Im Oktober 2018 nahm die Polizei Janik Besendorf fest. Vorwurf: Hausfriedensbruch. Es folgte eine erkennungsdienstliche Behandlung. Vier Fotos wurden von ihm erstellt: Porträt, linkes und rechtes Profil sowie ein Ganzkörperfoto. Direkt danach durfte er gehen, der Vorwurf wurde kurz darauf fallengelassen. Doch die Bilder sind bis heute im Polizeisystem gespeichert.
Im Jahr 2019 hat das BKA schließlich 4,8 Millionen Porträtfotos von rund drei Millionen Personen benutzt, um vier verschiedene Systeme zur Gesichtserkennung zu testen. Das umfasste fast alle damals verfügbaren Bilder und deshalb vermutlich auch die von Besendorf. Der Datenschutzaktivist geht davon aus, dass es dafür keine Rechtsgrundlage gab. Das BKA gab gegenüber der Datenschutzaufsicht an, dass die Bilder zu wissenschaftlichen Zwecken genutzt worden seien, was nach dem BKA-Gesetz erlaubt wäre. Janik Besendorf sagt: „Die dürfen Forschung machen, aber nicht Marktforschung!“
Das BKA setzt seit 2007 ein Gesichtserkennungssystem mit dem Kürzel GES ein. „Die Erkennungsleistung des Systems wurde über die Jahre durch Updates des Algorithmenherstellers kontinuierlich verbessert, sodass das GES zu einem unverzichtbaren Hilfsmittel bei der Identifikation unbekannter Personen geworden ist“, schrieb das BKA 2017 in einer internen Mitteilung. Um zu sehen, ob das aktuell genutzte System eine wettbewerbsfähige Erkennungsleistung liefert, sollte es mit am Markt erhältlichen Systemen getestet werden. „Es gilt, die Frage zu beantworten, ob dem BKA noch das effektivste Gesichtserkennungssystem zur Verfügung steht“, heißt es in der genannten Mitteilung weiter.
„Ich sehe eine Gefahr“
Zuerst hatte Besendorf sich bei der Datenschutzaufsicht über die mutmaßliche Nutzung seines Fotos beschwert, die hat die Beschwerde abgewiesen. Unterstützt vom Chaos Computer Club reichte er nun gemeinsam mit seiner Anwältin Beata Hubrig Klage vor dem Verwaltungsgericht Wiesbaden ein. Besendorf will feststellen lassen, dass die Verwendung seines Bildes – und damit auch aller anderen Bilder – rechtswidrig war. „Damit sich das BKA in Zukunft an geltendes Recht hält, also nur unternimmt, wofür es eine Rechtsgrundlage gibt. Schließlich geht es um Grundrechte. Es passiert leider immer häufiger, dass Polizeibehörden losgehen und irgendwas testen, obwohl gar nicht klar ist, ob es dafür eine Rechtsgrundlage gab. Ich sehe eine Gefahr darin, wenn die Polizei immer mehr technische Mittel benutzt“, sagt der hauptberufliche IT-Sicherheitsexperte.
Besendorf weiß, dass seine Fotos in der Polizeidatenbank INPOL-Z liegen, weil er das BKA danach gefragt hat. Wie man solche Auskünfte beantragt, erklärte er gemeinsam mit seiner Anwältin in einem Vortrag beim 38C3. Dort zeigten die beiden auch, wann man die Löschung von Daten aus Polizeidatenbanken verlangen kann. Besendorf will mit dem Löschantrag zu seinen Fotos allerdings noch warten, bis das Verfahren abgeschlossen ist, damit keine Beweise zerstört werden.
Alles netzpolitisch Relevante
Drei Mal pro Woche als Newsletter in deiner Inbox.
Den Test der Gesichtserkennungssysteme hat das Fraunhofer-Institut für Graphische Datenverarbeitung (Fraunhofer IGD) durchgeführt. Besendorf fürchtet, dass das BKA dafür seine Fotos an das Fraunhofer-Institut gegeben hat. Das BKA schrieb der Datenschutzbehörde allerdings: „Die Bilddaten haben das BKA nicht verlassen und standen Mitarbeitenden des Fraunhofer IGD auch nicht zur Einsichtnahme zur Verfügung.“ An anderer Stelle hieß es allerdings, Fraunhofer-Mitarbeitende seien – unter BKA-Aufsicht – im Rechnerraum gewesen.
