Mit radikaler Verweigerung brachte die kenianische Zivilgesellschaft eine geplante Mega-Datenbank ihrer Regierung zu Fall. Wie das gelang und warum der Kampf noch nicht gewonnen ist, berichtete Inklusionsaktivist Mustafa Mahmoud Yousif auf dem 39. Chaos Communication Congress in Hamburg.
Biometrische Erfassung für die staatliche Datenbank „Huduma Namba“ in Kipcherere, Bariongo (Kenia). – Alle Rechte vorbehalten IMAGO / ZUMA Press Wire
Hoffnung in verzweifelten Zeiten zu stiften ist keine leichte Aufgabe, das macht Mustafa Mahmoud Yousif gleich zu Beginn seines Vortrags klar. Und doch hat sich der Menschenrechtsaktivist genau das vorgenommen. Er ist nach Hamburg auf den 39. Chaos Communication Congress gekommen, um von der Kraft der Zivilgesellschaft zu berichten und Mut zu machen. Er spricht über den erfolgreichen Protest einer Bürger:innenbewegung gegen ein digitales Identifikationssystem in Kenia.
Das Problem mit dem „Huduma Namba“ genannten System ist schnell umrissen: In einer riesigen zentralen Datenbank wollte die kenianische Regierung 2019 die Bevölkerung erfassen. Diese sollte zahlreiche Angaben über sie beinhalten, von Größe, Alter, Landbesitz und Stammeszugehörigkeit über Einkommens- und Bildungslevel bis zu Angaben über Familienangehörige. Auch biometrische Daten und DNA sollten erfasst werden.
Nur wer registriert ist, sollte Zugang zu staatlichen Leistungen bekommen, etwa sein Kind auf eine Schule schicken können. Die Regierung wollte sich zudem das Recht einräumen, Daten mit autorisierten Stellen zu teilen – auch mit Unternehmen, fürchtete die kenianische Zivilgesellschaft. Mit den umfangreichen Daten könnten zudem Profile von Personen erstellt werden, so die Sorge. In einem Land, in dem staatlichen Stellen nicht zu trauen sei, eine echte Gefahr, so der Ko-Vorstandsvorsitzende des Instituts für Staatenlosigkeit und Inklusion.
Koloniales Echo
Huduma Namba sollte zur „einzigen Quelle der Wahrheit“ über die Menschen in Kenia werden, erklärt Yousif. Und das in einem Land, das unter britischer Kolonialherrschaft alles andere als gute Erfahrungen mit Identitätssystemen gemacht hat. Denn für die Kolonialherren war die Identitätskontrolle ein Herrschaftsinstrument, mit dem sie die unterdrückte Bevölkerung spalten und in ihrer Bewegungsfreiheit einschränken konnte.
Die Briten hätten das Land in 42 Regionen für 42 Stämme geteilt, mit der Hauptstadt Nairobi als 43. Bezirk. Schwarze Menschen, so Yousif, mussten jederzeit Ausweisdokumente, die sogenannten Kipande, bei sich tragen und der Polizei vorlegen. Die Dokumente enthielten Angaben über die Identität der Personen, wo sie lebten und in welchen Gebieten sie sich aufhalten durften. „Sie haben die Menschen in Ethnien und Bezirke unterteilt, damit sie nicht gemeinsam aufbegehren können“, so Yousif.
Im digitalen Zeitalter seien Daten zum neuen Rohstoff geworden, der nicht mehr in klassischen Minen, sondern beim Data Mining gewonnen wird. Statt auf Datenminimierung zu setzen, wie es aus Perspektive des Datenschutzes geboten wäre, habe die kenianische Regierung bei „Huduma Namba“ deshalb auf Datenmaximierung gesetzt.
In einer übereilten Roll-out-Phase von nur sechs Monaten habe die kenianische Regierung versucht, die Bevölkerung zur Registrierung zu drängen. Gerade ohnehin marginalisierte Gruppen, etwa Menschen ohne gültige Dokumente, seien jedoch gefährdet gewesen, zurückgelassen zu werden, kritisiert Yousif. Kinder, deren Eltern teils kenianische Staatsangehörige und geflüchtete Personen seien, wären auf Dauer als Geflüchtete registriert und dem Risiko der Staatenlosigkeit ausgesetzt worden.
Radikale Verweigerung
Weil es an einer politischen Opposition zu dem Projekt fehlt, habe es an der Zivilgesellschaft gelegen, Widerstand zu organisieren. Zahlreiche Nichtregierungsorganisationen hätten sich zusammengeschlossen, um in Sozialen Medien gegen den ID-Zwang mobil zu machen.
Insbesondere die junge Generation sei auf die Kampagne angesprungen. „Sie hatten das Gefühl, dass sie in ein System gezwungen werden, bei dem nicht Menschen, sondern Unterdrückung im Mittelpunkt stehen.“ Die Antwort darauf war radikale Verweigerung: Als die Regierung damit gedroht habe, nicht-registrierte Menschen des Landes zu verweisen, trendete der Hashtag #deportme, also „schiebt mich ab“. Zum Schlachtruf der Bewegung wurde der Slang-Begriff „Hatupangwingwi“, das in etwa „Wir lassen uns nichts vorschreiben“ bedeutet.
Auch traditionelle Medien hätten das Thema und dem Protest zu mehr Wucht verholfen. NGOs klagten zudem auf Basis des neuen kenianischen Datenschutzgesetzes. Mit Erfolg: Das Verfassungsgericht erklärte die Datenbank für ungültig, unter anderem, weil eine Datenschutz-Folgenabschätzung fehlte. Erhobene DNA-Daten dürfen zudem nur dann genutzt werden, wenn entsprechende Schutzvorkehrungen getroffen werden.
2022 wählten die Menschen in Kenia eine neue Regierung, die einen Neuanfang versprach und erstmalig Vertreter:innen der Zivilgesellschaft mit an den Tisch holte.
Der Kampf geht weiter
Doch damit endete der Kampf für Mustafa Mahmoud Yousif und seine Mitstreier:innen nicht. Auch die neu aufgesetzte Datenbank „Maisha Namba“ soll umfangreiche Daten über die Menschen Kenias enthalten. Auch hier fehlen der Zivilgesellschaft ausreichende Schutzmechanismen, um Bürger:innen vor Profilbildung und Diskriminierung zu schützen.
Doch Yousif gibt die Hoffnung nicht auf. Immerhin: Statt einer überhasteten Registrierungsphase werden Menschen Stück für Stück und ab Geburt registriert. Und die Verantwortlichkeiten für das Projekt sind jetzt klarer geregelt, sagt der Aktivist. „Wir wissen jetzt, wen wir verklagen müssen.“
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen. Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
Digitale Modelle von Skeletten werden neuerdings in Strafverfahren genutzt. Warum ist das etwas anderes als ein Fingerabdruck? Und warum ist es nicht ratsam, derartige Beweismethoden für eine Anklage zu nutzen? Darüber sprechen wir im Interview mit zwei Fachleuten.
Wem gehört dieses Skelett? – Gemeinfrei-ähnlich freigegeben durch unsplash.com Mathew Schwartz
Dass Fingerabdrücke oder DNA-Spuren in Strafverfahren als Beweise herangezogen werden, ist weit verbreitet. Aber mittlerweile halten zunehmend neue Technologien in die Gerichtssäle Einzug. Ein Beispiel: 3D-Modelle von mutmaßlichen Täter:innen werden automatisiert mit Videoaufnahmen vom Tatort abgeglichen. So soll bestimmt werden, ob auf dem Video die vermutete Person zu sehen ist – ganz ohne Gesicht.
Auch im sogenannten Budapest-Komplex spielt das eine Rolle. In einem aktuellen Prozess werden einem Beschuldigten Angriffe auf Neonazis, darunter versuchter Mord, vorgeworfen. Die Anklage stützt sich auch auf eine Analyse mittels Skelett-Modell und den Abgleich mit Tatort-Videos.
Wir haben dazu mit Anne Zettelmeier und Prof. Dr. Dominik Brodowski von der Universität des Saarlandes gesprochen. Sie forschen zum Einsatz von Technologien im Justizwesen und warnen davor, KI-gestützte Ergebnisse als alleinige Beweismittel zu nutzen.
Sie forschen im von der Daimler und Benz Stiftung geförderten Ladenburger-Kolleg „Technologische Intelligenz zur Transformation, Automatisierung und Nutzerorientierung des Justizsystems (TITAN)“ und warnen davor, KI-gestützte Ergebnisse als alleinige Beweismittel zu nutzen.
Anne Zettelmeier - Alle Rechte vorbehalten Daimler und Benz Stiftung / Gerald Schiling
netzpolitik.org: Wie funktioniert eine Analyse mit digitalen Skeletten und wo kommt dabei eine KI zum Einsatz?
Zettelmeier: Um ein Skelettmodell einer Person zu erstellen, werden Marker an die Person angebracht – entweder händisch an bestimmten Körperstellen oder durch die automatisierte Erkennung bestimmter Punkte am Skelett.
