In einer Diskussion kam die Frage auf, ob Tätowierungen zu einem so eindeutigen Merkmal werden könnten, dass sie als biometrisches Datum einzustufen sind.
Ich bin etwas hin und hergerissen. Gäbe es eine Datenbank mit Fotos auffälliger Tätowierungen, könnte man darüber sicherlich sehr leicht Personen identifizieren.
Andererseites sind Tätowierungen vom Ursprung ja nicht wirklich “biologisch” entstanden und können auch wieder verändert oder entfernt werden.
Wie ist denn die Meinung im Forum oder hat jemand schon einschlägige Entscheidungen oder Kommentare parat?
Solche Datenbanken gibt es - zumindest bei den Strafverfolgungsbehörden (soweit ich weiß).
Das es sich bei Tattoos um pbD handelt ist denke ich klar.
Nach Art 4 Nr 14 DSGVO sind besondere Verfahren notwendig um diese Daten zu identifizieren. Das würde ich bei einer Fotodatenbank nicht so sehen.
Daher verneine ich Tattoos als solche als biometrisches Datum. Erst in der Kombination mit anderen Daten könnte es als solches zu werten sein.
Aber das ist nur meine Ansicht.
Es ist tatsächlich definiert und im Einsatz. Ich gehe davon aus, dass im datenschutzrechtlichen Rahmen auf die technische Spezifikation und Beschreibung der Technologien zurückgegriffen werden muss, ähnlich wie beim Stand der Technik.
In ISO/IEC 2382-37:2017 werden in Punkt 3.1.2 Definition und Beispiele genannt:
https://www.iso.org/obp/ui/#iso:std:iso-iec:2382:-37:ed-2:v1:en
Diese Beispiele werden gemeinhin genutzt, so auch im “Positionspapier zur biometrischen Analyse” der Datenschutzkonferenz. Sie bilden aber keinen abschließenden Katalog, denn zu den Charakteristiken, Merkmalen, Eigenschaften zählen auch Narben, Male und Tattoos; nachzulesen in verschiedenen NIST Special Publications (SP 500-245 ANSI/NIST-ITL 1-2000, SP 500-271 ANSI/NIST-ITL 1-2007, SP 500-290 Edition 3 ANSI/NIST-ITL 1-2011).
https://www.nist.gov/publications/data-format-interchange-fingerprint-facial-other-biometric-information-ansinist-itl-1-1
Bei biometrischen Merkmalen wird immer Zusatzwissen benötigt. Die Iris, der Fingerabdruck, die Stimme … muss einer bekannten Person zugeordnet werden. Es sei denn, man erstellt eine reine Bilddatenbank, so wie es Clearview mal eben machte. Das ist bei biometrischen Systemen zur Identifikation / Authentifizierung aber nicht der Fall. Deren Sinn besteht darin, die extrahierten Merkmale eindeutig einer Person zuweisen zu können. Mehr oder weniger erfolgreich.
Also nach Ansicht der DSK sind praktisch alle Bildaufnahmen von Personen biometrische Daten im Sinne des Art. 4 Nr. 14 DSGVO. Die DSGVO ist halt in sich sehr widersprüchlich an der Stelle. Einerseits verlangt sie spezielle technische Verfahren für den Begriff des biometrischen Datums, andererseits nennt sie Gesichtsbilder als typisches Beispiel dafür, die alles andere als ein spezielles Verfahren benötigen. Verstärkt wird dies noch dadurch, dass im korrespondierenden EG einfache Lichtbilder als Gegenbeispiel genannt sind für nicht-biometrische Daten. Dabei wurden Begriffe wie Licht- und Gesichtsbilder in allen Ausweiskontexten immer völlig austauschbar verwendet.
Die Einschränkung nimmt die DSK dafür auf Ebene von Art. 9 DSGVO vor. Biometrische Daten sind ja nur dann erfasst, wenn sie der eindeutigen Identifizierung dienen. Die DSK verengt den Begriff der Eindeutigkeit da (im Lichte des Wortlauts des Art. 4 Nr. 14 DSGVO) sogar noch und lässt nur spezielle technische Verfahren diesen Anspruch erfüllen. Da dann aber losgelöst von der konkreten Technik (ob mathematisch oder KI).
Für die Frage hier heißt das: Ja auch Tätowierungen sind biometrische Daten im Sinne der DSGVO (wie jede Aufnahme des Körpers). Aber ohne zusätzliche Absichten / Handlungen, die der eindeutigen Identifizierung dienen, folgt daraus nichts. Biometrische Daten per se sind nicht besonders schutzwürdig.
