Unternehmen müssen sich mit dem Compliance-Rätsel bei der Gesichtserkennung auseinandersetzen

Name: ISMS.online
Address: Nile House, Nile Street, Brighton, East Sussex, BN1 1HW, United Kingdom
Price range: ££

Von John Leyden • 5 December 2023

Mein Gesicht oder deins?

Der zunehmende Einsatz von Gesichtserkennungstechnologien stellt Unternehmen vor ein ernstes Problem beim Datenschutz und der Einhaltung gesetzlicher Vorschriften.

Mithilfe der Gesichtserkennungstechnologie kann die Identität einer Person anhand ihres Gesichts identifiziert oder bestätigt werden. Die Technologie identifiziert und misst Gesichtsmerkmale in einem Bild oder Video, bevor sie die Informationen mit einer Datenbank bekannter Gesichter vergleicht, um eine Übereinstimmung zu finden.

Öffentliche Räume

Gesichtserkennungstechnologie kann zusammen mit CCTV zur öffentlichen Sicherheit eingesetzt werden, insbesondere in der Nähe von Flughäfen und Bahnhöfen. Dennoch sind Einsätze in beiden US und Europa waren manchmal umstritten.

Die Gesichtserkennung in unkontrollierten Umgebungen sei unzuverlässig, argumentieren Datenschützer.

Neben potenziellen Bedrohungen der Privatsphäre des Einzelnen durch Massenüberwachung mit Gesichtserkennung bestehen auch Bedenken, dass die Technologie im öffentlichen Raum zu geschlechtsspezifischen Vorurteilen führen könnte Rassenprofilierung – nicht zuletzt, weil manche Algorithmen mehr aufweisen Fehlalarm gegen farbige Menschen.

Die Europäische Union hat drei Jahre zuvor ein Moratorium für die Gesichtserkennung im öffentlichen Raum vorgeschlagen die Idee aufgeben.

Der Einsatz der Technologie bei Grenzkontrollen wie Flughäfen oder innerhalb sicherer Einrichtungen zur Durchsetzung strenger Zugangskontrollen ist dagegen weitaus zuverlässiger. Ausgereifte biometrische Gesichtserkennungsfunktionen können auch als Authentifizierungsmechanismus für logische Systeme oder Anwendungen verwendet werden.

Die EU Allgemeine Datenschutzverordnung (DSGVO) stellt strenge Anforderungen an die Verarbeitung biometrischer Daten, einschließlich Einwilligung, Transparenz, Zweckbindung und Datenschutz-Folgenabschätzung (zum Schutz vor Mission Creep) sowie Regeln zur Datenaufbewahrung und -minimierung.

Sichere Authentifizierung

Mainstream-Unternehmen verlassen sich zunehmend auf Gesichtserkennung, um den Zugang zu physischen Räumen zu kontrollieren oder Benutzer durch ID-Verifizierungsdienste zu authentifizieren. Diese können mit der Einhaltung der DSGVO in Einklang gebracht werden – zunächst werden jedoch nur sorgfältige Datenschutz-Folgenabschätzungen durchgeführt, die Datenschutz- und Compliance-Anforderungen berücksichtigen.

„Angesichts des rasanten technologischen Fortschritts müssen Unternehmen nicht nur bei der Einführung, sondern auch beim Verständnis der damit verbundenen Risiken flexibel bleiben.“ Dave Holloway, CMO bei ISMS.online, kommentierte.

Declan Goodwin, Partner bei Acuity Law, fügte hinzu: „Ich habe Beispiele gesehen, bei denen Anbieter von Gesichtserkennungssoftware/-hardware Systeme an Unternehmen verkauft haben, ohne dass der Käufer zuvor die Compliance-Anforderungen vollständig berücksichtigt hatte.