Beim Einsatz in Strafverfahren geht es um den Vergleich zwischen dem erstellten digitalen Skelettmodell und einem Tatort-Video. Bei diesem Abgleich soll eine KI eingesetzt werden, um die beiden Täter-Skelett-Modelle zu vergleichen. Das Programm nennt dann am Ende eine Prozentzahl, mit welcher Wahrscheinlichkeit die Personen übereinstimmen und ein Verdächtiger die Person auf einem Tatort-Video ist.
netzpolitik.org: Mit welcher Software kann man das machen?
Brodowski: Mit Produkten, die auf dem Markt erhältlich sind und zur Modellierung von Bewegungsabläufen oder auch zur Identifikation von entsprechenden Markern dienen.
Allerdings sind diese Produkte teils für ganz andere Zwecke geschaffen worden, beispielsweise für die Filmindustrie, um verstorbene Schauspieler mit Bewegungen wieder zum Leben zu erwecken. In Kinofilmen geht es im Gegensatz zu Strafverfahren aber nicht um die Rekonstruktion einer materiellen Wahrheit. Da gelten ganz andere Zielrichtungen und Genauigkeitsmaßstäbe.
Biomechanische Gutachten und Computer-Simulation
netzpolitik.org: Ist der Ansatz, 3D-Modelle in Strafverfahren für eine Beweisführung zu nutzen, komplett neu?
Prof. Dr. Dominik Brodowski - Alle Rechte vorbehalten Jörg Pütz
Brodowski: Dass Skelettmodelle für die Beweisführung genutzt werden, ist noch relativ neu. Der Literatur zufolge wurde das allerdings bereits in anderen Verfahren eingesetzt, um Beschuldigte zu be- oder entlasten.
Bereits etablierter sind von Gutachtern erstellte Expertisen. Ein eindrückliches Beispiel hierfür ist der sogenannte Badewannen-Mord, bei dem sich im Nachhinein herausgestellt hat, dass es gar kein Mord war.
Ein Mann wurde dafür verurteilt und saß 13 Jahre lang unschuldig in Haft, bis ein Wiederaufnahmeverfahren nachgewiesen hat, dass er als Täter nicht in Betracht kommt. Dafür hat man unter anderem in einem biomechanischen Gutachten und per Computersimulationen untersucht, wie die Mechanik des menschlichen Körpers mit dem vermuteten Geschehen in Einklang zu bringen ist.
netzpolitik.org: Worin besteht der Unterschied, ob ich ein Verfahren zur Be- oder Entlastung nutze?
Zettelmeier: Gerade das ist eine wichtige Differenzierung. Es kann auf der einen Seite natürlich zur Entlastung beitragen, wenn Körperbau und Bewegungen einer Person gar nicht zu denen eines Menschen auf einer Aufnahme passen. Um solche Modell-Analysen aber zur Belastung von Verdächtigen zu nutzen, muss man sich sehr sicher sein – beispielsweise wenn ein KI-Modell zum Ergebnis kommt, dass es sich bei einer Person auf einem Video wahrscheinlich um den Tatverdächtigen handelt.
Alles netzpolitisch Relevante
Drei Mal pro Woche als Newsletter in deiner Inbox.
Eine Anklage oder am Ende sogar eine Verurteilung allein auf die Ergebnisse eines solchen Modells zu stützen, wäre ein Problem, weil diese Methode nicht ausreichend wissenschaftlich fundiert und untersucht ist. Wenn jemand falsch verurteilt wird und dann wie im Badewannen-Fall viele Jahre unschuldig in Haft sitzt, hat das schwerwiegende Folgen.
Brodowski: Für eine Verurteilung muss ein Gericht von der Schuld des Beschuldigten überzeugt sein und diese subjektive Überzeugung muss sich auch auf eine objektiv hohe Wahrscheinlichkeit stützen. Umgekehrt ist es aber so, dass bereits begründete Zweifel an der Schuld zwingend zum Freispruch zu führen haben. Dann greift der In-dubio-pro-reo-Grundsatz.
Das heißt, wenn wir nun anhand einer solchen Methodik Zweifel an einer Täterschaft eines Beschuldigten säen können, funktioniert das. Aber um als alleiniges Beweismittel dafür auszureichen, dass eine Person am Tatort war, braucht man eine ausgesprochen hohe Sicherheit hinter dieser Methodik. Die sehe ich zum aktuellen Zeitpunkt noch nicht.
Es braucht mehr Untersuchungen unter Realbedingungen
netzpolitik.org: Was bräuchte es denn dafür, dass solche Skelett-Analysen für eine Beweisführung vor Gericht genutzt werden könnten?
Brodowski: Mehr Untersuchungen zur Zuverlässigkeit der Methode, gerade unter Realbedingungen. Es ist ein Unterschied, ob man solche Analysen in einem Labor unter Idealbedingungen mit genügend Vergleichsmaterial durchführt oder ob man verrauschte Handyvideos und Schwarz-weiß-Aufnahmen einer Überwachungskamera nutzt.
Menschen bewegen sich auch im Laufe der Zeit unterschiedlich. Die Knochen bleiben dieselben, aber der Bewegungsapparat verändert sich im Laufe eines Tages, im Laufe von mehreren Monaten. Auch in Stresssituationen können sich Bewegungsmuster verändern. All diese Faktoren und ihre Auswirkungen müssen untersucht werden. Ich sehe da noch großen Forschungsbedarf.
Dazu kommt noch eine andere Problematik, die beim Einsatz von KI auftritt: Die Berechnungen und die Ergebnisse sind nicht gut nachvollziehbar. Das ist die sogenannte Blackbox-Problematik und Ansätze mit Explainable Artificial Intelligence und ähnlichem haben noch keinen durchschlagenden Erfolg gebracht.
Wenn wir nicht wissen, wie nun eine solche Blackbox von einem Ausgangsdatensatz zum Ergebnis kommt, müssen wir das immer mit Vorsicht genießen.
Uns fehlen diesesJahr noch 257.709 Euro.
Bist Du auch Feuer und Flamme für Grundrechte? Dann unterstütze jetzt unsere Arbeit mit einer Spende.
Bist Du auch Feuer und Flamme für Grundrechte? Dann unterstütze jetzt unsere Arbeit mit einer Spende.
Verteidiger:innen müssen sich bei digitalen Beweismitteln weiterbilden
netzpolitik.org: Welche Auswirkungen hat es denn auf die Verteidigung und die Richter:innen in Strafverfahren, wenn Ergebnisse eines KI-Modells in Strafverfahren einfließen und nicht klar nachvollziehbar ist, wie diese zustande kommen?
Zettelmeier: Im Zweifel kann das zu einem sogenannten Automation Bias führen. Das bedeutet, dass man sich zu sehr auf die generierten Ergebnisse verlässt und beruft.
Es gibt zum Beispiel in Spanien das VioGén-System, das nach Anzeigen von Frauen wegen Gewalt das Risiko berechnen soll, erneut Gewalt zu erfahren. Basierend auf dem Risiko kann es dann richterliche Anordnungen zum Beispiel für ein Näherungsverbot der früheren Täter geben. Dort gibt es auch die Kritik, dass sich die Richter zu stark auf das generierte Ergebnis berufen und es nicht mehr zu einer eigenständigen Überprüfung kommt.
Brodowski: Umso wichtiger ist deshalb, dass man Transparenz herstellt, wann und an welcher Stelle in Verfahren Künstliche Intelligenz eingesetzt wird. Es darf etwa nicht passieren, dass ein Sachverständiger sehr überzeugt im Gerichtssaal auftritt und dort sein schriftliches Gutachten präsentiert und man nur in Fußnoten herausfindet, dass bei bestimmten Auswerteschritten KI eingesetzt wurde.
Das entspricht auch nicht den Anforderungen, die aus der EU-KI-Verordnung folgen. Diese verlangt ein hohes Maß an Transparenz, um einem solchen Automation Bias entgegenwirken zu können.
Eine gute Verteidigung wird solchen Ansätzen nachgehen und versuchen, Zweifel an der Methodik zu säen. Das verlangt jedoch viel von der Strafverteidigung, die sich deswegen auch im Bereich solcher digitaler Beweismittel zunehmend professionalisieren muss. Während in der Vergangenheit der Fokus der Verteidigung häufig auf der Glaubwürdigkeit von Zeugenaussagen gelegen hat, muss sie sich zukünftig immer mehr auch auf die Aussagekraft von solchen digitalen Beweismitteln fokussieren und hier Fachkompetenz hinzuziehen.
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen. Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
Trotz internationaler Kritik hält die ungarische Regierung an ihrer queerfeindlichen Politik fest und verbietet die Pride in Pécs. Wieder droht Teilnehmenden die Identifikation per Gesichtserkennung wegen einer Ordnungswidrigkeit. Zivilgesellschaftliche Organisationen fordern ein EU-Vertragsverletzungsverfahren.
