Gesichtserkennung: BKA nutzte Millionen Polizeifotos für Test

Das Bundeskriminalamt (BKA) hat 4,8 Millionen Gesichtsbilder für Softwaretests aus dem zentralen polizeilichen Informationssystem INPOL-Z extrahiert und dem Fraunhofer-Institut für Graphische Datenverarbeitung (Fraunhofer IGD) gegeben. Das Fraunhofer IGD hat damit im Jahr 2019 in einem Projekt namens EGES (Ertüchtigung des Gesichtserkennungssystems im BKA) anhand echter Bilder festgestellt, wie gut das vom BKA eingesetzte System verglichen mit den Produkten von vier anderen Herstellern abschneidet.

Die 4,8 Millionen frontalen Gesichtsbilder stammen von etwa 3 Millionen Personen, wie aus einem von vielen zu dem Vorgang veröffentlichten Dokumenten hervorgeht. Als Probebilder dienten laut Evaluierungsbericht des Fraunhofer IGD Frontal- und Halbprofilbilder. Um die Erkennungsgenauigkeit möglichst detailliert zu testen, wurden eigens tausende Bilder von Bart- und Brillenträgern herangezogen. Das BKA stellte Fraunhofer dafür eine Liste von 56.500 Bartträgern und 19.500 Brillenträgern bereit. Anfragen zu diesen Vorgängen von heise online haben das BKA und der Bundesbeauftragte für den Datenschutz (BfDI) noch nicht beantwortet.

"Wissenschaftliche Forschung"

Gegenüber dem BfDI Ulrich Kelber hat das BKA laut einem Bericht des BR das Projekt als "wissenschaftliche Forschung" deklariert und sich auf das BKA-Gesetz berufen. Zunächst aber habe das BKA laut BR darauf hingewiesen, dass der BfDI nicht in die Vorgänge eingebunden werden musste, es sei auch fachlich nicht erforderlich gewesen. Matthias Marx, Sprecher des Chaos Computer hatte den Abschlussbericht über eine Anfrage nach dem Informationsfreiheitsgesetz vom BKA erhalten und sich daraufhin an Kelber gewandt.

Der BfDI hat den Vorgang in einem Schreiben vom 17. Juni 2022 als "problematisch" bezeichnet und bezweifelt, dass es bei den Tests um Wissenschaft ging, heißt es weiter in dem Schreiben: "Es mangelt an einer Rechtsgrundlage." Allerdings schrieb Kelber auch: "Angesichts der Komplexität der Rechtslage, die uneinheitlich beurteilt wird (vgl. insbesondere das Meinungsbild zu § 48 BDSG), sehe ich von einer Beanstandung ab."

Die Computer, auf denen die Auswertungen durchgeführt wurden, befanden sich laut BKA in einem eigens bereitgestellten Raum ohne Internetzugang am BKA-Standort in Wiesbaden. Der Zugang zu den Computern sei auf das Projekteam des BKA beschränkt gewesen, Daten seien nachhaltig gelöscht worden. Marx kritisiert laut BR, die Daten seien für einen Zweck eingesetzt worden, für den sie nicht erhoben wurden.

Datenschutz-Grundverordnung im Spiel

Das Bundeskriminalamt hatte sich unter anderem auf Paragraf 21 des BKA-Gesetzes bezogen. Darin heißt es unter anderem: "Das Bundeskriminalamt kann im Rahmen seiner Aufgaben bei ihm vorhandene personenbezogene Daten, wenn dies für bestimmte wissenschaftliche Forschungsarbeiten erforderlich ist, weiterverarbeiten, soweit eine Verwendung anonymisierter Daten zu diesem Zweck nicht möglich ist und das öffentliche Interesse an der Forschungsarbeit das schutzwürdige Interesse der betroffenen Person erheblich überwiegt."

Da Softwaretests aber nicht in den Bereich der Strafverfolgung und Gefahrenabwehr falle, komme die Datenschutz-Grundverordnung (DSGVO) zur Anwendung. Auf eine aktuelle BR-Anfrage beruft sich nun auch das BKA auf die DSGVO. Mark Zöller, Professor für Strafrecht und Digitalisierung an der LMU München, meint hingegen laut BR, Sicherheitsbehörden dürften sich nicht auf das allgemeine Datenschutzrecht berufen, sondern müssten sich immer an die jeweiligen Fachgesetze halten, also hier an das BKA-Gesetz. Sicherheitsbehörden preschten bei neuen Technologien immer wieder ohne saubere Rechtsgrundlage vor.

Erst vor Kurzem beendete das bayerische Landeskriminalamt Tests seiner neuen Analyse-Software des umstrittenen Data-Mining-Unternehmens Palantir mit Daten von echten Menschen. Diese hatte der bayerische Datenschutzbeauftragte scharf kritisiert.

(anw)