US-Rechnungshof: Behörden sollen Risiken von Gesichtserkennung prüfen

Fast jede zweite von 42 befragten US-Bundesbehörden setzt laut US-Rechnungshof Gesichtserkennung ein. Einigen fehlt jedoch der Überblick, welche Gesichtserkennungsdatenbanken ihre Beamten nutzen.

Der US-Rechnungshof hat 42 Bundesbehörden zu ihrem Einsatz von Gesichtserkennungstechnologie befragt und das Ergebnis am vergangenen Dienstag in einem Bericht veröffentlicht. Demnach setzen 20 Institutionen die Technik ein – auch von privaten Anbietern. Einige Behörden wissen nicht genau, welche Systeme ihre Angestellten verwenden. Der Rechnungshof empfiehlt den Behörden, die Risiken der Technik zu untersuchen; Bürgerrechtler fordern hingegen ein Moratorium.

Zu den 20 Behörden mit Gesichtserkennung zählen beispielsweise die Bundespolizei FBI, die Drogenpolizei DEA, die Kapitol-Polizei und die Grenzschutzbehörde CBP. Aber auch beim US Fish and Wildlife Service, dem Sicherheitsdienst der NASA und der Steuerfahndungsbehörde (IRS Criminal Investigation Division) kommt die umstrittene Technik zum Einsatz. Während einige Stellen über eigene Systeme verfügen, greifen mehrere auch auf die Datenbanken anderer Behörden oder privater Anbieter zu.

Bei insgesamt 14 staatlichen Stellen dient die Erkennungstechnik zur Strafverfolgung. Diese gaben gegenüber dem Rechnungshof ausnahmslos an, auch Systeme zu verwenden, die von privaten Anbietern stammen: Dazu zählen beispielsweise Rekognition von Amazon und Clearview AI. Im Januar 2020 war bekannt geworden, dass Clearview im Internet Bilder von Milliarden Menschen gesammelt und damit eine umfassende Datenbank zur Gesichtserkennung zusammengestellt hatte.

Kontrolle verloren

Nur einer der 14 Behörden liegen vollständige Informationen dazu vor, mit welchen Systemen ihre Angestellten arbeiten. So habe etwa eine nicht genannte Behörde zuerst angegeben, es kämen keine nicht-staatlichen Techniken zum Einsatz. Nach einer Umfrage unter den Mitarbeiterinnen und Mitarbeitern stellte sich jedoch heraus, dass diese bereits mehr als 1000 Suchen mit der Software eines privaten Anbieters durchgeführt hatten.

Der Rechnungshof kritisiert, dass die Behörden ohne vollständige Informationen nicht untersuchen können, welche Risiken von den eingesetzten Produkten ausgehen, beispielsweise für die Privatsphäre der Bürgerinnen und Bürger. Auch die Erkennungsgenauigkeit lasse sich so nicht feststellen.

Gesichtserkennungssysteme gelten als unzuverlässig und erkennen beispielsweise Menschen mit dunkler Hautfarbe häufiger falsch: Eine Studie der US-Standardisierungsbehörde National Institute of Standards and Technology hatte Ende 2019 festgestellt, dass die Fehlerquote 10- bis 100-mal höher liegt als bei weißen Menschen. Bei Frauen mit dunkler Hautfarbe kommt es zu den meisten Fehlerkennungen. Bürger- und Menschenrechtler kritisieren zudem, dass Gesichtserkennung das Recht auf Privatsphäre, freie Meinungsäußerung und die Versammlungsfreiheit einschränkt.

Der Rechnungshof weist darauf hin, dass Bundesbehörden den Einsatz von Systemen privater Anbieter laufend überwachen sollten. Bei ungeprüften Systemen bestehe die Gefahr, dass diese sich nicht an Datenschutzvorgaben hielten. Zudem müssen Ermittler Fotos von Verdächtigen zum Abgleich auf die Server der Anbieter übertragen. Der Rechnungshof sieht darin ein Risiko, da die Anbieter vertrauliche Informationen zu Ermittlungen mit Dritten teilen könnten. Auch vor IT-Angriffen auf die Datenbanken wird gewarnt: Biometrische Daten wie Gesichtsbilder lassen sich ein Leben lang nicht verändern. Ein Datenleck hätte für Betroffene schwerwiegende Folgen.

Empfehlungen und Forderungen

Der Rechnungshof empfiehlt den Behörden nun, Mechanismen einzuführen, um den Einsatz von Gesichtserkennung von privaten Anbietern zu kontrollieren. Auch die von ihnen ausgehenden Risiken sollten bewertet werden.

Albert Fox Cahn, Geschäftsführer der Bürgerrechtsorganisation Surveillance Technology Oversight Project, kritisierte gegenüber der Washington Post jedoch den Einsatz der Technologie generell: Viele der im Bericht genannten Behörden hätten gar keinen Bedarf für Gesichtserkennung. Cahn fordert ein Moratorium für die Überwachungstechnik. Ein Bündnis von 175 namhaften Organisationen fordert zudem ein weltweites Verbot biometrischer Überwachung.

Die Behörden machten auch Angaben dazu, wie sie Gesichtserkennung einsetzen. Das FBI und sechs weitere Stellen haben die Technik demnach im Rahmen der Black-Lives-Matter-Proteste im vergangenen Jahr verwendet. Nach eigenen Angaben um Personen zu identifizieren, die im Verdacht standen, eine Straftat begangen zu haben. Nach der Erstürmung des US-Kapitols im Januar haben drei Behörden mit Gesichtserkennung nach Verdächtigen gesucht – die Capitol Police verwendete dafür die Datenbank von Clearview.

Der Bericht gibt außerdem einen Einblick in die Größe der verwendeten Datenbanken: So soll das Federal Bureau of Prisons etwa 8000 Gesichtsbilder von Angestellten und Subunternehmern speichern. In der Datenbank des Office of Biometric and Identity Management sollen rund 836 Millionen Pass-, Fahndungs- und Visafotos vorliegen. Bei den privaten Anbietern ist diese Zahl noch höher: Clearview hat nach eigenen Angaben rund drei Milliarden Bilder von Menschen im Internet gesammelt.

Die Ergebnisse basieren auf Angaben der jeweiligen Behörden sowie Befragungen von Beamten und der Prüfung von Dokumenten. Der Rechnungshof hatte bereits im April 2021 einen vertraulichen Bericht zur Gesichtserkennung erstellt. Die nun öffentlich verfügbare Version wurde um die von den Behörden als vertraulich eingestuften Informationen gekürzt. (js)