Menschen demonstrieren auf der ersten Pride in Pécs im Jahr 2021. – Alle Rechte vorbehalten Merész Márton
Nach dem Verbot der Pride-Parade in Budapest im Juni gehen ungarische Behörden zum zweiten Mal gegen eine Demonstration für die Rechte queerer Menschen im Land vor. Diesmal trifft es die für Anfang Oktober geplante Pride in der südungarischen Stadt Pécs. Anfang September hat die Polizei die als Versammlung angemeldete Pride untersagt. Die Kúria, das höchste ungarischen Gericht, hat das Verbot inzwischen bestätigt.
Es ist ein Affront gegen Brüssel. Darauf weisen auch zivilgesellschaftliche Organisationen wie die Civil Liberties Union und die Ungarische Bürgerrechtsunion hin. In einem Brief von Anfang dieser Woche fordern sie von Kommissionspräsidentin Ursula von der Leyen, das nachzuholen, was die EU vor der Budapester Veranstaltung versäumt hat: ein Vertragsverletzungsverfahren gegen Ungarn einzuleiten und beim Europäischen Gerichtshof (EuGH) sofortige einstweilige Maßnahmen zu beantragen.
Per Gesichtserkennung identifizieren – wegen einer Ordnungswidrigkeit
Die Verbote basieren auf einer queerfeindlichen Gesetzesänderung, die das ungarische Parlament Anfang dieses Jahres im Eilverfahren verabschiedet hat. Die Änderungen betreffen das Versammlungsgesetz, das Gesetz für Ordnungswidrigkeiten und das Gesetz über den Einsatz von Gesichtserkennungtechnologien.
Sie verbieten effektiv jegliche Veranstaltungen und Versammlungen im öffentlichen Raum, die für die Rechte von queeren oder trans Menschen eintreten und knüpfen an das berüchtigte „Kinderschutzgesetz“ an, mit dem Ungarn bereits seit 2021 queere Minderheiten zum Feindbild macht. Die Teilnahme an solchen Veranstaltungen gilt seither als Ordnungswidrigkeit, auf die ein Bußgeld von bis zu 500 Euro steht.
Weil zugleich das Gesetz für den Einsatz von Gesichtserkennung so verändert wurde, dass Personen nun schon im Fall von Ordnungswidrigkeiten per Gesichtserkennung identifiziert werden dürfen, bedeutet das: Teilnehmende der Demo müssen fürchten, gefilmt, biometrisch identifiziert und anschließend mit einem Ordnungsgeld belegt zu werden.
Eine Abschreckungsmaßnahme, die zumindest im Fall der Budapest Pride nach hinten losgegangen ist. Mehr als 150.000 Menschen kamen schätzungsweise zu der Großdemonstration im Juni, die nach einer Intervention des grünen Budapester Bürgermeisters unter dessen Schirmherrschaft stand. Menschen aus der ganzen Welt reisten an, spektakuläre Bilder von den Massen auf der Donaubrücke gingen um die Welt, die internationale Presse berichtete aus Budapest.
Die Rekordzahlen in Budapest ändern nichts an der Rechtslage
Schon damals war klar: Der Triumph über Viktor Orbáns queerfeindliches Verbot, so psychologisch wichtig er sein mochte, ändert nichts an der Rechtslage in Ungarn. Kommende Pride-Veranstaltungen würden vom neuen Gesetz ebenso betroffen sein. Für einige ist die Messlatte jetzt also: Wird sich für die verbotene Pride in Pécs, Ungarns fünftgrößte Stadt mit rund 140.000 Einwohner*innen, ebenso viel Aufmerksamkeit mobilisieren lassen.
Eine Rückendeckung des Bürgermeisters, wie in Budapest, ist in Pécs nicht zu erwarten. Attila Péterffy (parteilos) hatte vergangene Woche angekündigt, der Einladung der Veranstalter zu folgen und eine Rede auf der Eröffnung des parallel stattfindenden Festivals für Menschenrechte zu halten, was er auch tat. An der Demonstration selbst werde er hingegen nicht teilnehmen.
Die Pécs Pride wird seit 2021 von der Organisation Divers Youth Network ausgerichtet und findet traditionell als Abschluss des Festivals für Menschenrechte in der südungarischen Stadt statt. In der Vergangenheit war es eine überschaubare Demonstration. Die Zahl der Teilnehmenden bewegte sich um die Marke von etwa 1000 Teilnehmenden. Dieses Jahr werden jedoch, wie in Budapest, Rekordzahlen erwartet. Wieder wollen ausländische Politiker*innen und EU-Parlamentarier*innen teilnehmen. Die Veranstalter*innen haben angekündigt, die Versammlung werde trotz Verbot wie geplant stattfinden.
„Diese Entscheidung ist ein weiterer Beweis dafür, dass die Machthaber versuchen, mit rechtlichen Mitteln die Ausübung grundlegender Freiheitsrechte einzuschränken und das Recht auf friedliche Versammlung zu unterbinden“, schreiben sie auf Facebook zur Entscheidung des obersten Gerichtshofes. Nun gehe es darum, „gemeinsam für Gleichheit, Akzeptanz und Freiheit einzutreten“.
Auch die Ungarische Bürgerrechtsunion TASZ fordert zur Teilnahme auf und hat gemeinsam mit anderen Organisationen einen Leitfaden zu rechtlichen Fragen rund um die Demo veröffentlicht. Darin warnen die Jurist*innen auch vor dem Einsatz von Gesichtserkennung. In Ungarn gilt ebenso wie in Deutschland ein Vermummungsverbot, Masken oder Schals über dem Gesicht zu tragen ist daher verboten.
Selbst in ihrer großzügigsten Auslegung lässt das KI-Regelwerk diesen Einsatz von Gesichtserkennung nicht zu
Zum Affront gegen die EU wird die Sache nicht nur, weil Orbáns Regierung mit dem Gesetz offensiv die Rechte von queeren Minderheiten im Land beschneidet und damit gegen die Grundrechtscharta der Union verstößt. Der Einsatz von Gesichtserkennung auf einer Demonstration zur Identifikation von Teilnehmenden ist auch ein klarer Verstoß gegen die neue KI-Verordnung, ein Gesetz, das erst im vergangenen Jahr verabschiedet wurde und dessen Verbote nun nach und nach greifen.
Die biometrische Identifikation aus der Ferne, vor allem in Echtzeit, war bei der jahrelangen Verhandlungen um das Gesetz einer der größten Streitpunkte. Kritiker*innen warnten vor den Gefahren für die Demokratie, wenn Staaten in die Lage versetzt werden, Menschen etwa auf Demonstrationen zu identifizieren.
Am Ende stand ein Kompromiss, laut dem der Einsatz dieser Technologien für wenige Fälle erlaubt sein soll. Auf der Liste stehen etwa Terrorverdacht oder Straftaten, auf die mindestens vier Jahre Gefängnis stehen. Eine Ordnungswidrigkeit wie in Ungarn ist, wie man es auch dreht und wendet, davon nicht abgedeckt.
In ihrem Brief an die EU-Kommission gemeinsam mit der Civil Liberties Union weist die TASZ auf diesen Umstand hin: Das Gesichtserkennungssystem, mit dem die ungarische Polizei arbeite, sei in der Lage, Personen auch binnen kürzester Zeit zu identifizieren und falle deswegen klar in die Kategorie der Echtzeit-Systeme.
Die EU solle nun endlich das tun, was im Vorlauf der Budapester Veranstaltung nicht passiert ist: ein Vertragsverletzungsverfahren gegen Ungarn einleiten und beim Europäischen Gerichtshof (EuGH) einstweilige Maßnahmen beantragen.
Bald urteilt der Gerichtshof der Europäischen Union
In Brüssel brodelt es um den Fall, die Kommission prüft derzeit laut eigenen Angaben, ob das ungarische Gesetz gegen EU-Vorgaben verstößt. In einer Parlamentsdebatte im Juni sagte der Justizkommissar Michael McGrath, die Budapester Pride sei keine Gefahr für Kinder.
Vor einem anderen EU-Gericht, dem Gerichtshof der Europäischen Union, wird derweil das Urteil zur Klage gegen Ungarn queerfeindliches Gesetz von 2021 erwartet, das den Zugang zu Darstellungen von Queerness einschränkt. Die EU-Kommission, 16 EU-Länder und das EU-Parlament hatten Ungarn verklagt, Menschenrechtsorganisationen sprechen vom „größten Menschenrechtsfall in der Geschichte der EU“.
Im Juni gab die Generalanwältin des Gerichtshofs, Tamara Ćapeta, ihre Stellungsnahme ab, die als wegweisend für das finale Urteil der Richter*innen gilt. Sie sagt, Ungarn verstößt mit dem Gesetz gegen EU-Recht und die in den Verträgen verankerten Werte der EU. Folgt das Gericht ihrer Einschätzung, könnte es anordnen, das Ungarn das Gesetz zurücknimmt oder Strafen verhängen.
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen. Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
Janik Besendorf glaubt: Das BKA hat Fotos von ihm genutzt, um damit Software für Gesichtserkennung zu testen. Deshalb hat er heute eine Klage eingereicht. Er will, dass sich die Behörde „in Zukunft an geltendes Recht hält“.
