Millionen Gesichtsbilder aus der zentralen INPOL-Datenbank stellte das Bundeskriminalamt zur Verfügung, um die Performance von mehreren Gesichtserkennungssystemen zu testen. Rechtsfachleute zweifeln an der Rechtmäßigkeit, ein mutmaßlich Betroffener überlegt zu klagen.

Mit Gesichtserkennungs-Software gleicht das Bundeskriminalamt beispielsweise Bilder von Überwachungskameras mit polizeilich bekannten Gesichtern ab, vor allem der sogenannten INPOL-Datei. 7.697 Suchläufe waren es im Jahr 2022, dabei wurden 2.853 zuvor unbekannte Personen identifziert.

Um verschiedene Software-Produkte zu vergleichen, ließ das BKA bis zum Jahr 2019 vom Fraunhofer-Institut für Graphische Datenverarbeitung mehrere Gesichtserkennungssysteme im Projekt EGES vergleichen – kurz für: Ertüchtigung des Gesichtserkennungssystem im BKA.

Recherchen des Bayerischen Rundfunks auf Basis von Informationsfreiheitsanfragen des CCC-Sprechers Matthias Marx haben nun ergeben, dass das BKA dem Institut dafür mehrere Millionen Gesichtsbilder von drei Millionen Personen zur Verfügung stellte. Sie stammten vor allem aus der zentralen INPOL-Datenbank.

Millionen von Gesichtern

Im Abschlussbericht des Projekts heißt es zum Datenbestand etwa:

Kopien von ca. 5 Millionen digitalen Bildern, die in INPOL-Z als frontale Gesichtsbilder von ca. 3 Millionen Personen markiert sind.

Dazu kamen Bilder von Freiwilligen, jedoch in weit geringerem Umfang, etwa „von 147 freiwilligen Testpersonen mindestens zwei digitale frontale Gesichtsbilder, die unter idealen Bedingungen über einen Zeitraum von etwas mehr als neun Jahren aufgenommen wurden“.

Aus einer weiteren Informationsfreiheitsanfrage zur diesbezüglichen Korrespondenz des Bundesdatenschutzbeauftragen mit dem BKA wird klar, dass den Beteiligten bewusst war, dass das Vorgehen rechtlich sensibel war.

Rechtsgrundlage mangelhaft

In einem Schreiben fragt ein Mitarbeiter des Bundesdatenschutzbeauftragten das BKA selbst nach der entsprechenden Rechtsgrundlage. Das wiederum beruft sich darauf, dass es keine Datenweitergabe gegeben habe und verweist auf ein kompliziertes System, bei dem etwa ein Rechner ohne Verbindung zum Internet und ohne externe Schnittstellen zum Einsatz kam. Nach Projektende seien alle Festplatten physisch zerstört worden.

Das BKA berief sich unter anderem auf einen Paragrafen im BKA-Gesetz, der die Nutzung der Daten für Forschungszwecke erlaubt. Ganz überzeugt hat das den Bundesdatenschutzbeauftragten offenbar nicht, er sieht in dem Vergleich von kommerziellen Produkten keine Forschung. „Es mangelt an einer Rechtsgrundlage“, heißt es in einem Schreiben. Beanstanden wollte er das Projekt aber nicht, wegen der komplexen rechtlichen Situation. Nach monatelangem Austausch mit dem BKA heißt es von Seiten des Datenschutzbeauftragten: „Eine Einigung konnte indes nicht erzielt werden.“

Der vom BR befragte Rechtswissenschaftler Mark Zöller ist ebenfalls skeptisch. Die Sicherheitsbehörde müsse sich an das BKA-Gesetz halten. Und das regele nicht, welche Daten für Software-Tests genutzt werden dürfen.

Janik Besendorf, dessen Bild mutmaßlich auch für die Tests genutzt worden waren, hat nun Beschwerde beim Bundesdatenschutzbeauftragen eingereicht. Er war erkennungsdienstlich behandelt worden. Das zugehörige Verfahren wurde zwar eingestellt, er geht aber davon aus, in der Datensammlung gelandet zu sein. Der IT-Sicherheitsexperte überlegt außerdem, in der Sache gegen das BKA zu klagen.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.