Die Bundesregierung verschärft nach dem Attentat von Solingen nicht nur das Waffenrecht: Sie will zudem umstrittene Verfahren zur Gesichtserkennung einführen.
Was im Fall von untergetauchten RAF-Terroristen noch nicht möglich war, will die Bundesregierung künftig den Ermittlungsbehörden erlauben [1]: Als Reaktion auf das Messerattentat von Solingen soll die Polizei künftig die Fotos von Verdächtigen mit “allgemein öffentlich zugänglichen Internet-Daten” abgleichen dürfen, “um die Identifizierung von Tatverdächtigen oder gesuchten Personen zu erleichtern”. Das teilten das Innenministerium, das Justizministerium und das Bundeswirtschaftsministerium Ende August 2024 gemeinsam mit (Abbildung 1).

Abbildung 1: Bundesinnenministerin Nancy Faeser, Bundesjustizminister Marco Buschmann und Staatssekretärin Anja Hajduk stellen das Maßnahmenpaket vor. Quelle: Henning Schacht
Darüber hinaus soll künstliche Intelligenz die automatisierte Analyse polizeilicher Daten durch das Bundeskriminalamt (BKA) und die Bundespolizei künftig unterstützen dürfen, ebenso “das Testen und Trainieren von Daten für KI-Anwendungen als begleitende Vorschrift für die Datenanalyse”. Den Vorgaben des Bundesverfassungsgerichts, des europäischen Datenschutzrechts und der neuen KI-Verordnung will man dabei genügen.
Zudem fordert die Bundesregierung eine Verschärfung des Digital Services Act (DSA) auf EU-Ebene. Das Benennen konkreter Straftatbestände wie das Verbreiten von Propagandamitteln verfassungswidriger und terroristischer Organisationen und Volksverhetzung soll eine konsequente Bekämpfung strafrechtlicher Inhalte auf Online-Plattformen ermöglichen. Bislang nennt der DSA keine konkreten Straftatbestände, sondern spricht lediglich allgemein von illegalen Inhalten, die sich je nach EU-Mitgliedstaat unterscheiden können.
Gesetzesänderung nötig
Derzeit dürfen Ermittlungsbehörden öffentlich zugängliche Fotos, wie sie beispielsweise die Gesichtsdatenbanken Clearview oder PimEyes enthalten, nicht für die Suche nach Verdächtigen verwenden. Im Falle der früheren RAF-Terroristin Daniela Klette konnte ein Journalist die in Berlin untergetauchte Frau mithilfe von PimEyes problemlos aufspüren, was Ermittlungsbehörden jahrelang nicht gelungen war.
Nach Einschätzung von Juristen dürfen Behörden solche Datenbanken nicht nutzen, da die Sammlungen ohne die Zustimmung der abgebildeten Personen entstanden sind. Inwieweit es staatlichen Stellen freisteht, selbst eine solche Datenbank aufzubauen, bleibt juristisch unklar. Der Mitteilung zufolge sollen die Ermittlungsbehörden die Vorgaben der KI-Verordnung und des Datenschutzrechts einhalten.
In einer Analyse kommen die Verwaltungsjuristen Mario Martini und Carolin Kemper jedoch zum Schluss: “So wie es Polizeibehörden selbst versagt wäre, im Schleppnetzstil Gesichtsbilder zu sammeln und diese zur Identifizierung zu verwenden, dürfen sie dies nicht über die Hintertreppe der Zwischenschaltung privater Akteure wie Clearview AI.” Die Ergebnisse dieser unzulässigen Datenverarbeitung sind nach dieser Einschätzung also rechtswidrig.
Kleinere Datenbanken
Die Verarbeitung biometrischer Daten regelt in Deutschland beispielsweise der Paragraf 48 [2] des Bundesdatenschutzgesetzes (BDSG). Demnach ist die Verarbeitung nur zulässig, wenn sie zur Aufgabenerfüllung unbedingt erforderlich ist. Zudem nennt der Paragraf acht besondere Garantien, um die Rechte der Betroffenen zu schützen. Dazu zählen beispielsweise spezifische Anforderungen an die Datensicherheit oder die Datenschutzkontrolle. Solche Vorgaben führen dazu, dass die bestehenden Gesichtsdatenbanken der Polizeibehörden deutlich kleiner ausfallen als die von Clearview.
