Die Bundesinnenministerin hat einen Gesetzesentwurf vorgelegt, der es den Polizeibehörden ermöglichen soll, Bilder von Verdächtigen mit allen öffentlich zugänglichen Bildern aus dem Internet abzugleichen. Bislang konnte die Polizei die biometrischen Daten eines Verdächtigen nur mit der polizeilichen INPOL-Datenbank abgleichen. Im folgenden Artikel werfen wir einen Blick auf den Entwurf und erläutern die Hintergründe der geplanten Reform sowie die datenschutzrechtlichen Bedenken.
Der Inhalt im Überblick
Hintergrund: die Festnahme von Daniela Klette
Dreißig Jahre lang hatte die deutsche Polizei vergeblich nach Daniela Klette, einer mutmaßlichen Straftäterin der Terrorgruppe RAF, gesucht, bis sie mehrere anonyme Hinweise zum Aufenthalt von Klette erhalten haben soll. Laut Angaben der Zeitung die Zeit soll der kanadische Journalist Michael Colborne vom Recherchekollektiv Bellingcat 30 Minuten benötigt haben, um eine Spur zu Daniela Klette zu finden. Anhand der Gesichtserkennungssoftware des polnischen Unternehmens PimEyes, welche für jedermann gegen Zahlung einer niedrigen Gebühr im Internet erhältlich ist, konnte der kanadische Journalist die mutmaßliche Straftäterin im Netzt auf den Bildern eines Berliners Capoeira-Vereins und in Facebook ausfindig machen. Infolgedessen wurde Daniela Klette im Februar 2024 nach 30 Jahren im Untergrund in einer Wohnung in Berlin durch die Behörden festgenommen.
Das Bundeskriminalamt setzt seit 2008 das Gesichtserkennungssystem GES zur Identifizierung von unbekannten Tätern ein. Mithilfe dieses Gesichtserkennungssystems kann die Polizei Bildmaterial von unbekannten Verdächtigen mit den in der INPOL-Datenbank abgespeicherten Bildern von Straftätern abgleichen. Dabei werden die Merkmale eines Gesichts codiert und in einem Template abgebildet, welches die Grundlage für den Abgleich bildet. Im Gegensatz dazu sammelt das Unternehmen PimEyes im Internet massenhaft Gesichter nach individuellen Merkmalen und speichert diese biometrischen Daten in riesigen Datenbanken, die zum Abgleich mit Bildern der zu identifizierenden Person verwendet werden. In diesem Zusammenhang bereitet das Innenministerium mehrere Gesetzesänderungen vor, welche neue Befugnisse für die Bundespolizei und das BKA im Hinblick auf den Einsatz von Künstlicher Intelligenz vorsieht. Nach dem Entwurf sollen die Behörden unter bestimmten Bedingungen die Erlaubnis haben, eine KI-gestützte Software zu verwenden, um einen biometrischen Internetabgleich durchzuführen.
Datenschutz und PimEyes
Das KI-gestützte Gesichtserkennungssystem PimEyes stand von Anfang an unter scharfer Kritik der Aufsichtsbehörden, da der Dienst laut Angaben des LfDI Baden-Württemberg eine riesige Menge biometrischer Daten erhebt, mit denen jede Person identifiziert werden kann.
LfDI BW eröffnet ein Verfahren gegen PimEyes
Aufgrund der massiven Bedrohung der Rechte und Freiheiten der Bürgerinnen und Bürger der Bundesrepublik durch diesen Dienst hatte der LfDI Dr. Stefan Brink im Jahr 2021 den Diensteanbieter anhand eines Fragenkatalogs aufgefordert, umfassend über die Verarbeitung biometrischer Daten Auskunft zu geben. In diesem Zusammenhang wollte der LfDI Baden-Württemberg wissen, welche Rechtsgrundlage für die Verarbeitung und ggf. die Weitergabe der biometrischen Daten zugrunde gelegt wird und welche technischen und organisatorischen Maßnahmen zum Schutz der Daten ergriffen worden sind. Da das Tool massenhaft Bilder aus dem Internet sammelt, besteht hier de Befürchtung, dass jeder ideologische, sexuelle, religiöse oder sonstiger Aspekt einer Person offenbart werden kann. Nach der Verfahrenseröffnung ergriff das ursprünglich in Polen ansässige Unternehmen die Flucht und setzte sich auf die Seychellen ab.
Stellungnahme von PimEyes
Nach einem Eigentümerwechsel und eine erneute Sitzverlegung auf Belize antwortete der Dienstleister im November 2022 auf die Fragen des LfDI Baden-Württemberg. Nach Angaben des Dienstleisters werden nur öffentlich zugängliche Bilder verarbeitet, die keinen Personenbezug haben sollen, da das Unternehmen die Bilder keiner Person zuordnen könne. Wenn man einen Personenbezug trotzdem annehmen würde, dann erfolge die Verarbeitung nach Auffassung des Dienstleisters zum Schutz lebenswichtiger Interessen der betroffenen Person. Vorliegend kam für die Verarbeitung biometrischer personenbezogener Daten lediglich die ausdrückliche Einwilligung der Betroffenen nach Art. 9 Abs. 2 lit. a DSGVO.
Angesichts der offensichtlichen Rechtswidrigkeit der Datenverarbeitung und der lückenhaften Antwort leitete die Aufsichtsbehörde daraufhin das weltweit erste Bußgeldverfahren gegen den Dienstleister ein.
