereits 13 Prozent der Eltern von weiterführenden Schulen, ähnlich sieht dies auch bei beleidigenden oder verletzenden Aussagen im Verhältnis von 2 zu 16 Prozent aus (ebd., S. 40).
Die Ergebnisse dieser Studie sind dabei nicht verwunderlich, sondern vielmehr eine logische Reaktion auf eine Situation in der Kinder – insbesondere durch die Etablierung von Smartphones – immer früher mit dem digitalen Raum konfrontiert werden, Eltern sich aber häufig nicht in der Lage sehen die Kinder in dieser Welt der sog. Sozialen Medien vor Risiken effektiv zu schützen. Die Gesellschaft hat zudem eine Diskussion über die Regelung des Miteinanders in diesem digitalen Raum weitestgehend vernachlässigt. Dies zeigt sich auch am Regelungsgehalt des deutschen Jugendmedienschutzes. Dieser soll in seiner gegenwärtigen Form letztlich Kinder nur vor einem gemutmaßten negativen Einfluss der Medien schützen. Nicht aber beispielsweise vor Straftätern in den jeweiligen Programmen. Dies zeigt sich u.a. an den Altersempfehlungen für die beliebteste Form Sozialer Medien bei Kindern – den Computerspielen. Konkret gesagt machen wir uns dabei einen Kopf das ein Kind keine nackte Brust z.B. in einem Spiel sieht, aber nicht ob in demselben Programm ein Extremist oder Sexualtäter mit dem Kind zusammenspielt (zur Kritik vgl. Rüdiger, 2016). Daher kann ein Programm eine Altersempfehlung ab 0 oder 6 Jahren erhalten obwohl das Kind in dem Spiel mit unbekannten Erwachsenen und Jugendlichen in Kontakt kommen kann.
Dass in der Konfrontation von naiven Kindern mit überlegenen Erwachsenen ein immenses Gefahrenpotential liegt, wird keiner bezweifeln. Ein großer Gefährdungsmoment liegt also schon einmal darin, dass nicht nur nach unten, sondern auch nach oben Altersfreiheit besteht, Altersgruppen wild gemischt sind und sich überhaupt nicht zu erkennen geben.
Wir lassen zu, dass im digitalen Raum Personen jeglichen Alters – also auch Kinder und Erwachsene – weitestgehend unkontrolliert aufeinander treffen, miteinander interagieren und kommunizieren. Die daraus resultierenden Risiken wie z.B. Cybergrooming oder Cybermobbing aber auch der Kontakt mit Extremisten sind für Eltern kaum noch zu begegnen.
Gleichzeitig scheint es aber auch so, dass viele das Gefühl haben das Internet sei ein rechtsfreier Raum. Ein rechtsfreier Raum würde bedeuten, dass Recht gar nicht gelte. Dies kann so nicht im Netz angenommen werden, wie auch immer wieder medial dargestellte Ermittlungshandlungen z.B. gegen Hatespeech zeigen (Meisner, 2016).
Es kommt aber vielmehr darauf an wie hoch die Wahrscheinlichkeit ist für eine Straftat im digitalen Raum belangt zu werden – und diese Wahrscheinlichkeit kann in allen Deliktsbereichen als sehr gering eingestuft werden. Beispielhaft sprechen Dunkelfeldstudien davon, dass annähernd jedes zweite Kind eine sexuelle Belästigung im Netz erlebt – wir sprechen hier also von Millionen Betroffenen -, aber nur ca. 2.000 Anzeigen in Bezug auf dieses Delikt wurden im Jahr 2015 bei der Polizei registriert (Rüdiger, 2016). Eine immense Diskrepanz die die Strafverfolgungswahrscheinlichkeit für einen Täter mehr als gering erscheinen lässt.
Dadurch, dass Kinder auf Sendung gehen, dringen Menschen in die privatesten Lebensbereiche ein, denn schließlich sind Arbeits- und Schlafbereich für die meisten jungen Menschen identisch. Wie – fragt man sich – lassen sich die fremden Stimmen später aus dem Schlafzimmer verdrängen, wie wieder die Sicherheit der eigenen vier Wände herstellen, wenn man sich hier einmal von aller Welt beobachten ließ. Vor allem aber müssen wir uns fragen: Wem kann unser Kind dann davon erzählen, sagen, was geschehen, was es angestellt hat, dass es dem bösen Wolf die Tür öffnete, der mit zuckersüßer Stimme und weißer Pfote um Einlass gebeten hat.
