Gesichtserkennung zur Zutrittskontrolle bei einem Fußballstadion liegt im erheblichen öffentlichen Interesse gem. Art 9 Abs 2 lit g DSGVO
Am 24.04.2019 hat die dänische Aufsichtsbehörde auf Antrag des FC Brøndby die Zulässigkeit einer Gesichtserkennung bestätigt.
Der FC Brøndby hat für ein Zutrittskontrollsystem beim Stadion für Fußballmatches installiert, welches auch automatische Gesichtserkennungssoftware umfasst. Es geht darum, dass Rowdies erkannt werden können, und dann der Zutritt zum Stadion verwehrt wird.
Die Verarbeitung von biometrischen Daten zur Erkennung von Personen (dh Art 9 Daten) kann gem. Art 9 Abs 2 lit g DSGVO dann erfolgen, wenn dies im erheblichen öffentlichen Interesse erforderlich ist. Nach den dänischen datenschutzrechtlichen Bestimmungen, sind Verarbeitungstätigkeiten, die derartige Daten verarbeiten zu genehmigen, sofern diese Verarbeitungen nicht durch Behörden durchgeführt werden. Daher wandte sich der FC Brøndby an die Aufsichtsbehörde und beantragte die Genehmigung.
Die Genehmigung wurde unter folgenden Bedingungen erteilt:
1. Die Genehmigung gilt für die Abwicklung von Fußballspielen, Fußballspielen, einschließlich
Trainingsspielen mit Beteiligung von Mannschaften aus der Superliga, der 1. und 2. Liga sowie für Fußballspiele in der UEFA im Brøndby-Stadion. Diese
darf daher nur bei diesen Spielen betrieben werden, und sonst nicht.
2. Die Liste der abzuweisenden Fans muss sachlich und verhältnismäßig im Zusammenhang mit Verstößen
gegen die Vertragsbestimmungen für Karten für Brøndby IF und Superligaen erstellt werden.
3. Personenbezogene Daten, die im Rahmen des Gesichtserkennungssystems verarbeitet werden und nicht mit
Informationen aus der internen Liste der abzuweisenden Fans übereinstimmen, dürfen nicht gespeichert werden.
4. Personenbezogene Daten, die im Rahmen des Gesichtserkennungssystems verarbeitet werden und zu einem Spiel mit Informationen aus der internen
Liste der abzuweisenden Fans führen, müssen sofort nach einem Spiel im Brøndby Stadium gelöscht werden.
5. Brøndby muss bei der Erhebung personenbezogener Daten die Informationspflicht beachten. Darüber
hinaus muss Brøndby durch Beschilderung oder auf andere eindeutige Weise Informationen zur Zugangskontrolle bereitstellen, einschließlich eines Hinweises auf die Verarbeitung biometrischer Daten
mithilfe eines automatischen Gesichtserkennungssystems.
6. Personenbezogene Daten, die im Rahmen des Gesichtserkennungssystems verarbeitet werden, müssen mit aktuellen und allgemein anerkannten Verschlüsselungsalgorithmen verschlüsselt auf den Server übertragen und dort gespeichert werden.
7. Die Überwachungskameras müssen in einem separaten Netzwerk installiert werden und dürfen nicht mit
dem Internet verbunden sein.
8. Brøndby muss die Zugangskontrolle mit dem Gesichtserkennungssystem in bestimmter Art und Weise durchführen, einschließlich
a. der Autorisierung bestimmter Mitarbeiter zur Bedienung der Gesichtserkennungssoftware und Protokollierung manueller Eingaben im System, sowie
b. Verwendung der Zwei-Faktor-Authentifizierung beim Anmeldevorgang.
9. Jegliche Änderung der Betriebsbedingungen von diesen Bedingungen sind der Datenschutzbehörde zu melden.
15.05.2019, Autor
Michael Schweiger, zert. DSBA
Kommentar schreiben