Gesichtserkennung – Ein ständiges Abwägen

Technologien zur Gesichtserkennung sorgen weltweit regelmäßig für Aufruhr. Wie kann sie ethisch vertretbar um- und eingesetzt werden? Und wie unterscheiden sich Gesichtserkennung und Gesichtsauthentifizierung voneinander?
Das US-Start-up Clearview geriet zuletzt massiv in Kritik. Es hat seine Daten aus seiner Gesichtsdatenbank an Unternehmen weitergegeben. (© Clearview)

Die Verwendung von Gesichtserkennungstechnologie ohne Zustimmung der Bürger kann ohne Zweifel nützlich sein, etwa bei Sicherheitsfragen. Sie stellt aber auch eine Verletzung der Privatsphäre dar. In Banken, Flughäfen und Gesundheitseinrichtungen wird Gesichtserkennung bereits eingesetzt, um genau zu bestimmen, ob eine Person die ist, die sie vorgibt zu sein. Während neuere Vorschriften wie die EU-Datenschutzgrundverordnung (DSGVO) oder das kalifornische Verbraucherschutzgesetz (CCPA) Schritte in die richtige Richtung sind, müssen die Technologien grundsätzlich strenger gesetzlich reguliert werden. Die Leitfrage ist, wofür die Technologie eingesetzt werden kann und wofür dies nicht vertretbar ist.

Zuerst muss zwischen Gesichtserkennung und Gesichtsauthentifizierung differenziert werden. Gesichtserkennung ohne Zustimmung einer Person wird oft mit einer weit verbreiteten Überwachung und Verletzungen der Privatsphäre in Verbindung gebracht. Der aktuell prominenteste Fall ist der des Unternehmens Clearview. Das US-Start-up hat eine Datenbank mit weltweit rund drei Milliarden digitalisierten Gesichtern vor allem aus sozialen Netzwerken aufgebaut. Die Software sollte nur Sicherheitsbehörden zur Verfügung gestellt werden. Dabei betonte Clearview, stets höchste moralische Maßstäbe anzulegen.

Allerdings wurde bekannt, dass die Firma ihre Daten nicht ausschließlich an Strafverfolgungs- und Sicherheitsbehörden in den USA und Kanada weitergeleitet hat. Clearview trat vielmehr auch mit Staaten wie den Vereinigten Arabischen Emiraten, Katar und Singapur in Kontakt. Außerdem standen auf der Kundenliste Unternehmen wie Walmart oder Macy’s, Banken wie Wells Fargo und Bank of America sowie die US-Basketballliga NBA.

CEO spioniert Tochter mit KI aus

Welches Potenzial die Software hat, zeigt der jüngst bekannt gewordene Fall des CEOs der Lebensmittelkette Gristedes, John Catsimatidis. Er spionierte das Date seiner Tochter aus, indem er einen Kellner beauftragte, heimlich ein Foto zu machen. Dieses hat er in seiner Clearview-App hochgeladen, um zu sehen, mit wem er es zu tun hat.

Die Gesichtsauthentifizierung hingegen gibt dem Einzelnen die volle Kontrolle. Denn die Person hat stets die Wahl, ob sie der Technologie erlauben möchte, sie zu identifizieren. Sie wird zum Schutz bei Onlineanmeldungen durchgeführt und ist berechtigungsbasiert. Gleichzeitig bietet sie einen höheren Schutz im Vergleich zu Benutzernamen und Kennwörtern oder SMS-basierter Zwei-Faktor-Authentifizierung. Branchen mit hohem Betrugsrisiko wie Banken wenden sich vermehrt der gesichtsbasierten Identitätsauthentifizierung zu.

Die neuen Technologien vergleichen das Foto auf einem amtlichen Ausweis mit einem Echtzeit-Selfie zum Zeitpunkt des Einwählens in einen Account. Nachdem der Benutzer überprüft wurde, kann das Gesicht des Benutzers beziehungsweise das Selfie für weitere Authentifizierungen gespeichert werden. Das Selfie beinhaltet ausgeklügelte Algorithmen, die die geringsten Anomalien aufgreifen und dem Benutzer den Zugriff gewähren oder diesen ablehnen. Gerade wenn es um die Finanzen einer Person geht, kann diese Art der Kontrolle dem Benutzer ein Höchstmaß an Vertrauen bieten, insbesondere bei risikoreichen Transaktionen wie Überweisungen und Passwort-Resets.

Indien sucht vermisste Kinder mit KI

Die Gesichtsauthentifizierung überprüft also die Identität einer Person, während die Gesichtserkennung sie unfreiwillig preisgibt. Natürlich gibt es Ausnahmen. Indien beispielsweise ist dafür bekannt, dass es große Mengen an vermissten Kindern gibt. Aus diesem Grund erstellte die indische Regierung eine Datenbank mit Fotos von vermissten Kindern und nutzte Gesichtserkennungstechnologien, um Tausende von ihnen zu identifizieren.

Wenn aber Gesichtserkennung verwendet wird, um eine bestimmte Person beispielsweise während Ausschreitungen auf der Straße zu identifizieren und diese dann auch bei einer Verhaftung verwendet wird, muss sie zuverlässig sein. Das Problem bei diesen Anwendungsfällen ist aber, dass Gesichtserkennungstechnologie oft eine große Datenbank von Fotos verwendet, um eine Art Übereinstimmung zu finden. Aus diesem Grund ist die Genauigkeit oft verzerrt.

Die Gesichtsauthentifizierung hingegen verwendet ein Originalfoto aus einem Reisepass oder Führerschein, um klar zu entscheiden, dass es sich tatsächlich um die betreffende Person handelt. Der Algorithmus ist also sehr genau. Diese Genauigkeit und Zuverlässigkeit schafft Vertrauen. Beides kann aber nur durch klare gesetzliche Regeln entstehen.