Die Ängste vor Verrat und die Unaussprechlichkeit der Situation können kommen und auf unseren Kindern lasten, ganz ohne dass eine Straftat erforderlich wäre.
Ein Problem dabei ist auch die geringe sichtbare Präsenz von Sicherheitsbehörden im digitalen Raum. Ein Hinweis den Eltern ihren Kindern für den Straßenverkehr traditionell mitgeben ist der, wenn irgendetwas passiert kannst du immer auch die Polizei ansprechen. Eine vergleichbare Aussage ist im digitalen Raum so leider nicht möglich. Dies ist auch wenig verwunderlich, die Sicherheitsbehörden in Deutschland beginnen sich ggf. erst zaghaft in diesem digitalen Raum zu verorten, obwohl die Bürger eine vermehrte digitale Polizeipräsenz wünschen (Klein, 2015). Ein individueller Polizeibeamter der sichtbar und erkennbar – somit ansprechbar – als solcher eine digitale Streife – z.B. in Kinderchats – läuft, ist eine absolute Zukunftsvision. Die Sicherheitsbehörden versuchen gegenwärtig nur eine ähnliche Form der Sicherheit im digitalen Raum wie im physischen Raum herzustellen, aber noch nicht weiterführende Konzepte aufzubauen. Warum sollten Kinder bei einer als problematisch empfundenen Situation – z.B. bei einer belastenden Chatkommunikation mit einem Unbekannten – z.B. nicht auf Knopfdruck eine Sicherheitsbehörde zuschalten können?
Und wenn es nicht Sicherheitsbehörden sind, warum nicht eine Art digitalen Bodyguard der den Kindern auf Wunsch auch digital zur Verfügung steht? Nur wenn wir mit unseren Kindern reden und sie uns alles erzählen können (aber nicht müssen), machen wir den Raum für multimediale Selbstgespräche so eng wie möglich. Ausschließen lassen sie sich nicht. Das ist klar. Aber das gilt auch für andere Gefahren des Lebens. Und manchmal, wenn wir im Zweifel sind, wenn wir uns nicht mehr zu helfen wissen, dann ist es gut, mutig zu sein und um Hilfe zu fragen. Und genau dafür gibt es doch die auch die Polzei!
Die Forschung bezüglich Gesichtserkennung inklusive der daraus resultierenden Fortschritte im Bereich der Einsatzgebiete erscheinen auf den ersten Blick opportun – lassen sich doch daraus nicht zuletzt auch Maßnahmen umsetzen, die zur Erhöhung der Sicherheit beitragen können. Ob diese Euphorie im Weiteren durchgängig gerechtfertigt ist, soll im Rahmen des Artikels diskutiert werden.