Besondere Kategorien personenbezogener Daten sind nicht besonders schutzwürdig?
Wie meinst du das?
1 „Gefällt mir“
Ich unterscheide zwischen Vermessungen (Auswerten, mit speziellen technischen Verfahren) und Aufnahmen (Erheben, Erfassen) menschlicher Merkmale (die ggf noch verarbeitet werden).
Die Nr 14 in Art 4 lese ich als “… gewonnene Daten, die … , wie Gesichtsbilder oder daktyloskopische Daten”.
Auch wenn die Auswertung mit aktueller Technik ohne viel Hindernis erfolgen könnte.
Die Ansicht von Zealord teile ich daher nicht (Tätowierungen = biometrische Daten).
Nagut, dann eben ausführlich… *g*
Art.4 Nr.14 DSGVO:
„biometrische Daten“ mit speziellen technischen Verfahren gewonnene personenbezogene Daten zu den physischen, physiologischen oder verhaltenstypischen Merkmalen einer natürlichen Person, die die eindeutige Identifizierung dieser natürlichen Person ermöglichen oder bestätigen, wie Gesichtsbilder oder daktyloskopische Daten;
Ich setze die Betonung auf “physische, physiologische oder verhaltenstypische Merkmale” (die allg. Definition) und auf “mit speziellen technischen Verfahren” (die biometrischen Systeme).
Durch die Verarbeitung der individuellen Merkmale (Kopfform, Hautfarbe, Augen, Mund, Nase, Narben, Muttermale, Sommersprossen, Grübchen, Abstände und Beziehungen etc.) eines Gesichtsbildes in einem biometrischen System wird es zum biometrischen Datum. Diese Verarbeitung (“mit speziellen technischen Verfahren”) ermöglicht die Identifikation oder Verifikation einer Person (“gewonnene personenbezogene Daten […] die eindeutige Identifizierung dieser natürlichen Person ermöglichen oder bestätigen”).
Ihre Einzigartigkeit und Messbarkeit macht eine Tätowierung als individuelles Merkmal interessant. Mithilfe eines biometrischen Systems kann sie erfasst, mit gespeicherten Informationen verglichen und zur Identifikation / Verifikation genutzt werden. Diese Verarbeitung findet statt und wird beim NIST unter “Tattoo Recognition Technology” geführt. Das Dokument NISTIR 8078 geht auf die Algorithmen zur Erkennung und Treffergenauigkeit ein und führt u.a. mit diesem Satz in die Thematik ein:
A tattoo is an elective biometric trait that contains discriminative information to support person identification and investigation in addition to traditional soft biometrics such as age, gender and race.
Körpertätowierungen würden zur Identifizierung genutzt, wenn primäre biometrische Daten wie Gesicht oder Fingerabdruck nicht verfügbar sind. Aufgrund dessen, dass sie mehr unterschiedliche Charakteristiken enthalten als zB Alter, Geschlecht oder Gewicht, seien sie zur Unterstützung bei Grenzkontrollen, bei Ermittlungen oder der Suche nach Vermissten nutzbar.
Bei dieser Tattoo Recognition Technology wird eine automatisierte Erkennung durchgeführt, im Gegensatz zur manuellen Klassifizierung von Tätowierungen wie in NIST SP 500-290 beschrieben.
Die Artikel 29-Gruppe hatte zwei Papiere zum Thema Biometrie herausgebracht (WP 80, 193) und ging in WP 136 auf das biometrische Datum ein:
Typische Beispiele für biometrische Daten sind Fingerabdrücke, Augennetzhaut, Gesichtsform, Stimme, aber auch Handgeometrie, Venenstruktur oder auch spezielle Fähigkeiten oder sonstige Verhaltensmerkmale (z. B. handgeschriebene Unterschrift, Tastenanschlag, charakteristische Gangart oder Sprechweise usw.).
Der erste Schritt in der biometrischen Erkennung ist immer die Aufnahme oder Erfassung dessen, was erkannt werden soll: Bild des Gesichts in 2D/3D, Fingerabdruck mittels Sensor oder Bild, monochromes Bild der Iris usw. Dass die Iris, aber nicht das Irisbild, die Stimme, aber nicht die Stimmenaufnahme, und andererseits das Gesichtsbild, aber nicht das Gesicht, als biometrisches Datum definiert wird, begründe ich mit den bekannten Biometrien und ihren jeweiligen Eigenschaften, Algorithmen, Merkmalsextraktionen: Fingerabdruckerkennung, Handabdruckerkennung, Gesichtserkennung, Iriserkennung, Stimmerkennung, Venenerkennung, Unterschrifterkennung, DNA-Erkennung. Die Tätowierungserkennung (obige Tattoo Recognition Technology) fehlt in dieser Liste. Sie funktioniert jedoch auf dieselbe Weise wie die anderen Biometrien, teilweise werden dieselben Algorithmen wie für die Gesichtserkennung verwendet.
