Die Bundesinnenministerin hat einen Gesetzentwurf vorgelegt, der es der Polizei ermöglichen soll, Bilder von Verdächtigen mit allen öffentlich zugänglichen Bildern im Internet abzugleichen. Bislang war dies nur mit der polizeilichen INPOL-Datenbank möglich. In diesem Artikel beleuchten wir den Entwurf und die Hintergründe der geplanten Reform sowie die damit verbundenen datenschutzrechtlichen Bedenken.
Hintergrund: Die Festnahme von Daniela Klette
Dreißig Jahre lang suchte die deutsche Polizei vergeblich nach Daniela Klette, einer mutmaßlichen Straftäterin der RAF. Erst durch mehrere anonyme Hinweise konnte ihr Aufenthaltsort ausfindig gemacht werden. Laut der Zeitung "Die Zeit" benötigte der kanadische Journalist Michael Colborne vom Recherchekollektiv Bellingcat lediglich 30 Minuten, um mithilfe der Gesichtserkennungssoftware des polnischen Unternehmens PimEyes eine Spur zu Klette zu finden. Diese Software, die gegen eine geringe Gebühr für jedermann im Internet zugänglich ist, half ihm, die Verdächtige auf Bildern eines Berliner Capoeira-Vereins und auf Facebook zu identifizieren. Infolgedessen wurde Daniela Klette im Februar 2024 nach 30 Jahren im Untergrund in einer Berliner Wohnung festgenommen.
Das Bundeskriminalamt (BKA) nutzt seit 2008 das Gesichtserkennungssystem GES zur Identifizierung unbekannter Täter. Mit diesem System kann die Polizei Bildmaterial von Verdächtigen mit den in der INPOL-Datenbank gespeicherten Bildern abgleichen. Dabei werden die Gesichtsmerkmale codiert und in einem Template abgebildet, das als Grundlage für den Abgleich dient. PimEyes hingegen sammelt massenhaft Gesichter aus dem Internet und speichert diese biometrischen Daten in riesigen Datenbanken, die dann zum Abgleich verwendet werden können. Das Innenministerium plant nun mehrere Gesetzesänderungen, um den Einsatz von Künstlicher Intelligenz (KI) durch die Bundespolizei und das BKA zu erweitern. Dem Entwurf zufolge sollen die Behörden unter bestimmten Voraussetzungen berechtigt sein, KI-gestützte Software für einen biometrischen Internetabgleich einzusetzen.
Datenschutz und PimEyes
Das KI-gestützte Gesichtserkennungssystem PimEyes stand von Anfang an unter heftiger Kritik der Datenschutzbehörden. Der LfDI Baden-Württemberg bemängelte die Erhebung großer Mengen biometrischer Daten, mit denen jede Person identifiziert werden könnte.
LfDI BW leitet Verfahren gegen PimEyes ein
Wegen der massiven Bedrohung der Rechte und Freiheiten der Bürgerinnen und Bürger forderte der LfDI Dr. Stefan Brink im Jahr 2021 PimEyes auf, umfassende Auskunft über die Verarbeitung biometrischer Daten zu geben. Der LfDI wollte insbesondere wissen, auf welcher Rechtsgrundlage die Daten verarbeitet und ggf. weitergegeben werden und welche technischen und organisatorischen Maßnahmen zum Schutz der Daten ergriffen wurden. Es bestand die Befürchtung, dass durch das massenhafte Sammeln von Bildern jeder ideologische, sexuelle oder religiöse Aspekt einer Person offenbart werden könnte. Nachdem das Verfahren eröffnet wurde, verlegte das ursprünglich in Polen ansässige Unternehmen seinen Sitz auf die Seychellen.
