Gesichtserkennung-Testlauf: Millionen echter Bilder aus Polizeifoto-Datenbank verwendet

Um Gesichtserkennungssoftware zu testen, hat das Bundeskriminalamt laut Informationen des Bayerischen Rundfunks (BR) die Bilder von drei Millionen Menschen aus einer Polizeidatenbank verwendet. Die Rechtsgrundlage für diese Maßnahme ist zweifelhaft.

Ausgangspunkt war ein Auftrag an das Fraunhofer-Institut für Graphische Datenverarbeitung. Es sollte unter dem Projekttitel „Ertüchtigung des Gesichtserkennungssystems im BKA“ (EGES) die Gesichtserkennungssoftware von verschiedenen Herstellern prüfen und die Ergebnisse mit dem bis dato vom BKA verwendeten System vergleichen.

Dafür erhielt es insgesamt fast fünf Millionen Bilder aus dem polizeilichen Informationssystem INPOL-Z, die von rund drei Millionen Personen stammen. Zusätzlich übermittelte das BKA noch eine Liste von 56.500 Bartträgern und 19.500 Brillenträgern, sodass detaillierte Tests möglich waren. Das geht aus dem Abschlussbericht des Projekts hervor, der dem BR vorliegt.

Datenschutzbehörde nur am Rande eingebunden

Von Anfang an bestanden jedoch Probleme bei der Rechtsgrundlage. In der internen Kommunikation mit der Behörde des Bundesdatenschutzbeauftragten hatte das BKA das Projekt zunächst als wissenschaftliche Forschung angemeldet – und sich dabei auf einen entsprechenden Passus im BKA-Gesetz berufen. Die Datenschutzbehörde zweifelte an dieser Argumentation. Es mangelte an einer Rechtsgrundlage, hieß es laut BR in einem Schreiben aus dem Jahr 2022, aufgrund „der Komplexität der Rechtslage“ sah der damalige Bundesdatenschutzbeauftragte Ulrich Kelber aber von einer Beanstandung ab.

Die Datenschutzbehörde war aber ohnehin kaum in das Vorgehen eingebunden. Laut dem BR-Bericht erhielt diese nur wenig Informationen und das BKA ließ sich teils Monate Zeit für Antworten. Der Abschlussbericht, aus dem die Datenschützer vom Einsatz der echten Bilder erfahren haben, wurde beispielsweise erst 1,5 Jahre nach der Fertigstellung übermittelt. Laut BKA war eine Zusammenarbeit mit dem Bundesdatenschutzbeauftragten weder gesetzlich vorgegeben noch fachlich erforderlich.

Nachdem Kelber von einer Beanstandung abgesehen hatte, prüften seine Mitarbeiter den Fall noch weiter. Diese kamen dann zu dem Ergebnis, dass Software-Tests nicht zur Strafverfolgung und Gefahrenabwehr zählen. Daher falle das Projekt unter die DSGVO. Eine Begründung, auf die nun auch das BKA auf BR-Anfrage verweist.

Kritik an der Rechtsgrundlage

Mark Zöller, Professor für Strafrecht und Digitalisierung an der Ludwig-Maximilians-Universität München, kritisiert das Vorgehen des BKA gegenüber dem BR. Man teste solche Software „nicht aus reinem Interesse im luftleeren Raum“. Stattdessen stehe polizeiliche Ermittlungsarbeit im Fokus. Aus rechtlicher Sicht heißt das: Selbst die Software-Tests fallen unter den Bereich Strafverfolgung und Gefahrenabwehr, sodass nicht mehr die DSGVO gilt, sondern das jeweilige Fachgesetz. Bei diesem Projekt ist es das BKA-Gesetz und dort sei laut Zöller nicht geregelt, welche Daten das BKA für Software-Tests nutzen darf.

Kelber fordert auf Anfrage des BR, die Gesetze zu konkretisieren. Es müsse klar geregelt sein, welche Daten in solchen Fällen verwenden dürfen. Kritik gibt es in diesem Bereich immer wieder. In der Vergangenheit betraf das etwa die Softwaresysteme des US-Unternehmens Palantir, die unter anderem Behörden aus Bayern und Hessen prüften.

Vorwurf: Vorgehen ist symptomatisch

Matthias Marx, Sprecher des Chaos Computer Club (CCC), lehnt das Vorgehen ebenfalls ab. Er war maßgeblich an der Recherche beteiligt, den Abschlussbericht des Projekts hatte er durch eine Informationsfreiheitsabfrage erhalten. Seiner Ansicht nach wurden Daten für einen Zweck verwendet, für den sie nicht erhoben wurden. Deswegen droht auch ein potenziell Betroffener mit Klage. Bei einem IT-Experten wurden 2018 wegen des Verdachts auf Hausfriedensbruch im Rahmen der erkennungsdienstlichen Behandlung auch Fotos erstellt.

Eines der Probleme, was sich an dieser Stelle zeigt. Selbst wenn eine Person nicht verurteilt wurde oder sich ein Verdacht im Laufe einer Ermittlung nicht erhärtet hat, können Bilder in einer solchen Datenbank landen. Die Kontrolle ist schwierig, die Einsicht kaum möglich.

Wie Heise Online berichtet, passt das zur wachsenden Sorge über biometrische Gesichtserkennungsverfahren. In Berlin und Sachsen haben Polizeibehörden heimlich KFZ-Kennzeichen und Gesichter der Fahrer aufgezeichnet, um diese dann mit Fahndungsdateien abzugleichen. Über den konkreten Einsatz der Technik gibt es jedoch kaum Informationen, dasselbe gelte für die Rechtsgrundlage. Damit hätten Betroffene aber praktisch keine Chance zu erfahren, ob Informationen von ihnen erfasst oder verarbeitet worden sind, erklärt Saleh Ihwas vom Deutschen Anwaltsverein (DAV).

Die Linken-Politikerin Martina Renner bezeichnet die Software-Tests laut einem BR-Bericht als symptomatisch für den Umgang von Sicherheitsbehörden mit dem Datenschutz. Datenschützer würden entweder nicht eingebunden, die Zuständigkeit bestritten oder das Einholen einer Rechtsgrundlage geleugnet.

Vertreter von Sicherheitsbehörden unterstreichen hingegen, wie bedeutend solche Software-Tests seien. Dirk Peglow, Vorsitzender vom Bund Deutscher Kriminalbeamter, fordert aber ebenfalls eine Klärung der Rechtslage, sofern das erforderlich ist. „Wir sind als Polizei darauf angewiesen, moderne Technologien zu nutzen, um den Bedrohungen für unsere Gesellschaft durch vielfältige Kriminalitätsphänomene zu begegnen“, so Peglow im BR.