HmbBfDI kritisiert automatisierte Gesichtserkennung der Hamburger Polizei

Löschung der ohne Rechtsgrundlage erhobenen biometrischen Daten gefordert

[datensicherheit.de, 01.09.2018] Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) hat am 31. August 2018 eine Stellungnahme zur Einführung der automatisierten Gesichtserkennung abgegeben, welche er entschieden beanstandet – denn es sei ist keine Rechtsgrundlage für die Erstellung von biometrischen Gesichtsabdrücken durch die Polizei Hamburg ersichtlich.

Umfangreiche biometrische Erfassung im Umfeld des „G20-Gipfels“

Der HmbBfDI hat „nach umfassender Prüfung“ den Einsatz eines Verfahrens der automatisierten Gesichtserkennung durch die Polizei Hamburg als „datenschutzwidrig“ beanstandet.
Dieser Beanstandung liege der Sachverhalt zugrunde, dass anlässlich des sogenannten G20-Gipfels in Hamburg die dortige Polizei Bild- und Videomaterial von insgesamt 100 Terabyte zur Verfolgung begangener Straftaten erhoben und davon zunächst 17 TB in einer Datenbank zusammengeführt haben soll.
Das Material stamme aus gänzlich unterschiedlichen Quellen: Über die Dauer von z.T. mehr als vier Tagen seien im Verlauf des „G20-Gipfels“ die Videoaufnahmen aus verschiedenen S-Bahnhöfen entnommen worden; es seien gar Privatpersonen aufgefordert worden, über ein Portal eigene Bild- und Videodateien hochzuladen. Ferner seien eigene Aufnahmen der Polizei sowie Bilder aus der Berichterstattung in den Medien hinzugezogen worden.
Durch den Einsatz der dafür eigens angeschafften Software „Videmo 360“ seien ausnahmslos alle Gesichter von Menschen, die sich auf dem umfangreichen Video- und Bildmaterial befanden, biometrisch verarbeitet worden. Dabei seien markante Punkte des menschlichen Gesichts durch die Software ausgelesen und als abrufbare und abgleichbare mathematische Modelle (sog. Gesichtstemplates) abgespeichert worden.

Massiver Eingriff in die Privatsphäre der Bürger

Bei Vorliegen von tatsächlichen Anhaltspunkten, die auf die Begehung einer Straftat von bestimmten Personen schließen ließen, nutze die Polizei den Datenbestand, um nach Bildern von Personen zu suchen. Das Verfahren ermögliche dabei die Suche in zweierlei Richtung: nach unbekannten Personen, von denen lediglich Video- oder Bildaufnahmen aus den verschiedenen Quellen vorhanden sind, wie auch die Invers-Recherche nach namentlich bekannten Personen, von denen die Polizei bereits anderweitig über Bilder, jedoch keine von den damaligen Gipfel-Ereignissen verfügt.
Der HmbBfDI kritisiert: „Mit der automatisierten Gesichtserkennung wird in Hamburg damit eine neue Technologie im Echtbetrieb eingeführt, deren Einsatz die gesetzlich austarierte Balance zwischen informationeller Selbstbestimmung und staatlichen Eingriffsbefugnissen zur Strafverfolgung massiv zu Lasten der Privatsphäre von Bürgerinnen und Bürgern verschiebt.“

Eine neue Dimension staatlicher Ermittlungs- und Kontrolloptionen

Die Technologie eröffne Wege zur Fahndung und Überwachung von Personen, die das menschliche Auge bei Weitem nicht leisten könne. Dabei gehe es vorliegend nicht um die ursprüngliche Erhebung von Videos oder Bildern durch die Polizei oder andere verantwortliche Stellen, sondern um die biometrische Vermessung aller auf dem umfassenden Bildmaterial enthaltenen Gesichter, ohne dass der weitaus größte Teil der Betroffenen durch eigenes Verhalten dazu Anlass gegeben hätte, und um die Speicherung dieser Daten für einen längeren Zeitraum als Referenzdatenbestand zum Abgleich mit bestimmten Personen.
Kriminaltechnisch erschließe sich den Strafverfolgungsbehörden damit eine „neue Dimension staatlicher Ermittlungs- und Kontrolloptionen“. Überall dort, wo Bildmaterial des Öffentlichen Raumes zur Verfügung steht, könne es künftig zu einer umfassenden Profilbildung von Menschen kommen: Standorte von einzelnen Personen könnten über länger zurückliegende Zeiträume rekonstruiert, Bewegungsprofile erstellt und Beziehungen zu anderen Menschen dokumentiert werden. Diese Informationen, etwa die Teilnahme an einer Versammlung, ermöglichten Schlüsse auf Verhaltensmuster und Präferenzen des Einzelnen. Die Verknüpfungsmöglichkeiten eröffneten vielfältige Nutzungsmöglichkeiten, die sowohl die grundrechtlich geschützten Geheimhaltungsinteressen des Betroffenen beeinträchtigten, als auch anschließende Eingriffe in seine Verhaltensfreiheit nach sich ziehen könnten.

