Läufst Du Marathon? Dein Gesicht verrät es

Er staunte nicht schlecht. Philippe Wampfler, Digitalpädagoge, Lehrer und Social Media-Experte, nahm letztes Wochenende am Zurich Marathon teil. Bei Sportograf.com kann er nun mithilfe eines hinaufgeladenen Selfies- das nach Angaben von Sportograf nicht gespeichert wird- alle Schnappschüsse während seines Laufs finden.

Teils mit Bildern von ihm, die ein menschliches Auge kaum erkennen würden.

Sportograf setzt also eine funktionierende Gesichtserkennungstechnologie ein (gemäss Angaben des Mitgründers Tom Janas handelt es sich um eine Eigenentwicklung). Die Firma verkauft die gesammelten Bilder im Paket. Wir fragten uns: Darf Sportograf das?

Werfen wir einen Blick auf die Teilnahmebedingungen des Veranstalters Zurich Marathon: Darin steht in Sachen Datenschutz viel von personenbezogenen Daten wie Email und Geburtsdatum, jedoch nichts zu biometrischen Daten, die maschinell verarbeitet werden. Der Begriff Foto kommt dabei im Zusammenhang mit der Vermarktung vor.

“Mit der Anmeldung willigst du in die Veröffentlichung von Name, Vorname, Geburtsjahr, Wohnort, Startnummer, Wettkampfzeit und Rang in den Start- und Ranglisten des Events ein. Diese Einwilligung gilt sowohl für die Veröffentlichung im Internet, in Printmedien, im TV als auch via Teletext sowie für den Aushang von Listen und Speaker-Durchsagen. Die im Zusammenhang mit unserer Laufveranstaltung gemachten Fotos und Filmaufnahmen dürfen ohne Vergütungsansprüche im TV, Internet, eigenen Werbemitteln, Magazinen und Büchern verwendet werden.“

Wettkampfreglement von Zurich Marathon

Dasselbe antwortete auch Kerstin Aregger, Co-Projektleiterin bei Zurich Marathon, in einer ersten Antwort. Hier geht es aber nicht um urheberrechtliche Ansprüche und Vergütungen, sondern um die Einwilligung zur Datenverarbeitung.

Zwar bietet Zurich Marathon durchaus ein Opt-Out an.

“Ich bin damit einverstanden, dass die in meiner Anmeldung genannten Daten zum Zwecke der Veranstaltung und Sponsoren genutzt werden dürfen. Ich versichere die Richtigkeit der von mir gemachten Angaben. Hinweis laut Datenschutzgesetz: Ihre Daten werden maschinell gespeichert!
Ohne schriftliche Mitteilung an uns (an die unten angegebene E-Mail- oder Postadresse) bis eine Woche vor dem Event dürfen deine personenbezogenen Daten wie Name und Vorname, Privatadresse (Strasse, Nr., PLZ und Ort) Geburtsdatum, Telefonnummer, – und deine E-Mail-Adresse an Partner (z.B. Foto- und Videoservice) für Dienstleistungen oder Werbezwecken sowie auf Anfrage an Sponsoren für gezielte Anschriften und Telefonaktionen (ausschliesslich für den Sponsor SWICA) im Zusammenhang mit dem Laufevent weitergegeben werden.”

Wettkampfreglement von Zurich Marathon

“Interessant” ist dabei nicht nur die Weitergabe aller Daten der Marathonläuferinnen für künftige lästige Telefonanrufe und Werbebriefe. Sondern dass sich der ganze obige Paragraph nur auf personenbezogenen Daten bezieht, und nicht auf Bilder.

Wo genau findet jetzt also die Einwilligung statt? Und wie regelt das der externe Fotoservice Sportograf rechtlich? Wir schauen uns die Privacy-Bedingungen der Firma genauer an. Und finden eine sehr interessante Passage:

“Aufgrund unserer langjährigen Erfahrung im Bereich Veranstaltungsfotografie können wir festhalten, dass die Teilnehmer der Sportveranstaltungen zum einen transparent darüber aufgeklärt werden, dass Sportograf als exklusiver Fotodienstleister eingesetzt wird und das zum anderen jeder Teilnehmer einer solchen Veranstaltung damit rechnen muss, dass der Veranstalter bzw. dessen Kooperationspartner Fotos solcher Events als Erinnerungen bzw. Souvenirs vermarktet. Dabei ermitteln wir mit Hilfe eines Algorithmus, unabhängig von der Startnummer, ob mehrere Fotos eines Teilnehmers der entsprechenden Veranstaltung zugeordnet werden können.”

