Das Verwaltungsgericht Hamburg hat eine Anordnung des Hamburger Datenschutzbeauftragten aufgehoben, mit der die Hamburger Polizei angewiesen wurde, eine biometrische Datenbank zur massenhaften Gesichtserkennung von unschuldigen Bürgern zu löschen. Die schriftliche Urteilsbegründung liegt noch nicht vor. Aufgrund der enormen Bedeutung der Entscheidung setzen wir uns in einer vorläufigen Wertung dennoch bereits jetzt damit auseinander.
Der Inhalt im Überblick
Fahndung mittels automatisierter Gesichtserkennung
Bei den Ermittlungen anlässlich der Demonstrationen, Proteste und Auseinandersetzungen beim G20-Gipfel in Hamburg 2017 hat die Polizei eine automatisierte Gesichtserkennungssoftware „Videmo 360“ (GAS) eingesetzt. Mit den gesammelten Daten wurde eine biometrische Datenbank angelegt, die auf bis zu 100 Terabyte erweitert wurde.
In diese Datenbank sind Aufnahmen eingeflossen, die nach einer entsprechenden Kampagne der Bild-Zeitung von Privatpersonen hochgeladen wurden (Hinweisportal „Boston Infrastruktur“). Außerdem polizeieigenes Videoüberwachungsmaterial, Material aus öffentlichen Verkehrsmitteln und aus den Medien. Im August 2018 waren es insgesamt rund 32.000 Video- und Bilddateien. Die darin enthaltenen Gesichtsmerkmale wurden per Gesichtserkennungssoftware eindeutigen Identifikatoren in Form individueller Gesichts-IDs zugeordnet und maschinenlesbar vorgehalten. Über diesen Datenbestand werden seither Gesichter einzelner Tatverdächtiger automatisiert abgeglichen.
Die biometrische Erfassung erfolgte unterschieds- und anlasslos. Sie betrifft massenhaft Personen, die nicht tatverdächtig sind und dies zu keinem Zeitpunkt waren. Die Berechnung von mathematischen Gesichtsmodellen zu Strafverfolgungszwecken geschieht ohne Kenntnis der Betroffenen und ermöglicht es der Polizei, Profile über Standort, Verhalten und soziale Kontakte von Personen über einen örtlich und zeitlich nicht näher festgelegten Zeitraum zu erstellen, zu verknüpfen und auszuwerten.
Der Hamburger Landesbeauftragte für Datenschutz und Informationsfreiheit Prof. Johannes Caspar hatte dazu erklärt:
„Es gibt kein Gesetz, das Strafverfolgungsbehörden erlaubt, Massen von Video- und Bildsequenzen aus ganz unterschiedlichen zeitlichen und örtlichen Bezügen zu sammeln und biometrische Gesichts-IDs von abgebildeten Personen ohne Tatverdacht zu erstellen, für unbestimmte Zeit zu speichern und wiederholt mit Gesichtern von einzelnen Tatverdächtigen abzugleichen.“
Er hat daher die Löschung zwar nicht des Bildmaterials, aber der Datenbank angeordnet, in der die einzelnen biometrisch abgleichbaren Gesichtsmodelle unter einer eigenen ID erfasst sind. In einem Interview mit der Zeit erklärte er dazu:
„Wenn bereits die Teilnahme an einer Versammlung oder die Fahrt mit der S-Bahn ausreicht, um auf unbestimmte Zeit in eine biometrische polizeiliche Datenbank zu kommen, ist die freie Gesellschaft in Gefahr.“
Der Hamburger Innensenat klagte gegen die Löschungsanordnung vor dem Verwaltungsgericht Hamburg.
Großes Ausmaß an polizeilicher Erfassung
Laut Prozessbeobachtern kamen in der mündlichen Verhandlung interessante „Details“ zur Sprache. So sollen sich Daten von einer ca. sechsstelligen Zahl von Personen in der Datenbank befinden, also ca. 100.000 oder mehr, genau wisse es die Polizei selbst nicht. Mit Stand vom 30.09.2019 gebe es ca. 2600 Verfahren, davon ca. 950 gegen bekannte Täter, ca. 1650 Ermittlungsverfahren laufen noch gegen Unbekannt. Dadurch könne die Staatsanwaltschaft die Datenbank nicht löschen bis das letzte G20-Verfahren abgeschlossen ist. Über 500 Suchläufe habe es in der Referenzdatenbank bisher gegeben.