Besendorf sagt: „Dass die Daten nicht an das Fraunhofer-Institut weitergegeben wurden, ist bislang eine Behauptung, vor Gericht wird sich das BKA bekennen müssen.“ Besendorf ist auch gespannt, welche Rechtsgrundlage das BKA für den Test angeben wird.
Die den Test betreffende Kommunikation zwischen der Datenschutzaufsicht und dem BKA, die netzpolitik.org vorliegt, zeigt, wie sehr das BKA die Datenschutzbehörde auflaufen lässt. Es antwortet auf mehrere Nachfragen nicht, lässt Fristen für geforderte Erklärungen verstreichen, übersendet zunächst nur eine Variante des Abschlussberichts, in der die Namen der Hersteller nicht genannt sind.
Mögliche Rechtsgrundlagen für den Eingriff
Als eine mögliche Rechtsgrundlage für die Speicherung nennt die Datenschutzbehörde in einem Schreiben an Besendorf vom Februar 2025 Artikel 6 der DSGVO. Demnach ist eine Datenverarbeitung unter anderem erlaubt, wenn sie zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist. Angeblich gäbe es ein erhebliches öffentliches Interesse: die mögliche Senkung der Falscherkennungsrate bei der Gesichtserkennung. „Die potenziellen Folgen des polizeilichen Einsatzes einer fehlerbehafteten Gesichtserkennungssoftware für die betroffenen Personen, die von der Stigmatisierung über die Rufschädigung bis hin zu Diskriminierung und strafrechtlicher Verfolgung reichen können, können im Einzelfall gravierend sein“, schreibt die Datenschutzbehörde.
Das steht allerdings im Widerspruch zu dem, was das Amt im Juni 2022 an das BKA schrieb. Damals hieß es, der entsprechende Artikel des Bundesdatenschutzgesetzes sei aufgrund seiner Unbestimmtheit und angesichts der Eingriffsintensität keine taugliche Rechtsgrundlage für die Verarbeitung einer Vielzahl biometrischer Daten. „Hätte der Gesetzgeber hierfür eine Rechtsgrundlage schaffen wollen, hätte er – entsprechend den verfassungsrechtlichen Anforderungen – konkrete Vorschriften zu Zweck, Anlass und Verfahrenssicherungen geschaffen“, heißt es weiter.
Das BKA selbst nannte gegenüber der Datenschutzbehörde als Rechtsgrundlage für die Nutzung der Fotos für den Test einen Paragrafen des BKA-Gesetzes, der die Datenverarbeitung zum Zweck der wissenschaftlichen Forschung erlaubt. Die Datenschutzbehörde hält diesen Paragrafen hier allerdings für nicht anwendbar: „Vorliegend ging es um eine vergleichende Untersuchung der Leistungsfähigkeit marktreifer Gesichtserkennungssysteme. Neue Erkenntnisse, die den Fortschritt der Wissenschaft zu bewirken vermögen, sind nicht ersichtlich.“
USB-Anschlüsse deaktiviert, Festplatten zerstört
Das BKA hat sich, wie es der Datenschutzaufsicht schreibt, im Rahmen des Tests viel Mühe beim Schutz der personenbezogenen Daten gegeben: Das passwortgeschützte Computersystem, das dafür genutzt wurde, sei in einem abgeschlossenen Raum aufgebaut worden, zu dem nur das Projektteam Zugang gehabt habe. Einen Anschluss ans Internet oder an andere polizeiliche Systeme zur Datenerfassung habe es nie gegeben. Die Fotos seien auf einer verschlüsselten Festplatte transportiert worden. Und nachdem die Fotos eingelesen wurden, seien die USB-Anschlüsse des Computersystems deaktiviert worden.
Die Fraunhofer-Mitarbeiter, die am Projekt mitwirkten, seien einer Sicherheitsüberprüfung unterzogen worden. Nur die Auswertung der Daten – ohne Bilder und personenbezogene Informationen – sei dem Fraunhofer-Institut zur Weiterbearbeitung in eigenen Räumen ausgehändigt worden. Nach Abschluss des Projekts seien alle Datenspeicher zerstört worden.
Der Abschlussbericht des Fraunhofer-Instituts zeigt, welches der Systeme am schnellsten und am besten Menschen erkannte, und auch, in welchen Fällen Menschen von keinem der Systeme auf Fotos erkannt werden konnten. Getestet wurden meist, aber nicht nur, Bilder aus erkennnungsdienstlichen Maßnahmen; darüber hinaus gibt es im Polizeisystem aber beispielsweise auch Fotos aus Observationen.
