Gesichtserkennung BKA nutzte Polizeifotos für Software-Test
Das BKA nutzte laut BR Millionen Bilder aus einer Polizeidatenbank, um Gesichtserkennungssoftware zu testen. Ob das legal war, ist fraglich. Der Fall zeigt, wie Sicherheitsbehörden beim Umgang mit Daten in rechtlichen Grauzonen operieren.
Im Jahr 2018 nahmen Berliner Polizeibeamte ein frontales Gesichtsbild von Janik Besendorf auf - eine erkennungsdienstliche Behandlung wegen des Verdachts auf Hausfriedensbruch. Das Verfahren sei wenig später eingestellt worden, erzählt Besendorf, doch er geht davon aus, dass das Bundeskriminalamt (BKA) sein Bild genutzt hat, um Gesichtserkennungsalgorithmen zu testen. Der IT-Experte sieht deshalb seine Rechte verletzt: "Dem habe ich nie zugestimmt", sagt er. Jetzt erwägt er, gegen das BKA zu klagen.
Knapp fünf Millionen Gesichtsbilder hat das BKA nach BR-Informationen für einen Software-Test aus dem zentralen polizeilichen Informationssystem INPOL-Z extrahiert und dem Fraunhofer-Institut für Graphische Datenverarbeitung zur Verfügung gestellt. Im Jahr 2019 evaluierte das Institut im Auftrag des BKA Gesichtserkennungssoftware verschiedener Hersteller.
Das Projekt trug den Namen EGES: "Ertüchtigung des Gesichtserkennungssystems im BKA". Ziel war es, anhand echter Bilder herauszufinden, wie gut das vom BKA eingesetzte System im Vergleich mit den Produkten von vier anderen Herstellern abschneidet.
Die Bilder stammen von etwa drei Millionen Personen. Das geht aus dem Abschlussbericht des Projekts hervor, der dem BR vorliegt. Um die Erkennungsgenauigkeit möglichst detailliert zu testen, stellte das BKA außerdem eine Liste von 56.500 Bartträgern und 19.500 Brillenträgern zur Verfügung. Das BKA schreibt auf BR-Anfrage: Die Testung sei "angesichts der hohen Bedeutung der Gesichtserkennung für die Strafverfolgung und Gefahrenabwehr" erforderlich gewesen.
Zöller: "Behörden preschen immer wieder vor"
Ob das BKA dazu befugt war, ist jedoch fraglich. Für Mark Zöller, Professor für Strafrecht und Digitalisierung an der Ludwig-Maximilians-Universität München, belegt der aktuelle Fall, dass Sicherheitsbehörden bei neuen Technologien immer wieder ohne saubere Rechtsgrundlage vorpreschen. Immerhin gehe es bei einer solchen Datenverarbeitung um Grundrechtseingriffe, "gerade von Personen, die vielleicht unschuldig im INPOL-System gelandet sind".
Im Interview sagt er: "Das finde ich schon sehr riskant, dass man da mit Millionen von Datensätzen operiert, ohne dass man vorher sauber die rechtlichen Grundlagen geprüft hat". Erst Ende vergangenen Jahres hatten BR-Recherchen gezeigt, dass das bayerische Landeskriminalamt Software des US-Unternehmens Palantir mit Echtdaten testete - "nicht rechtskonform", wie der bayerische Landesbeauftragte für den Datenschutz Thomas Petri im Januar feststellte.
BfDI hält Vorgehen für "problematisch"
Dem BR liegt interne Behördenkommunikation zwischen dem BKA und der Behörde des Bundesdatenschutzbeauftragten (BfDI) Ulrich Kelber zu dem Fall vor. Das Bundeskriminalamt hatte das Projekt demnach als "wissenschaftliche Forschung" deklariert und sich auf einen Paragrafen im BKA-Gesetz berufen.
Der BfDI nannte den Vorgang in einem Schreiben aus dem Jahr 2022 "problematisch" und bezweifelte, dass es bei den Tests um Wissenschaft ging: "Es mangelt an einer Rechtsgrundlage." Von einer Beanstandung sah Kelber jedoch "angesichts der Komplexität der Rechtslage" ab.