Datenschutzbedingungen von Sportograf.com

Doch wirklich aufgeklärt wird man als Teilnehmerin des Marathons über diesen Service nicht. Klar, heutzutage ist es Usus an öffentlichen Veranstaltungen und Events fotografiert zu werden. Doch die Teilnahmebedingungen erwähnen und verlangen nicht die Einwilligung für eine algorithmische Zuordnung der Bilder. Nun ist Sportograf.com ein deutsches Unternehmen mit Sitz in Aachen und als solches der DSGVO verpflichtet.

“Rechtsgrundlage sind unsere vorgenannten berechtigten Interessen nach Art. 6 Abs. 1 lit. f DSGVO. Sie können gegen diese Verarbeitung gem. Ziffer 12 Widerspruch einlegen. Ihre Daten werden nicht an Dritte weitergeben. Zur Erfassung der entsprechenden Fotos setzen wir ausschließlich Fotografen ein, die wir datenschutzrechtlich nach der EU-Datenschutzgrundverordnung verpflichtet haben.”

Datenschutzbestimmungen von Sportograf.com

Blöd ist nur: wie kann ich Bestimmungen widersprechen, über die ich nicht informiert werde?

Ausserdem lässt sich das Sportograf-Gesichtserkennungssystem einfach austricksen. Es sind keine Live-Selfies erforderlich, ein Frontalbild reicht. So kann man 1:1 durchsuchen wer am Marathon teilgenommen hat. Wampfler bot an sein Profilbild als Test-Selfie zu verwenden. Und siehe da: Der Service spuckte jede Menge Bilder aus über ihn, Fotos, wo er teils in den hinteren Reihen rannte. Hochauflöslich. Daneben circa 30-40 LäuferInnen ebenfalls mit Gesicht erkennbar. Und alle Foto-Resultate sind für jedermann/frau käuflich. Wie wir schon aus den AGBs erfahren haben, hat sich der Service diese Einwilligung zur Vermarktung ja “eingeholt”.

Das geht auch für Wampfler, der auf Social Media eher für einen lockeren-pragmatischen Umgang mit Datenschutz-Themen bekannt ist, zu weit.

“Das [der Service] fand ich im ersten Moment sehr bequem, weil es fehlerfrei funktioniert hat. Dann ist mir bewusst geworden, dass das bedeutet, wie öffentlich so ein Lauf ist. Das ist deshalb etwas schräg, weil die Bilder hochauflösend verschwitzte, leidende Menschen zeigen – also Gesichter, die wir so in der Öffentlichkeit normalerweise nicht präsentieren. Schon gar nicht auf Fotos.”

Philippe Wampfler, Social Media-Experte

Klar, die Ranglisten sind öffentlich und online. Jeder kann rausfinden wer am Zurich Marathon mitläuft. Früher ging die Fotoerkennung sogar über das Eintippen der Startnummern. Doch Sportograf bietet die Möglichkeit sich mithilfe ihres im Netz frei zugänglichen Angebots noch eine schöne “Gesichtsdatenbank” anzulegen. Das Angebot gälte jedoch nur einen Monat, beteuert Sportograf-Mitgründer Tom Janas auf Anfrage von DNIP.ch. Danach werde alles gelöscht und auf Startnummernsuche umgestellt.

