Gerichtsurteil zu Gesichtserkennung

Datenschützer scheitert an Löschung biometrischer G20-Datenbank

Im Zuge der G20-Proteste setzte die Hamburger Polizei erstmals im großen Stil Gesichtserkennungs-Software ein. Wer sich in den Tagen um den Gipfel in Hamburg befand, dessen Gesichtsabdruck wurde möglicherweise erfasst und gespeichert. Der hamburgische Datenschutzbeauftragte wollte die biometrische Datenbank löschen lassen, scheiterte aber vor Gericht.

Während der Ermittlungen nach den G20-Protesten erstellte die Gesichtserkennungs-Software „Videmo360“ biometrische Profile von einer unbekannten Anzahl von Hamburger*innen. Alle Rechte vorbehalten Videmo

Die Hamburger Polizei darf bis auf Weiteres Gesichtserkennungs-Software zur Verfolgung von Straftaten während der G20-Proteste einsetzen, hat gestern das Verwaltungsgericht Hamburg entschieden. Der Datenschutzbeauftragte der Hansestadt hatte die Löschung der entsprechenden Datenbank angeordnet, in der die damals erfassten Gesichter als mathematische Modelle gespeichert sind. Dagegen legte die Polizei Widerspruch ein und bekam nun Recht. Jedoch entschied das Gericht lediglich über die Formalitäten der Anordnung, nicht über die grundsätzliche Zulässigkeit der Gesichtserkennungs-Software.

Rund 100 Terabyte an Daten liegen insgesamt in dieser Datenbank, wovon 17 Terabyte biometrisch verarbeitet wurden. Laut Humanistischer Union (HU) soll es sich um mindestens 100.000 Personen handeln, die in den Tagen um den G20-Gipfel in Hamburg waren und deren biometrische Profile, ihre digitalen Gesichtsabdrücke, nun auf unbestimmte Zeit in einer Referenzdatenbank der Polizei gespeichert sind. Die genaue Zahl ist nicht öffentlich bekannt.

Erstmals in Deutschland massenhafte Gesichtserkennung

Die Ermittler*innen der Sonderkommission „Schwarzer Block“, die nach den G20-Protesten eingesetzt wurde, nutzen erstmals im großen Stil Gesichtserkennungstechnologie. Konkret geht es um die Software „Videmo360“, mit der sich Personen identifizieren und ihre Bewegungsabläufe über mehrere Tage hinweg durch die Stadt nachzeichnen lassen. Die Polizei gehe davon aus, berichtete die HU aus dem Gerichtssaal, „dass der Suchlaufs [sic] aus Videmo 534 Mal genutzt wurde“. In seiner Löschanordnung schrieb der hamburgische Datenschutzbeauftragte, Johannes Casper, dass damit Daten über Zusammenhänge erlangt wurden, was mittels händischer Durchsuchung nicht möglich gewesen wäre:

Verhaltensmuster, Teilnahme an Versammlungen, Präferenzen und religiöses/ politisches Engagement können über einen nicht näher eingegrenzten örtlichen und zeitlichen Kontext hinweg ausgelesen werden. Dies hat eine vollkommen andere Qualität als die Sichtung und das Vor-und Zurückspulen von einzelnen Tatortvideos durch einen Ermittler der Polizei.

Die eingekaufte Software erkennt Gesichter auf Videos und Fotos und ermittelt dann deren biometrische Merkmale. Das kann etwa der Abstand zwischen den Augen oder den Ohren sein. Details sind jedoch nicht bekannt, denn der Senat gibt auf Anfrage an, zur Funktionsweise der Gesichtserkennung keine Informationen zu haben. Die Ermittler*innen werten polizeieigene Bilder, Videos aus sechs S-Bahnhöfen, dem öffentlichen Hinweisportal „sowie aus dem Internet und von den Medien“ aus. Seit August 2018 befinden sich über 30.000 Bild- und Videodateien auf dem Server.

Die Identifikation von erfassten Gesichtern erfolgt mittels Abgleich mit bestehenden polizeilichen Datenbanken. Zu diesem Zweck wurden die Bilder von mindestens 126 Personen aus externen Polizeidatenbanken importiert. Darüber hinaus war die Identifizierung in einigen Fällen möglich, da die Kontrolle von Ausweispapieren von der Polizei abgefilmt worden war. Ein automatisierter Abgleich mit anderen Datenbanken ist ausgeschlossen, da die Software nur auf Geräten ohne Netzwerkanschluss ausgeführt wird. Insgesamt sind auf diesem Weg vier Personen namentlich identifiziert worden.

