Es ist wohl auszuschliessen, dass die SBB für den in diesem Case genannten Zweck eine Gesichtserkennungssoftware einsetzen darf. Da es in diesem Fall um biometrische Daten ginge, wäre es dies ein schwerer Eingriff in die Persönlichkeit der Betroffenen. Bei den biometrischen Daten handelt es sich um besonders schützenswerte Personendaten (Art. 5 lit. c Ziff. 4 DSG). Dafür bräuchten die SBB von jedem/r einzelnen Betroffenen die explizite Einwilligung (Art. 6 Abs. 7 lit. a DSG).
Zudem wäre eine Gesichtserkennung sicherlich auch ein Verstoss gegen den Grundsatz der Verhältnismässigkeit. Der von den SBB angegebene Zweck könnte wohl auch mit weniger einschneidenden Mitteln erzielt werden. Die SBB versichern denn auch dem Eidg. Datenschutzbeauftragten (EDÖB), dass die Daten «nicht personenbezogen» verwendet werden, das System also so ausgestaltet wird, dass die beobachteten Personen nicht identifiziert werden können (Privacy by Design). Z.B. könnte das System die Gesichter der Personen verpixeln.
Nichtsdestotrotz müssen die Personen, die sich auf einem Bahnhof aufhalten, über entsprechende Kameraüberwachung informiert werden (Transparenz).
In jedem Fall muss die SBB in diesem Fall auch die Datensicherheit mit adäquaten Massnahmen garantieren.
Schlussendlich dürfen die Daten nur für den definierten und vorab den Betroffenen kommunizierten Zweck verwendet werden (Zweckbindung).
Da beim SBB-Projekt ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Personen besteht, verlangt der EDÖB von den SBB für das Projekt als Erstes eine Datenschutz-Folgeabschätzung.