Die hamburgische Polizei nutzt spezielle Software und legt eine biometrische Datenbank an, um G20-Straftäter ausfindig zu machen. Der Hamburgische Datenschutzbeauftragte sieht die Grenzen des Datenschutzes überschritten und ordnet die Löschung der Datenbank an.
Der Inhalt im Überblick
Anordnung an den Innensenator von Hamburg
Die ZEIT ONLINE veröffentlichte diese Woche ein interessantes Interview mit dem Hamburgischen Datenschutzbeauftragten Johannes Caspar, welches wir an dieser Stelle darstellen möchten. Im Rahmen des Interviews erläutert der Datenschutzbeauftragte Fakten, Ansichten und eine „neue“ Anordnung rund um die hamburgische Version des Streitthemas „automatisierte Gesichtserkennung“. Zur Berliner Version „Südkreuz“ hatten wir bereits in der Vergangenheit berichtet.
Die Hamburger Polizei versucht mittels einer ganz speziellen Gesichtsdatenbank, Straftäter der G20 Ausschreitungen ausfindig zu machen. Der Hamburgische Datenschutzbeauftragte hat nun den Innensenator von Hamburg zur Löschung dieser Datenbank angewiesen. Daher muss man sich fragen:
- Führt nun der Datenschutz dazu, dass Kriminelle ungestraft davonkommen? Oder was genau steckt hinter der Forderung des Datenschutzbeauftragten?
- Kann der Datenschutzbeauftragte eine öffentliche Stelle überhaupt anweisen?
Datenschutzrechtliche Problematik bei automatischer Gesichtserkennung
Die bei der Gesichtserkennung von der Polizei verwendete Software und der Datenschutz ließen sich derzeit nicht zusammen bringen, erläutert der Datenschutzbeauftragte. Das Vorgehen besteht aus zwei Schritten:
- Bilder und Videomaterial von Personen wird erhoben
- Über eine spezielle Software werden maschinenlesbare und abgleichbare Modelle aller aus diesem Material erzeugten Gesichter hergestellt.
Schritt eins werde als datenschutzkonform angesehen. Der Datenschutzbeauftragte beschreibt das Erstellen einer solchen biometrischen Datenbank (Schritt zwei) als einen Verstoß gegen das Datenschutzrecht. Die Software sei heikel, denn hierbei werden Gesichts ID’s erstellt von
„ […] völlig unbeteiligte Personen, gegen die strafrechtlich nie etwas vorlag. Wir wissen nicht, wie viele Personen betroffen sind, aber wir vermuten, dass es in die Hunderttausende gehen könnte.“
Dafür gäbe es keine Ermächtigungsgrundlage. Die Gefahr liegt auf der Hand, plötzlich ist eine umfassende Überwachung möglich. Ob diese nur zur Ermittlung der Täter von G20 herangezogen wird, vermag auch der Datenschutzbeauftragte nicht zu sagen:
„Die Polizei hat ja bereits vor einiger Zeit angekündigt, das Verfahren der automatisierten Gesichtserkennung auch in anderen Bereichen einzusetzen. Es bestehen uns gegenüber keine Anzeige- oder Meldepflichten.“
(Datenschutz)rechtliche Kritikpunkte
Das große Problem sieht der Datenschutzbeauftrage in der fehlenden rechtlichen Ausgestaltung dieses Vorgehens. Dafür müsse es ein Gesetz geben, welches insbesondere die folgenden Punkte regelt:
- Straftaten für die dieses Vorgehen zulässig ist
- Richterliches Anordnungserfordernis
- Zeitliche / örtliche Begrenzung der Maßnahme
- Verfahren für Auskünfte / Rechtsschutzmöglichkeiten
- Verhältnismäßigkeitsgrundsatz / Bestimmtheitsgebot
Die drei „M‘s“ des Datenschutzbeauftragten
Wie weit darf der Staat gehen, um Kriminalität zu bekämpfen. Der Datenschutzbeauftragte nennt seine „drei M’s“ und macht damit deutlich, welche Grenzen die Rechtstaatlichkeit der Strafverfolgung setze, und an welchen rechtlichen Anforderungen sich eine tatsächliche Umsetzung messen lassen müsse. An
- dem Menschenrecht auf Datenschutz und Privatsphäre in digitaler Gesellschaft und Staat,
- dem Schutz vor Missbrauch digitaler Technologien durch die Kontrolle verantwortlicher Stellen,
- der Achtung der Meinungsfreiheit freier Bürgerinnen und Bürger gegenüber dem Einsatz digitaler Technologien in der Informationsgesellschaft und Staat.
Zu wahren sei außerdem der Grundsatz der Verhältnismäßigkeit. Kann jegliche Kleinkriminalität das Abspeichern tausender unschuldiger Gesichter rechtfertigen? Das Recht auf informationelle Selbstbestimmung sei erheblich in Gefahr, da die Menschen gar nicht wissen wann, wo und wozu ihre Gesichter gespeichert würden (Zweck). Und das bedeutet?
„Ohne klare gesetzliche Vorgaben ist der Eingriff nicht mehr abhängig vom Recht, sondern allein von den Erwägungen und Zwecken der Strafverfolgungsbehörden.“
Was soll nun gelöscht werden?