Mit anderen Worten: Auf 100.000 gespeicherte Personen kommen 2.600 Ermittlungen, über 90% sind von vornherein unschuldig, aber trotzdem mit besonders sensiblen personenbezogenen Daten auf viele Jahre hinaus in einer polizeilichen Datenbank gespeichert, weil sie sich auch nur in der Nähe von politischen Demonstrationen befunden haben.
Was über die Urteilsbegründung bekannt ist
Das Urteil fiel gleichwohl zugunsten des Innensenats bzw. der Polizei aus, das Gericht hob die Anordnung des Datenschutzbeauftragten auf. In der Pressemitteilung des Gerichts – die schriftlichen Urteilsgründe liegen bis dato noch nicht vor – heißt es dazu:
„Der Datenschutzbeauftragte hätte die Datenverarbeitung der Polizei in der konkret praktizierten Form in den Blick nehmen und eigene Feststellungen zu einem Verstoß gegen Vorschriften des Datenschutzes treffen müssen. Die Anordnung ist zudem ermessensfehlerhaft, weil der Datenschutzbeauftragte die Möglichkeit, etwaige Verstöße gegen datenschutzrechtliche Vorschriften durch normkonkretisierende Auflagen zu kompensieren, nicht in Betracht gezogen und seiner Entscheidung einen fehlerhaften Bewertungsmaßstab zugrunde gelegt hat. Einer Entscheidung über die Rechtmäßigkeit der beanstandeten Datenverarbeitung durch die Polizei bedurfte es in dieser Konstellation nicht.“
Erste Kritik an dem Urteil
Ein Prozessbeobachter wies zutreffend darauf hin, dass eine solche Auffassung – es stehe dem Datenschutzbeauftragten nicht zu, Sanktionen zu erlassen, weil eine Rechtsgrundlage gänzlich fehlt und nicht nur fehlerhaft angewendet wurde – ein fehlendes Verständnis für das Datenschutzrecht offenbart. Sowohl bei der europäischen Datenschutz-Grundverordnung als auch beim hier einschlägigen Hamburgischen Gesetz zum Schutz personenbezogener Daten im Justizvollzug (Hamburgisches Justizvollzugsdatenschutzgesetz – HmbJVollzDSG) handelt es sich um Verbote mit Erlaubnisvorbehalt. Das bedeutet, die Verarbeitung personenbezogener Daten ist grundsätzlich verboten, es sei denn es gibt dafür eine eigene Ermächtigungsgrundlage, so § 4 Satz 1 HmbJVollzDSG:
„Die Justizvollzugsbehörden dürfen personenbezogene Daten nur verarbeiten, wenn dieses Gesetz oder eine andere Rechtsvorschrift dies erlaubt oder zwingend voraussetzt.“
Eine solche Rechtsvorschrift muss nach der Rechtsprechung des Bundesverfassungsgerichts auch hinreichend bestimmt sein. Nach Auffassung des Hamburger Innensenats, der das Verwaltungsgericht offenbar gefolgt ist, bestand diese in § 48 BDSG.
Dieser besagt lediglich:
„Absatz (1): Die Verarbeitung besonderer Kategorien personenbezogener Daten ist nur zulässig, wenn sie zur Aufgabenerfüllung unbedingt erforderlich ist.“
Mit dieser Norm hatte sich der Datenschutzbeauftragte allerdings bereits in seiner Löschungsanordnung ausführlich auseinandergesetzt und unter Verweis auf die einschlägige Kommentarliteratur zum BDSG darauf hingewiesen, dass es sich hier um eine „unspezifische Generalklausel“ handele, „die intensive Grundrechtseingriffe mit derart hoher Streubreite nicht zu rechtfertigen vermag.“ Eine biometrische Massendatenerhebung könne hierauf nicht gestützt werden.
Es wäre geradezu absurd, wenn eine Aufsichtsbehörde eine staatliche Maßnahme, die tief in Grundrechte eingreift und massenhaft besonders sensible Daten Unbeteiligter berührt, gerade deshalb nicht untersagen dürfte, weil dieser jegliche einschlägige Rechtsgrundlage fehlt.