Der Gesetzentwurf vom Innenministerium
Um das Bundeskriminalamt in die Lage zu versetzen, bei der Bekämpfung der Gefahren des internationalen Terrorismus und bei der Strafverfolgung und Strafverhütung angemessen und schnell auf neue Kriminalitätsphänomene und Bedrohungen reagieren zu können, sollen mehrere Bestimmungen des Bundeskriminalamtgesetzes und anderer Rechtstexte durch den geplanten Gesetzentwurf modifiziert werden. Dem Gesetzentwurf zufolge umfassen diese Änderungen die Befugnis, biometrische Abgleiche von öffentlich zugänglichen Daten aus dem Internet vorzunehmen und polizeiliche Datenbanken automatisch zu analysieren.
Der biometrische Abgleich von öffentlich zugänglichen Daten aus dem Internet ist in den neu einzufügenden §§ 10b, 39a und 63b geregelt:
„§ 10b
Biometrischer Abgleich mit öffentlich zugänglichen Daten aus dem Internet
(1) Das Bundeskriminalamt kann zur Ergänzung vorhandener Sachverhalte Daten, auf die es zur Erfüllung seiner Aufgaben zugreifen darf, mit öffentlich zugänglichen personenbezogenen Daten aus dem Internet mittels einer automatisierten Anwendung zur Datenverarbeitung biometrisch abgleichen, sofern
1. dies zur Erfüllung seiner Aufgabe als Zentralstelle nach § 2 Absatz 2 Nummer 1 erforderlich ist,
2. bestimmte Tatsachen den Verdacht begründen, dass eine Straftat im Sinne des § 2 Absatz 1 begangen worden ist oder die Annahme rechtfertigen, dass eine Person innerhalb eines übersehbaren Zeitraums auf eine zumindest ihrer Art nach konkretisierte Weise eine solche Straftat begehen wird und
3. die Verfolgung oder Verhütung der Straftat auf andere Weise aussichtslos oder wesentlich erschwert wäre.
[…]“
Laut dem Entwurf soll der Abgleich dem Zweck dienen, dass das Bundeskriminalamt im Bereich der Strafverfolgung und Strafverhütung bestehende Hinweise zu Personen verdichten kann. Mithilfe des biometrischen Abgleichs von Daten mit öffentlich zugänglichen Daten aus dem Internet sollen Personen identifiziert werden können. Mit öffentlich zugänglichen Daten aus dem Internet sind alle Daten gemeint, die von jedermann genutzt werden können, zum Beispiel aus sozialen Medien, sofern sie nicht an eine speziell definierte Personengruppe gerichtet sind.
Darüber hinaus ist der biometrische Abgleich mit öffentlich zugänglichen personenbezogenen Daten aus dem Internet gemäß der neu einzufügenden § 39a auch dann zulässig, wenn dies
„zur Abwehr einer im Einzelfall bestehenden Gefahr für den Bestand oder die Sicherheit des Bundes oder eines Landes oder für Leib, Leben oder Freiheit einer Person oder Sachen von bedeutendem Wert, deren Erhaltung im öffentlichen Interesse geboten ist, im Zusammenhang mit Straftaten nach § 5 Absatz 1 Satz 2 erforderlich ist“.
Schließlich ist der biometrische Abgleich auch in den in § 63b genannten Fällen zulässig.
Datenschutzrechtliche Bedenken
Aus dem Entwurf geht nicht hervor, wie dieser biometrische Abgleich mit öffentlich zugänglichen Daten durchgeführt werden soll. Wird das KI-gestützte Gesichtserkennungssystem eines externen kommerziellen Dienstleisters verwendet oder wird eine eigene Lösung entwickelt? Obwohl eine Echtzeit-Gesichtserkennung im öffentlichen Raum nicht geplant ist, lässt sich aus dem Gesetzesentwurf ablesen, dass wir es hier mit den gleichen datenschutzrechtlichen Problemstellungen konfrontiert sind wie bei dem Einsatz des Gesichtserkennungssystems PimEyes. Aus diesem Grund stellt sich auch hier die Frage, auf welche Rechtsgrundlage die Erhebung von öffentlich zugänglichen Bild- und Tonaufnahmen gestützt werden kann. Da es sich um biometrische personenbezogene Daten im Sinne von Art. 9 Abs. 1 DSGVO handelt, müssen die Voraussetzungen des Art. 9 Abs. 2 DSGVO erfüllt sein, zusätzlich zu einer Rechtsgrundlage nach Art. 6 Abs. 1 DSGVO. Mehr Informationen über die Verarbeitung von sensiblen Daten finden Sie in unserem Blogbeitrag „Sensible Daten nach der DSGVO: Definition & Beispiele“.
Weitere Details zur Datenverarbeitung und zur Rechtsgrundlage der Verarbeitung werden im Entwurf nicht genannt, sodass es mangels einer überzeugenden Begründung hier angesichts der Intensität des Eingriffs in die Rechte und Freiheiten der Betroffenen und des Ausmaßes der geplanten Datenverarbeitung fragwürdig erscheint, dass die Datenverarbeitung rechtmäßig ist. Der Gesetzentwurf muss nun noch vom Bundeskabinett und vom Bundestag gebilligt werden, aber die Koalitionspartner haben bereits mehrere Bedenken hinsichtlich der Verfassungsmäßigkeit des Gesetzes geäußert.