Der Datenschutzbeauftrage verlangt ausdrücklich nicht die Löschung der anlässlich G20 gesammelten Bilder. Löschung wird im Hinblick auf die angefertigte biometrische Datenbank verlangt – und zwar solange bis es eine gesetzliche Grundlage für die Erstellung einer solchen gibt. Die Datenbank lässt sich – wenn die rechtlichen Voraussetzungen vorliegen – auch durch erneute Nutzung der Software wiederherstellen.
Was passiert nun aufgrund der Anordnung?
Der Datenschutzbeauftragte berichtet, dass der Innensenator der Anordnung vorerst nicht nachkomme. Am Dienstagabend wurde Klage gegen die Anordnung des Datenschutzbeauftragten erhoben.
Die Datenschutzbehörde hat keine rechtliche Durchsetzungsmöglichkeit für ihre Anordnung, diese besteht nur gegenüber privater Unternehmen. Positiv hebt der Datenschutzbeauftragte aber hervor, dass die Anordnung zwar nicht direkt durchsetzbar sei, aber seit dem letzten Jahr auch erst überhaupt die Möglichkeit besteht, eine verbindliche Anordnung zu treffen. Daher muss ein Gericht nun über die Anordnung entscheiden. Es bleibt abzuwarten wie schnell dies geschieht. Immerhin besteht die Möglichkeit, dass sich verschiedene Instanzen mit der Frage beschäftigen werden. Der Datenschutzbeauftragte hofft jedenfalls auf eine schnelle und eindeutige erstinstanzliche Klärung im Sinne des Datenschutzes.
Gesetzgeber gefragt!
Ein interessantes Interview, welches Einblick in drängende temporäre Fragen des Datenschutzes gewährt. Ein Thema im Spannungsverhältnis zwischen tatsächlichen Möglichkeiten und rechtlichen Schranken. Aufgrund des massiven Eingriffes in das informationelle Selbstbestimmungsrecht ist ein Einschreiten des Gesetzgebers durchaus wünschenswert und vor allem erforderlich. Die ZEIT ONLINE titelte übrigens mit
„Nie da gewesene Kontrollmacht für staatliche Stellen“
Das spannende Interview in voller Länge lesen Sie hier. Viel Spaß dabei!
Wir leben schon in einer komischen Welt.
In ihrem Artikel vom 14.01. „IP-Kamera: Risiko für Privatsphäre und Sicherheit“ steht:
Zitat:
„Scheinbar soll der Hersteller (s)einem ukrainischen Forschungs- und Entwicklungsteam praktisch ungehinderten Zugang zu dem Ordner auf Amazon’s S3 Cloud Storage Service gegeben haben, der alle Videos enthielt, die von jeder einzelnen IP-Kamera des Herstellers erstellt wurden. Dies würde zu einer enormen Liste hochsensibler Dateien führen, die leicht durchsucht und angesehen werden können. Das Herunterladen und Teilen dieser Kundenvideodateien hätte nur wenige Klicks erfordert. Hintergrund soll die Weiterentwicklung und Verbesserung der künstlichen Intelligenz bei der automatisierten Auswertung von Bildmaterialen bei Amazon sein.
Wie erst kürzlich eine Untersuchung des amerikanischen „National Institute of Standards and Technology“ (NIST) zeigte, sollen die Algorithmen von Microsoft und der chinesischen Firma Yitu Technology führend bei der Gesichtserkennung sein. Insofern wollen die anderen Großen, wie Google oder Amazon, natürlich ihre Hausaufgaben ebenfalls machen.“
Da höre ich keinen (Landes-) DSB schreien und krakehlen: „Nein das dürft ihr nicht – SOFORT alles löschen, das ist nicht rechtens, ihr verletzt die Menschenwürde!!“
Hier wird mMn mit zweierlei Maß gemessen. Die Wirtschaft darf, der Staat darf nicht.
Mein Vorschlag, die Polizei soll die Datenbanken bei den Chinesen, Google oder Amazon kaufen. Die würden wahrscheinlich eh besser funktionieren.
Ich weiß selber, dass das ein ziemlich heikles Thema ist und es ist sicherlich nicht leicht zu sagen, ob es richtig oder falsch ist, trotzdem ist es, auch im Zusammenhang mit den beiden Berichten vom 16. und 17.1. manchmal einfach schwer verständlich.
Der größte Unterschied zwischen den von Ihnen zitierten Abschnitt und dem Vorfall in Hamburg ist die Zuständigkeit. De deutschen Datenschutzaufsichtsbehörden ist es ebenso wenig möglich gegen eine Datenverarbeitung von Google oder Amazon in der USA einzuschreiten, wie es etwa der deutschen Polizei möglich ist, dort jemanden zu verhaften. Dass Herr Caspar keinen Unterschied zwischen Wirtschaft und Staat macht, zeigen etwa das Vorgehen gegen die standardmäßige Gesichtserkennung von Facebook (Deutschlandsitz: Hamburg) oder die Untersagung der Datenübertragung nach der WhatsApp Übernahme an den Mutterkonzern.
Der Polizei ist es auch nicht möglich die Datenbanken im Ausland zu kaufen, da es sich bei dieser um aufbereitete Bilder aus Videoanlagen der Hamburger U-Bahn, öffentlicher Plätze, Geschäfte und von Passanten, etc. handelt. Das Bildmaterial liegt somit bei den Konzernen nicht vor. Wenn die Aufbereitung der Bilder in Deutschland nicht rechtmäßig ist, gilt dies erst recht für die Datenübertragung des Bildmaterials an die Konzerne, um dieses im Ausland aufzubereiten.