[ziesell]

Zitat:

RAF-Terroristin Klette gefasst: Die verbotenen Früchte der Polizei

Die RAF-Terroristin Klette war problemlos über Gesichtsdatenbanken zu identifizieren. Doch für Ermittler sind solche Tools weiterhin tabu.



Es war ein spektakulärer Erfolg für die polizeilichen Ermittler. Nach mehreren Jahrzehnten der Suche konnten sie am 26. Januar 2024 in Berlin die untergetauchte RAF-Terroristin Daniela Klette verhaften.

Wie inzwischen bekannt wurde, spürte der Investigativjournalist Michael Colborne vom Recherchekollektiv Bellingcat die 65-Jährige im vergangenen November in 30 Minuten mithilfe der Gesichtsdatenbank Pimeyes auf. Warum nutzten die deutschen Ermittler bei der Suche nach Terroristen nicht selbst solche Tools, die seit einigen Jahren auf dem Markt sind?

Die Debatte um die Nutzung solcher Datenbanken entbrannte vor allem mit dem Start des Dienstes Clearview AI. Die US-Firma baute in den Jahren 2016 bis 2020 heimlich eine Gesichtdatenbank mit Milliarden von Fotos auf, die von öffentlich zugänglichen Internetseiten wie Facebook oder Youtube kopiert worden waren. Anfang 2020 wurde bekannt, dass Clearview seine Dienste bereits mehreren Hundert Behörden angeboten hatte.

Beeindruckende Resultate

Die Ergebnisse von Diensten wie Clearview oder des polnischen Start-ups Pimeyes sind in der Tat beeindruckend. Bei einem Selbstversuch mit Pimeyes spürte die kostenlose Testversion sogar Fotos von einer Pressekonferenz auf, auf denen mein Gesicht nur unscharf im Hintergrund und teilweise verdeckt zu sehen ist. Von mehr als 20 Treffern war nur einer falsch.

Im Fall von Klette war die Suche erfolgreich, obwohl die Vergleichsbilder der Fahndungsplakate Jahrzehnte alt waren. Es ist daher kein Wunder, dass Polizeibehörden solche Datenbanken gerne nutzen würden, um nach untergetauchten Personen zu suchen. Doch was Journalisten in diesem Fall möglich ist, ist Behörden noch lange nicht erlaubt. Was verschiedene Gründe hat.

DSGVO untersagt Scraping ohne Einwilligung

Mit den juristischen Fragen rund um Dienste wie Clearview AI haben sich Mario Martini und Carolin Kemper von der Universität für Verwaltungswissenschaften und dem Deutschen Forschungsinstitut für öffentliche Verwaltung in Speyer in mehreren Aufsätzen beschäftigt. Darin gehen sie zum einen der Frage nach, ob Clearview die Gesichtsdatenbank ohne Einwilligung der Betroffenen überhaupt aufbauen darf (PDF), und zum anderen, ob europäische Behörden solche Dienste nutzen dürfen (Paywall).

Was die erste Frage betrifft, so schließen sich die Wissenschaftler der Einschätzung von Datenschutzbeauftragten an. "Sowohl das Scraping öffentlich zugänglicher Gesichtsbilder als auch ihre anschließende biometrische Analyse lassen sich nicht auf eine entsprechende Verarbeitungserlaubnis stützen und erfolgen daher rechtswidrig", heißt es.

Der frühere Hamburgische Datenschutzbeauftragte Johannes Caspar forderte im Januar 2021 Clearview dazu auf, die Fotos eines CCC-Mitglieds zu löschen. Sein Argument: Der besondere Schutz biometrischer Daten, wie er in Artikel 9 der EU-Datenschutzgrundverordnung (DSGVO) vorgesehen ist, werde durch Clearview nicht gewahrt.

Auf eine allgemeine Anordnung, sämtliche Fotos deutscher Nutzer zu löschen, verzichtete er. Denn Clearview speichere in der Datenbank keine Informationen zum Wohnort der Betroffenen.