Die Programme versagten demnach bei Bildern von vermummten oder verschleierten Gesichtern, bei zu geringer Auflösung und zu geringem Kontrast sowie bei tief gesenktem Kopf. Welche Hersteller Produkte zu dem Test beisteuerten, hält das BKA geheim. Nach dem Test blieb es bei dem System zur Gesichtserkennung, das es auch zuvor schon verwendet hatte.
>> Als eine mögliche Rechtsgrundlage für die Speicherung nennt die Datenschutzbehörde in einem Schreiben an Besendorf vom Februar 2025 Artikel 6 der DSGVO.
>> Das steht allerdings im Widerspruch zu dem, was das Amt im Juni 2022 an das BKA schrieb. Damals hieß es, der entsprechende Artikel des Bundesdatenschutzgesetzes sei aufgrund seiner Unbestimmtheit und angesichts der Eingriffsintensität keine taugliche Rechtsgrundlage für die Verarbeitung einer Vielzahl biometrischer Daten.
Als Teil des Unionsrechts genießt die DSGVO Anwendungsvorrang vor Bundesrecht, d.h. im Fall einer Normenkollision zwischen der DSGVO und dem BDSG-neu hat stets die DSGVO als ranghöheres Recht Anwendungsvorrang. Der Sinn in der Regelung eines weiteren Regelwerks in Form des BDSG-neu liegt darin, dass der europäische Gesetzgeber mit den Öffnungs- bzw. Konkretisierungsklauseln in der DSGVO den Mitgliedstaaten einen Handlungsspielraum eröffnen wollten, damit diese in einigen datenschutzrechtlich relevanten Bereichen eigene Vorschriften erlassen können. Im Grunde ist das BDSG-neu daher eine Ergänzung bzw. Konkretisierung der DSGVO. Im BDSG-neu finden sich somit nur Vorschriften, die in der DSGVO bewusst aus- bzw. offen gelassen sind.
Die Forschung im Bundeskriminalamt unter rechtlichen Gesichtspunkten
Referat BdA7 – Beratungsstelle polizeipraktische Rechtsfragen und Rechtspolitik
https://www.bka.de/SharedDocs/Downloads/DE/Publikationen/Publikationsreihen/Forschungsergebnisse/2023KKFAktuelle_ForschungRechtlicheGesichtspunkte.pdf?__blob=publicationFile&v=2
Die kriminalistisch-kriminologische Forschung im Bundeskriminalamt (BKA) ist ein zentraler
Bestandteil eines ganzheitlichen Verständnisses der Kriminalitätsbekämpfung.
Dies ist in § 2 Abs. 6 BKA-Gesetz als Aufgabenzuweisung an das BKA explizit normiert, leitet
sich auch aus der Genese des BKA-Gesetzes und den Motiven des Gesetzgebers ab.
Kriminalistisch-kriminologische Forschung mit dem Anspruch, strategische aber auch praxisorientierte Ergebnisse zu erzielen, greift nicht nur auf reine Lageerkenntnisse zurück, sondern ist vielmehr auf die Erhebung, Verarbeitung und Verwendung personenbezogener Daten angewiesen.
Hierzu wurde zuletzt im Rahmen der Novelle des BKA-Gesetzes 2018 eine eindeutige Befugnis-
norm geschaffen, die die Erhebung personenbezogener Daten im Einzelfall, zweckgebunden
für die Forschungsaufgabe nach § 2 Abs. 6 BKA-Gesetz, in § 9 BKA-Gesetz normiert. Somit be-
steht die notwendige Rechts- und Handlungssicherheit.
>> Neue Erkenntnisse, die den Fortschritt der Wissenschaft zu bewirken vermögen, sind nicht ersichtlich.
Ob eine solch apodiktische Aussage der zuständigen Datenschutzbehörde rein rechtlich überhaupt zulässig war, wird sicherlich ein Gutachter vor dem Verwaltungsgericht ausführlich erklären können.
>> Die Programme versagten … bei zu geringer Auflösung und zu geringem Kontrast…
Eine Markterkundung bedeutet hier tatsächlich einen „Fortschritt der Wissenschaft“, denn das „Versagen der (mutmaßlich) marktreifen Gesichtserkennungssysteme“ gibt nunmehr Anlass zur weiteren Erforschung der Mechanismen, die ein „Versagen dieser Systeme“ bewirkten.