Es gibt zwei Grundannahmen, die im Kontext der Gesichtserkennung unbestritten von Bedeutung sind und somit zunehmend die Diskussion in Deutschland bezüglich deren Einsatz zum Positiven hin beeinflussen. Zum einen gibt es den allgegenwärtig postulierten Anspruch, dass Anwendungen mit einem höheren Nutz- oder Mehrwert ausgestattet sowie stetig komfortabler gestaltet werden müssen. Zum anderen verspricht deren Indienstnahme inklusive der damit verbundenen Optionen zur Überwachung latent einen höheren Grad an Sicherheit, sowohl für den Einzelnen als auch für die Gesellschaft. Um dem – hypothetischen oder antizipierten – Wunsch der Konsumenten nach mehr Bequemlichkeit nachzukommen, werden die Einsatzmöglichkeiten hier kontinuierlich weiterentwickelt: So muten die bestehenden Möglichkeiten zur Authentifizierung per Gesichtserkennung inzwischen beinahe trivial an, da es mittlerweile mit Apple Pay und dem iPhone X etwa in London möglich ist, U-Bahn-Fahrten oder den Wocheneinkauf im Supermarkt mit dem Gesicht zu bezahlen. Unterdessen scheint der Fantasie von Entwicklern im Hinblick darauf, wie sich dieser Trend kapitalisieren lässt keine Grenzen gesetzt: Das zeigen unter anderem Apps wie FaceApp oder FindFace, beides Anwendungen aus russischen Software-Schmieden. Wenn auch unterschiedlich im Einsatz – erstere lässt zum Beispiel Gesichter virtuell altern während letztere zufällig aufgenommene Bilder von Menschen mit Social Media-Profilen in Verbindung bringen kann – ist beiden gemeinsam, dass sie keinesfalls konform mit europäischem Datenschutzgesetzen sind. So gibt der Nutzer bei FaceApp nicht nur alle Rechte an seinen Daten ab – was im Detail zum Beispiel bedeutet, dass das Unternehmen dazu berechtigt ist, die hochgeladenen Bilder in jeglicher Art und Weise zu verwenden – sondern erteilt zusätzlich auch noch die Freigabe für diverse Zugriffe, etwa auf Kamera oder Mikrofon des genutzten Endgerätes. FindFace hingegen gibt einen Vorgeschmack darauf, welche Implikationen aus einer Gesichtserkennung resultieren und welche negativen Auswirkungen damit einhergehen können – nicht weniger als der zunehmende Verlust von Privatsphäre, weil aufgrund der Verknüpfung von veröffentlichten Bildern immer mehr über eine Person in Erfahrung gebracht werden kann. Was im Privaten schrittweise Einzug hält, nimmt auch im öffentlichen Sektor langsam Form an. Doch während die Einführung im privaten Bereich eher en passant geschieht und – da oftmals bestimmte Instinkte, wie der Spieltrieb, adressiert werden – nicht kritisch hinterfragt wird, findet bei den staatlichen Vorstößen in diese Richtung des Öfteren eine kontroverse Diskussion über die Technologie statt. Denn diese soll perspektivisch – mit dem Argument von mehr Sicherheit – großflächig eingesetzt werden.
Allgemein: Biometrie
Doch worum geht es überhaupt? Grundlage für die bereits kurz vorgestellten Anwendungen ist die Biometrie. Unter diesem Begriff ist die Identifikation und Authentifizierung mittels biologischer Merkmale subsumiert – das bedeutet, die hierüber durchgeführte Authentisierung erfolgt unter Verwendung physiologischer oder verhaltenstypischer, also generell personengebundener, Charakteristika. Daraus resultiert auch der substanzielle Vorteil dieser Verfahren, da die beschriebenen Merkmale weder unmittelbar gestohlen noch leicht kopiert werden können. Zur Messung der Merkmale stehen diverse Verfahren – entweder singulär oder komplementär – zur Verfügung, angefangen beim Tippverhalten an einer Tastatur über die Erfassung des Netzhautmusters oder des genetischen Codes (DNA-Analyse) bis hin zur Gesichtserkennung. [1] Die Voraussetzung für den Einsatz der Gesichtserkennung ist, vereinfacht dargestellt, dass ein erfasstes Gesicht in ein biometrisches Datum konvertiert wird – dies geschieht durch die Vermessung der Gesichtsmerkmale und deren Umwandlung in ein digitales Muster.
Speziell: Gesichtserkennung
Im Wesentlichen gibt zwei Bereiche, die für den Einsatz von Gesichtserkennung geeignet sind. Dies ist zum einen die Verifikation, also die Feststellung der Identität einer Person, worüber – ähnlich wie mit einem Passwort – der Nachweis einer Zugangs- und Zugriffsberechtigung zur Verfügung gestellt werden kann. Zum anderen lässt sich darüber automatisiert die Identifikation von Personen durchführen, beispielsweise um diese gezielt aus einer Menschenmenge herausfiltern. Hierzu findet konkret ein Abgleich statt zwischen aktuell erhobenen biometrischen Referenzdaten eines Einzelwesens und einer Vielzahl von biometrischen Daten, die im Vorhinein in einer Datenbank erfasst wurden. Ziel dieses umfangreichen Prozess ist es, letztendlich ein Individuum herauszufiltern, dessen biometrischer Referenzdatensatz – innerhalb einer definierten Toleranzgrenze – mit den aktuell erfassten Daten übereinstimmt.