Fazit: Zu dem physischen Merkmal “Tätowierung” können mit speziellen technischen Verfahren personenbezogene Daten gewonnen werden, die die eindeutige Identifizierung einer natürlichen Person ermöglichen oder bestätigen. Das macht zunächst das Tätowierungsbild, gleich dem Fingerabdruck oder dem Gesichtsbild, zu einem biometrischen Datum. Die Antwort auf die Frage “Führen Tätowierungen zu einem biometrischen Datum (Art. 9)?” ist folglich Ja. Die Frage, ob eine Tätowierung ein biometrisches Datum ist, beantworte ich ebenfalls mit Ja, denn die biometrische Erkennung kann für Tätowierungen eingesetzt werden und wird für Tätowierungen eingesetzt (werden). Ich sehe in der Nutzung des speziellen technischen Verfahrens keinen Unterschied zur Iris.
Artikel 29-Gruppe:
WP 80: https://datenschutz.hessen.de/sites/datenschutz.hessen.de/files/wp80_de.pdf
WP 136: https://datenschutz.hessen.de/sites/datenschutz.hessen.de/files/wp136_de.pdf
WP 193: https://datenschutz.hessen.de/sites/datenschutz.hessen.de/files/wp193_de.pdf
NIST:
Tattoo Recognition Technology: https://www.nist.gov/programs-projects/tattoo-recognition-technology
NISTIR 8078: https://nvlpubs.nist.gov/nistpubs/ir/2015/NIST.IR.8078.pdf
1 „Gefällt mir“
@dillenq @haderner
Erstmal habe ich hier nur die Ansicht der DSK wiedergegeben. Aber auch aus meiner Sicht ist die Unterscheidung zwischen Art. 4 Nr. 14 DSGVO und Art. 9 DSGVO schon entscheidend. Gemäß Art. 4 Nr. 14 DSGVO sind biometrische Daten alle solche, die eine eindeutige Identifikation ermöglichen(!) oder bestätigen. Es handelt sich also um ein Vorstadium. Der Begriff dort umfasst auch biometrische Daten, die bisher allein die abstrakte Möglichkeit der eindeutigen Identifikation bieten (Wie weit diese Möglichkeit geht, sei mal dahingestellt, da hat die DSK eben einen extrem weiten Ansatz gewählt). In Art. 9 Abs. 1 DSGVO ist der Schutzbereich aber nicht auf biometrische Daten im Allgemeinen zugeschnitten, sondern nur auf solche, die zur eindeutigen Identifizierung verwendet werden. Die konkrete Verarbeitungssituation spielt hier also eine Rolle, nicht bloß die abstrakte Möglichkeit. Ein biometrisches Datum, das nicht zur eindeutigen Identifizierung verwendet wird, ist also kein Fall von Art. 9 DSGVO und damit nicht besonders schützenswert im Vergleich zu anderen personenbezogenen Daten.
Alle detaillierten Ausführungen von @anzolino sind natürlich zutreffend, allerdings fällt die Tätowierung auch nur dann unter Art. 9 DSGVO, wenn diese Information zur eindeutigen Identifizierung verwendet wird. Nicht wenn es “einfach so” verarbeitet wird (beispielsweise als Teil einer Videoüberwachung).
Wobei der Begriff “Identifizierung” auch die Authentifizierung (= Verifikation) einbezieht. Das lässt sich aus den Erwägungsgründen 51 und 57 erlesen: “eindeutige Identifizierung oder Authentifizierung” und “Identifizierung […] beispielsweise durch Authentifizierungsverfahren”. Wäre dies nicht der Fall, würden sämtliche Zugangskontrollsysteme, die mit biometrischer Erkennung arbeiten, von der Regelung ausgenommen.
Derlei sprachliche Ungenauigkeiten sind in der gesamten DSGVO zu finden.