Janik Besendorf will nicht, dass das BKA mit seinem Gesicht Biometriesysteme testet. – Alle Rechte vorbehalten Privat
Im Oktober 2018 nahm die Polizei Janik Besendorf fest. Vorwurf: Hausfriedensbruch. Es folgte eine erkennungsdienstliche Behandlung. Vier Fotos wurden von ihm erstellt: Porträt, linkes und rechtes Profil sowie ein Ganzkörperfoto. Direkt danach durfte er gehen, der Vorwurf wurde kurz darauf fallengelassen. Doch die Bilder sind bis heute im Polizeisystem gespeichert.
Im Jahr 2019 hat das BKA schließlich 4,8 Millionen Porträtfotos von rund drei Millionen Personen benutzt, um vier verschiedene Systeme zur Gesichtserkennung zu testen. Das umfasste fast alle damals verfügbaren Bilder und deshalb vermutlich auch die von Besendorf. Der Datenschutzaktivist geht davon aus, dass es dafür keine Rechtsgrundlage gab. Das BKA gab gegenüber der Datenschutzaufsicht an, dass die Bilder zu wissenschaftlichen Zwecken genutzt worden seien, was nach dem BKA-Gesetz erlaubt wäre. Janik Besendorf sagt: „Die dürfen Forschung machen, aber nicht Marktforschung!“
Das BKA setzt seit 2007 ein Gesichtserkennungssystem mit dem Kürzel GES ein. „Die Erkennungsleistung des Systems wurde über die Jahre durch Updates des Algorithmenherstellers kontinuierlich verbessert, sodass das GES zu einem unverzichtbaren Hilfsmittel bei der Identifikation unbekannter Personen geworden ist“, schrieb das BKA 2017 in einer internen Mitteilung. Um zu sehen, ob das aktuell genutzte System eine wettbewerbsfähige Erkennungsleistung liefert, sollte es mit am Markt erhältlichen Systemen getestet werden. „Es gilt, die Frage zu beantworten, ob dem BKA noch das effektivste Gesichtserkennungssystem zur Verfügung steht“, heißt es in der genannten Mitteilung weiter.
„Ich sehe eine Gefahr“
Zuerst hatte Besendorf sich bei der Datenschutzaufsicht über die mutmaßliche Nutzung seines Fotos beschwert, die hat die Beschwerde abgewiesen. Unterstützt vom Chaos Computer Club reichte er nun gemeinsam mit seiner Anwältin Beata Hubrig Klage vor dem Verwaltungsgericht Wiesbaden ein. Besendorf will feststellen lassen, dass die Verwendung seines Bildes – und damit auch aller anderen Bilder – rechtswidrig war. „Damit sich das BKA in Zukunft an geltendes Recht hält, also nur unternimmt, wofür es eine Rechtsgrundlage gibt. Schließlich geht es um Grundrechte. Es passiert leider immer häufiger, dass Polizeibehörden losgehen und irgendwas testen, obwohl gar nicht klar ist, ob es dafür eine Rechtsgrundlage gab. Ich sehe eine Gefahr darin, wenn die Polizei immer mehr technische Mittel benutzt“, sagt der hauptberufliche IT-Sicherheitsexperte.
Besendorf weiß, dass seine Fotos in der Polizeidatenbank INPOL-Z liegen, weil er das BKA danach gefragt hat. Wie man solche Auskünfte beantragt, erklärte er gemeinsam mit seiner Anwältin in einem Vortrag beim 38C3. Dort zeigten die beiden auch, wann man die Löschung von Daten aus Polizeidatenbanken verlangen kann. Besendorf will mit dem Löschantrag zu seinen Fotos allerdings noch warten, bis das Verfahren abgeschlossen ist, damit keine Beweise zerstört werden.
Den Test der Gesichtserkennungssysteme hat das Fraunhofer-Institut für Graphische Datenverarbeitung (Fraunhofer IGD) durchgeführt. Besendorf fürchtet, dass das BKA dafür seine Fotos an das Fraunhofer-Institut gegeben hat. Das BKA schrieb der Datenschutzbehörde allerdings: „Die Bilddaten haben das BKA nicht verlassen und standen Mitarbeitenden des Fraunhofer IGD auch nicht zur Einsichtnahme zur Verfügung.“ An anderer Stelle hieß es allerdings, Fraunhofer-Mitarbeitende seien – unter BKA-Aufsicht – im Rechnerraum gewesen.
Besendorf sagt: „Dass die Daten nicht an das Fraunhofer-Institut weitergegeben wurden, ist bislang eine Behauptung, vor Gericht wird sich das BKA bekennen müssen.“ Besendorf ist auch gespannt, welche Rechtsgrundlage das BKA für den Test angeben wird.
Die den Test betreffende Kommunikation zwischen der Datenschutzaufsicht und dem BKA, die netzpolitik.org vorliegt, zeigt, wie sehr das BKA die Datenschutzbehörde auflaufen lässt. Es antwortet auf mehrere Nachfragen nicht, lässt Fristen für geforderte Erklärungen verstreichen, übersendet zunächst nur eine Variante des Abschlussberichts, in der die Namen der Hersteller nicht genannt sind.
Mögliche Rechtsgrundlagen für den Eingriff
Als eine mögliche Rechtsgrundlage für die Speicherung nennt die Datenschutzbehörde in einem Schreiben an Besendorf vom Februar 2025 Artikel 6 der DSGVO. Demnach ist eine Datenverarbeitung unter anderem erlaubt, wenn sie zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist. Angeblich gäbe es ein erhebliches öffentliches Interesse: die mögliche Senkung der Falscherkennungsrate bei der Gesichtserkennung. „Die potenziellen Folgen des polizeilichen Einsatzes einer fehlerbehafteten Gesichtserkennungssoftware für die betroffenen Personen, die von der Stigmatisierung über die Rufschädigung bis hin zu Diskriminierung und strafrechtlicher Verfolgung reichen können, können im Einzelfall gravierend sein“, schreibt die Datenschutzbehörde.
Das steht allerdings im Widerspruch zu dem, was das Amt im Juni 2022 an das BKA schrieb. Damals hieß es, der entsprechende Artikel des Bundesdatenschutzgesetzes sei aufgrund seiner Unbestimmtheit und angesichts der Eingriffsintensität keine taugliche Rechtsgrundlage für die Verarbeitung einer Vielzahl biometrischer Daten. „Hätte der Gesetzgeber hierfür eine Rechtsgrundlage schaffen wollen, hätte er – entsprechend den verfassungsrechtlichen Anforderungen – konkrete Vorschriften zu Zweck, Anlass und Verfahrenssicherungen geschaffen“, heißt es weiter.
Das BKA selbst nannte gegenüber der Datenschutzbehörde als Rechtsgrundlage für die Nutzung der Fotos für den Test einen Paragrafen des BKA-Gesetzes, der die Datenverarbeitung zum Zweck der wissenschaftlichen Forschung erlaubt. Die Datenschutzbehörde hält diesen Paragrafen hier allerdings für nicht anwendbar: „Vorliegend ging es um eine vergleichende Untersuchung der Leistungsfähigkeit marktreifer Gesichtserkennungssysteme. Neue Erkenntnisse, die den Fortschritt der Wissenschaft zu bewirken vermögen, sind nicht ersichtlich.“
USB-Anschlüsse deaktiviert, Festplatten zerstört
Das BKA hat sich, wie es der Datenschutzaufsicht schreibt, im Rahmen des Tests viel Mühe beim Schutz der personenbezogenen Daten gegeben: Das passwortgeschützte Computersystem, das dafür genutzt wurde, sei in einem abgeschlossenen Raum aufgebaut worden, zu dem nur das Projektteam Zugang gehabt habe. Einen Anschluss ans Internet oder an andere polizeiliche Systeme zur Datenerfassung habe es nie gegeben. Die Fotos seien auf einer verschlüsselten Festplatte transportiert worden. Und nachdem die Fotos eingelesen wurden, seien die USB-Anschlüsse des Computersystems deaktiviert worden.
Die Fraunhofer-Mitarbeiter, die am Projekt mitwirkten, seien einer Sicherheitsüberprüfung unterzogen worden. Nur die Auswertung der Daten – ohne Bilder und personenbezogene Informationen – sei dem Fraunhofer-Institut zur Weiterbearbeitung in eigenen Räumen ausgehändigt worden. Nach Abschluss des Projekts seien alle Datenspeicher zerstört worden.
Der Abschlussbericht des Fraunhofer-Instituts zeigt, welches der Systeme am schnellsten und am besten Menschen erkannte, und auch, in welchen Fällen Menschen von keinem der Systeme auf Fotos erkannt werden konnten. Getestet wurden meist, aber nicht nur, Bilder aus erkennnungsdienstlichen Maßnahmen; darüber hinaus gibt es im Polizeisystem aber beispielsweise auch Fotos aus Observationen.