Es gibt eine Vielzahl von Verfahren, die zur Gesichtserkennung Anwendung finden können: Von der Mustererkennung, bei der spezifische Merkmale eruiert werden, anhand derer Gesichter sich unterscheiden über holistische, die beispielsweise mittels Diskriminanzanalyse den Zusammenhang zwischen verschiedenen Variablen darstellt und so eine Klassifizierung einzelner Gesichter ermöglicht, bis hin zur Nutzung von Höheninformationen in der Physiognomie als eindeutiges Identifikationsmerkmal. Unabhängig davon ist allgemein ersichtlich, dass aufgrund von Maschine Learning in den letzten Jahren immense Fortschritte generiert werden konnten, die darauf basieren, dass anhand von Zigtausenden von Bildern unterschiedlicher Menschen selbstständig gelernt wird, bestimmte wiederkehrende Muster in Gesichtern zu identifizieren.
Gesichtserkennung: Beispiele für Anwendungen
Entsperrung des Mobiltelefons
Während bis vor geraumer Zeit Mobiltelefone lediglich per PIN oder Fingerabdruck entsperrt werden konnten, bieten mittlerweile einige Hersteller auch die Freischaltung per Gesichtserkennung an. Biometrische Authentifizierungs-Systeme sind primär grundsätzlich zweckdienlich – entlasten sie doch den Nutzer davon, sich PINs oder Passwörter merken zu müssen und diese, unter dem Aspekt der Sicherheit, auch kontinuierlich zu wechseln – und komfortabel, hier insbesondere die Gesichtserkennung, da sie keine weitere Interaktion erfordert. Andererseits war anfangs genau dieses Verfahren in Puncto Sicherheit nicht unumstritten, denn aufgrund der Verwendung von 2D war es möglich, bestimmte Mobiltelefone mittels eines Fotos zu entsperren. Inzwischen wird jedoch zunehmend darauf gesetzt durch Einsatz von Infrarotlicht ein 3D-Bild von dem Gesichts des autorisierten Nutzers zu erstellen, um so die Manipulationsmöglichkeiten zu verringern.
Videoaufnahme für Marketinganalyse
In der Marktforschung hält die Technologie zunehmend Einzug. Um bestimmten Fragestellungen auf den Grund gehen zu können, wird hierzu das Verhalten von Probanden bei einer vorgegebenen Aktivität mit einer Vielzahl von Videokameras aufgenommen, zum Beispiel beim Anschauen eines Werbespots oder dem Zubereiten und Essen einer Tiefkühlpizza. Diese Aufnahme kann im Anschluss dann in definierte Sequenzen zerlegt werden, die sich mittels Gesichtserkennungssoftware analysieren lassen, um darüber jeder Einzelaktion eine Emotion zuzuordnen. So lässt sich etwa für den Hersteller von Tiefkühlpizzas ermitteln, in welcher Phase das Glücksgefühl für die Probanden am höchsten war und darauf basierend entsprechende Marketing-Maßnahmen kreieren.
Grenzkontrolle
Mittlerweile sind Technologien der Gesichtserkennung beispielsweise beim Grenzübertritt in Flughäfen im Einsatz, zum Beispiel in Düsseldorf. Dort steht – bei der Einreise nach Deutschland – dem Fluggast die Möglichkeit zur Verfügung, seinen Reisepass eigenständig einzuscannen und im Anschluss daran einen Schalter zu passieren, an dem ein Scan des Gesichts durchgeführt wird. Hierüber erfolgt im Weiteren dann der Abgleich zur Identitätsfeststellung der Person. Momentan kann diese Option seitens der Passagiere noch freiwillig genutzt werden.
