GesichtserkennungBKA nutzte Fotos aus Fahndungsdatenbank für Software-Tests

Millionen Gesichtsbilder aus der zentralen INPOL-Datenbank stellte das Bundeskriminalamt zur Verfügung, um die Performance von mehreren Gesichtserkennungssystemen zu testen. Rechtsfachleute zweifeln an der Rechtmäßigkeit, ein mutmaßlich Betroffener überlegt zu klagen.

In Stein gehauene, verschiedene Gesichter
Tests mit echten Daten: Darf die Polizei das? – Gemeinfrei-ähnlich freigegeben durch unsplash.com Andrew Seaman

Mit Gesichtserkennungs-Software gleicht das Bundeskriminalamt beispielsweise Bilder von Überwachungskameras mit polizeilich bekannten Gesichtern ab, vor allem der sogenannten INPOL-Datei. 7.697 Suchläufe waren es im Jahr 2022, dabei wurden 2.853 zuvor unbekannte Personen identifziert.

Um verschiedene Software-Produkte zu vergleichen, ließ das BKA bis zum Jahr 2019 vom Fraunhofer-Institut für Graphische Datenverarbeitung mehrere Gesichtserkennungssysteme im Projekt EGES vergleichen – kurz für: Ertüchtigung des Gesichtserkennungssystem im BKA.

Recherchen des Bayerischen Rundfunks auf Basis von Informationsfreiheitsanfragen des CCC-Sprechers Matthias Marx haben nun ergeben, dass das BKA dem Institut dafür mehrere Millionen Gesichtsbilder von drei Millionen Personen zur Verfügung stellte. Sie stammten vor allem aus der zentralen INPOL-Datenbank.

Millionen von Gesichtern

Im Abschlussbericht des Projekts heißt es zum Datenbestand etwa:

Kopien von ca. 5 Millionen digitalen Bildern, die in INPOL-Z als frontale Gesichtsbilder von ca. 3 Millionen Personen markiert sind.

Dazu kamen Bilder von Freiwilligen, jedoch in weit geringerem Umfang, etwa „von 147 freiwilligen Testpersonen mindestens zwei digitale frontale Gesichtsbilder, die unter idealen Bedingungen über einen Zeitraum von etwas mehr als neun Jahren aufgenommen wurden“.

Aus einer weiteren Informationsfreiheitsanfrage zur diesbezüglichen Korrespondenz des Bundesdatenschutzbeauftragen mit dem BKA wird klar, dass den Beteiligten bewusst war, dass das Vorgehen rechtlich sensibel war.

Rechtsgrundlage mangelhaft

In einem Schreiben fragt ein Mitarbeiter des Bundesdatenschutzbeauftragten das BKA selbst nach der entsprechenden Rechtsgrundlage. Das wiederum beruft sich darauf, dass es keine Datenweitergabe gegeben habe und verweist auf ein kompliziertes System, bei dem etwa ein Rechner ohne Verbindung zum Internet und ohne externe Schnittstellen zum Einsatz kam. Nach Projektende seien alle Festplatten physisch zerstört worden.

Das BKA berief sich unter anderem auf einen Paragrafen im BKA-Gesetz, der die Nutzung der Daten für Forschungszwecke erlaubt. Ganz überzeugt hat das den Bundesdatenschutzbeauftragten offenbar nicht, er sieht in dem Vergleich von kommerziellen Produkten keine Forschung. „Es mangelt an einer Rechtsgrundlage“, heißt es in einem Schreiben. Beanstanden wollte er das Projekt aber nicht, wegen der komplexen rechtlichen Situation. Nach monatelangem Austausch mit dem BKA heißt es von Seiten des Datenschutzbeauftragten: „Eine Einigung konnte indes nicht erzielt werden.“

Der vom BR befragte Rechtswissenschaftler Mark Zöller ist ebenfalls skeptisch. Die Sicherheitsbehörde müsse sich an das BKA-Gesetz halten. Und das regele nicht, welche Daten für Software-Tests genutzt werden dürfen.

Janik Besendorf, dessen Bild mutmaßlich auch für die Tests genutzt worden waren, hat nun Beschwerde beim Bundesdatenschutzbeauftragen eingereicht. Er war erkennungsdienstlich behandelt worden. Das zugehörige Verfahren wurde zwar eingestellt, er geht aber davon aus, in der Datensammlung gelandet zu sein. Der IT-Sicherheitsexperte überlegt außerdem, in der Sache gegen das BKA zu klagen.

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

5 Ergänzungen

  1. Zweck der Fraunhofer-Gesellschaft zur Förderung der angewandten Forschung e. V. ist die anwendungsorientierte Forschung zum unmittelbaren Nutzen für Unternehmen und zum Vorteil der Gesellschaft.

    Nun mag man sich fragen, ob Gesichtserkennung im öffentlichen Raum durch die Polizei ethisch vertretbar, im Rahmen geltender Gesetze ist, und zum „Vorteil der Gesellschaft“ geeignet ist.

    Fraunhofer wurde im März 1949 gegründet, und es muss daran erinnert werden, dass angewandte Forschung vor der Kapitulation zu Verheerungen und Massenmord geführt hat. Mit Gesichtserkennung wären diese staatlichen Aktivitäten sicherlich noch effektiver gewesen.

    Leider kann ich mich nicht des Eindrucks erwehren, dass sich der ethische Kompass bei Fraunhofer in problematische Richtungen verbiegt.

    Fraunhofer-Leistungsbereich Verteidigung, Vorbeugung und Sicherheit (VVS)

    Anwendungsfelder:
    Systeme und Technologien für den Einsatz zu Land, in der Luft, im Wasser, im Welt- und Cyberraum
    Informationsgewinnung, Aufklärung und Entscheidungsunterstützung
    Vernetzte Operationsführung
    Schutz und Wirkung
    Elektronische Kampfführung
    Systemübergreifende Technologien
    Resilienz und Schutz kritischer Infrastrukturen
    Terrorismus- und Kriminalitätsbekämpfung
    Grenzsicherheit
    Krisen- und Katastrophenmanagement
    Digitale Transformation

    https://www.vvs.fraunhofer.de/

  2. Hi, im ersten Satz des zweiten Paragraphen gibt es einen kleinen Tippfehler:
    es müsste „gleicht das Bundeskriminalamt“ sein, statt „gleich das Bundeskriminalamt“.

  3. Werden wir hier eine Klage einreichen?
    Bei einem Forschungsprojekt ist der BKA § 21 niemals gültig, es ist schließlich keine konkrete Ermittlung mit direkter Gefährdung.

    1. Lustig wäre allerdings, wenn durch die Testdaten geformte Systemkomponenten bei herauskämen. Das wäre dann eine Überschreitung der Testgrenze.

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Bitte keine reinen Meinungsbeiträge! Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.