Die Hamburger Polizei darf bis auf Weiteres Gesichtserkennungs-Software zur Verfolgung von Straftaten während der G20-Proteste einsetzen, hat gestern das Verwaltungsgericht Hamburg entschieden. Der Datenschutzbeauftragte der Hansestadt hatte die Löschung der entsprechenden Datenbank angeordnet, in der die damals erfassten Gesichter als mathematische Modelle gespeichert sind. Dagegen legte die Polizei Widerspruch ein und bekam nun Recht. Jedoch entschied das Gericht lediglich über die Formalitäten der Anordnung, nicht über die grundsätzliche Zulässigkeit der Gesichtserkennungs-Software.
Rund 100 Terabyte an Daten liegen insgesamt in dieser Datenbank, wovon 17 Terabyte biometrisch verarbeitet wurden. Laut Humanistischer Union (HU) soll es sich um mindestens 100.000 Personen handeln, die in den Tagen um den G20-Gipfel in Hamburg waren und deren biometrische Profile, ihre digitalen Gesichtsabdrücke, nun auf unbestimmte Zeit in einer Referenzdatenbank der Polizei gespeichert sind. Die genaue Zahl ist nicht öffentlich bekannt.
Erstmals in Deutschland massenhafte Gesichtserkennung
Die Ermittler*innen der Sonderkommission „Schwarzer Block“, die nach den G20-Protesten eingesetzt wurde, nutzen erstmals im großen Stil Gesichtserkennungstechnologie. Konkret geht es um die Software „Videmo360“, mit der sich Personen identifizieren und ihre Bewegungsabläufe über mehrere Tage hinweg durch die Stadt nachzeichnen lassen. Die Polizei gehe davon aus, berichtete die HU aus dem Gerichtssaal, „dass der Suchlaufs [sic] aus Videmo 534 Mal genutzt wurde“. In seiner Löschanordnung schrieb der hamburgische Datenschutzbeauftragte, Johannes Casper, dass damit Daten über Zusammenhänge erlangt wurden, was mittels händischer Durchsuchung nicht möglich gewesen wäre:
Verhaltensmuster, Teilnahme an Versammlungen, Präferenzen und religiöses/ politisches Engagement können über einen nicht näher eingegrenzten örtlichen und zeitlichen Kontext hinweg ausgelesen werden. Dies hat eine vollkommen andere Qualität als die Sichtung und das Vor-und Zurückspulen von einzelnen Tatortvideos durch einen Ermittler der Polizei.
Die eingekaufte Software erkennt Gesichter auf Videos und Fotos und ermittelt dann deren biometrische Merkmale. Das kann etwa der Abstand zwischen den Augen oder den Ohren sein. Details sind jedoch nicht bekannt, denn der Senat gibt auf Anfrage an, zur Funktionsweise der Gesichtserkennung keine Informationen zu haben. Die Ermittler*innen werten polizeieigene Bilder, Videos aus sechs S‑Bahnhöfen, dem öffentlichen Hinweisportal „sowie aus dem Internet und von den Medien“ aus. Seit August 2018 befinden sich über 30.000 Bild- und Videodateien auf dem Server.
Die Identifikation von erfassten Gesichtern erfolgt mittels Abgleich mit bestehenden polizeilichen Datenbanken. Zu diesem Zweck wurden die Bilder von mindestens 126 Personen aus externen Polizeidatenbanken importiert. Darüber hinaus war die Identifizierung in einigen Fällen möglich, da die Kontrolle von Ausweispapieren von der Polizei abgefilmt worden war. Ein automatisierter Abgleich mit anderen Datenbanken ist ausgeschlossen, da die Software nur auf Geräten ohne Netzwerkanschluss ausgeführt wird. Insgesamt sind auf diesem Weg vier Personen namentlich identifiziert worden.
Casper kritisierte, dass den meisten Betroffenen keine Straftat vorgeworfen und dennoch ihr biometrisches Profil in der Referenzdatenbank angelegt und gespeichert wird. Es fehle an einer gesonderten gesetzlichen Grundlage:
Wenn allein die abstrakte Häufung der Begehung von Straftaten ausreicht, um den Ermittlungsbehörden nicht nur den Zugriff auf Bilddateien, sondern die Auswertung der biometrischen Identität von Personen zu ermöglichen, wird die Herrschaft über die Bilder zu einer nie gekannten Kontrollmacht staatlicher Stellen gegenüber den Bürgerinnen und Bürgern.
Laufende Strafverfahren, kein Ende in Sicht
Derzeit laufen noch über 1.600 Ermittlungsverfahren im Zusammenhang mit den G20-Protesten. Die Hamburger Innenbehörde prüft zudem, die Technologie in den regulären Betrieb zu übernehmen. Johannes Casper sagt gegenüber netzpolitik.org, dass er davon ausgehe, dass sich diese Praxis der Gesichtserkennung über den G20-Gipfel hinaus in Deutschland etablieren wird.
Das Gericht entschied gestern nicht darüber, ob der Einsatz der Gesichtserkennungs-Software grundsätzlich zulässig ist: „Einer Entscheidung über die Rechtmäßigkeit der beanstandeten Datenverarbeitung durch die Polizei bedurfte es in dieser Konstellation nicht“, steht in der Pressemitteilung des Verwaltungsgerichts. Das Urteil bezieht sich lediglich auf die Anordnung des Datenschutzbeauftragten.
Zurzeit wird das Polizeirecht in Hamburg überarbeitet, eine Anordnungsbefugnis für den Datenschutzbeauftragten im präventiv-polizeilichen Bereich ist im rot-grünen Gesetzesentwurf bislang nicht vorgesehen. Der Pressesprecher der SPD-Fraktion verwies auf Nachfrage von netzpolitik.org jedoch auf einen ausstehenden Änderungsantrag. Dieses Verfahren wäre davon nicht betroffen.