Die Programme versagten demnach bei Bildern von vermummten oder verschleierten Gesichtern, bei zu geringer Auflösung und zu geringem Kontrast sowie bei tief gesenktem Kopf. Welche Hersteller Produkte zu dem Test beisteuerten, hält das BKA geheim. Nach dem Test blieb es bei dem System zur Gesichtserkennung, das es auch zuvor schon verwendet hatte.
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen. Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
Biometrische Gangerkennung soll Menschen aus der Ferne identifizieren können, selbst wenn sie ihr Gesicht verhüllen. Unser Überblick zeigt, wie die Technologie funktioniert und wo sie bereits eingesetzt wird. Menschenrechtler*innen fordern ein Verbot.
Unser Gang hat einen Wierdererkennungswert. (Symbolbild) – Alle Rechte vorbehalten IMAGO / Westend61, Bearbeitung: netzpolitik.org
Unser Gang ist besonders. Wir unterscheiden uns zum Beispiel darin, wie wir unsere Füße aufsetzen, unsere Arme beim Gehen schlenkern lassen oder wie lange unsere Schritte dauern. Solche Merkmale sind individuell und potenziell auch verräterisch, denn sie werden wie beiläufig bei der Videoüberwachung mit aufgezeichnet. Und anders als bei der biometrischen Gesichtserkennung kann man nicht einfach eine Maske aufsetzen, um den eigenen Gang zu verschleiern.
Wenn man Menschen auch von Weitem anhand ihrer Körpermerkmale erkennt, nennt man das biometrische Fernidentifizierung. In der öffentlichen Debatte darüber geht es meist um Gesichtserkennung. Dabei gibt es noch weitere Möglichkeiten, Menschen biometrisch zu erkennen. Eine solche Methode ist die biometrische Gangerkennung.
Verboten ist der Einsatz der Technologie in der EU nicht, im Gegenteil. Dort, wo die KI-Verordnung (AI Act) den Staaten Spielraum für biometrische Gesichtserkennung lässt, können Behörden auch andere biometrische Technologien einsetzen – auch wenn darüber selten diskutiert wird.
Dieser Artikel erklärt, was Gangerkennung bereits kann, und wo sie schon angewandt wird. Die Organisationen Amnesty International und AlgorithmWatch warnen vor der Technologie – die beispielsweise die Polizei bereits auf dem Schirm hat. Und im Auftrag der Europäischen Union erkunden Forscher*innen in Österreich ihren Einsatz an der EU-Grenze.
Auch Menschen können andere Personen anhand ihres Gang identifizieren. Unter anderem in Großbritannien werden dafür Sachverständige vor Gerichte geladen, um etwa die Identität eines Tatverdächtigen festzumachen. Einer Studie über diese forensische Gangerkennung aus dem Jahr 2018 zufolge würden solche Gang-Expert*innen allerdings noch wenig mit Software arbeiten.
Inzwischen gibt es zunehmend technisch gestützte Methoden für Gangerkennung, die gemeinhin als „KI“ bezeichnet werden. Einer der Menschen, der dazu forscht, ist Simon Hanisch. „Gangerkennung funktioniert mittlerweile sehr gut mithilfe von Deep Learning und Objekterkennung“, erklärt der Forscher, der am Karlsruher Institut für Technologie zur Anonymisierung biometrischer Daten arbeitet.
Im Gespräch mit netzpolitik.org beschreibt er eine Art, wie Gangerkennung per Software heutzutage funktionieren kann: Zuerst zerlegt die Software das Video einer laufenden Person in einzelne Frames, also Momentaufnahmen. So lassen sich etwa die Phasen eines Schritts nachvollziehen, die Bewegungen von Armen und Beinen. Danach stellt die Software die Umrisse der Person frei. Sie sieht dann so ähnlich aus wie ein Ampelmännchen. Schließlich legt die Software die Umrisse aus mehreren Frames in Graustufen übereinander. Das sieht dann aus wie ein Ampelmännchen mit vielen Armen und Beinen.
Auf diese Weise sollen möglichst einzigartige Profile entstehen, anhand derer sich Menschen voneinander unterscheiden lassen – und wiedererkennen.
Wie korrekt ist Gangerkennung?
Zu Gangerkennung sind in den vergangenen Jahren viele Studien erschienen. Sie beschreiben mehrere Verfahren, die verschieden genau sind. Manche Forschende verweisen auf äußere Faktoren, die Einfluss auf unseren Gang haben und deshalb die Wiedererkennung erschweren würden. Zum Beispiel könnten Schuhe, die Beschaffenheit des Bodens oder Taschen das Gangprofil verändern.
So stellten auch die Autor*innen der oben erwähnten Studie zur forensischen Gangerkennung fest: Der Beweiswert eines menschlichen Gang-Gutachtens vor Gericht sei relativ niedrig. Das war jedoch im Jahr 2018. Mittlerweile sind die technischen Mittel ausgereift genug, um Personen auch trotz sich ändernder Bedingungen zu identifizieren, wie Simon Hanisch erklärt. Die Software könnte auch Veränderungen des Gangs einbeziehen.
Eine KI ist jedoch nur so gut wie die Daten, mit denen sie trainiert wurde. „Für das Training benötigt man viele Daten“, sagt Hanisch, „die entsprechenden Datensätze gibt es aber heute schon“. Um nur eine einzelne Person anhand ihres Gangs über mehrere Überwachungskameras hinweg zu verfolgen, brauche es nicht sehr viele Daten, so der Forscher. Zur Identifikation würden bereits einige Beispiele genügen, die zeigen, wie diese Person geht.
Anders sehe es aus, wenn eine beliebige Person in einem Video eindeutig identifiziert werden soll, erklärt Hanisch. Dafür „wäre eine große Datenbank erforderlich, in der Gangbeispiele aller Personen vorhanden sind – analog zu einer Datenbank mit Gesichtsbildern oder Fingerabdrücken.“ Im Moment gibt es allerdings keine Anzeichen dafür, dass in Deutschland größere Datenbanken mit biometrischen Gangprofilen existieren.
Eine wichtige Komponente könne auch die Zeitspanne sein. Wie verändert sich der Gang eines Menschen über Jahrzehnte? Es gibt „noch nicht genug Forschung, um sagen zu können, wie gut die Gangerkennung über die Zeit funktioniert“, sagt Hanisch. „Wahrscheinlich wird es einen großen Einfluss haben; allerdings sind mir keine Studien bekannt, die das wirklich gut untersucht haben.“
Für eine realistische Anwendung von Gangerkennung brauche es noch mehr Forschung. „Meiner allgemeinen Vermutung nach würde die Gangerkennung in einem realistischen Setting außerhalb des Labors wahrscheinlich eher mäßig gut funktionieren.“
Trotzdem warnt Hanisch vor der Technologie: „Man sollte nicht vergessen, dass sich biometrische Merkmale kombinieren lassen, um bessere Ergebnisse zu erzielen, beispielsweise Gangerkennung mit Gesichtserkennung.“ Das Potenzial für staatliche Überwachung sieht Hanisch durchaus. Besonders sei es für Behörden vorteilhaft, Gangerkennung einzusetzen, weil „man seinen Gang nur schwer verstecken kann“.
Deutschland: Polizei bildet sich zu Gangerkennung weiter
Wir haben bei deutschen Polizeibehörden nachgefragt, ob sie biometrische Gangerkennung einsetzen oder sich zumindest damit beschäftigen. Die Landeskriminalämter (LKAs) aus 16 Bundesländern sowie das Bundeskriminalamt (BKA) haben den Einsatz computergestützter biometrischer Gangerkennung verneint.
Laut der Pressestelle des LKA Hessen „fehlt es an einer Datenbank, gegen die ein solches System Daten abgleichen könnte“. Gangerkennung hätten die Beamt*innen in Hessen allerdings auf dem Schirm. „Denkbar wären 1:1 Vergleiche, beispielsweise den Gang einer unbekannten Person mit dem Gang einer bekannten Person abzugleichen“, schreibt die Pressestelle. Dies könne „als Sachbeweis in einem laufenden Ermittlungsverfahren herangezogen werden“.
Das LKA Berlin hat sich ebenso mit Gangerkennung beschäftigt, allerdings nicht computerbasiert. Stattdessen würden Gutachten des kriminaltechnischen Instituts (KTI) des LKA Berlin „nach der Methode der beobachtenden Gangbildanalyse erstellt, wie sie auch in der Medizin und der Sportwissenschaft angewandt wird“. Auch das LKA Rheinland-Pfalz wende sich für solche Gutachten an das LKA Berlin.
Das LKA Saarland hat sich nach eigenen Angaben bereits mit biometrischer Gangerkennung beschäftigt, und zwar im Rahmen einer Fortbildung durch das BKA. Das BKA wiederum teilt mit, die angesprochene Fortbildung sei eine Online-Vortragsreihe der Deutschen Hochschule der Polizei gewesen. Dort habe man Vertreter*innen der Polizeien von Bund und Ländern über aktuelle Entwicklungen in der Kriminaltechnik informiert.
