Datenschutz

Gesichtserkennung: Hamburger Innenbehörde pfeift auf Datenschutzbeauftragten

Trotz einer Weisung des Hamburgischen Datenschutzbeauftragten will die Polizei der Hansestadt nicht auf ihr neues Gesichtserkennungssystem verzichten. In vier Wochen verhandelt das Verwaltungsgericht über die eigens angelegte Lichtbilddatei. Ohne das Urteil abzuwarten entzieht die Landesregierung dem Datenschützer sein schärfstes Schwert.

Screenshot von Videmo 360
Die Software „Videmo 360“ lokalisiert Gesichter und speichert sie in einer durchsuchbaren Referenzdatei. Jason Krüger | für netzpolitik.org

Auch nach der Löschungsanordnung durch den Beauftragten für Datenschutz und Informationsfreiheit nutzt die Polizei in Hamburg weiterhin ein System zur Gesichtserkennung. Das schreibt der rot-grüne Senat in der Antwort auf eine Anfrage der Linksfraktion in der Hamburger Bürgerschaft. Seit dem 18. Dezember 2018 wurden weitere 92 Recherchen in Bild- und Videodateien durchgeführt. Damit summieren sich die gesamten Suchvorgänge nach Tatverdächtigen auf 782.

Nach dem G20-Gipfel hatte die Polizei eine „Sonderkommission Schwarzer Block“ eingerichtet. Zur Identifizierung mutmaßlicher StraftäterInnen hat die Abteilung 3,57 Terabyte polizeieigenes Bild- und Videomaterial in ein „System Gesichtserkennungssoftware“ eingespielt. Weitere 9,90 TB an polizeifremdem Material stammen aus einem Hinweisportal, das vom Bundeskriminalamt für den freiwilligen Upload eingerichtet wurde. Derzeit enthält das gesamte System mehr als 15.000 Videos und 16.000 Bilder.

Fotos von erkennungsdienstlicher Behandlung

Die in Hamburg genutzte Anlage stammt von der deutschen Firma Videmo. Beim Einspielen der Rohdaten berechnet die Software mithilfe von Augen- und Ohrabständen, Nasenform, Mundwinkel und Haaransatz alle darin enthaltenen Gesichter. Jedes einzelne Gesicht wird als bekannte oder unbekannte Identität der betreffenden Person in einer weiteren Datenbank gespeichert. Auf diese Referenzdatei bezieht sich die Anordnung zur Löschung des Datenschutzbeauftragten Johannes Caspar.

Zur Identifizierung von Personen verwendet die Polizei Lichtbilder von erkennungsdienstlichen (ED) Maßnahmen, die während des Gipfels erhoben wurden. Auch diese Fotos werden in die Referenzdatei eingespielt und in den Bild- und Videodaten gesucht. Auf diese Weise will die Polizei den Betroffenen weitere Straftaten nachweisen. Etwa ein Drittel aller Recherchen in dem Gesichtserkennungssystem erfolgten mit namentlich bekannten Tatverdächtigen.

Laut Caspar werden dabei auch ED-Bilder genutzt, die nicht im Rahmen des G20-Gipfels abgenommen wurden. Weitere Fotos stammen aus dem Auskunftssystem POLAS der Hamburger Polizei sowie der INPOL-Datei, die das Bundeskriminalamts (BKA) gemeinsam mit den Landeskriminalämtern betreibt.

Kaum Erfolg beim BKA

Um welche einzelnen INPOL-Datenbestände es sich dabei handelt, schreibt die Landesregierung nicht. Möglich wären Lichtbilder, die in der Kategorie „Politisch motivierte Kriminalität – Links“ gespeichert sind. Die Fotos aus INPOL seien jedoch manuell und nicht automatisiert in das Hamburger System übertragen worden, betont der Senat.

Die Identitäten unbekannter Tatverdächtiger haben die ErmittlerInnen anschließend auch im Gesichtserkennungssystem (GES) des BKA gesucht. Dabei wird ebenfalls die polizeiliche INPOL-Datei abgefragt. Dort sind rund 5,6 Millionen Lichtbilder von circa 5 Millionen Personen gespeichert.

Die Nutzung des GES steigt jedes Jahr deutlich an, in 2018 haben die Bundes- und Landesbehörden über 40.000 Recherchen durchgeführt und dabei rund 1.000 Personen identifiziert. Dem Senat zufolge hat die Hamburger Polizei das BKA mit 75 Suchvorgängen beauftragt. Nur in drei Fällen wurden allerdings Personentreffer erzielt. Jedes fünfte Bild war nicht für eine GES-Recherche geeignet und musste ausgesondert werden.