Innerstädtische Überwachung, Beispiel London und Berlin, Südkreuz
London ist eine der Städte, die nahezu flächendeckend Gesichtserkennung im Realbetrieb zur Identifizierung von Straftätern einsetzt. Denn anders als bei der Grenzkontrolle findet hier der Abgleich mit gesuchten Personen aus der Polizeidatenbank statt, indem jeder Passant nahezu überall – etwa auf der Straße oder an Bahnhöfen – gescannt wird. Auch wenn vom Prinzip her die Installation der Überwachungskameras am Südkreuz in Berlin dem gleichen Zweck dienen sollen, sind hier die Bedingungen noch nicht entsprechend, da sich das Projekt in der Testphase befindet und somit bislang in dem System zur Validierung der Trefferquote bei der Zuordnung nur freiwillige Testpersonen erfasst sind.
Überwachung, Beispiel Social Credits
Basierend auf den Möglichkeiten der Gesichtserkennung, zusätzlich angereichert mit Sprach- und Gangerkennung, wird in China ein Monitoring-System implementiert. Infolge der Fortschritte in der Technologie ist es heute bereits möglich einzelne Gesichter aus einer großen Menge zu extrahieren. Des Weiteren lässt sich mit einer ebenfalls bereits vorhandenen Software das Gesicht vermessen, ein Bewegungsprofil erstellen und spezielle Merkmale der aufgenommenen Person registrieren, wie etwa Augenform und -farbe. Diese Daten stehen im Folgenden beständig zur Verfügung – somit lässt sich garantieren, dass ein Individuum sofort identifizierbar ist, sobald sie von einer Kamera erfasst wird, allein aufgrund der Tatsache, dass jedes Gesicht spezielle Merkmale besitzt. Perfektionierend hinzu kommt dass das System zudem noch lernfähig ist. Intelligente Kameras, die nicht nur überall angebracht sind, sondern tatsächlich alles erfassen was vorbeikommt, senden die mitgeschnittenen Daten unmittelbar an Rechenzentren. Diese werden mittels Künstlicher Intelligenz analysiert, dann in Echtzeit in ausführlichen Profilen systematisiert und letztendlich gespeichert, um beispielsweise für Behörden abrufbar zu sein.
Bewertung der Technologie: Fakten
Nicht zuletzt aufgrund der kulturellen Unterschiede ist es schwerlich möglich, die diversen Einsatzszenarien unter einheitlichen Gesichtspunkten zu würdigen. Evaluieren lassen sich hingegen die Fakten hinsichtlich der Effektivität der Technologie und der intendierten Ziele. In London beispielsweise sind geschätzte 500.000 Kameras im Realbetrieb eingesetzt – nicht nur auf der Straße, sondern auch in Bahnhöfen und Eingängen zur U-Bahn. Wer in dieser Stadt unterwegs ist wird im Durchschnitt 300 Mal an einem Tag erfasst. Eine Bewertung der Zweckhaftigkeit ist jedoch momentan schwierig, auch wenn sich bereits verschiedene Forschungsgruppen mit der Auswertung beschäftigt haben: So erhoben zwei Forscher der Universität Sussex in London eine Trefferquote von 19 Prozent – sie zeigten unter anderem auch auf, dass bei der Befragung von 42 festgenommenen Personen tatsächlich nur acht gesuchte Straftäter ermittelt werden konnten. Dieses Ergebnis resultierte nicht nur aus technisch bedingten Mängeln der Gesichtserkennungssoftware sondern auch daher, dass Passanten ihr Gesicht mit einem Schal bedeckt oder den Mantelkragen hochgeschlagen hatten und von daher schlecht identifizierbar waren.