Deutschland: Erkennung gehender Personen im Supermarkt
Gangerkennung findet wohl auch Verwendung in der freien Wirtschaft. Bereits 2024 berichtete netzpolitik.org von einem Rewe-Supermarkt in Berlin, der seine Besucher*innen mit hunderten Überwachungskameras durch den Laden verfolgt, die mitgenommenen Waren erkennt und dann an der Kasse abrechnet. Dabei arbeitet Rewe mit der israelischen Firma Trigo zusammen, die es sich zur Mission gemacht hat, den Einzelhandel mit sogenannter KI zu optimieren.
Im Rewe-Supermarkt soll es allerdings keine Gesichtserkennung geben, wie Rewe und Trigo betonten. Stattdessen würden Kameras die schematische Darstellung des Knochenbaus der Besucher*innen erfassen, um sie voneinander zu unterscheiden. Auch das kann eine Form biometrischer Gangerkennung sein, wie sie etwa in einer Studie der TU München beschrieben wird. Demnach könne Gangerkennung per Skelettmodell sogar besser funktionieren als über die Silhouette. Die Strichmännchen mit Knotenpunkten an den Gelenken aus der Münchner Studie ähneln optisch dem Pressematerial von Trigo.
Screenshot aus der Studie der TU München: Gangerkennung per Silhouette und per Skelett. - Alle Rechte vorbehalten Screenshot: Technical University of Munich
Auf Anfrage von netzpolitik.org verneint Trigo allerdings den Einsatz von Gangerkennung: „Unser System unterscheidet zwischen Käufer*innen mittels computerbasiertem Sehen (‚computer vision‘)“, schreibt die Pressestelle. „Aus wettbewerbstechnischen Gründen können wir nicht tiefer auf technologische Details eingehen, aber wir nutzen keine Gangerkennung oder biometrische Identifikation.“
Ohne die technologischen Details, die Trigo vorenthält, lässt sich die Technologie nicht abschließend bewerten. Bereits 2024 hatten wir den Biometrie-Experten Jan Krissler (alias starbug) um eine Einschätzung gebeten. Er sagte mit Blick auf Trigo: „Körpermerkmale erfassen ist der Inbegriff von Biometrie – und das passiert hier.“
Die Technologie, deren Details das Unternehmen geheimhalten will, wird nach Angaben von Trigo schon in mehreren europäischen Länder eingesetzt. Wo genau? Auch hierzu verweigert die Pressestelle eine Antwort, wieder mit Verweis auf Wettbewerber*innen.
EU: Forschung an Gangerkennung für die Grenze
Die EU erforscht den Einsatz von Gangerkennung an der Grenze, Projektname: PopEye. Das Projekt läuft von Oktober 2024 bis September 2027. Auf der Projektwebsite gibt es beim Klick auf „Ergebnisse“ noch nichts zu sehen. In der dazugehörigen Beschreibung heißt es auf Englisch: „Das von der EU geförderte Projekt PopEye zielt darauf ab, die Sicherheit an den EU-Grenzen durch den Einsatz fortschrittlicher biometrischer Technologien zur Identitätsüberprüfung in Bewegung zu erhöhen“. Eine dieser Technologien ist Gangerkennung.
Die Grenzagentur Frontex listet PopEye als eines von mehreren Forschungsprojekten auf der eigenen Website auf. Bereits 2022 hatte Frontex Gangerkennung in einer Studie über biometrische Technologien beschrieben. Demnach benötige Gangerkennung „keine Kooperation der betreffenden Person und kann aus mittlerer Entfernung zum Subjekt funktionieren“. In der Studie schätzt Frontex: Bis biometrische Gangerkennung im Alltag ankommt, würden noch mindestens zehn Jahre vergehen.
Frontex ist auch an illegalen Pushbacks beteiligt. Das heißt, Beamt*innen verhindern, dass schutzsuchende Menschen an der EU-Grenze Hilfe bekommen. Auf Anfrage von netzpolitik.org will sich Frontex nicht zu PopEye äußern und verweist auf das AIT, das Austrian Institute of Technology. Das Institut aus Österreich koordiniert das Projekt im Auftrag der EU.
Das AIT wiederum erklärt auf Anfrage, selbst nicht im Bereich Gangerkennung zu arbeiten. Allerdings sei Gangerkennung eines von mehreren biometrischen Verfahren, die im Rahmen von PopEye erforscht würden. In dem Projekt würden biometrische Methoden entwickelt, die auch dann funktionieren, wenn sich eine Person bewegt und etwas entfernt ist. Kurzum: Man will Menschen identifizieren können, auch wenn sie gerade nicht aktiv ihr Gesicht vor eine Kamera halten oder ihren Finger auf einen Sensor legen. Das könne etwa die Wartezeit von Reisenden verkürzen, so das AIT.
Weiter erklärt das AIT, man wolle die Technologie verstehen, ihre Einschränkungen und Risiken. Ohne, dass wir ausdrücklich danach gefragt hätten, betont das AIT mehrfach, nichts Verbotenes zu tun. „Wir verpflichten uns, alle geltenden Vorschriften einzuhalten und die Werte der EU sowie die Grundrechte zu fördern und zu wahren.“ Sollte das nicht selbstverständlich sein?
Die gemeinnützige Organisation AlgorithmWatch kritisiert Gangerkennung an der Grenze, gerade mit Blick auf einen möglichen Einsatz bei Geflüchteten. „Wie so häufig wird also die Entwicklung digitaler Überwachungstools an Menschen auf der Flucht getestet, die sich kaum dagegen wehren können“, schreibt Referentin Pia Sombetzki auf Anfrage.
China und Russland: Gangerkennung über 50 Meter Entfernung
Die chinesische Regierung treibt Forschung zu Gangerkennung voran. Einer der größeren Datensätze mit Gangprofilen ist Gait3D, der auf Videodaten aus einem Supermarkt basiert. Das im Jahr 2022 veröffentliche Projekt hat China mit staatlichen Mitteln gefördert.
Nach Berichten der Agentur AP News soll China bereits 2018 Überwachung per Gangerkennung eingeführt haben, und zwar durch Polizeibehörden in Beijing und Shanghai. Die Technologie komme von der chinesischen Überwachungsfirma Watrix. Nach Angaben des CEOs gegenüber AP News könne das System Personen aus bis zu 50 Metern Entfernung identifizieren. Das System lasse sich angeblich nicht täuschen, etwa durch Humpeln.
In einer Spiegel-Reportage aus dem Jahr 2019 erklärte eine Pressesprecherin von Watrix, das System würde weitere Informationen nutzen, um Menschen zu identifizieren, etwa Körpergröße und Statur. Angeblich erkenne die Software Menschen in einer Sekunde. „Zwei Schritte reichen.“ Auch in Gruppen von bis zu 100 Leuten könne die Software Menschen erkennen, deren Gangprofil dem System bekannt sei. Es ist üblich, dass Überwachungsfirmen die Fähigkeiten ihrer Produkte überhöhen. Auf unsere Fragen hat Watrix nicht reagiert.
Auch das russische Regime soll biometrische Gangerkennung einsetzen. Im Jahr 2020 berichtete das russische Exilmedium Meduza von entsprechenden Plänen für das Folgejahr. Die Technologie sollte demnach Teil der staatlichen Kameraüberwachung in Moskau werden. Im Jahr 2021 schreib das staatliche Propaganda-Medium Rossiyskaya Gazeta von einem solchen Überwachungssystem im Auftrag des Innenministeriums. Angeblich könne die Gangerkennung eine Person aus einer Entfernung von bis zu 50 Metern identifizieren. Es fehlt allerdings eine unabhängige Prüfung, um festzustellen, viel davon Einschüchterung ist und wie viel korrekt.
Grundrechte in Gefahr: Menschenrechtler*innen fordern Verbot
Menschenrechtsorganisationen betrachten Gangerkennung schon länger kritisch. Privacy International warnte bereits 2021 vor den Gefahren von Gangerkennung bei Protesten. Auch Amnesty International beschäftigt sich damit. Gangerkennung funktioniere aus der Ferne und bleibe dadurch unbemerkt, schreibt Lena Rohrbach auf Anfrage von netzpolitik.org. Sie ist Referentin für Menschenrechte im digitalen Zeitalter bei Amnesty International in Deutschland.
Behörden könnten Gangerkennung etwa ergänzend zu Gesichtserkennung einsetzen, um Menschen auch auf Distanz zu identifizieren. „Überwachung durch Gangerkennung ist ein tiefgreifender Eingriff in Menschenrechte und geht mit umfassenden Risiken einher“, warnt Rohrbach. „Jede Form biometrischer Fernidentifizierung ist potenziell geeignet, zur Repression genutzt zu werden und die freie und unbeobachtete Bewegung im öffentlichen Raum vollständig zu beenden.“
Amnesty International setze sich deshalb für ein umfassendes Verbot biometrischer Fernidentifizierung zur Überwachung des öffentlichen Raums ein – inklusive Gangerkennung. Die EU hat die Gelegenheit verpasst, ein solches Verbot im Rahmen der KI-Verordnung zu beschließen.