In seiner eigenen Pressemitteilung zum Urteil verwies der Hamburger Datenschutzbeauftragte auf die Rechtsprechung des Bundesverfassungsgerichts zum Kfz-Screening, in der dieser weitaus mildere Eingriff als die automatisierte Gesichtserkennung als Grundrechtseingriff gewertet wurde. Beim Scanning von Kfz-Nummern werden die Daten von unbeteiligten Verkehrsteilnehmern als Nichttrefferfälle sofort gelöscht, während die biometrischen Gesichtsabdrücke von Unbeteiligten über einen unbestimmten Zeitraum in der Datenbank gespeichert bleiben.
Gleichwohl habe das Verwaltungsgericht aufgrund die Konstellationen nicht als vergleichbar angesehen.
Ein gefährlicher Trend
Zurecht warnte der Hamburger Datenschutzbeauftragte:
„Das Gericht sieht offenbar in der Generalklausel des § 48 BDSG, die in pauschaler Form die Verarbeitung besonderer Kategorien von Daten, wozu u.a. auch biometrische Daten gehören, regelt, eine hinreichende Grundlage für die massenhafte Erstellung von Gesichtsprofilen zur Strafverfolgung – gerade auch von unbeteiligten Personen. Damit ist im Prinzip der Weg frei, zur Strafverfolgung künftig alle erdenklichen Daten aus dem öffentlichen Raum zu sammeln und daraus biometrische Profile zu generieren, ohne dass konkrete gesetzliche Vorgaben eine unabhängige Kontrolle zur Sicherung von Rechten Betroffener ermöglichen. Es steht zu befürchten, dass sich eine entsprechende Praxis nicht nur in Hamburg, wo die zuständige Innenbehörde bereits weitere Einsatzfelder in Betracht zieht, sondern auch in den Zuständigkeitsbereichen des Bundes und anderer Länder Deutschlands etabliert.“
Anlässlich der Proteste in Hong Kong, gegen die ebenfalls u.a. biometrische Gesichtserkennungssoftware eingesetzt wird, warnte kürzlich der Europäische Datenschutzbeauftragte Wojciech Wiewiórowski:
„Die Verwandlung des menschlichen Gesichts in ein weiteres Objekt der Messung und Kategorisierung durch automatisierte Prozesse, die von mächtigen Unternehmen und Regierungen kontrolliert werden, berührt das Recht auf Menschenwürde – selbst ohne die Gefahr, dass es als Werkzeug zur Unterdrückung durch einen autoritären Staat eingesetzt wird. (…) In Kombination mit anderen öffentlich zugänglichen Informationen und den Techniken von Big Data könnte dies natürlich die individuelle Meinungs- und Vereinigungsfreiheit beeinträchtigen. In Hongkong ist das Gesicht zu einem Schwerpunkt geworden. Das Tragen von Masken war eine Reaktion auf den Einsatz von Gesichtserkennung und wurde wiederum nach einem neuen Gesetz verboten.“
Letzteres Verbot gibt es in Deutschland schon länger, bereits seit den 1980er Jahren.
…wo hab ich nur meine Guy Fawkes Maske?
„über 90% sind von vornherein unschuldig, aber trotzdem mit besonders sensiblen personenbezogenen Daten auf viele Jahre hinaus in einer polizeilichen Datenbank gespeichert,“
Unfug!
Welche „besonders sensiblen personenbezogenen Daten“ sollen das sein?? Das sind nur BILDER. Der Informationsgehalt dieser Aufnahmen ist erst mal so aussagekräftig wie eine Fotoaufnahme auf dem Jungfernstieg. Viele Gesichter aber keine Namen. Keine Adressen. Nichts!
Caspar ist mit seiner Anordnung weit über das Ziel hinaus geschossen. Typisch deutsche Datenschutzparanoia.
Sie haben offenbar den genauen Verarbeitungsvorgang hier nicht verstanden.
Es wurden Videoaufnahmen gemacht, die mit einer Gesichtserkennungssoftware, also mit speziellen technischen Mitteln verarbeitet wurden, die die eindeutige Identifizierung oder Authentifizierung einer natürlichen Person ermöglichen. Werden die Gesichter von der Software erkannt, bedarf es gerade keiner zusätzlichen Information wie Name oder Adresse, daher auch der Name „GesichtsERKENNUNGSsoftware“. Der Prozess läuft automatisiert im Programm ab. Inwiefern das mit einem bloßen Foto vergleichbar sein soll, erschließt sich nicht.