Kein Rechtsbehelf möglich

Im Interview mit Netzpolitik.org hatte Caspar die Technologie als „neue Dimension staatlicher Ermittlungs- und Kontrolloptionen“ bezeichnet. Das im öffentlichen Raum verdachtslos eingesammelte Bildmaterial erlaube „Schlüsse auf Verhaltensmuster und Präferenzen des Einzelnen“.

Seine Löschanordnung begründet der Datenschutzbeauftragte mit einem erheblichen Eingriff in die Rechte und Freiheiten einer Vielzahl von Betroffenen, die in dem System gespeichert werden. Die biometrische Erfassung betrifft demnach „massenhaft Personen, die nicht tatverdächtig sind und dies zu keinem Zeitpunkt waren“.

Ohne Kenntnis werden die Gesichtsmodelle der aufgezeichneten Personen mathematisch berechnet, gespeichert und durchsucht. Die Polizei erstellt daraus Profile über deren Standort, Verhalten und soziale Kontakte. Ein Rechtsbehelf ist nicht möglich, da die Betroffenen von der Verarbeitung ihrer Daten nicht erfahren.

Datenschützer soll nur noch warnen dürfen

Auch nach Auflösung der „Sonderkommission Schwarzer Block“ will die Polizei die Gesichtsbilder weiter verwenden. Die Innenbehörde der Stadt Hamburg hat deshalb im Januar eine Klage gegen die Anordnung von Caspar eingereicht, die mündliche Verhandlung vor dem Verwaltungsgericht ist für den 23. Oktober geplant. Das Verfahren ist von so großer Bedeutung, dass die unterlegene Partei in die Berufung gehen dürfte.

Ohne das Urteil abzuwarten, rächt sich der Senat auch politisch. Johannes Caspar hatte seine Weisungsbefugnis nach dem G20-Gipfel das erste und bisher einzige Mal genutzt. Obwohl er also behutsam und keineswegs inflationär mit diesem scharfen Schwert umgeht, soll ihm diese Kompetenz im neuen Polizeigesetz entzogen werden.

Im Entwurf des Gesetzes schreibt die Landesregierung, eine Letztentscheidungs- und Anordnungsbefugnis des Datenschutzbeauftragten lasse sich „nicht mit dem Bedürfnis nach ständiger Verfügbarkeit rechtmäßig erhobener Daten und Datenverarbeitungsanlagen in Einklang bringen“. Caspar möge sich zukünftig mit einer Beanstandung oder Warnung zufrieden geben.

9 Ergänzungen
  1. Polizei und Datenschutz bzw. Polizei und die Datenschutzaufsichtsbehörden von Bund (BfD) und Ländern (LfD) waren und sind seit jeher ein Spannungsfeld. Das „Totschlagargument“ der Polizei lautet seit ewigen Zeiten: Datenschutz ist Täterschutz.
    Wie sich die Polizei einen einen (konformen) LfD vorstellt zeigt ein Blick nach Hessen: In Verbindung mit der polizeilichen Analysesoftware “Gotham“, besser bekannt als Hessendata, wurde der Hessische LfD ausdrücklich für seine unkritische Haltung vom Frankfurter Polizeipräsidenten Gerhard Bereswill gelobt; um jegliche datenschutzrechtliche Kritik an Hessendata im Keim zu ersticken verkündete Gerhard Bereswill stolz, der LfD Hessen „…habe alles abgesegnet.“ (Süddeutsche Zeitung, 18.10.19)
    Derweil machen nur wenige LfD durch ihre kritische Haltung gegenüber der Polizei auf sich aufmerksam, wie etwa Maja Smoltczyk (Berlin), Barbara Thiel (Niedersachsen) und eben Johannes Caspar (Hamburg).

    Gotham am Main

    https://www.sueddeutsche.de/wirtschaft/innere-sicherheit-gotham-am-main-1.4175521

    Polizei & Datenschutz

    http://www.trend.infopartisan.net/trd0219/t580219.html

  2. Schon klar. Das „Bedürfnis nach ständiger Verfügbarkeit rechtmäßig erhobener Daten“ ist sehr zweifelhaft, denn der DSB hat die Löschungsverfügung schließlich ausgesprochen, weil die Erhebung nicht rechtmäßig war. Die Polizei darf kein rechtsfreier Raum werden bzw. muss wieder auf die Rechtstaatlichkeit zurückgeführt werden.