Der Erwägungsgrund 51 nimmt Lichtbilder von einer grundsätzlichen biometrischen Verarbeitung aus. In der engl. Fassung sind es “photographs” = Ablichtung, Fotografie, Lichtbild. Mit dem Begriff “Lichtbild” werden also jegliche Ablichtungen erfasst, nicht nur Gesichtsbilder. Würde ein Arbeitgeber die Fingerabdrücke seiner Mitarbeiter ablichten, um sie an die Wand unter ihr jeweiliges Photo hängen zu lassen, dann fiele diese Verarbeitung nicht unter Art.9, weil sie nicht der Identifizierung dient. Ein Mitarbeiter müsste, wollte er dagegen vorgehen, mit den Rechtmäßigkeiten des Art.6 argumentieren.
Im “Positionspapier zur biometrischen Analyse” schreibt die DSK außerdem:
Als biometrische Daten im Sinne des Art. 4 Nr. 14 DS-GVO können danach sowohl die biometrischen Samples, also die analogen oder digitalen Repräsentationen biometrischer Charakteristika vor der biometrischen Merkmalsextraktion, als auch die biometrischen Merkmale, das heißt die Zahlen oder markanten Kennzeichen, die aus einem biometrischen Sample extrahiert wurden und zum Vergleich verwendet werden können, eingestuft werden.
Hier übernimmt sie den Wortlaut der ISO-Norm (biometric sample: “analog or digital representation of biometric characteristics prior to biometric feature extraction”). Analog meint aber nicht die Iris, die Handvene oder die Tätowierung an sich. Meine Antwort zur bloßen Tätowierung ist nach Ansicht der DSK nicht korrekt.
Dazu hätte ich gerne eine explizite Quelle. Die Folgen wären fatal.
Nach meiner persönlichen Auffassung (!) ist ein Bild (Gesicht, Tattoo), ein Fingerabdruck (auf meiner Kaffeetasse), etc. ERSTMAL kein Biometrisches Datum.
Die Verarbeitung als Daten in Form von Speicherung, Löschung, Veröffentlichung, etc. ist fast unkritisch.
ERST DANN wenn ein Algorhythmus damit Biometrie betriebt, d.h. daraus einen neuen - eben biometrischen - Datensatz macht, dann ist DIESER Datensatz ein besonderes personenbezogenes Datum gemäß Art. 9.
Zu Ende gedacht bedeutet dies:
Eine (auch elektronische) Kartei von Tattoos mit zugehöriger Personenzuordnung zum “visuellen Abgleich” bei der Suche nach Personen sind KEINE Art. 9-Daten
Die Datenbank mit biometrisch ausgewerteten Daten zu den Tattoos: Art. 9 Daten.
Wäre das anders, dann würde ich, wenn ich mein vollgeschnäuztes Taschentuch in den Papierkorb meines Arbeitgebers werfe, diesem eine Einwilligung zur Vernichtung meiner genetischen Daten erteilen müssen. 
Betrifft zwar nicht Tattoos aber da oben auch Fingerabdrück genannt wurden und es halbwegs passt:
Hier ein aktueller Artikel:
https://web.de/magazine/digital/victory-zeichen-warum-nicht-auf-fotos-machen-36110966
Positionspapier Biometrische Analyse der DSK:
2.1
“Biometrisches Sample Analoge oder digitale Repräsentation biometrischer Charakteristika vor der biometrischen Merkmalsextraktion”
6.1.4
“Biometrische Daten sind daher sowohl die biometrischen Samples, also die direkt mit einem Sensor erfassten Merkmale, wie auch die so genannten Templates, das heißt die aus biometrischen Samples gewonnenen und typisierten Merkmals-Vektoren […]”
6.1.5
“Als biometrische Daten im Sinne des Art. 4 Nr. 14 DS-GVO können danach sowohl die biometrischen Samples, also die analogen oder digitalen Repräsentationen biometrischer Charakteristika vor der biometrischen Merkmalsextraktion, als auch die biometrischen Merkmale, das heißt die Zahlen oder markanten Kennzeichen, die aus einem biometrischen Sample extrahiert wurden und zum Vergleich verwendet werden können, eingestuft werden.”
Folgerichtig dann daraus abgeleitet in 6.1.6.6:
“Auf Lichtbildern oder Videoaufnahmen können aber biometrische Daten enthalten sein, wenn das Gesicht einer Person in entsprechender Auflösung, Ausrichtung und Größe auf dem Lichtbild oder der Videoaufnahme abgebildet wird.”