US-Behörden nutzen Clearview millionenfach

Mögliche Datenschutzbedenken halten die Behörden in den USA nicht davon ab, die Dienste von Clearview millionenfach zu nutzen. Nach einer Klage der Bürgerrechtsorganisation ACLU darf der Zugang zu der Datenbank zumindest nicht mehr an private Unternehmen verkauft werden.

Gegen die Nutzung von Clearview durch Behörden in Europa sprechen nach Einschätzung von Martini und Kemper mehrere Gründe.

Clearview als verlängerter Arm der Polizei?

Generell geregelt wird die Datenverarbeitung durch Polizei und Justiz nicht in der DSGVO, sondern in einer parallel verabschiedeten Richtlinie (JI-RL). Diese erlaubt es den Behörden unter anderem, einen Auftragsverarbeiter einzusetzen, der "personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet".

Daneben ist laut Artikel 21 auch eine gemeinsame Verantwortlichkeit bei der Datenverarbeitung möglich. Den beiden Verwaltungswissenschaftlern zufolge ist das jedoch im Falle von Clearview nicht zulässig, da das Unternehmen keine Behörde ist.

Verarbeitung muss "unbedingt erforderlich" sein

Im Falle einer Auftragsverarbeitung müssen die Verantwortlichen jedoch dazu laut Artikel 20 der JI-RL gewährleisten, "dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen dieser Richtlinie erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet". Das heißt: Clearview muss ebenso wie die Behörden die gesetzlichen Vorgaben zur Verarbeitung biometrischer Daten einhalten. Diese sind in Deutschland beispielsweise in Paragraf 48 des Bundesdatenschutzgesetzes (BDSG) geregelt.

Demnach ist die Verarbeitung nur zulässig, "wenn sie zur Aufgabenerfüllung unbedingt erforderlich ist". Zudem nennt der Paragraf acht besondere Garantien, um die Rechte der Betroffenen zu schützen. Dazu zählen beispielsweise "spezifische Anforderungen an die Datensicherheit oder die Datenschutzkontrolle". Solche Vorgaben führen dazu, dass die bestehenden Gesichtsdatenbanken der Polizeibehörden deutlich kleiner als die von Clearview sind.

Polizeiliche Datenbanken deutlich kleiner

So hieß es Anfang des Jahres 2020, dass in den Datenbanken der deutschen Sicherheitsbehörden mehr als 5,8 Millionen Gesichtsbilder gespeichert seien. Im ersten Halbjahr 2019 wurde demnach das Gesichtserkennungssystem (GES) des Bundeskriminalamts (BKA) 23.915-mal angefragt. Damit ist die Datenbank deutlich kleiner als diejenige der kommerziellen Anbieter. Clearview kündigte vor zwei Jahren sogar an, "fast jeden auf der Welt" identifizieren zu wollen.

Eine Nutzung solcher Daten wäre daher nur möglich, wenn der Aufbau der Clearview-Datenbank "unbedingt erforderlich" wäre. Laut Martini und Kemper nimmt Clearview AI jedoch "eine besondere Form der Vorratsdatenspeicherung vor". Diese greife "verdachtsunabhängig nachhaltig in sensible Grundrechtspositionen ein". Die Datenschutzvorgaben im BDSG und den Ländergesetzen deckten jedoch keine "biometrische Massenanalyse".

Problematisch ist den Wissenschaftlern zufolge darüber hinaus die Tatsache, dass Clearview über kein Verfahren verfügt, die Nutzungsberechtigung seiner Kunden zu überprüfen. Daher können sich Ermittler problemlos eigenmächtig für Zugänge zur Clearview-App registrieren: "Viele der Nutzeraccounts sind nicht von Institutionen, Arbeitgebern oder Dienstherren autorisiert, so dass die Polizeibeamten das System rechtswidrig nutzen", heißt es unter Verweis auf eine geleakte Nutzerliste.

Doch was passiert, wenn Behörden dennoch per Clearview oder Pimeyes nach Verdächtigen suchen?