Der Einsatz der Technologie ist jedoch nicht nur für staatliche Behörden von Interesse, auch Unternehmen wie Amazon oder Google und Facebook setzen zunehmend darauf – nicht zuletzt um diese wiederum an Regierungsbehörden (etwa der Einwanderungsbehörde ICE) zu verkaufen, wie Amazon vorgeworfen wird, oder schlicht zur Optimierung ihrer Produkte. So haben die beiden letztgenannten Konzerne Programme entwickelt, mittels derer sich Gesichter auf Fotos bestimmten Personen zuordnen lassen. Um dies realisieren zu können, bedarf es unter anderem, neben der besseren Verfahren zur Mustererkennung, auch Kameras mit hoher Auflösung sowie eine bedeutende Menge an Bilddaten um die Programme trainieren zu können. Dies lässt darauf schließen, dass ein valides Interesse daran besteht, die Technologie weiterzuentwickeln. Denn mit zunehmendem Einsatz wächst aus die Kritik daran. Dabei steht momentan zur Diskussion, wie zuverlässig sie beispielsweise bei schlechten Lichtverhältnissen ist und ob die Software Menschen mit dunklerer Haut genauso gut erkennt wie Menschen mit heller? Genau hier liegt einer der Knackpunkte: Da die Leistung der Software nicht nur von der Qualität sondern auch von der Quantität der Daten abhängt, darf es theoretisch nicht vorkommen, dass die Trainingsdaten nach einseitigen Kriterien ausgewählt werden. Wenn diese Regel missachtet wird, kann es beispielsweise vorkommen, dass die maschinelle Gesichtserkennung – wie dies derzeit der Fall ist – die besten Trefferquoten bei der Erkennung weißer Männer erzielt. Dies kann sich besonders in Kontexten etwa bei der Strafverfolgung gravierend auswirken, da Personen mit dunkler Haut tendenziell eher Gefahr laufen, dass sie verwechselt werden und fälschlich verdächtigt werden – was unter dem Aspekt problematisch ist, dass bei einem automatisierten Nichterkennen die Beweislast bei dem Nichterkannten liegt.
Die Würde des Menschen ist unantastbar
Fraglich ist, in welcher Ausprägung der Gesichtserkennung das Recht eines Menschen auf freie Entfaltung tatsächlich eingeschränkt wird. Zur grundsätzlichen Überprüfung kann das Grundgesetz herangezogen werden, da dort der Begriff der Menschenwürde verankert ist. Damit verbunden sind Verpflichtungen, aus denen allgemeingültig Menschenrechte wie das Freiheitsrecht hervorgehen. Im Diskurs zur Digitalisierung ist im Weiteren auch die philosophische Interpretation dienlich: Der Philosoph Immanuel Kant leitet den Begriff der Menschenwürde primär von der Autonomie des Menschen ab. Dies bedeutet, dass jedes Individuum konstant eine Wahl hat (oder haben muss) und über sein Handeln frei entscheiden kann – wobei die Entscheidungsfindung geprägt ist von den sittlich-moralischen Werten, die im Laufe der Jahrtausende entstanden sind. Eine weitere Dimension, die bei der Bewertung berücksichtigt werden muss besteht darin, dass der Mensch in seinem Verhalten prinzipiell nicht-linear angelegt ist. Dies bedeutet, dass Entscheidungen aufgrund von bestimmten Umständen jeweils komplett gegensätzlich getroffen werden können, also nicht mit dem gewohnten Verhaltensmuster übereinstimmen. Präzise ausgedrückt: Jedermann kann sich situativ vollkommen anders verhalten, als er das in der Vergangenheit getan hat und dieses Recht muss ihm prinzipiell zugestanden werden. Fraglich ist, ob und inwieweit ein Risiko besteht, dass die Handlungsoptionen durch die Überwachung eingeschränkt werden und der Mensch dadurch die Entscheidungsfreiheit bezüglich seiner eigenen Verhaltensmuster und -weisen sukzessive verliert, weil er nur noch darauf achtet, konform zu agieren, um nicht aufzufallen.
