US-Steuerbehörde verzichtet auf Gesichtserkennung
US-Amerikaner müssen sich künftig doch nicht per Gesichtserkennung authentifizieren, um online auf ihre Unterlagen bei der nationalen Steuerbehörde IRS zuzugreifen. Die Behörde hat am Montag bekannt gegeben, das System künftig nicht mehr einzusetzen. Abgeordnete hatten zuvor unter anderem vor den Folgen eines Datenlecks gewarnt.
Die US-Steuerbehörde teilte am Montag mit, sie werde “schnell” ein neues Authentifizierungssystem ohne Gesichtserkennung entwickeln. Die Umstellung solle in den kommenden Wochen erfolgen. Weitere Details zu dem neuen System nannte die Steuerbehörde noch nicht.
Ursprünglich sollten ab Sommer 2022 alle Nutzerinnen und Nutzer das System der Firma ID.me verwenden müssen, um online auf ihre Steuerunterlagen zuzugreifen. Mit der Einführung hatte die IRS bereits begonnen: Wer noch kein Benutzerkonto hatte, musste sich bei ID.me registrieren. Nur für bereits registrierte Personen sollte der Login mit Passwort bis zum Sommer möglich bleiben. Zur Online-Identifizierung hätten die Steuerzahler beispielsweise ihren Führerschein abfotografieren und sich selbst per Smartphone oder Webcam filmen müssen – ID.me vergleicht mittels Gesichtserkennung dann automatisiert, ob es sich um dieselbe Person handelt.
Die Pläne der IRS hatten für scharfe Kritik gesorgt. “Wir verstehen die Bedenken, die geäußert wurden”, kommentierte nun Behördenchef Chuck Rettig. Weitere Details zu der Entscheidung nannte die Behörde aber nicht.
Die IRS reagierte auch nicht auf eine Anfrage der Washington Post, was nun mit den Daten von Bürgern passiert, die sich bereits bei ID.me angemeldet haben. Zwar können Personen ihre bei ID.me gespeicherten biometrischen Daten grundsätzlich löschen lassen. Doch die Washington Post verweist auf ein IRS-Dokument, wonach das Unternehmen verpflichtet ist, die Daten mindestens sieben Jahre lang aufzubewahren. Nach eigenen Angaben speichert ID.me zudem Millionen von Gesichtsbildern, um Identitätsdiebstahl zu erkennen.
Abgeordnete sprachen sich gegen Pläne aus
In der vergangenen Woche hatten republikanische Senatsabgeordnete die Pläne kritisiert und gewarnt, Nutzer müssten sensible biometrische Daten an ID.me übermitteln. Am gestrigen Montag hatten sich auch demokratische Abgeordnete der Kritik angeschlossen und die IRS aufgefordert, den Einsatz des Systems zu stoppen.
Wie zuvor schon Datenschutzaktivisten, hatten sie darauf hingewiesen, dass sich die für die Gesichtserkennung genutzten biometrischen Daten nicht verändern lassen. Personen können ihr Leben lang darüber identifiziert werden. Die Abgeordneten warnten in diesem Zusammenhang vor dem Risiko, dass diese sensiblen Daten durch einen IT-Angriff kompromittiert werden könnten.
Auch der demokratische US-Senator Ron Wyden hatte die Steuerbehörde am Montag aufgefordert, auf die Gesichtserkennung zu verzichten. Stattdessen solle die Behörde auf den von der Regierung betriebenen Dienst Login.gov zurückgreifen. Dabei würde die Identität von Nutzern persönlich überprüft, beispielsweise vom United States Postal Service. Er kritisierte zudem die Zusammenarbeit mit einem privaten Unternehmen: Die digitale Infrastruktur der Behörden müsse von der Regierung betrieben werden.
Unzuverlässige Technik
Die demokratischen Abgeordneten hatten den Einsatz von Gesichtserkennungssoftware auch kritisiert, weil sie als unzuverlässig gilt. Sie zitierten eine Studie der US-Standardisierungsbehörde National Institute of Standards and Technology aus dem Jahr 2019: Demnach liegt die Fehlerquote bei Menschen mit dunkler Hautfarbe 10- bis 100-mal höher als bei weißen Menschen. Bei Frauen mit dunkler Hautfarbe kommt es zu den meisten Fehlerkennungen. Die Abgeordneten mahnten, marginalisierten Gruppen könne somit der Zugang zu den Online-Diensten der IRS erschwert werden.
ID.me hatte behauptet, bei internen Tests der Technologie seien keine Anzeichen für rassistische oder geschlechtsspezifische Diskriminierung gefunden worden. Doch die Abgeordneten kritisierten, die angeblichen Testergebnisse seien nie veröffentlicht worden. Zuvor hatte die Informatikerin Joy Buolamwini, die zur Diskriminierung durch Gesichtserkennung forscht, bereits kritisiert, ID.me habe in seinen Berichten frühere Forschungsergebnisse falsch interpretiert oder gar nicht zitiert.
Weitere Behörden sollen folgen
Die Bürgerrechtsorganisation Surveillance Technology Oversight Project begrüßte am Montag die Entscheidung der Steuerbehörde. Albert Fox Cahn, Direktor der Organisation, kritisierte aber zugleich, die Behörde hätte den Einsatz der umstrittenen Technik nie in Erwägung ziehen sollen. “Gesichtserkennung ist voreingenommen, fehleranfällig und invasiv.” Beim Einsatz von Gesichtserkennungstechnik sei es eine “Frage wann, nicht ob, die biometrischen Daten gehackt, weitergegeben oder missbraucht werden”.
Auch andere US-Behörden nutzen ID.me: CNN hatte bereits im vergangenen Jahr über den Einsatz unter anderem bei der Hälfte der Arbeitsämter aller US-Bundesstaaten berichtet. Nach Angaben der Washington Post haben bisher etwa 70 Millionen US-Amerikaner ihre Identität mit dem System prüfen lassen, um beispielsweise Arbeitslosengeld zu beantragen. Auch die Social Security Administration verwendet den Dienst von ID.me.
Gemeinsam mit weiteren Organisationen fordert das Surveillance Technology Oversight Project nun auch diese Behörden auf, ihre Verträge mit ID.me zu kündigen. Cahn kommentierte: “Niemand sollte seine biometrischen Daten weitergeben müssen, um Zugang zu etwas erhalten, worauf gesetzlicher Anspruch besteht.” (js)