Mitgründer Tom Janas sagt zum Problem einer potenziellen Gesichtsdatenbank:

“Diese Problematik ist uns bereits bekannt und wir sind aktiv dabei, diese Punkte durch verschiedene Techniken zu unterbinden bzw. entgegen zu wirken. Mit unserer aktuellen Lösung bewegen wir uns im Rahmen dessen, was weltweit im Bereich der Teilnehmer-Fotografie derzeit übliche Praxis ist. Bilder sind einsehbar, es gibt aber – zumindest bei Sportograf – jederzeit eine Widerspruchsmöglichkeit und die Bilder werden dann sofort von uns entfernt.“

Tom Janas von Sportograf.com

Es stellt sich höchstens die Frage, wieso man nicht von Anfang an direkt auf die Startnummernsuche setzt und welchen Mehrwert die Gesichtserkennung für die Läuferin bietet. Ob dieses eine Bild des eigenen verschwitzten Gesichts bei welchem die Startnummer von einem anderen Läufer verdeckt wird, den ganzen Aufwand wert ist? Vor allem wenn man bedenkt dass ein Zugriff via Startnummer technisch mit dem Läuferprofil auf der Zurich Marathon-Seite verknüpft werden könnte und so jeder Läufer ohne jegliche Suche nur seine eigenen Bilder sehen würde.

Wie beurteilt dies die Zürcher Datenschützerin Dominika Blonski?

Sie bestätigt was wir bereits vermuteten: Fotos yay, Gesichtserkennung nay.

“Bei einer öffentlichen Veranstaltung muss man davon ausgehen, dass fotografiert wird und das eigene Gesicht auf einem Bild erscheint. Allerdings ist nicht davon auszugehen, dass automatische Gesichtserkennung eingesetzt wird.“

Zürcher Datenschützerin Dominika Blonski

Weil: Durch die Suchfunktion werden die biometrischen Daten aller sichtbaren Gesichter bearbeitet, “auch von denjenigen Läuferinnen und Läufern, die die Suchfunktion nicht benutzen und deshalb nicht in die automatische Gesichtserkennung einwilligen, und vor allem auch aller Passantinnen und Passanten”.

“Deshalb ist bei einer Veranstaltung im öffentlichen Raum die Anwendung von Technologien mit automatischer Gesichtserkennung noch zusätzlich heikel.”

Zürcher Datenschützerin Dominika Blonski

Die Zürcher Datenschützerin hat allerdings keine rechtliche Handhabe dagegen vorzugehen. Es handelt sich um eine private Organisation, was wiederum in der Aufsicht des EDÖB liegt. Wir haben den Datenschutzbeauftragten auf den Sachverhalt hingewiesen und warten die Antwort ab.

Zivilgesellschaftliche Organisationen wie Algorithmwatch Schweiz, das federführend ist bei der Petition zum Verbot von Gesichtserkennung im öffentlichen Raum, haben bereits zum Fall Sportograf.com klar Stellung bezogen. Sie kritisiert diesen Verstoss gegen die Privatsphäre scharf und macht dabei dieselben inhaltlichen Punkte geltend wie die Zürcher Datenschützerin:

“Die Bearbeitung von biometrischen Daten durch Sportograf.com ist ein gutes Beispiel dafür, warum eben nicht alles, was technologisch möglich ist, tatsächlich auch eine gute Idee ist. Der Einsatz im Freizeitbereich zeigt ausserdem, wie wenig Bewusstsein teilweise vorhanden ist, dass es sich hier um eine heikle Datenbearbeitung handelt, die mit wesentlichen Auswirkungen auf Mensch und Gesellschaft einhergehen kann.(…) Wichtig ist zu sagen, dass diese Art der biometrischen Datenverarbeitung nicht etwa jener entspricht, mit der wir unser Smartphone entsperren, und bei der es lediglich um eine Authentifizierung – also einen Abgleich von zwei Bildern – geht. Beim Sportograf geht es nämlich um eine Identifizierung, bei der auf eine Datenbank von bestehenden Bildern zurückgegriffen wird und eine Person aus einer Masse von bestehenden Bildern heraus identifiziert wird. Was ausserdem immer zu bedenken ist – gerade beim Einsatz solcher Technologien durch Private: Es droht rasch, dass die Funktionen und Zwecke der Datenbearbeitung schrittweise ausgebaut werden, etwa indem weitere Datenbanken zur Identifizierung herangezogen werden – und in Massen verfügbare Social Media Bilder bieten sich dafür an. Oder es kann sein, dass die Daten zu weiteren kommerziellen Zwecken genutzt oder zur Verfügung gestellt werden. Die biometrische Erkennung ist beim Sportograf bereits jetzt mit einem Geschäftsmodell gekoppelt – und weitere Optionen, damit Geld zu verdienen, werden sich anbieten.“