Polizei darf Ergebnisse nicht nutzen

Nach Einschätzung der beiden Wissenschaftler bedienen sich die Ermittler dann "als Teil ihrer hoheitlichen Tätigkeit eines rechtswidrigen Geschäftsmodells, ernten also gleichsam von den Früchten des verbotenen Baumes". Mit dem Ergebnis: "Staatliche Stellen dürfen unter solchen Datenschutzverstößen zustande gekommene Verarbeitungsergebnisse privater Dienstleister nicht nutzen, um Personen zu identifizieren."

Weiter heißt es: "So wie es Polizeibehörden selbst versagt wäre, im Schleppnetzstil Gesichtsbilder zu sammeln und diese zur Identifizierung zu verwenden, dürfen sie dies nicht über die Hintertreppe der Zwischenschaltung privater Akteure wie Clearview AI." Die Ergebnisse dieser unzulässigen Datenverarbeitung seien ebenfalls rechtswidrig.

Beweisverwertungsverbot möglich

Würden die Ergebnisse einer solchen Überprüfung dennoch genutzt, könne daraus ein Beweisverwertungsverbot erwachsen. "Rechtswidrige Ermittlungsmaßnahmen, die sehr tief in die Privatsphäre des Beschuldigten eingreifen, können die Unverwertbarkeit auf diesem Wege erlangter Beweismittel nach sich ziehen", schreiben Martini und Kemper.

Was bedeutet das für den konkreten Fall? Derzeit ist noch unklar, wie die Behörden auf die Spur von Klette kamen. Der entscheidende Hinweis soll im November 2023 "aus der Bevölkerung" gekommen sein. Und damit noch vor der Veröffentlichung eines Podcasts (PDF), in dem Journalisten ihre Recherche zu Klette und den Facebook-Fund durch Bellingcat ausführlich beschrieben.

Doch was wäre, wenn ein anonymer Hinweisgeber Clearview oder Pimeyes genutzt und ohne den Verweis auf die Quelle den Behörden seine Rechercheergebnisse geschickt hätte? Auf Anfrage von Golem.de sagte Juraprofessor Martini, dass im konkreten Fall die Rechtsprechung kein Beweisverwertungsverbot annehmen werde.

Beamtenrechtliche Konsequenzen möglich

"Nimmt man eine Abwägung zwischen dem Erkenntnisinteresse des Staates bei der Abwehr terroristischer Gefahren beziehungsweise deren Aufklärung mit der rechtlichen Beeinträchtigung des Persönlichkeitsrechts vor, wird die Rechtsprechung nach meiner Einschätzung das Maß des noch Zulässigen nicht als überschritten ansehen – nicht zuletzt mit Blick darauf, dass der Rechtsverstoß nicht auf einem Eindringen in den unantastbaren Bereich der Persönlichkeit beruht, sondern auf einer Zusammenstellung öffentlich verfügbarer Informationen", sagte Martini. Sollte sich herausstellen, dass eine Behörde oder ein einzelner Beamter die Gesichtserkennungsdienste genutzt habe, könne dies beamtenrechtliche Konsequenzen haben.

Das Beispiel Klette macht auf jeden Fall deutlich: Die neuen Datenbanken sind sehr mächtige Werkzeuge, die tief in das Recht auf informationelle Selbstbestimmung der Bürger eingreifen. Auch wenn Ermittlungsbehörden solche Tools nicht offiziell nutzen dürfen, ist es nicht ausgeschlossen, dass sie über wie auch immer geartete Umwege in den Genuss dieser verbotenen Früchte kommen.

Martini und Kemper fordern daher den "konsequenten Vollzug der Vorgaben" zum Schutz der Bürgerrechte in der Praxis. Nur dann gelinge es, "einem vollständigen Verlust der Anonymität im öffentlichen Raum vorzubeugen – und ein Orwellsches Klima der Angst zu vermeiden, welches das Schreckgespenst des 'gläsernen Menschen' zum Leben erweckt".

[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]
[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]
[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]
[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]
[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]