Prognosen bezüglich der weiteren Entwicklung werfen in diesem Kontext relevante Fragestellungen auf: Etwa, in welchem Maße der Grundsatz „Die Menschenwürde ist unantastbar“ auch weiterhin Bestand haben kann oder ob die Entwicklung in absehbarer Zeit potentiell die Möglichkeiten eines Menschen zur Reifung oder möglichen Korrektur seines Lebensmodells einschränken wird. Denn die Grenzen bezüglich der Erforschung oder Ausforschung von Menschen scheinen zunehmend offen. Das lässt sich in einigen Fällen positiv bewerten, zum Beispiel wenn Forscher herausfinden, dass am Gang eines Menschen erkannt werden kann, ob eine Gefährdung dahingehend besteht, in einigen Jahren an Alzheimer zu erkranken. Andererseits wirft es die Frage auf, was sich noch alles erkennen lässt, vor allem mit Hilfe von Gesichtserkennung und KI: Lässt sich daraus eventuell bald die sexuelle Neigung oder die politische Einstellung ablesen? In Israel ist eine Anwendung auf dem Markt, die verspricht, so unter anderem die Intelligenz eines Menschen ermitteln zu können. Ist dies unbedingt notwendig und vor allem noch mit dem verbrieften Freiheitsrecht vereinbar? Oder ist es nicht das Recht eines jeden Menschen individuell die Entscheidung darüber zu treffen, was er preisgeben möchte und was nicht. Zumal die Freiheit per se eingeschränkt ist, da sich dieses biometrische Merkmal im Normalfall weder verdecken noch auswechseln lässt und von daher kaum eine Chance besteht dem zu entgehen. Bereits heute wissen die wenigsten Menschen in welcher Datenbank ihr Gesicht gespeichert ist, wofür dies Verwendung findet und ob es ihnen möglich ist, eine Löschung zu beantragen. Dass diese Daten ein Gesicht und damit letztendlich eine Identität und kein Objekt repräsentieren, scheint im Zuge von Effizienz- und Zukunftsorientierung oftmals in Vergessenheit geraten zu sein, dann wenn diese lediglich als Rohstoff zur Fütterung von Algorithmen verwendet werden, beispielsweise um die Gesichtserkennung weiter zu optimieren.
Lösung: DSGVO
Nachweislich ermöglicht die Technologie über kurz oder lang tief in die Privatsphäre von Menschen eindringen zu können, zum Beispiel in die Versammlungs- und Bewegungsfreiheit. Aus der ethischen Frage, was für ein Menschenbild hinter dem Bedürfnis der Verantwortlichen steckt, ordnend in das Leben und die Gesellschaft eingreifen zu können und auch zu müssen ergibt sich zwangsläufig die Fragestellung nach dem Mitspracherecht der Gesellschaft und deren Möglichkeit zur Ausübung. Hier einige Beispiele: „In Großbritannien gibt es, wie auch in vielen anderen Ländern, bisher keine gesonderte Rechtsgrundlage für automatische Gesichtserkennung. Weil es sich aber um eine Technologie handelt, die besonders invasiv ist, setzen sich immer mehr Organisationen weltweit dafür ein, ihren Einsatz zu verhindern. In Cardiff läuft seit Mai ein Gerichtsprozess. Und in San Francisco hat der Stadtrat automatische Gesichtserkennung gerade erst verboten.“ [2]
Damit die Gesichtserkennung also nicht für Dritte zum Fenster zu Seele wird, bedarf es strikter Regelungen durch den Gesetzgeber. Dieser muss eine Balance zwischen der Sicherheit und Freiheit der Brürgerinnen und Bürger, da eine automatische Gesichtserkennung schon wegen der Fehlerquote „hochproblematisch“ ist. Auch sind solche sensiblen Daten für Hacker hochattraktiv. Anders als bei zum Beispiel Passwörtern, die ich immer wieder ändern kann, sind biometrische Daten aus der Gesichtserkennung ein anderes Kaliber. Wenn biometrischen Daten einer Person an unbefugte Dritte gelangen, können sie diese Daten theoretisch dauerhaft für ihre Zwecke missbrauchen. Künstliche Intelligenz in Verbindung mit Gesichtserkennung ist in jeder Form höchst problematisch. ES ist die Aufgabe des Staates und damit der gewählten Volksvertreter, zu verhindern, dass eine Technologie eingesetzt wird, die jeden Bürger grundsätzlich als potentiellen Kriminellen verdächtigt. Selbst wenn die Technik nur zum Abgleich von Bildern eingesetzt wird, ohne das eine weitere Auswertung vorgenommen wird, sollte die Technik angesichts der Fehlerquoten verboten werden, um die Diskriminierung von bestimmten Personenkreisen zu verhindern. Es muss sichergestellt sein, dass die Fehleranfälligkeit gegen Null tendiert. Erst dann sollte überlegt werden, ob die Technologie reif für den Einsatz ist.