  3. Es ist schon eine Reihe von Jahren her, da habe ich mit meinem Vetter (im höheren Polizeidienst) über das Thema Datenschutz gesprochen. Sinngemäss seine Antwort: „Wir sind hinter Kriminellen her. Andere interessieren uns nicht. Warum lässt man uns nicht einfach unseren Job erledigen.“
    Unter diesem Blickwinkel gibt es wohl keine differenzierte Betrachtungsweise. Insofern ist es nur folgerichtig, wenn ein LfD stillgelegt wird.
    Bei dieser Gelegenheit … kennt jemand unseren BfD? In der öffentlichen Wahrnehmung jedenfalls kommt er nicht vor.

  4. Der rot-grüne Senat !! Merkt ihr noch selbst was, oder muß man euch mit der Nase daraufstoßen.
    Die Grünen haben es wohl doch nicht so mit den Freiheitsrechten wie sie immer so tun und auch ihr meistens so darstellt.

  5. Hallo,

    Constanze, Herr Reul hat sich den Geifer abgewischt und Sie sind vom hohen Roß gepurzelt. Es ist alles wieder gut. Wir können also zur Sache zurück.

    Es ist doch ein bemerkenswerter Vorgang, dass dem LDB die Macht beschnitten wird. Der Grund ist offensichtlich der, dass es den Damen und Herren der SPD und den Grünen nicht passt wie sich der Herr LDB einmischt. Sprich: Von seinem Recht gebraucht macht.
    Von einer CDU/CSU und dem Wadenbeißer FDP würde ich nichts anderes erwarten.

    Es wäre doch interessant zu sehen wie Sie den Vorgang einschätzen und einordnen. Ist das noch DDR oder schon 1984? Demokratie und Rechtsstaat ist es wohl eher nicht mehr.

    Mit freundlichen Grüßen
    Jonas Wolfhammer
    Sie als ausgezeichnete Bürger- und Menschenrechtsaktivistin sollten doch ein bisserl drauf haben.

    1. Weil es ein bemerkenswerter Vorgang ist, steht hier dazu ein ganzer kritischer Artikel (sogar mehrere).
      Ich teile die Kritik im Artikel, ich finde es allerdings nicht „noch DDR“ und auch nicht „schon 1984“. Vielleicht ist auch nur mein Pferderücken zu hoch.

      1. Vielen Dank für die Antwort.

        Ob der Pferderücken zu hoch ist, kann ich nicht einschätzen. Ich kenne Ihr Pferd nicht.

        Es ist doch merkwürdig, dass eine Rot-Grüne Regierung solch Verhalten an den Tag legt. Gerade die Parteien, die für sich selbst beanspruchen die Bürger- und Menschenrechte in dieser Gesellschaft durchsetzen zu wollen stehen plakativ für die Abschaffung der genannten Rechte.

        Ob da nun Bilder von soundsoviel TB gespeichert werden oder noch mehr, ist egal. Der Punkt ist, dass dies von diesen beiden Parteien ausgeht. Genauso, wie es die beiden Parteien sind, die es offensichtlich gar nicht erwarten können, all die Technik gegen die Bevölkerung einzusetzen.
        Auch die Kontrolle durch einen Datenschutz-Beauftragten, soll möglichst schnell und nachhaltig eingeschränkt werden. Dies widerspricht jedem rechtsstaatlichem Gedanken.

        Ich hätte jetzt eine Konfrontation mit dem jeweiligen Parteiprogramm der Parteien erwartet. Mit dem Ziel, der Offenlegung des Widerspruchs von Theorie und Praxis.

        Wenn das Ziel dieses Handelns ist: „Die Polizei erstellt daraus Profile über deren Standort, Verhalten und soziale Kontakte.“;
        dann sind wir wohl doch schon bei „noch DDR“. Und zu „schon 1984“ fehlt dann nur noch, dass Menschen wegen Gedankenverbrechen eingesperrt werden. Die Voraussetzungen dafür, manifestieren sich in den gerade eingeführten Polizeigesetzen und dem NetzDG.

        Mit freundlichen Grüßen
        Jonas Wolfhammer

      2. Bemerkenswert – ja. Ab einem gewissen Punkt hat aber ein stärkerer Datenschutz lokal in Bundeswländer x,y, und z, keine Relevanz mehr. Dann arbeiten die Behörden so schön verzahnt zusammen, und die werden jetzt nicht verzichten, weil der Datenschutz in München so schlecht ist. Oder doch?

        Da sollte schon analysiert werden (irgendwo), wie schnell das ganze in welche Richtung gehen kann.

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.