In Deutschland befasst sich die Organisation AlgorithmWatch mit den Auswirkungen sogenannter KI auf Menschenrechte. Auf Anfrage vergleicht Referentin Pia Sombetzki Gangerkennung mit Gesichtserkennung. „Die Anonymität im öffentlichen Raum wird effektiv aufgehoben, und Menschen dürften es sich tendenziell eher zweimal überlegen, an welcher Versammlung sie noch teilnehmen“, schreibt sie. Neben Demonstrierenden könnten zum Beispiel auch Obdachlose oder Suchtkranke beobachtet werden.
Das Problem betreffe grundsätzlich alle, die sich in der Öffentlichkeit frei bewegen wollten. Rufe nach mehr KI in der Polizeiarbeit könnten in eine Sackgasse führen, warnt Sombetzki. „Denn je mehr die Freiheitsrechte auch hierzulande eingeschränkt werden, desto weniger bleibt von der demokratischen Gesellschaft übrig, die es eigentlich zu schützen gilt.“
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen. Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
Bei der Budapest Pride am Samstag drohen den Teilnehmenden Strafen, die Polizei darf sogar Gesichtserkennung zur Identifikation einsetzen. Etwa 50 Menschenrechtsorganisationen fordern die EU-Kommission zu sofortigen Handeln gegen den „gefährlichen Präzedenzfall“ auf.
Demonstration gegen das Gesetzespaket, das Pride-Veranstaltungen in Ungarn verbietet. – Alle Rechte vorbehalten IMAGO
Rund 50 Menschenrechts- und Digitalrechtsorganisationen aus ganz Europa fordern die EU-Kommission auf, ein neues Vertragsverletzungsverfahren gegen Ungarn einzuleiten und sofortige Maßnahmen gegen queerfeindliche Gesetze im Land zu ergreifen.
Die Organisationen verweisen auf ein Gesetz, das den Einsatz von Gesichtserkennungssystemen bei der anstehenden Pride-Demonstration in Budapest erlaubt: Es verstoße klar gegen EU-Vorgaben für Künstliche Intelligenz (KI-Verordnung). Die Kommission müsse umgehend handeln um sicherzustellen, dass die Teilnehmenden der für Samstag geplanten Pride ihr Recht auf Versammlung und freie Meinungsäußerung wahrnehmen können. Auch soll sie von den ungarischen Behörden Informationen über den Einsatz und die technischen Details der Gesichtserkennung anfordern. Details hält die Regierung bislang unter Verschluss.
„Gefährlicher Präzedenzfall“
Ungarn hat Mitte März ein Gesetzespaket verabschiedet, das die Organisation und Teilnahme an Veranstaltungen wie der Pride unter Strafe gestellt. Die Regierung begründet dies mit dem angeblichen Schutz Minderjähriger. Seit dem 15. April drohen Geldstrafen und die Polizei darf Echtzeit-Gesichtserkennung einsetzen, um Demonstrierende zu identifizieren – obwohl es sich lediglich um eine Ordnungswidrigkeit handelt.
„Die Europäische Kommission muss sich einschalten und Ungarn und die Welt daran erinnern, dass die EU eine klare rote Linie gegen dystopische, diskriminierende und strafende Nutzungen von Technologien zieht“, fordert Ella Jakubowska, Leiterin der Abteilung Politik bei European Digital Rights (EDRi), welche den Brief mitgezeichnet hat.
Ádám Remport von der Hungarian Civil Liberties Union warnt, das Gesetz bedrohe nicht nur die Privatsphäre, sondern auch die Rechtsstaatlichkeit und eine Vielzahl von Menschenrechten. „Die Europäische Kommission muss entschlossen handeln, um zu verhindern, dass sich ein gefährlicher Präzedenzfall in der gesamten Union etabliert.“
Keine Bücher und Filme zu Queerness
Die Kommission hat bereits rechtliche Schritte gegen Ungarn wegen eines queerfeindlichen Gesetzes aus dem Jahr 2021 eingeleitet, das LGBTQ-Inhalte in Schulen, Buchläden und im Fernsehen verbietet. Kinder und Jugendliche haben seither kaum noch Zugang zu Informationen rund um queere Sexualität oder Transidentität. Werbung oder Sendungen zu diesen Themen sind aus dem Fernsehen verschwunden, Bücher dürfen nicht mehr offen im Buchladen ausliegen.
Anfang Juni stellte die Generalanwältin des von der Kommission angerufenen Europäischen Gerichtshof (EuGH) fest, dass das Gesetz und seine Argumentation, es gehe um den Schutz von Kindern, auf „Vorurteilen dazu beruht, dass das Leben von Homosexuellen und Nicht-Cisgender [Transgender] nicht den gleichen Wert hat”. Das Gericht hat noch kein Urteil gefällt, folgt aber meist der Einschätzung aus der Schlusserklärung.
Das „Kinderschutzgesetz“ dient auch als Rechtsgrundlage für das aktuelle Verbot von Versammlungen im Zusammenhang mit Queerness. Zwei queere Veranstaltungen wurden bereits auf Basis dieses Gesetzes untersagt, schreiben die Organisationen an die Kommission.
Bürgermeister widersetzt sich dem Verbot
Lange war ungewiss, ob und wie die traditionelle Budapest Pride in diesem Jahr stattfinden würde. Nach dem Verbot im März hatten die Veranstalter*innen angekündigt, an der Veranstaltungen festzuhalten. In der Folge begann ein Katz-und-Maus-Spiel zwischen der Budapester Polizei und der Stiftung, die die Pride ausrichtet. Die Organisator*innen versuchten zunächst, das Verbot zu umgehen, indem sie mehrere Veranstaltungen für denselben Tag anmeldeten. Die Polizei hat sie alle verboten.
Schließlich schaltetet sich Mitte Juni der liberale Bürgermeister von Budapest Gergely Karácsony ein. Gemeinsam mit dem Sprecher der Budapest Pride kündigte er per Video an, die Stadt werde die Veranstaltung als kommunalen „Tag der Freiheit“ ausrichten. Als Teil der Feierlichkeiten werde es auch eine Prozession durch die Innenstadt geben.
Dabei handele es sich um keine Demonstration. „Es wird keine Lastwagen, keine Tänzer*innen und keine Sexualität in irgendeiner Form geben“, schrieb er an die Polizei. Doch auch diese Veranstaltung hat die Polizei mittlerweile verboten. Sie verstoße gegen das neue Gesetz, argumentiert Polizeichef Tamas Terdik in dem 16-seitigen Dokument.
Der Bürgermeister hält daran fest, das Verbot sei irrelevant. Die Veranstaltung könne nicht verboten werden, weil sie nie als Demonstration angemeldet war. „Die Polizeibehörde von Budapest hat ein Verbot für eine nicht existierende Versammlung erlassen und hätte mit derselben Härte auch Einhörner verbieten können.“
EU-Abgeordnete und Bürgermeister*innen laufen mit
Zu der Veranstaltung am Samstag werden mehrere Zehntausend Menschen erwartet. Mehr als 70 Abgeordnete des EU-Parlaments haben bereits ihre Teilnahme angekündigt, darunter die Vorsitzende der Sozialisten und Demokraten (S&D) Iratxe García, die Vorsitzende der Liberalen Renew Europe Valérie Hayer und die Co-Vorsitzende der Grünen-Fraktion Terry Reintke.
Die niederländische Staatssekretärin für Bildung und mehrere Bürgermeister*innen großer europäischer Hauptstädte werden ebenfalls anwesend sein.
Die EU-Kommissarin für Gleichstellung Hadja Lahbib hatte ihre Teilnahme davon anhängig gemacht, ob die Veranstaltung verboten wird. In dem Fall hat sie angekündigt, sich am Vortag mit Aktivist*innen treffen zu wollen, aber nicht an der Pride teilzunehmen.
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen. Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
Ich gebe zu: Der Komfort von Fingerabdrucksensoren ist verlockend. Ein kurzer Druck auf den Sensor, schon ist das Handy per Fingerabdruck entsperrt. Kein Herumtippen auf dem Display, keine PIN, kein Muster. Gerade wenn man viel unterwegs ist, macht das den Alltag einfacher. Aber dieser Komfort hat seinen Preis und der wird nach einem aktuellen Urteil des Bundesgerichtshofs (BGH) deutlicher denn je.
Finger drauf – Tür auf: Was das BGH entschieden hat
Der BGH in einem gerade veröffentlichtem Urteil hat klargestellt: Ermittlungsbehörden dürfen Beschuldigte zwingen, ihr Smartphone per Fingerabdruck oder Gesichtserkennung zu entsperren. Die sogenannte Selbstbelastungsfreiheit (auch bekannt als nemo tenetur) greift dabei nicht – denn biometrische Entsperrung gilt juristisch als passiv. Solange ich also nicht aktiv eine PIN mitteile, ist der Zwang rechtlich zulässig.
Das Urteil (Az. 2 StR 232/24) findet sich hier im Volltext und ist in seiner juristischen Tragweite ziemlich deutlich: Der Staat darf bei entsprechender Verdachtslage biometrische Entsperrmethoden gegen den Willen der Betroffenen nutzen. Die Hürde liegt damit nicht mehr in der technischen Umsetzbarkeit, sondern nur noch in der rechtlichen Begründung durch die Ermittler.