Biometrisches Sample ist einfach nur eine andere Beschreibung für Rohdatum, das wieder nur eine Oberkategorie ist für jedwede Bildaufnahme und ähnliches, so lange diese nur gut genug ist, um eine eindeutige Identifizierung daran vorzunehmen. Der Vergleich mit den genetischen Daten hinkt aber. Erstens muss dort das Verständnis nicht zwingend auch so weit sein und selbst wenn man es macht müsste man es wohl teleologisch reduzieren im Rahmen des Art. 9 DSGVO, wie man es schon für Videoaufnahmen generell macht (die beispielsweise ohne Weiteres auch Aussagen über die Religion etc.) enthalten können.
Danke Zealord.
Aber wenn ich das richtig lese, dann ist Bild ein Bild und “biometrisches Sample” bereits eine Extraktion aus dem Bild - egal welche Stufe.
und…:
Folgerichtig dann daraus abgeleitet in 6.1.6.6:
“Auf Lichtbildern oder Videoaufnahmen können aber biometrische Daten enthalten sein, wenn das Gesicht einer Person in entsprechender Auflösung, Ausrichtung und Größe auf dem Lichtbild oder der Videoaufnahme abgebildet wird.”
Genau, diese Daten können “enthalten” sein, sind sie aber nicht, solange da niemand diese Daten mit entsprechenden Algorhythmen gewinnt.
Daher bin ich der Meinung, dass “Biometrisches Sample ist einfach nur eine andere Beschreibung für Rohdatum,…” eben nicht richtig ist.
Bilddaten - auch als Rohdaten für Biometrie - sind keine Art. 9 Daten.
Unzweifelhaft: Das Bild ist - als Eingriff in die Persönlichkeitssphäre zu werten - ja schon schutzwürdig, aber die erhöhten Anforderungen an die Rechtmäßigkeit der Verarbeitungen aus Art.9 kommen erst damit zu Stande, dass in irgendeiner Form Biometrie betrieben wurde.
Das dies eine zusätzliche Gefährdung des Datenmissbrauchs darstellt, möchte ich nicht bestreiten.
Die Einschränkung, die die DSK da trifft ist eine wie zu Luftbildaufnahmen. Da können personenbezogene Daten enthalten sein, müssen aber nicht, falls die Auflösung so niedrig ist, dass gar nichts erkennbar ist. Eine solche Schwelle wurde hier beschrieben. Wenn ich eine Aufnahme von einem Gesicht habe, die zwar halbwegs erkennbar ist und damit ein personenbezogenes Datum, aber noch so schlecht ist, dass keine eindeutige Identifizierung vorgenommen werden kann, dann ist es kein biometrisches Datum. Die Hürde ist bei modernen HD-Kameras aber absolute Makulatur, da sich dort jede Aufnahme, die ein personenbezogenes Datum ist, auch zugleich für die eindeutige Identifizierung nutzen lässt.
Blockzitat
Daher bin ich der Meinung, dass “Biometrisches Sample ist einfach nur eine andere Beschreibung für Rohdatum,…” eben nicht richtig ist.
Bilddaten - auch als Rohdaten für Biometrie - sind keine Art. 9 Daten.
Hier muss noch einmal deutlich gesagt werden, dass es nicht Auffassung der DSK ist,dass biometrische Daten automatisch unter Art. 9 fallen. Das ist nur dann der Fall, wenn sie auch für die eindeutige Identifizierung (automatisiert) verwendet werden. Biometrische Daten an sich sind nicht besonders schützenswert. Die DSGVO hat Art. 9 da bewusst eingeschränkt im Wortlaut.
Das ist richtig.
Versuche ich mal eine Conclusio mit Bezug zur Eingangsfrage:
Hinreichend aufgelöste Bilder von Tattoos (wie auch Bilder von Gesichtern, Fingerabdrücken, etc.) sind Rohdaten für eine mögliche biometrische Auswertung.
Daher sind sie aber erstmal keine Daten i.S.d. Art.9 DSGVO. (Siehe Beispiele unten.)
Diese Daten sind aber geeignet, biometrisch ausgewertet zu werden, daher können Sie zur Grundlage für Daten i.S.d. Art 9 werden, wenn diese nach der biometrischen Auswertung zur automatisierten Identifizierung von Personen verarbeitet werden.
Zur Einstufung des Schutzbedarfes dieser Bilddaten von Tattoos und damit auch zum Risiko der Verarbeitungen die solche Daten verarbeiten, sei noch angemerkt, dass hier oft in den Bildern und Symbolen höchstpersönliche Informationen offen gelegt werden, die zu zusätzlichen Risiken für die Betroffenen führen können.