Biometrische Massendatenverarbeitung derzeit gesetzlich nicht bestimmt

Nach intensiver rechtlicher Prüfung und Auswertung des Verfahrens ist der HmbBfDI nach eigenen Angaben zu dem Ergebnis gelangt, dass die Erzeugung von mathematischen Gesichtsmodellen einer unbegrenzten Anzahl von in der Masse verdachtslos erfassten Bürgern im Stadtgebiet über den Zeitraum von zumindest mehreren Tagen und deren Speicherung für eine unbestimmte Zeit einer besonderen gesetzlichen Befugnis bedarf, die den Eingriff in das informationelle Selbstbestimmungsrecht rechtfertigt.
Weder Voraussetzungen und Umfang derartiger Verfahren biometrischer Massendatenverarbeitung seien derzeit gesetzlich bestimmt, noch gebe es Verfahrensregelungen, die den Schutz von Rechten und Freiheiten Betroffener gegenüber einer Erzeugung von Gesichts-IDs in verhältnismäßiger Weise näher festlegen.

Im Rechtsstaat steht der Gesetzgeber in der Pflicht

„Wenn bereits die Häufung von Straftaten ausreicht, um den Ermittlungsbehörden nicht nur den Zugriff auf zahllose Bilddateien, sondern auch die zeitlich und örtliche nahezu unbegrenzte Auswertung biometrischer Identitäten von Tausender Unbeteiligter zu ermöglichen, vermittelt die Herrschaft über Bilder eine neue Intensität staatlicher Überwachungs- und Eingriffsbefugnisse, die hoch missbrauchsgefährdet sind“, warnt Johannes Caspar, der HmbBfDI.
Im Rechtsstaat sei es Sache des Gesetzgebers, für derartige grundrechtssensible Eingriffe durch eingriffsintensive Instrumente klare inhaltliche Vorgaben wie auch Verfahrensgarantien für Betroffene zu formulieren. Es dürfe nicht allein der Einschätzung von Strafverfolgungsbehörden auf der Basis allgemeiner Grundsätze überlassen bleiben, biometrische Massendatenerhebungen zur Ermittlung von Straftätern durchzuführen.
Das Bundesverfassungsgericht habe die Einhaltung derartiger rechtsstaatlicher Grundsätze etwa bei der Rasterfahndung und sogar bereits für das automatische Scannen von Kfz-Kennzeichen eingefordert. Caspar: „Solange der Gesetzgeber davon absieht, klare Vorgaben für den Einsatz dieser Technologie zu formulieren, können entsprechende Maßnahmen nicht auf eine unspezifische Auffangkompetenz von Generalklauseln gestützt werden. Ich gehe davon aus, dass die Beanstandung dazu führt, dass der Einsatz dieses Verfahrens gestoppt wird und eine Löschung der ohne Rechtsgrundlage erhobenen biometrischen Daten erfolgt.“

Weitere Informationen zum Thema:

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit
Datenschutzrechtliche Prüfung des Einsatzes einer Gesichtserkennungssoftware zur Aufklärung von Straftaten im Zusammenhang mit dem G20-Gipfel durch die Polizei Hamburg

datensicherheit.de, 26.06.2018
Öffentlicher Raum: Überwachung nur auf höchstem Schutzniveau

datensicherheit.de, 06.12.2017
Digitalcourage kritisiert Videoüberwachung auf Bahnhöfen und Toiletten

datensicherheit.de, 02.03.2017
Videoüberwachung: Grenzen der Zulässigkeit und Beaufsichtigung

datensicherheit.de, 11.12.2014
Stärkung des Datenschutzes: HmbBfDI begrüßt EuGH-Urteil zur Videoüberwachung