Stellungnahme von PimEyes
Nach einem Eigentümerwechsel und einer erneuten Sitzverlegung nach Belize antwortete PimEyes im November 2022 auf die Fragen des LfDI Baden-Württemberg. Der Dienstleister erklärte, dass nur öffentlich zugängliche Bilder verarbeitet werden, die keinen Personenbezug haben sollen, da das Unternehmen die Bilder keiner Person zuordnen könne. Sollte ein Personenbezug dennoch angenommen werden, so erfolge die Verarbeitung laut PimEyes zum Schutz lebenswichtiger Interessen der betroffenen Person. Zudem berief sich das Unternehmen auf die ausdrückliche Einwilligung der Betroffenen nach Art. 9 Abs. 2 lit. a DSGVO. Angesichts der offensichtlichen Rechtswidrigkeit der Datenverarbeitung und der unzureichenden Antwort leitete die Aufsichtsbehörde das weltweit erste Bußgeldverfahren gegen PimEyes ein.
Der Gesetzentwurf des Innenministeriums
Um das Bundeskriminalamt in die Lage zu versetzen, auf neue Kriminalitätsphänomene und Bedrohungen angemessen und schnell zu reagieren, sollen mehrere Bestimmungen des Bundeskriminalamtgesetzes und anderer Rechtsvorschriften durch den geplanten Gesetzentwurf geändert werden. Dieser sieht unter anderem vor, dass das BKA die Befugnis erhält, biometrische Abgleiche mit öffentlich zugänglichen Daten aus dem Internet durchzuführen und polizeiliche Datenbanken automatisch zu analysieren.
Der biometrische Abgleich von öffentlich zugänglichen Daten aus dem Internet ist in den neu einzufügenden §§ 10b, 39a und 63b geregelt. So sieht § 10b vor, dass das BKA zur Ergänzung bestehender Sachverhalte öffentlich zugängliche personenbezogene Daten aus dem Internet mit eigenen Daten abgleichen darf, sofern dies zur Erfüllung seiner Aufgaben erforderlich ist und bestimmte Voraussetzungen erfüllt sind.
Der Abgleich soll es dem BKA ermöglichen, Hinweise zu Personen zu verdichten und diese gegebenenfalls zu identifizieren. Mit öffentlich zugänglichen Daten sind hierbei alle Daten gemeint, die von jedermann genutzt werden können, wie beispielsweise solche aus sozialen Medien, sofern sie nicht auf eine speziell definierte Personengruppe beschränkt sind.
Darüber hinaus soll der biometrische Abgleich gemäß § 39a auch zulässig sein, wenn dies zur Abwehr einer Gefahr für den Bestand oder die Sicherheit des Bundes oder eines Landes oder zur Wahrung bedeutender öffentlicher Interessen erforderlich ist. Schließlich ist der biometrische Abgleich auch in den in § 63b genannten Fällen zulässig.
Datenschutzrechtliche Bedenken
Der Entwurf lässt offen, wie der biometrische Abgleich mit öffentlich zugänglichen Daten durchgeführt werden soll. Wird eine externe, kommerzielle KI-Software genutzt oder eine eigene Lösung entwickelt? Obwohl keine Echtzeit-Gesichtserkennung im öffentlichen Raum geplant ist, wirft der Entwurf ähnliche datenschutzrechtliche Fragen auf wie der Einsatz von PimEyes. Daher stellt sich auch hier die Frage, auf welcher Rechtsgrundlage die Erhebung von öffentlich zugänglichen Bild- und Tonaufnahmen gestützt werden kann. Da es sich um biometrische personenbezogene Daten im Sinne von Art. 9 Abs. 1 DSGVO handelt, müssen die Voraussetzungen des Art. 9 Abs. 2 DSGVO zusätzlich zu einer Rechtsgrundlage nach Art. 6 Abs. 1 DSGVO erfüllt sein. Weitere Details zur Datenverarbeitung und zur Rechtsgrundlage werden im Entwurf nicht genannt, was angesichts der Intensität des Eingriffs in die Rechte und Freiheiten der Betroffenen und des Umfangs der geplanten Datenverarbeitung bedenklich ist. Der Entwurf muss nun noch vom Bundeskabinett und Bundestag verabschiedet werden, doch die Koalitionspartner haben bereits erhebliche verfassungsrechtliche Bedenken geäußert.
Bildrechte: kostenloses Bild von Pixabay Technik Polizei Wagendach - Kostenloses Foto auf Pixabay - Pixabay
Inhaltslizenz: Zusammenfassung der Inhaltslizenz (pixabay.com)