(z.B. Tattoo mit politischen oder religiösen Symbolen …)
… womit man dann wieder im Art.9 Bereich wäre, allerdings ohne Biometrie…
In der praktischen Anwendung würde ich - aufgrund der Bildaussagen der Tattoos - dahingehend beraten, diese als Art.9 Daten zu behandeln.
2 „Gefällt mir“
Herzlichen Dank für die aufschlussreichen Kommentare zu meiner Fragestellung - und der hilfreichen Conclusio.
Daher sind sie aber erstmal biometrische Daten i.S.d. Art.4 Nr.14.
Dieser Pauschalität kann ich nicht folgen. In der praktischen Anwendung sehe ich immer noch die Bewertung des Einzelfalls.
Sieht man ein hinreichend aufgelöstes Bild nicht als biometrisches Datum an, muss für Verarbeitungen die Ausnahme des Art.9 Abs.2 lit.e ausgeschlossen werden, nämlich die selbständige Veröffentlichung durch die betroffene Person. Eine für jeden sichtbare Tätowierung dürfte einer solchen Veröffentlichung entsprechen. Dazu zähle ich auch Tätowierungen, die nur im Schwimmbad oder in der Sauna offensichtlich werden, denn auch an diesen Orten wird eine Öffentlichkeit hergestellt, die über die Intim- / Privatsphäre hinausgeht. Allein aus diesem Grund findet mE keine Verarbeitung gem. Art.9 statt.
Ein weiterer Einspruch betrifft den Bezug von biometrischen Daten und Daten beispielsweise zur ethnischen Herkunft, denn zu den biometrischen Charakteristiken zählt auch die ethnische Herkunft. Die EU-Kommission weist im Dokument “COM(2020) 565 final” auf hohe Fehlklassifizierungsquoten bei KI-gestützter Gesichtserkennung und ihrer Anwendung auf Menschen bestimmter ethnischer Herkünfte hin, die zu verzerrten Ergebnissen und letztlich zu Diskriminierung führten. Deswegen wird das biometrische Datum Gesichtsbild aber nicht in ein pb Datum zur ethnischen Herkunft “umgewandelt”, um die Verarbeitung anders definieren zu können. Das heißt, ein biometrisches Datum bleibt ein biometrisches Datum, auch wenn es die ethnische Herkunft offenbart. Nichts anders träfe auf Daten zur religiösen oder weltanschaulichen Überzeugung zu.
Gegen eine Einstufung als Datum der religiösen oder weltanschaulichen Überzeugung spricht auch der Vorschlag der EU-Kommission für eine Verordnung zur Festlegung harmonisierter Vorschriften für Künstliche Intelligenz (Gesetz über Künstliche Intelligenz)… , COM(2021) 206 final. Darin wird in Art.3 Nr.35 die Tätowierung als eigenständige Kategorie definiert, die auf Grundlage von biometrischen Daten bestimmt werden kann.
Enthält eine biometrische Verarbeitung, wie die oben beschriebene Tattoo Recognition Technology, keine Informationen zu politischen oder religiösen Symbolen, dann werden diese Informationen auch nicht vom biometrischen System zurückgeliefert und es fehlt in der Verarbeitung jeglicher Bezug darauf. Eine letztliche Diskriminierung wie bei der Gesichtserkennung fände in diesem Fall nicht statt. Sind die Informationen jedoch enthalten, dann kann die Verarbeitung zum angesprochenen Problem führen und muss im Algorithmus gelöst werden.
Es sei nochmals der Hinweis auf Erwägungsgrund 51 erlaubt. Die DSGVO geht grundsätzlich davon aus, dass aus Lichtbildern biometrische Daten erzeugt werden können. Wird ein Datum wie ein hinreichend aufgelöstes Lichtbild eines Tattoos als biometrisches Datum eingestuft (Art.4 Nr.14, obige Tattoo Recognition Technology), dann gilt auch Art.9 dementsprechend: Verarbeitung zur Identifizierung. Das heißt, für eine Einstufung als Datum der religiösen oder weltanschaulichen Überzeugung muss das Lichtbild für eine biometrische Verarbeitung von vornherein ungeeignet sein. Was bei “hinreichend aufgelöst” schlichtweg nicht der Fall ist.
Das sind Überlegungen, die gegen die angenommene Pauschalisierung sprechen und auf die Betrachtung des Einzelfalls abstellen. Wobei eine gewisse Pauschalität durch die Ausnahme des Art.9 Abs.2 lit.e hergestellt wird.