US-Steuerbehörde will Gesichtserkennung einsetzen
Ab dem kommenden Sommer müssen sich US-Amerikaner per Gesichtserkennung authentifizieren, wenn sie online auf ihre Unterlagen bei der nationalen Steuerbehörde IRS zugreifen wollen. Kritik gibt es unter anderem, weil biometrische Daten in dem System eines privaten Unternehmens verarbeitet werden sollen.
Wie CNN am Freitag berichtete, kann das Gesichtserkennungssystem bereits heute verwendet werden, um online auf Steuerunterlagen zuzugreifen – wenn bereits ein Benutzerkonto bei der IRS vorhanden ist. Ein Login per Passwort bleibt vorerst aber weiter möglich. Wer noch nicht über Benutzernamen und Passwort bei der Steuerbehörde verfügt, muss sich hingegen bereits bei dem privaten Anbieter ID.me registrieren und die Gesichtserkennung zum Einloggen nutzen.
Ab Sommer 2022 muss die Gesichtserkennung dann zwingend von allen Online-Nutzern verwendet werden.
Die Steuerbehörde teilte dem Nachrichtensender mit, dass Steuerzahler ihre Unterlagen alternativ per Post einreichen oder anfordern können – ohne Online-Konto und Gesichtserkennung.
Für den Online-Zugriff müssen sich Nutzerinnen und Nutzer künftig gegenüber dem Anbieter ID.me identifizieren, indem sie beispielsweise ihren Führerschein abfotografieren. Außerdem müssen sie sich selbst per Smartphone oder Webcam filmen – mittels Gesichtserkennung vergleicht das Unternehmen dann automatisiert, ob es sich um dieselbe Person handelt.
Wenn das System keine Übereinstimmung feststellen kann, soll die Identifizierung per Videoanruf erfolgen, berichtet die Washington Post. Auch hier müssen Nutzerinnen und Nutzer dann ihre offiziellen Dokumente vorzeigen.
Einsatz ohne Regeln
Datenschützer zeigen sich alarmiert angesichts der Tatsache, dass ein privates Unternehmen für die Identifizierung per Gesichtserkennung zuständig ist. Der Vertrag mit der Steuerbehörde wurde vorerst für zwei Jahre geschlossen. Jeramie D. Scott von der Forschergruppe Electronic Privacy Information Center kritisierte gegenüber der Washington Post, in den USA sei juristisch noch nicht entschieden, ob Gesichtserkennungstechnik überhaupt für diese Zwecke eingesetzt werden darf. Entsprechende Vorschriften gebe es nicht. “Wir gehen einfach direkt zum Einsatz einer Technologie über, die sich eindeutig als gefährlich erwiesen hat.” Die potenziellen Risiken stiegen durch die Kooperation mit einem Privatunternehmen.
Der demokratische US-Senator Ron Wyden kritisierte: “Niemand sollte gezwungen werden, sich einer Gesichtserkennung zu unterziehen, um Zugang zu wichtigen staatlichen Dienstleistungen zu erhalten.” Nach Angaben der Washington Post prüft die Steuerbehörde auch Alternativen zu dem Gesichtserkennungssystem – Details wollte ein Behördensprecher aber nicht nennen.
Gesichtserkennungssysteme nutzen biometrische Daten, die als besonders sensibel gelten, weil sie sich nicht verändern lassen. Personen können ihr Leben lang darüber identifiziert werden. Ein Datenleck hätte für Betroffene schwerwiegende Folgen.
Zwar können Personen ihre bei ID.me gespeicherten biometrischen Daten grundsätzlich löschen lassen. Doch die Washington Post verweist in dem Zusammenhang auf ein IRS-Dokument: Demnach ist das Unternehmen verpflichtet, die Daten mindestens sieben Jahre lang aufzubewahren – um Vorschriften für Prüfungszwecke zu entsprechen.
Unzuverlässige Technik
Laut den Datenschutzbestimmungen des Unternehmens kann es die persönlichen Daten auch für die Zusammenarbeit mit Strafverfolgungsbehörden verwenden. Nach Unternehmensangaben speichert ID.me zudem Millionen von Gesichtsbildern, um Identitätsdiebstahl zu erkennen – und schaltet bei Verdachtsfällen die Behörden ein.
Der Einsatz von Gesichtserkennungssoftware ist umstritten und gilt als unzuverlässig – so könnten auch Unschuldige in Verdacht geraten. Eine Studie der US-Standardisierungsbehörde National Institute of Standards and Technology hatte Ende 2019 festgestellt, dass die Fehlerquote bei Menschen mit dunkler Hautfarbe 10- bis 100-mal höher liegt als bei weißen Menschen. Bei Frauen mit dunkler Hautfarbe kommt es zu den meisten Fehlerkennungen. Nach Angaben der Washington Post wurden in den USA mindestens drei schwarze Männer verhaftet, weil die Technologie sie fälschlicherweise identifiziert hatte.
ID.me behauptet, bei internen Tests der Technologie seien keine Anzeichen für rassistische oder geschlechtsspezifische Diskriminierung gefunden worden. Doch die Washington Post kritisiert, die angeblichen Testergebnisse seien weder veröffentlicht, noch von unabhängigen Experten überprüft worden.
Die Informatikerin Joy Buolamwini, die zur Diskriminierung durch Gesichtserkennung forscht, kritisierte außerdem, ID.me habe in seinen Berichten frühere Forschungsergebnisse falsch interpretiert oder gar nicht zitiert.
Mangelnde Transparenz
Auch weil Firmengründer Blake Hall zuletzt widersprüchliche Angaben zur Arbeitsweise des Systems gemacht hatte, wird ID.me mangelnde Transparenz vorgeworfen. Buolamwini forderte, ID.me solle das eingesetzte System von externen Expertinnen und Experten prüfen lassen. Die von der Technik ausgehende Gefahr für die Privatsphäre und das Missbrauchspotenzial dürften nicht ignoriert werden.
CNN hatte bereits im vergangenen Jahr über den Einsatz von ID.me bei verschiedenen US-Bundesbehörden berichtet. Darunter befanden sich damals die Hälfte der Arbeitsämter in allen US-Bundesstaaten. Weil es im Jahr 2020 teilweise Probleme bei der Verifizierung gab, hatte sich auch die Auszahlung von Arbeitslosengeldern verzögert. 70 Millionen Menschen sollen bereits bei ID.me angemeldet sein.
Im vergangenen Jahr hatte der US-Rechnungshof 42 Bundesbehörden zu ihrem Einsatz von Gesichtserkennungstechnologie befragt. Der Rechnungshof hatte darauf hingewiesen, dass Bundesbehörden den Einsatz von Systemen privater Anbieter laufend überwachen sollten. Bei ungeprüften Systemen bestehe die Gefahr, dass diese sich nicht an Datenschutzvorgaben hielten. Auch vor IT-Angriffen auf die Datenbanken hatte der Rechnungshof gewarnt. Im Juni 2019 waren Tausende Gesichtsfotos von Amerikanern im Internet veröffentlicht worden, nachdem ein Unternehmen angegriffen wurde, das mit der US-Zollbehörde zusammengearbeitet hatte. (js)