15 Millionen Bilder soll die Datenbank schon bei Inbetriebnahme umfassen können, mit der die indische Regierung ein nationales System zur Gesichtserkennung aufbauen will. Sie soll Daten aus allen bisherigen Gesichtsdatenbanken in Indien zusammenführen. Auch „durch Zeitungen, Razzien, durch Personen eingesandte Bilder oder Skizzen“ sollen verwendet werden, heißt es in einer öffentlichen Ausschreibung der Nationalen Archivierungsstelle für Verbrechen (NCRB).
Dazu kommen Fingerabdrücke des ebenfalls erst geplanten Nationalen Fingerabdrucksystems NAFIS und wahrscheinlich Daten aus Aadhaar, dem weltweit größten Biometrieprogramm – eigentlich sollte das die Verwaltung von Sozialhilfe erleichtern. Das System soll auch Live-Übertragungen von Überwachungskameras gegen alle in der Datenbank vorhandenen Bilder abgleichen können. Erweiterungen der Riesendatenbank sind bereits vorgesehen.
Momentan einzelne Tests
Die Ausschreibung sieht wenig bis keine Kontrolle für den Zugriff auf die Datenbank vor: „Alle Interessierten im System“ sollen Fotografien erstellen und bearbeiten dürfen. Auch bei Straßenkontrollen sollen über ein mobiles Interface für Android und iOS Anfragen gestellt werden können. Für die Ausstattung von Polizeistationen mit „mobilen Datenterminals“ will die Regierungsbehörde NCRB umgerechnet knapp 40 Millionen Euro zur Verfügung stellen.
Schon vor den aktuellen Plänen habe es „verstreute Initiativen zur Nutzung von Gesichtserkennung für Strafverfolgungs- und Sicherheitszwecke“ gegeben, sagt ein Sprecher des indischen Zentrums für Internet und Gesellschaft (CIS) zu netzpolitik.org. So benutzen einige Flughäfen die Technologie, mit der Passagiere ihr Gesicht statt einer Bordkarte nutzen konnten. Es gab aber massive Kritik wegen des Umgangs mit persönlichen Daten – genau wie im aktuellen Fall.
System wird ohne Gesetz eingeführt
Das geplante System sei „illegal und verfassungswidrig“, schreibt die NGO Internet Freedom Foundation (IFF) in einem offenen Brief an das Innenministerium. Es gefährde nicht nur das Recht auf Datenschutz der indischen Bürger, die fehlenden Garantien gegen Missbrauch würden auch einen Überwachungsstaat schaffen.
Die IFF bemängelt, dass es keinerlei gesetzliche Grundlage für das Projekt gibt. Außerdem wäre die Entscheidung für Gesichtserkennung mit „offensichtlicher Willkür“ gefallen. Die Technologie verletze das Prinzip, dass in die Verarbeitung eigener Daten eingewilligt werden muss und begünstige Diskriminierung auf Basis von Hautton und sozialer Herkunft. Besonders religiöse, ethnische oder Kastenminderheiten, die jetzt schon häufiger in indischen Gefängnissen landen als andere Bevölkerungsgruppen, könnten vom algorithmischem Bias betroffen sein. Die IFF bezieht sich auch auf einen Versuch mit Gesichtserkennung in London, wo die Technologie bei vier von fünf Fällen falsch lag.
Indien hat kein Datenschutzgesetz. Es gibt zwar seit letztem Jahr einen Entwurf, der geistert aber immer noch durch die Komitees. Die IFF forderte die Regierung deshalb bereits im Juli zu mehr Transparenz in diesem Gesetzgebungsverfahren auf. Dazu gehört auch, den endgültigen Entwurf öffentlich zugänglich zu machen und Zivilgesellschaft, Forschung und andere Experten einzubeziehen.
Kritiker fordern Ende der Ausschreibung
Bis dahin aber gibt es schlicht keine gesetzliche Regulierung und keine Aufsicht für Datenverarbeitung. „Das Fehlen jeglicher Kontrollen für Gesichtserkennungssysteme zusammen mit dem aktuellen Trend zur Errichtung von Überwachungskameras wird höchstwahrscheinlich zu einer mächtigen Überwachungsarchitektur führen. Diese wird unweigerlich anfällig für Missbrauch sein und ist deshalb unverhältnismäßig für jeden öffentlichen Zweck“, schreibt die IFF.
Die Organisation verlangte deshalb im Juli die sofortige Einstellung der Ausschreibung. Andernfalls würde sie „vielleicht gezwungen sein, Abhilfe im Rahmen des Gesetzes“ zu suchen. Stattdessen wurde die Ausschreibung seitdem mehrmals verlängert.
Der Sprecher von CIS weist gegenüber netzpolitik.org darauf hin, dass dieses Vorgehen nicht ungewöhnlich ist. Mehrere Überwachungssysteme in Indien hätten keine gesetzliche Grundlage, seien keiner Aufsicht unterworfen und noch nicht von Gerichten geprüft worden: „Der existierende gesetzliche Rahmen für Überwachung in Indien beschäftigt sich mit dem Abfangen von Kommunikation, dem Sammeln und Überwachen von [Internet-]Verkehrsdaten und dem Zugang zu Daten, die von anderen Organisationen gespeichert wurden“, sagt er. Es sei unklar, wie Projekte wie dieses in diesen Rahmen passen würden. Ähnlich viel Freiraum bieten die Regeln für Überwachungskameras – denn die werden von einzelnen Städten festgelegt.
Indische Firmen beschweren sich
Indische Firmen beschweren sich außerdem, dass internationale Unternehmen bei der Ausschreibung bevorzugt werden: „Bekannte und bewährte Marken wie DELL, IBM, HP werden gegenüber Neueinsteigern bevorzugt, die dieses Niveau noch nicht erreicht haben“, heißt es dort.
Um überhaupt in die Auswahl für den Vertrag aufgenommen zu werden, müssen Unternehmen in den letzten zehn Jahren drei Gesichtserkennungssysteme installiert haben – mit mindestens einer Million Datensätzen. Außerdem müssen die Bilder den Standards des amerikanischen Instituts für Standards und Technologie entsprechen. Das sei ein teurer und zeitaufwendiger Prozess, argumentierten indische Firmen bei einem Gespräch mit dem NCRB.
Die sollten sich viel dringender um nationale Systeme zur:
– Gleichbehandlung von Männer und Frauen
– Trinkwasserversorgung
– Schulbildung
– Toiletteninfrastruktur
– Strassen, Schienen und ÖV
– Senkung der Kindersterblichkeit
– Aufhebung des Kastensystems
– Verhütung
und Bekämpfung der Armut
kümmern, bevor sie solch idiotisches umsetzen.