„Sobald die Compliance-Anforderungen abgearbeitet sind, hat der Käufer erkannt, dass er das gekaufte System nicht konform umsetzen kann oder fehlerhaft ist.“

Goodwin erklärte: „Zum Beispiel ist die Zustimmung des Mitarbeiters erforderlich, bevor das System zum Ein- und Ausstempeln von Mitarbeitern verwendet werden kann, und diese Zustimmung kann jederzeit widerrufen werden, wodurch die Vorteile der neuen Technologie sehr begrenzt sind.“ Das ICO versucht zu helfen Datenverantwortliche mit solcher Technologie über ihre [aktuellen] Konsultation zum Entwurf der Leitlinien zu biometrischen Daten"

Compliance-Frameworks bieten eine Blaupause

Alex Wilkins, Direktor und Datenschutzexperte bei ProCompliance, erklärte gegenüber ISMS.online, dass „Frameworks und Standards, darunter ISO 27001, ISO 27701 und NIST CSF, eine entscheidende Rolle dabei spielen, Unternehmen dabei zu helfen, sich für die Einhaltung von Vorschriften zu positionieren“, wenn sie die Gesichtserkennung einführen Technologien.

So befasst sich beispielsweise die ISO 27001 Standard bietet einen systematischen Ansatz zur Verwaltung und zum Schutz sensibler Informationen, einschließlich der von der Gesichtserkennungstechnologie verwendeten Daten. „Die Implementierung von ISO 27001 kann Unternehmen dabei helfen, Risiken zu erkennen, Kontrollen einzurichten und ein robustes Informationssicherheits-Managementsystem (ISMS) zu schaffen“, so Wilkins.

ISO 27701 bietet eine Datenschutzerweiterung zu ISO 27001 an, die sich explizit mit dem Datenschutzmanagement befasst.

Unternehmen, die Gesichtserkennungstechnologie verwenden, um sicherzustellen, dass sie personenbezogene Daten in Übereinstimmung mit Datenschutzbestimmungen wie der DSGVO verarbeiten.

„Obwohl es sich nicht speziell um die Gesichtserkennung handelt, ist NIST CSF ein umfassender Rahmen für das Management von Cybersicherheitsrisiken“, schlussfolgerte Wilkins.

Matt Lewis, technischer Forschungsdirektor bei der NCC Group, hat die Auswirkungen der Gesichtserkennungstechnologie und ihre Auswirkungen auf die Privatsphäre von Unternehmen untersucht.

Risiken und Kontroversen bei der Gesichtserkennung

Es gab mehrere Kontroversen im Zusammenhang mit der Gesichtserkennungstechnologie.

Im Februar 2023 kündigte Madison Square Garden an, den Einsatz von Gesichtserkennungstechnologie an seinen Veranstaltungsorten zu verbieten, nachdem es eine Gegenreaktion von Aktivisten und Kunden gegeben hatte, die Einwände gegen die Massenüberwachung am Veranstaltungsort erhoben hatten.

Im Jahr 2022 wurde bekannt, dass Clearview AI ohne Zustimmung der abgebildeten Personen eine Datenbank mit über drei Milliarden Gesichtsbildern angelegt hatte. Das Büro des britischen Informationskommissars verhängte gegen das Gesichtserkennungsunternehmen eine Geldstrafe von mehr als 7.5 Millionen Pfund wegen Verstoßes gegen Datenschutzgesetze.

Compliance und Gesichtserkennung

Während Bedenken hinsichtlich eines Missbrauchs der Gesichtserkennung ernst genommen werden sollten, kann die Technologie nützliche Anwendungen haben.

Clarency, ein Spezialist für Finanz-Compliance, verarbeitet jährlich etwa 6 Milliarden US-Dollar an grenzüberschreitenden Zahlungen und nutzt Gesichtserkennungstechnologie für Sicherheit und Compliance.

Laut Clarency bietet die Technologie ausgegrenzten Regionen und Mitgliedern der Gesellschaft, die in der Vergangenheit von Finanzdienstleistungen ausgeschlossen waren, finanzielle Inklusion.

„Viele unserer Transaktionen betreffen Regionen, die Banken weitgehend ausschließen“, sagte Jem Shaw, Leiter Kommunikation bei Clarency, gegenüber ISMS.online. „Die Gesichtserkennung ist Teil eines erweiterten Due-Diligence-Programms, das es uns ermöglicht, in solchen Regionen konforme Transaktionen durchzuführen.

Clarency erfasst zur Identitätsüberprüfung routinemäßig einen Lichtbildausweis und in einigen Fällen ein Live-Video der beteiligten Gegenparteien.