Angela Müller, Head of Policy & Advocacy, AlgorithmWatch Schweiz

In ein paar Punkten hat sich Zurich Marathon immerhin seit unserer Recherche bewegt. Der Veranstalter macht die Gesichtserkennung transparent in seinen Klauseln:

“Wir haben es leider versäumt, den einschlägigen Paragraph aus unserem Vertrag mit Sportograf, der die Teilnehmer über die Datenerhebung inkl. Biometrie aufklärt, in die AGBs für den Event zu übernehmen und damit transparent aufzuklären. Das bedauern wir sehr und werden das Reglement umgehend anpassen sowie alle Teilnehmer per Mail entsprechend informieren.  

Kerstin Aregger, Co-Projektleiterin Zurich Marathon

Man halte sich an das Schweizer Datenschutzgesetz, bekräftigt Co-Projektleiterin Aregger. Am 13. April wurde in der Tat eine Information an alle Teilnehmenden verschickt. Darin wird ausserdem festgehalten dass Sportograf – anders als in den AGBs vermerkt – nie irgendwelche persönliche Daten wie Email, Geburtsdatum und Informationen erhalten habe.

Sportograf-Mitgründer Janas bestätigt dies:

“Hierzu möchten wir gerne noch anmerken, dass wir keinerlei der in der AGB zitierten persönlichen Daten jemals erhalten haben und auch niemals danach gefragt haben!”

Tom Janas, Mitgründer Sportograaf.com

Nun gut, es wurden keine persönlichen Angaben weitergeleitet, aber am eigentlichen Kernproblem ändert sich nichts. Ausser dass alle Marathon-LäuferInnen nun offiziell darüber informiert worden sind dass sie ungefähr bis zum 10. Mai 2022 leicht im Netz auffindbar sind, ihr Gesicht dank eines Algorithmus auf allen Bildern erkannt wird und jeder, jedes dies einfach zuhause am Bildschirm durchtesten kann.

In Zeiten in denen datenhungrige Gesichtserkennungsapps aus den USA und anderswo massenhaft Social Media-Netzwerke durchforsten und scrapen (Clearview AI etc.) , ein Verbot der Echtzeit-Gesichtserkennung in der EU hängig ist und auch in der Schweiz eine Petition dazu eingereicht wurde, sind solche Zusatzservices fragwürdig, missbrauchsanfällig und intransparent. Es fragt sich ob die grosse Mehrheit der MarathonläuferInnen erstens von dieser “Fotodienstleistung” vorher von Sportograf wusste und zweitens damit auch einverstanden gewesen wäre.

PS: Bei den im ersten Screenshot aufgeführten alternativen Suchoptionen handelt es sich um Suche nach Zeit/Ort und um Suche basierend auf von der Läuferin hochgeladenenn GPS-Daten des eigenen Laufs.

Die Suche nach Zeit/Ort ist zeitaufwändig (vor allem wenn man seine Laufzeit an einem der Fotografen-Standorte nicht kennt), die Suche mithilfe der eigenen GPS-Daten aus Datenschutz-Optik auch nicht ganz über alle Zweifel erhaben. Da der anschliessende Bestellvorgang deutlich aufwändiger ist als bei der Suche nach Gesichtern, kann man sich zurecht fragen inwieweit diese Alternativen primär der Beruhigung besorgter Läufer dienen, welche ihr Bild nicht hochladen wollen.

Update, 12:04 am 14.4.2022: Was passiert wenn ich als Läuferin dieser Verarbeitung widersprechen möchte? Wie werden meine Fotos gefiltert? Werden diese sogar verpixelt? Die Antwort von Sportograf.com: “Beim Widerspruch brauchen wir eine Legitimierung von Dir, wie zB eine geschwärzt Kopie von deinem Personalausweis, damit wir wirklich wissen dass Du es bist.” Um also zu widersprechen, braucht Sportograf.com wiederum ein Bild von mir.