So hieß es Anfang 2020, die Datenbanken der deutschen Sicherheitsbehörden enthielten mehr als 5,8 Millionen Gesichtsbilder. Damit fallen sie deutlich kleiner aus als diejenigen der kommerziellen Anbieter. Clearview kündigte vor zwei Jahren sogar vollmundig an, “fast jeden auf der Welt” identifizieren zu wollen. Im ersten Halbjahr 2019 erfolgten auf das Gesichtserkennungssystem (GES) des BKA immerhin 23 915 Anfragen.
Die Grünen-Politikerin Anja Hajduk, Staatssekretärin im Bundeswirtschaftsministerium, begründete die Schaffung der neuen Befugnis bei der Vorstellung der Pläne so: “Es ist ein gewisser Anachronismus, dass das bislang nicht erlaubt war. Insofern ist das eine wichtige und äußerst zeitgemäße Regelung, die wir da einführen.”
Entsetzen beim CCC
Der Chaos Computer Club (CCC) reagierte auf die Pläne mit harscher Kritik [3]. Die geplante biometrische Erfassung von Gesichtsbildern aus dem Internet sei ein Angriff auf die Privatsphäre aller, ohne klare Notwendigkeit oder Nutzen, schreibt der CCC in einer Mitteilung. Die Vorstellung eines Überwachungspakets in Reaktion auf den Anschlag in Solingen markiere einen neuen Tiefpunkt im fortwährenden Abbau von Grundrechten.
Der massive Überwachungsvorstoß zur Gesichtserkennung sei noch nicht einmal begründet, wettert der CCC. Die neue biometrische Rundumüberwachung jetzt als “Maßnahme gegen gewaltbereiten Islamismus” zu verkaufen, sei vorgeschoben. Schon der vor dem Attentat geleakte BMI-Referentenentwurf für ein neues BKA-Gesetz habe die Idee weitreichender biometrischer Überwachung enthalten, inklusive biometrischer Daten aus dem Internet wie “Bewegungs-, Handlungs- oder Sprechmuster”.
Dass zusätzlich polizeiliche Daten automatisiert mit Software analysiert und sogar für das Testen und das Training von KI-Anwendungen dienen sollen, sieht der CCC ebenfalls kritisch. Das bedeute praktisch, den ganzen Zoo polizeilicher Datenbanken nicht nur zusammenzuführen, sondern die Daten auch noch in KI-Anwendungen enden zu lassen. Die Bundesregierung ignoriere die Fehleranfälligkeit und Risiken künstlicher Intelligenz und sitze dem KI-Hype auf, schimpft der CCC.
Kritische BfDI
Die Anfang September von Bundespräsident Frank-Walter Steinmeier zur neuen Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) ernannte Louisa Specht-Riemenschneider sagte schon zum Amtsantritt: “Ich werde alles tun, um eine vertrauenswürdige und grundrechtsorientierte KI-Landschaft zu ermöglichen. Gleichzeitig werde ich mich mit Vehemenz gegen rechtswidrige Datenverarbeitungen einsetzen.” Die KI-Aufsicht gehört laut Ansicht von Specht-Riemenschneider in die Hände der Datenschutzaufsichtsbehörden [4]. An diesen Aussagen muss sie sich in der Diskussion um das Paket der Regierung nun gleich messen lassen.

Abbildung 2: BfDI Louisa Specht-Riemenschneider will rechtswidrige Datenverarbeitungen verhindern. Quelle: Florian Weichselbaumer
Zum Thema Sicherheit sagte die BfDI: “Der Preis unserer Sicherheit darf niemals unsere Freiheit sein.” Es brauche ein Gleichgewicht zwischen Maßnahmen zur Gewährleistung der inneren und äußeren Sicherheit und dem Schutz der Bürger im Hinblick auf ihr informationelles Selbstbestimmungsrecht, so Specht-Riemenschneider. Diesen Ausgleich möchte die Bundesdatenschutzbeauftragte stärker als bislang im Dialog mit den Nachrichtendiensten und Polizeibehörden gewährleisten. (uba)
Infos
- Maßnahmen der Regierung: https://www.bmi.bund.de/SharedDocs/kurzmeldungen/DE/2024/08/Sicherheitspaket-Solingen.html
- Paragraf 48 BDSG: https://dejure.org/gesetze/BDSG/48.html
- CCC-Mitteilung: https://www.ccc.de/de/updates/2024/biometrischer-uberwachungsexzess-der-bundesregierung
- BfDI-Mitteilung: https://www.bfdi.bund.de/SharedDocs/Pressemitteilungen/DE/2024/10_Neue-BfDI.html?nn=251944