Dass derartige Videoaufnahmen als biometrische und damit besonders sensible personenbezogene Daten im Sinne des Art. 9 Abs. 1 DSGVO definiert werden, ergibt sich im Übrigen aus Erwägungsgrund 51 Satz 3.
Machen Sie sich selbst ein Bild und schauen sie sich auf der Homepage des Herstellers der Gesichtserkennungssoftware um: videmo.de. Selbst anhand der kurzen Marketingtexte wie beispielsweise „(…) Kameras in Echtzeit analysieren, Gesichter lokalisieren, Identitäten verwalten, Videos und Bilder rückwirkend durchsuchen (…)“, sollte schnell klar werden, dass es sich bei der Software nicht um eine digitale Fotogalerie handelt.
Das Urteil ist ja wohl kompletter Quatsch und dass der § 48 BDSG so verdreht wurde von einem Richter macht mich echt betroffen. Dieses Urteil und die neuen Ideen von Jens Spahn lassen darauf schließen, dass in DE offenbar mit zweierlei Maß gemessen wird, insbesondere bei Art. 9 DSGVO-Daten.
Ich hoffe, dass die Rechtsprechung in den höheren Instanzen das Urteil korrigiert.
Sowohl das Urteil, wie auch die Reaktion aller Beteiligten und Mitkommentatoren zeigen eindrucksvoll, dass die DSGVO nicht nur eine absolute Daseinsberechtigung besitzt, sondern im Grunde überhaupt erst eine sachbezogene Möglichkeit bereitstellt gegen solche Massenauswertungen von personenbezogenen (Bild-/Video-) Daten überhaupt vorgehen zu können.
Ich kann unsere Sicherheitsbrhörden durchaus verstehen, wenn sie sich Big Data oder AI oder sonstige IT-basierte Software zur Strafverfolgung anschafft. Das Problem liegt aber wieder einmal im Maß der Mittel und weniger im Zwecke. Es ist halt immer wieder mehr als verlockend für Ermittler und dem Menschen als solchen, wenn man hier die vollen technischen Speicher- und Verarbeitungstechnologien ausnutzen mag.
Im Grunde hat sich seit Jahrtausenden nichts am Menschen geändert. Er neigt auch weiterhin sich der Macht zu ergötzen, danach zu streben, der Technik und dem Fortschritt stets zu frönen, sowie der klassischen Motive von Geld, Sex und Beherrschung anderer. Es ist immer nur eine Frage des sprichwörtlichen Blickwinkels oder des politischen Systems in dem man lebt. Eine Waffe ist schließlich auch nicht per se gefährlich, sondern in der Regel die Hand die sie führt. ;-)
Das dies eben nicht der Fall ist und die DSGVO gerade ausschließlich den privaten Bereich strengen Regeln unterwirft, aber (zusammen mit der JI-Richtlinie) der staatlichen Datensammlerei durch Generalklauseln und mitgliedstaatlichen Ausnahmeregelungsbefugnissen einen größeren Spielraum eröffnet, war einer der frühesten Kritikpunkte von einigen Experten und Verfassungsrechtlern an dem Gesetzesentwurf der DSGVO. Dazu aus dem lesenswerten Beitrag „Datenschutz: Zurück zum Thema!“ (2013):
„Im öffentlichen Bereich sieht es anders aus. Der NSA-Skandal zeigt, dass das Bedrohungsszenario kein anderes ist, als vor 30 Jahren: Der eigentliche Gegner ist weiterhin der Überwachungsstaat. Die größte Bedrohung ist weiterhin die allgemeine, hoheitlich organisierte Totalüberwachung. Für Pragmatismus gibt es deshalb keinen Anlass, sondern für eine Rückbesinnung darauf, worauf der Datenschutz eigentlich gebaut ist.“
Die Trennung zwischen privatwirtschaftlicher und staatlicher Bedrohung der Privatsphäre ist doch ein Trugschluss. Denn das Konzept Big Data ob nun staatlich oder privatwirtschaftlich baut auf dem gleichen Prinzip auf: So viel wie möglich sammeln und für immer behalten. Gleichwohl sollen die gesammelten Daten frei fließen und hier verschwimmen doch die Grenzen zwischen Unternehmen und Staat – den Daten selbst sieht man schwerlich an, woher sie orginär stammen. Denn auch im NSA-Skandal sind die Rollen, die die privaten US-Internetkonzerne spielen, immer noch nicht transparent.
