Im Jahr 2018 nahmen Polizisten den IT-Experten Janik Besendorf mit auf eine Berliner Polizeiwache – wegen des Verdachts auf Hausfriedensbruch. "Da wurden dann meine Fingerabdrücke abgenommen, aufgeschrieben, was ich für eine Haarfarbe, für eine Augenfarbe habe", erzählt er. Außerdem machten die Beamten Fotos von ihm – eine erkennungsdienstliche Behandlung.
IT-Experte sieht seine Rechte verletzt
Das Verfahren sei wenig später eingestellt worden, doch die Gesichtsbilder, die Polizeibeamte damals von ihm in ihrer Datenbank speicherten, beschäftigen ihn bis heute. Denn er geht davon aus, dass das Bundeskriminalamt (BKA) mit den Fotos Gesichtserkennungsalgorithmen testete. Der IT-Experte sieht deshalb seine Rechte verletzt: "Dem habe ich nie zugestimmt", sagt er. Jetzt erwägt er, gegen das BKA zu klagen.
Knapp fünf Millionen Gesichtsbilder hat das BKA nach BR-Informationen für einen Software-Test aus dem zentralen polizeilichen Informationssystem INPOL-Z extrahiert und dem Fraunhofer-Institut für Graphische Datenverarbeitung zur Verfügung gestellt. Im Jahr 2019 evaluierte das Institut im Auftrag des BKA Gesichtserkennungssoftware verschiedener Hersteller. Das Projekt trug den Namen EGES: "Ertüchtigung des Gesichtserkennungssystems im BKA". Ziel war es, anhand echter Bilder herauszufinden, wie gut das vom BKA eingesetzte System im Vergleich mit den Produkten von vier anderen Herstellern abschneidet.
Liste von Bart- und Brillenträgern
Die Bilder stammen von etwa drei Millionen Personen. Das geht aus dem Abschlussbericht des Projekts hervor, der dem BR vorliegt. Um die Erkennungsgenauigkeit möglichst detailliert zu testen, stellte das BKA außerdem eine Liste von 56.500 Bartträgern und 19.500 Brillenträgern zur Verfügung. Das BKA schreibt auf BR-Anfrage: Die Testung sei "angesichts der hohen Bedeutung der Gesichtserkennung für die Strafverfolgung und Gefahrenabwehr" erforderlich gewesen.
Strafrechtsexperte: BKA-Vorgehen "sehr riskant"
Ob das BKA dazu befugt war, ist jedoch fraglich. Für Mark Zöller, Professor für Strafrecht und Digitalisierung an der Ludwig-Maximilians-Universität München, belegt der aktuelle Fall, dass Sicherheitsbehörden bei neuen Technologien immer wieder ohne saubere Rechtsgrundlage vorpreschen. Immerhin gehe es bei einer solchen Datenverarbeitung um Grundrechtseingriffe, "gerade von Personen, die vielleicht unschuldig im INPOL-System gelandet sind". Im BR-Interview sagt Zöller: "Das finde ich schon sehr riskant, dass man da mit Millionen von Datensätzen operiert, ohne dass man vorher sauber die rechtlichen Grundlagen geprüft hat."
Erst Ende letzten Jahres hatten BR-Recherchen gezeigt, dass das bayerische Landeskriminalamt Software des US-Unternehmens Palantir mit Echtdaten testete – "nicht rechtskonform", wie der bayerische Landesbeauftragte für den Datenschutz, Thomas Petri, im Januar feststellte.
Datenschutzbehörde half dem BKA im Nachhinein
Dem BR liegt interne Behördenkommunikation zwischen dem BKA und der Behörde des Bundesdatenschutzbeauftragten (BfDI), Ulrich Kelber, zu dem Fall vor. Das BKA hatte das Projekt demnach als "wissenschaftliche Forschung" deklariert und sich auf einen Paragrafen im BKA-Gesetz berufen. Der BfDI nannte den Vorgang in einem Schreiben aus dem Jahr 2022 "problematisch" und bezweifelte, dass es bei den Tests um Wissenschaft ging: "Es mangelt an einer Rechtsgrundlage." Von einer Beanstandung sah Kelber jedoch "angesichts der Komplexität der Rechtslage" ab.
Kelbers Mitarbeiter machten sich daraufhin offenbar selbst auf die Suche nach einer geeigneten Rechtsgrundlage, die den Vorgang im Nachhinein juristisch absichern könnte, und wurden aus ihrer Sicht in der Datenschutzgrundverordnung (DSGVO) fündig: "Das Testen von Software-Produkten fällt nicht in den Bereich von Strafverfolgung und Gefahrenabwehr, weshalb hier die DSGVO zur Anwendung kommt." Auf eine aktuelle BR-Anfrage beruft sich das BKA nun ebenfalls auf die DSGVO.
