BKA soll Gesichtserkennung mit Polizeifotos getestet haben
Das Bundeskriminalamt (BKA) hat Gesichtserkennungssoftware mit den Fotos von drei Millionen Menschen testen lassen. Das berichtet der Bayerische Rundfunk (BR). Experten kritisieren das Vorgehen der Behörde.
Wie der BR berichtet, hat das Fraunhofer-Institut für Graphische Datenverarbeitung im Jahr 2019 im Auftrag des BKA Gesichtserkennungssoftware von verschiedenen Herstellern evaluiert. Unter dem Titel “Ertüchtigung des Gesichtserkennungssystems im BKA” sollte getestet werden, wie gut das vom BKA eingesetzte System im Vergleich mit vier anderen Produkten abschneidet.
Für den Test habe die Behörde knapp fünf Millionen Gesichtsbilder von drei Millionen Menschen aus dem zentralen polizeilichen Informationssystem INPOL-Z an das Fraunhofer-Institut weitergegeben. Das geht laut BR aus dem Abschlussbericht des Projekts hervor, der als Antwort von Informationsfreiheitsanfragen herausgegeben wurde. Um möglichst detailliert zu testen wie gut die Gesichtserkennung funktioniere, habe das BKA außerdem eine Liste von 56.500 Bartträgern und 19.500 Brillenträgern weitergegeben.
Auf Anfrage des BR erklärte die Behörde, “angesichts der hohen Bedeutung der Gesichtserkennung für die Strafverfolgung und Gefahrenabwehr” sei der Test erforderlich gewesen.
Mark Zöller, Professor für Strafrecht und Digitalisierung an der Ludwig-Maximilians-Universität München, kritisierte das Vorgehen des BKA gegenüber den Journalisten. Der Fall belege, dass Sicherheitsbehörden wiederholt ohne saubere Rechtsgrundlage vorpreschen. Seiner Einschätzung nach gehe es bei solchen Datenverarbeitungen um Grundrechtseingriffe – die besonders auch Personen treffen könnten, die unschuldig im INPOL-System gelandet sind.
Zöller sagte: “Das finde ich schon sehr riskant, dass man da mit Millionen von Datensätzen operiert, ohne dass man vorher sauber die rechtlichen Grundlagen geprüft hat.”
Behörde deklariert Projekt als Forschung
Gegenüber dem Bundesdatenschutzbeauftragten Ulrich Kelber hatte das BKA das Projekt laut dem Bericht als “wissenschaftliche Forschung” deklariert und sich zunächst auf das BKA-Gesetz berufen. Der Datenschutzbeauftragte habe es in einem Schreiben aus dem Jahr 2022 jedoch als “problematisch” bezeichnet und kritisiert, es mangle an einer Rechtsgrundlage. “Angesichts der Komplexität der Rechtslage” habe der Datenschutzbeauftragte aber von einer Beanstandung abgesehen.
Die Datenschutzbehörde habe nach weiterer Prüfung festgestellt: “Das Testen von Software-Produkten fällt nicht in den Bereich von Strafverfolgung und Gefahrenabwehr, weshalb hier die DSGVO zur Anwendung kommt.” Auf eine aktuelle Anfrage des BR habe sich auch das BKA auf die Datenschutzgrundverordnung (DSGVO) berufen.
Strafrechtsexperte Zöller sagte dem BR, die Tests seien von der Polizei im Zusammenhang mit ihrer Arbeit durchgeführt worden. Die Behörden dürften sich aber bei Strafverfolgung und Gefahrenabwehr nicht auf das allgemeine Datenschutzrecht berufen, sondern müssten sich an die jeweiligen Fachgesetze halten. Im vorliegenden Fall also an das BKA-Gesetz – und darin sei nicht geregelt, welche Daten Sicherheitsbehörden für Software-Tests nutzen dürfen.
Datenschutzbeauftragten spät informiert
Laut dem Bericht hat die Behörde zudem Anfragen des Bundesdatenschutzbeauftragten wiederholt erst nach Monaten und nur wenig detailliert beantwortet. Den Abschlussbericht habe der Datenschutzbeauftragte erst eineinhalb Jahre nach Abschluss des Projektes erhalten – und erst dann erfahren, dass Millionen echte Fotos verwendet wurden.
Gegenüber dem BR erklärte das BKA dazu, gesetzlich sei nicht vorgegeben, den Datenschutzbeauftragten einzubinden. Fachlich sei dies außerdem nicht erforderlich gewesen.
Der scheidende Bundesdatenschutzbeauftragte Kelber fordert klare Regeln für solche Tests und kritisierte: “Sicherheitsbehörden haben oft eine Interpretation der Rechtslage, die aus ihrer Sicht sehr weitreichend ist.”
Kritik an Zweckentfremdung
Um die Datensicherheit des Tests zu gewährleisten, wurden die Daten auf Computern ausgewertet, die ohne Internetanschluss in einem extra Raum des BKA standen. Nach Abschluss des Projektes seien die Festplatten zerstört worden.
Doch Matthias Marx, Sprecher des Chaos Computer Clubs (CCC), kritisierte dennoch, dass die Daten für einen Zweck verwendet wurden, für den sie nicht erhoben wurden: “Auch mit Maßnahmen zur Absicherung bleibt eine Zweckentfremdung eine Zweckentfremdung. Die Daten wurden für die Strafverfolgung erhoben und nur dafür dürfen sie benutzt werden.”
Marx engagiert sich seit Jahren gegen den Einsatz von biometrischer Überwachungstechnik und hatte den Abschlussbericht zu dem Projekt mithilfe einer Anfrage nach dem Informationsfreiheitsgesetz angefordert. Es sei interessant, welche Akteure welche Experimente “mit unseren Daten” durchführen, sagte er.
Der BR berichtet auch von einem mutmaßlich Betroffenen: Der IT-Experte Janik Besendorf sei im Jahr 2018 wegen des Verdachts auf Hausfriedensbruch erkennungsdienstlich behandelt worden. Das Verfahren sei zwar schnell wieder eingesetellt worden. Doch er geht davon aus, dass auch die damals von ihm aufgenommenen Fotos für den Test der Gesichtserkennungssoftware verwendet wurden. Er hat deswegen eine Beschwerde beim Bundesdatenschutzbeauftragten eingelegt – außerdem erwägt er laut BR, gegen das BKA zu klagen.
Eigenen Angaben zufolge nutzt das BKA bereits seit dem Jahr 2008 ein Gesichtserkennungssystem, mit dem unbekannte Täter identifiziert werden sollen. Dazu werden vorhandene Bilder mit den in INPOL erfassten Fotos abgeglichen. (js)