Diese Auffassung teile ich nicht. Für die privatwirtschaftliche Datensammlerei hat sich der treffende Ausdruck Überwachungskapitalismus etabliert. Dieser macht klar, dass die Überwachung Mittel zum Zweck ist. Sie ist dem Streben nach maximalen Gewinn untergeordnet. Selbstverständlich kann das schädlich für die Gesellschaft oder Demokratie sein. Der Überwachungskapitalismus ist damit aber auch in einem gewissen Maße vorhersehbar und eindämmbar. Er unterwirft sich staatlicher Regulierung, richtet sich nach Angebot und Nachfrage und es ist dem Einzelnen möglich (wenn auch unter großer Anstrengung und Einschränkung) sich diesem zu entziehen.
Bei der staatlichen Überwachung geht es insbesondere um Kontrolle und Macht. Der Staat konnte sich durch seine Staatsgewalt per Hoheitsakte, die Daten beschaffen, die er meinte zu brauchen. In Deutschland ist die Staatsgewalt aber noch an den Rahmen der Verfassung gebunden. Hier kommt das Bundesverfassungsgericht in Spiel. Erst dessen Intervention durch Schaffung des Rechts auf informationelle Selbstbestimmung und die folgenden Grundsatzurteile haben Barrieren bei der Erhebung von Daten aufgebaut, an denen kein Gesetzgeber vorbei kann. Datenschutz als neues Grundrecht war nun ein Abwehrrecht des Bürgers gegen den Staat. Gerade einer dieser Grenzen war die Vorratsdatenspeicherung. Der Staat darf nicht anlasslos Daten von Bürgern sammeln und unbegrenzt speichern oder entsprechende Datenbestände von privaten Unternehmen anlegen lassen darf. Gerade hier unterscheidet sich der verfassungsrechtliche status quo in den USA. Hier wurden nach 9/11 entsprechende Gesetze erlassen, die es der NSA legal-erlauben, entsprechende Daten von privaten US-Konzernen auf Verdacht in Massen zu sammeln und auszuwerten.
Dadurch, dass der Datenschutz nun überwiegend von der EU geregelt wird, liegt es auch am EuGH dem Gesetzgeber die Grenze aufzuzeigen. Kritik ist hier, dass der Weg durch dessen Überlastung um einiges länger geworden ist. Zudem hängt die Grenze von der Ansicht der Richter ab. Das diese die Grenze ähnlich scharf und konsequent wie der BVerfG (auch aufgrund unserer geschichtlichen Vergangenheit) ziehen, ist noch nicht abzusehen. Zumal sich aufgrund des Verfahrens, dass jeder Mitgliedsstaat einen Richter für 6 Jahre entsendet und dies gestaffelt geschieht, sodass eine Hälfte nach 3 Jahre neu ernannt wird, sich die Meinung, wo die Grenze liegt, schneller ändern könnte.
Über den Begriff Überwachungskapitalismus sind wir uns einig. Es hat doch aber spezifische Gründe warum diese Ausprägung entstehen konnte und bestehen kann: (1) Die Abwesenheit von Regulierung. (2) Die Möglichkeit gesellschaftliche Normen neu und in ihrem Sinne zu definieren, namentlich das was wir unter „Privatheit“ verstehen (sollen) – siehe beispielsweise Herrn Zuckerbergs „A Privacy-Focused Vision for Social Networking“.
Es ist doch bezeichnend, dass bestimmte Dienste Nichtnutzung als Form des Datenschutzes sehen („nutze diesen Dienst nicht, wenn du Datenschutz möchtest“). Dies kehrt doch die Sinnhaftigkeit des Konzeptes ins Gegenteil. Der Betroffene muss seine Privatsphäre konstant rechtfertigen, anstatt eben das Eindringen in dieselbe gerechtfertigt werden muss. Ähnlich verhält es sich doch mit staatlichen Maßnahmen – die konstante Rechtfertigung warum Privatsphäre „benötigt“ wird. Die Parallelen sind aus meiner Sicht frappierend.
Nun sind mir mit unserem Austausch schon weit vom Thema des Artikels abgewichen, daher: Ich fand die Kommentare erhellend und interessant. Vielen Dank dafür.