Experte kritisiert Rechtsauslegung
Rechtsexperte Mark Zöller wundert sich über diese Rechtsauffassung: "Es wird ja nicht aus reinem Interesse im luftleeren Raum, sondern von einer Polizeibehörde zu Zwecken getestet, die mit der polizeilichen Arbeit in Zusammenhang stehen." Wenn es um Strafverfolgung und Gefahrenabwehr gehe, dürften sich Sicherheitsbehörden nicht auf das allgemeine Datenschutzrecht berufen, sondern müssten sich immer an die jeweiligen Fachgesetze halten, in diesem Fall das BKA-Gesetz. Und darin ist nicht geregelt, welche Daten Sicherheitsbehörden für Software-Tests nutzen dürfen.
Aus den Dokumenten geht auch hervor, wie spärlich das BKA den Bundesdatenschutzbeauftragten über das Projekt informierte. Immer wieder beantwortete das BKA Anfragen der Datenschutzbehörde erst nach Monaten und wenig detailliert. Den Abschlussbericht erhielt Kelber erst eineinhalb Jahre nach Fertigstellung des Projekts. Erst dann erfuhr seine Behörde, dass für den Test Millionen Echtbilder verwendet wurden. Das BKA teilte dem BR hierzu auf Anfrage mit: "Eine Einbindung des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) ist gesetzlich nicht vorgegeben und war fachlich auch nicht erforderlich."
Datenschutz-Aktivist fordert mehr Transparenz
Dass sich der BfDI bis heute mit dem Fall beschäftigt, dürfte auch mit der Hartnäckigkeit von Matthias Marx zu tun haben. Der Sprecher des Chaos Computer Clubs (CCC) hatte den Abschlussbericht über eine Anfrage nach dem Informationsfreiheitsgesetz vom BKA erhalten und sich daraufhin an den BfDI gewandt. Marx engagiert sich seit Jahren gegen den Einsatz von biometrischer Überwachungstechnik. "Vor diesem Hintergrund interessieren wir uns sehr dafür, welche Akteure welche Experimente mit unseren Daten durchführen", sagt er im BR-Interview.
Aus einem Schreiben des BKA geht hervor, welchen Aufwand die Beamten betrieben, um bei den Software-Tests Datensicherheit zu gewährleisten. Die Computer, auf denen die Auswertungen durchgeführt wurden, befanden sich demnach in einem eigens bereitgestellten Raum ohne Internetzugang am BKA-Standort in Wiesbaden. Die verwendeten Festplatten seien nach Abschluss des Projekts zerstört worden.
Klarere Spielregeln für Sicherheitsbehörden
Trotzdem kritisiert CCC-Sprecher Matthias Marx, dass die Daten für einen Zweck eingesetzt wurden, für den sie nicht erhoben wurden. "Auch mit Maßnahmen zur Absicherung bleibt eine Zweckentfremdung eine Zweckentfremdung. Die Daten wurden für die Strafverfolgung erhoben und nur dafür dürfen sie benutzt werden", meint er. Janik Besendorf, dessen Gesichtsbild mutmaßlich für den Software-Test genutzt wurde, hat deshalb beim Bundesdatenschutzbeauftragten Ulrich Kelber Beschwerde eingelegt. Er wünscht sich eine gesellschaftliche Debatte darüber, wofür Polizeibehörden Daten einsetzen dürfen und wofür nicht.
Kelber selbst spricht sich für klarere Regeln für Software-Tests aus. Im BR-Interview sagt er: "Sicherheitsbehörden haben oft eine Interpretation der Rechtslage, die aus ihrer Sicht sehr weitreichend ist." Er fordert eine Gesetzesänderung, um für Rechtssicherheit und Transparenz zu sorgen: "Für Bürgerinnen und Bürger wären die Bedingungen dann einsehbar. Und für die Anwendenden in den Sicherheitsbehörden, wäre dann auch klar, was sie dürfen und was nicht."
Das ist die Europäische Perspektive bei BR24.
"Hier ist Bayern": Der BR24 Newsletter informiert Sie immer montags bis freitags zum Feierabend über das Wichtigste vom Tag auf einen Blick – kompakt und direkt in Ihrem privaten Postfach. Hier geht’s zur Anmeldung!