Casper kritisierte, dass den meisten Betroffenen keine Straftat vorgeworfen und dennoch ihr biometrisches Profil in der Referenzdatenbank angelegt und gespeichert wird. Es fehle an einer gesonderten gesetzlichen Grundlage:

Wenn allein die abstrakte Häufung der Begehung von Straftaten ausreicht, um den Ermittlungsbehörden nicht nur den Zugriff auf Bilddateien, sondern die Auswertung der biometrischen Identität von Personen zu ermöglichen, wird die Herrschaft über die Bilder zu einer nie gekannten Kontrollmacht staatlicher Stellen gegenüber den Bürgerinnen und Bürgern.

Laufende Strafverfahren, kein Ende in Sicht

Derzeit laufen noch über 1.600 Ermittlungsverfahren im Zusammenhang mit den G20-Protesten. Die Hamburger Innenbehörde prüft zudem, die Technologie in den regulären Betrieb zu übernehmen. Johannes Casper sagt gegenüber netzpolitik.org, dass er davon ausgehe, dass sich diese Praxis der Gesichtserkennung über den G20-Gipfel hinaus in Deutschland etablieren wird.

Das Gericht entschied gestern nicht darüber, ob der Einsatz der Gesichtserkennungs-Software grundsätzlich zulässig ist: „Einer Entscheidung über die Rechtmäßigkeit der beanstandeten Datenverarbeitung durch die Polizei bedurfte es in dieser Konstellation nicht“, steht in der Pressemitteilung des Verwaltungsgerichts. Das Urteil bezieht sich lediglich auf die Anordnung des Datenschutzbeauftragten.

Zurzeit wird das Polizeirecht in Hamburg überarbeitet, eine Anordnungsbefugnis für den Datenschutzbeauftragten im präventiv-polizeilichen Bereich ist im rot-grünen Gesetzesentwurf bislang nicht vorgesehen. Der Pressesprecher der SPD-Fraktion verwies auf Nachfrage von netzpolitik.org jedoch auf einen ausstehenden Änderungsantrag. Dieses Verfahren wäre davon nicht betroffen.

3 Ergänzungen
  1. Also fragen wir nun alle die Polizei HH, ob von ihr personenbezogene Daten gespeichert und verarbeitet werden und hängen ein Selfie an? Und wenn dann ein „jawoll, diese biometrischen Daten speichern wir“ zurückkommt, beschweren wir uns beim Hamburgischen Datenschutzbeauftragten?

    Ich würde mich über eine Einschätzung dazu freuen!

  2. Tatsächlich. Der Datenschutzbeauftragte, als oberster Beaufsichtiger, darf also keine Anordnungen wegen der angenommen Rechtswidrigkeit des Umgangs mit Daten der Hamburger Polizei erlassen.
    Wer beaufsichtigt dann, wenn ein Gericht das so feststellt, die Polizei in Hamburg in diesem Punkt. Wenn dies so gesetzlich festgelegt ist, dann würde ich dringend davon ausgehen, dass der Gesetzgeber in der Hansestadt dies umgehend korrigiert.
    Muss etwa jeder einzelne, jede einzelne, die im Regelfall noch nicht einmal wissen, ob sie in dieser Datenbank biometrisch erfasst wurden, auf Verdacht gegen die Hamburger Polizei klagen?

  3. Nun endlich haben wir auch eine praktische Erklärung, weshalb unsere Sicherheitsbehörden an einem Vermmungsverbot so interessiert waren.
    Damals hießt es: In einer freien Gesellschaft müsse an sich schließlich ja offen gegenübertreten können.

    Hongkongs Regierung hingegen kritisiert man für ein derartiges Vorhaben.

    Ein Framing-Erfolg auf ganzer Linie.

    Zitat aus Spiegel, 3.10.19:
    „Nach einer Eskalation bei den Protesten in Hongkong plant die Regierung ein Vermummungsverbot. Regierungschefin Carrie Lam könnte dafür ein altes Notstandsgesetz aus der britischen Kolonialzeit bemühen […]“

    https://www.spiegel.de/politik/ausland/proteste-in-hongkong-vermummungsverbot-und-streit-um-notstandsgesetz-a-1289868.html

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.