„Die Probanden akzeptieren die Anforderung bereitwillig, da sie ihnen erlaubt, legale, sichere und gesetzeskonforme Geschäfte abzuwickeln, die andernfalls unmöglich wären“, fügte Shaw hinzu.

Clarency nutzt Gesichtserkennungstechnologie auch für Überweisungen nach Hause und Barzahlungen.

„Wir bieten eine Methode zur Rückverfolgung von Bargeld von der Einzahlung bis zu seiner Digitalisierung und der Weiterleitung an den Empfänger“, erklärte Shaw. „Dies wird durch die Gesichtserkennung am Zahlungsort vorangetrieben.“

Bank-Compliance-Vorschriften, die in der Regel vorschreiben, dass Daten mindestens sechs Jahre lang gespeichert werden müssen, stehen im Widerspruch zu den Anforderungen der DSGVO. Clarency nutzt die Datentresor-Technologie, um diese scheinbar widersprüchlichen Anforderungen in Einklang zu bringen.

„Wir können Informationen im Tresor gemäß den DSGVO-Anforderungen verfallen lassen, löschen oder ändern“, erklärte Shaw. „Sollte eine Einzelperson die Löschung personenbezogener Daten verlangen, können wir dies sofort tun. Der Zugriff kann mit unbegrenzter Granularität bis hin zu Einzelpersonen, Organisationen, Ablaufdaten, Anzahl der Aufrufe usw. bis ins Unendliche gesteuert werden.“

Die Gesichtserkennungstechnologie „wirft alle möglichen Fragen auf, ob diese Technologie grundlegende Datenschutzrechte untergraben könnte und wie sie unter Kontrolle gehalten werden kann“, so Natalie Cramp, Geschäftsführerin des datenwissenschaftlichen Beratungsunternehmens Profusion.

Cramp fuhr fort: „Allerdings bietet die Gesichtserkennungstechnologie viele Vorteile – von der Verbesserung der Sicherheitsmaßnahmen, der Verbesserung digitaler Erlebnisse und dem Schutz von Unternehmen vor Diebstahl bis hin zur Unterstützung bei der Suche nach vermissten Personen.“

Rebecca Harper, Leiterin der Cybersicherheitsanalyse bei ISMS.online, kam zu dem Schluss: „Gesichtserkennung hat ihre Vorzüge, aber wie bei jedem Tool kommt es darauf an, wie man sie verwendet.“ Compliance darf kein nachträglicher Einfall sein.“

John Leiden

John Leyden schreibt seit mehr als 20 Jahren über Computernetzwerke und Cybersicherheit. Vor dem Aufkommen des Internets arbeitete er als Kriminalreporter bei einer Lokalzeitung in Manchester. John hat einen Abschluss in Elektrotechnik von der City, University of London.

Lesen Sie mehr von John Leyden

Datenschutz 22 August 2024

Unternehmen werden aufgefordert, die sich schnell entwickelnden KI-Vorschriften zu verfolgen

Unternehmen müssen sich an die sich rasch entwickelnden KI-Vorschriften halten

Künstliche Intelligenz (KI) verändert den Informationstechnologiesektor in schwindelerregendem Tempo. KI hat Anwendungen, einschließlich Daten, verändert ...

John Leiden

Internet-Sicherheit 20 Juni 2024

Warum Anbieter Schwierigkeiten haben könnten, die Dynamik von „Secure by Design“ aufrechtzuerhalten

Warum es Anbietern schwerfallen könnte, die Dynamik von „Secure by Design“ aufrechtzuerhalten

Zahlreiche Technologieanbieter haben sich der von der US-Regierung unterstützten „Secure by Design“-Verpflichtung angeschlossen. Doch stellt diese Verpflichtung einen Bruch mit der Vergangenheit dar?

John Leiden

Internet-Sicherheit 28. Mai 2024

Dekodierung der neuen NCSC-Richtlinien für Cloud-gehostete Scada-Banner

Entschlüsselung der neuen Leitlinien des NCSC für Cloud-gehostetes SCADA

Operational Technology (OT)-Systeme überwachen und steuern automatisch Prozesse und Geräte, die alles von Kraftwerken bis hin zu intelligenten Krankenhäusern betreiben.

John Leiden