Umstrittene Rechtslage
Kelbers Mitarbeiter machten sich daraufhin offenbar selbst auf die Suche nach einer geeigneten Rechtsgrundlage, die den Vorgang im Nachhinein juristisch absichern könnte, und wurden aus ihrer Sicht in der Datenschutzgrundverordnung (DSGVO) fündig: "Das Testen von Software-Produkten fällt nicht in den Bereich von Strafverfolgung und Gefahrenabwehr, weshalb hier die DSGVO zur Anwendung kommt." Auf eine aktuelle BR-Anfrage beruft sich das BKA nun ebenfalls auf die DSGVO.
Rechtsexperte Zöller wundert sich über diese Rechtsauffassung: "Es wird ja nicht aus reinem Interesse im luftleeren Raum, sondern von einer Polizeibehörde zu Zwecken getestet, die mit der polizeilichen Arbeit in Zusammenhang stehen." Wenn es um Strafverfolgung und Gefahrenabwehr gehe, dürften sich Sicherheitsbehörden nicht auf das allgemeine Datenschutzrecht berufen, sondern müssten sich immer an die jeweiligen Fachgesetze halten, in diesem Fall das BKA-Gesetz. Und darin ist nicht geregelt, welche Daten Sicherheitsbehörden für Software-Tests nutzen dürfen.
BKA informierte nur zögerlich
Aus den Dokumenten geht auch hervor, wie spärlich das BKA den Bundesdatenschutzbeauftragten über das Projekt informierte. Immer wieder beantwortete das BKA Anfragen der Datenschutzbehörde erst nach Monaten und wenig detailliert. Den Abschlussbericht erhielt Kelber erst eineinhalb Jahre nach Fertigstellung des Projekts.
Erst dann erfuhr die Behörde, dass für den Test Echtbilder verwendet wurden. Das BKA teilte dem BR hierzu auf Anfrage mit: "Eine Einbindung des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) ist gesetzlich nicht vorgegeben und war fachlich auch nicht erforderlich."
Dass sich der Datenschutzbeauftragte bis heute mit dem Fall beschäftigt, dürfte auch mit der Hartnäckigkeit von Matthias Marx zu tun haben. Der Sprecher des Chaos Computer Clubs (CCC) hatte den Abschlussbericht über eine Anfrage nach dem Informationsfreiheitsgesetz vom BKA erhalten und sich daraufhin an Kelber gewandt.
Marx engagiert sich seit Jahren gegen den Einsatz von biometrischer Überwachungstechnik. "Vor diesem Hintergrund interessieren wir uns sehr dafür, welche Akteure welche Experimente mit unseren Daten durchführen", sagt er.
BKA verweist auf Sicherheitsvorkehrungen
Aus einem Schreiben des BKA geht hervor, welchen Aufwand die Beamten betrieben, um bei den Software-Tests Datensicherheit zu gewährleisten. Die Computer, auf denen die Auswertungen durchgeführt wurden, befanden sich demnach in einem eigens bereitgestellten Raum ohne Internetzugang am BKA-Standort in Wiesbaden. Die verwendeten Festplatten seien nach Abschluss des Projekts zerstört worden.
Trotzdem kritisiert CCC-Sprecher Matthias Marx, dass die Daten für einen Zweck eingesetzt wurden, für den sie nicht erhoben wurden. "Auch mit Maßnahmen zur Absicherung bleibt eine Zweckentfremdung eine Zweckentfremdung. Die Daten wurden für die Strafverfolgung erhoben und nur dafür dürfen sie benutzt werden", meint er.
Janik Besendorf, dessen Gesichtsbild mutmaßlich für den Software-Test genutzt wurde, hat deshalb beim Bundesdatenschutzbeauftragten Kelber Beschwerde eingelegt. Er wünscht sich eine gesellschaftliche Debatte darüber, wofür Polizeibehörden Daten einsetzen dürfen und wofür nicht.
Kelber selbst spricht sich für klarere Regeln für Software-Tests aus. "Sicherheitsbehörden haben oft eine Interpretation der Rechtslage, die aus ihrer Sicht sehr weitreichend ist." Er fordert eine Gesetzesänderung, um für Rechtssicherheit und Transparenz zu sorgen: "Für Bürgerinnen und Bürger wären die Bedingungen dann einsehbar. Und für die Anwendenden in den Sicherheitsbehörden wäre dann auch klar, was sie dürfen und was nicht".