Warum uns das alle betrifft – nicht nur Kriminelle
Natürlich wird niemand gezwungen, biometrische Sperren zu verwenden. Aber genau das ist der Punkt: Viele von uns tun es freiwillig, oft ohne zu wissen, was das im Ernstfall bedeutet. Wer glaubt, dass Datenschutz nur für „die mit was zu verbergen“ gilt, hat das Prinzip nicht verstanden. Es geht um Selbstbestimmung. Darum, wer Zugriff auf unsere privaten Daten hat – und unter welchen Bedingungen.
Unsere Smartphones enthalten weit mehr als nur Telefonnummern, Chats und Urlaubsfotos. Kalender, Standortverläufe, 2FA-Apps, Banking, Trading, Passwortmanager und vieles mehr. Wer Zugriff auf ein entsperrtes Gerät hat, kann in kürzester Zeit tiefe Einblicke in unser digitales Leben gewinnen. Umso wichtiger ist es, bewusst zu entscheiden, wie wir unsere täglich mit uns herumgetragenen Geräte schützen.
Apple iPhones und Android-Handys lassen sich bei Bedarf sehr schnell so sperren, dass biometrische Verfahren wie Fingerabdruck oder Gesichtserkennung nicht mehr funktionieren.
Biometrischen Entsperren temporär deaktivieren
Zum Glück bieten moderne Smartphones und Tablets mit Android oder iOS mittlerweile direkte Wege, biometrische Entsperrung wie eben den Fingerabdruck mit einem oder wenigen Knopfdrücken auszuschalten, ohne die Biometrie komplett zu deaktivieren. Das kann in Situationen wichtig sein, in denen ihr kurz davor steht, euer Gerät aus der Hand zu geben. Etwa bei einer Kontrolle oder Durchsuchung.
Android (Google, Samsung und Co.)
Allgemein (meiste Geräte): Ein/Aus-Taste lange gedrückt halten » Sperren
Google Pixel: Ein/Aus-Taste + Lauter gleichzeitig » Sperren
Damit wird die aktuelle Sitzung gesperrt und biometrische Entsperrung per Fingerabdruck oder Gesichtserkennung ist deaktiviert. Eine PIN oder ein Passwort ist danach zum Entsperren des Geräts zwingend erforderlich. Auch ein Neustart würde in diesem Fall nicht weiterhelfen, da sich das Gerät danach sowieso nur per Pin aufsperren ließe.
Hinweis: Wer möchte, kann das Verhalten der Powertaste in den Einstellungen von Android anpassen: Einstellungen » System » Touch-Gesten & Bewegungen » Ein-/Aus-Taste gedrückt halten » Ein-/Aus-Menü
Apple (iPhone, iPad, iOS)
5x schnell die Seitentaste drücken » biometrische Entsperrung wird deaktiviert (auch bekannt als Lockdown Mode)
Seit iOS 18.4 gibt es außerdem ein interessantes Detail: Wird das iPhone drei Tage lang nicht benutzt, startet es automatisch neu und wechselt in den sogenannten BFU-Modus („Before First Unlock“). Selbst professionelle Forensiklösungen wie Cellebrite haben dann (zumindest laut ihrer eigenen Aussage nach) Probleme, an die Daten zu kommen. Solange die PIN eben nicht bekannt ist.
Konsequenz: Komfort oder Kontrolle – ihr entscheidet
Ich will niemandem vorschreiben, wie ihr eure Geräte absichert. Aber ich finde es wichtig, die Folgen zu kennen. Biometrie ist bequem, aber eben auch angreifbar, gerade aus juristischer Sicht. Wer sich auf den Schutz durch Fingerabdruck oder Gesichtserkennung verlässt, sollte sich bewusst sein, dass dieser Schutz in bestimmten Situationen keinen Bestand hat. Die einfache Alternative: PIN oder Passwort und im Zweifel schnell auf den Sperren-Knopf. Damit behaltet ihr die Kontrolle darüber, wann euer Gerät entsperrt wird und vor allem, durch wen.
Die Fingerkuppen von Menschen sind biometrische Merkmale. – Public Domain Anna Roguszczak
Ein deutscher Kläger bringt die Zwangsabgabe von biometrischen Merkmalen vor das europäische Höchstgericht: Das Verwaltungsgericht Wiesbaden sieht grundsätzliche Rechtsprobleme, wenn für den Besitz eines Personalausweises die Abgabe der Fingerabdrücke verpflichtend ist. In einem Beschluss (pdf) legt das Gericht diese Rechtsfragen dem Europäischen Gerichtshof (EuGH) vor.
Die Verpflichtung für über dreihundert Millionen EU-Bürger, zwei Fingerabdrücke auf dem Ausweis in digitaler Form speichern zu lassen, geht auf die EU-Verordnung 2019/1175 zurück. Das Verwaltungsgericht begründet in seinem Beschluss seine Zweifel daran, dass die entsprechenden Vorschriften in dieser EU-Verordnung unionsrechtskonform sind. Zum einen bestünden rechtliche Zweifel schon durch das Zustandekommen der Verordnung außerhalb des eigentlich vorgeschriebenen ordentlichen Gesetzgebungsverfahrens, zum anderen sieht das Gericht die Europäische Grundrechtecharta verletzt. Das betrifft die Artikel 7 und 8 der Charta, die das Recht auf Achtung des Privat- und Familienlebens, der Wohnung und der Kommunikation sowie das Recht jeder Person auf Schutz der sie betreffenden personenbezogenen Daten festschreiben.
Außerdem legt das Gericht in seinem Beschluss dar, dass die Datenschutzgrundverordnung missachtet wurde. Es bezieht sich dabei auf Artikel 35 der DSGVO, in dem eine Datenschutz-Folgenabschätzung vorgeschrieben ist. Bevor eine Verarbeitung von sensiblen Daten wie Fingerabdrücken erfolgt, sollen dadurch vorab die Risiken analysiert werden. Eine solche Datenschutz-Folgenabschätzung hat es aber nicht gegeben.
Der Kläger wird vom Verein digitalcourage unterstützt, der gegenüber netzpolitik.org erklärt, die Fingerabdruck-Speicherpflicht verletze „unsere Grundrechte auf Privatsphäre und den Schutz unserer personenbezogenen Daten“. Der Verein bezweifelt auch, dass die auf dem Personalausweis gespeicherten Fingerabdrücke zu der versprochenen verbesserten Fälschungssicherheit führen. Wie auch das Gericht in seinem Beschluss darlegt, wäre damit nicht einmal die Notwendigkeit des schwerwiegenden rechtlichen Eingriffs einer zwangsweisen Abgabe von persönlichen Biometriedaten gegeben. Die Speicherung der Fingerabdrücke auf dem Personalausweis sei „ein unverhältnismäßiger Eingriff“, so digitalcourage.
Ein Musterexemplar des deutschen Personalausweises. - Public Domain Bundesrepublik Deutschland, Bundesministerium des Innern
Die Mehrheit von CDU, CSU und SPD im Bundestag hatte auf Grundlage der Verordnung im Jahr 2020 die verpflichtende Speicherung von Fingerabdrücken im deutschen Personalausweis beschlossen. In den dezentralen Melderegistern der Kommunen werden die biometrischen Daten zwar nicht gespeichert, aber auf einem Chip, der in der Plastikkarte des Ausweises eingelassen ist. In Deutschland werden – sofern das bei der beantragenden Person möglich ist – Abdrücke von beiden Zeigefingern genommen. Die EU-Verordnung sieht allerdings keine Festlegung auf einen bestimmten Finger vor.
Zuvor freiwillig, jetzt Pflicht: Fingerabdruck-Abgabe
Seit August 2021 müssen alle Menschen in Deutschland beim Beantragen eines Personalausweises zwei Fingerabdrücke hinterlassen. Das rief Kritiker auf den Plan: Bürgerrechtsorganisationen bewerteten diese Fingerabdruck-Pflicht als unvereinbar mit dem Grundgesetz. Schon im Prozess des Entstehens der Verordnung war auch der EU-Kommission bescheinigt worden, das Vorhaben sei ungerechtfertigt und nicht notwendig.
Doch was zuvor in Deutschland freiwillig war, wurde dennoch zur Pflicht. Das Fingerabdruck-Prozedere auf dem Amt kennen viele Menschen schon vom Reisepass, denn da besteht der Zwang schon einige Jahre länger. Die Verpflichtung zur Abgabe zweier Fingerabdrücke bei der Ausweisbeantragung ergibt sich konkret aus § 5 Abs. 9 des deutschen Personalausweisgesetzes, der wiederum auf der EU-Verordnung zur Erhöhung der Sicherheit der Personalausweise und Aufenthaltsdokumente beruht.
Gegen die Fingerabdruckabnahme wehrte sich ein Bürger und verlangte auf dem Amt einen Ausweis ohne die biometrische Vermessung. Als ihm das verwehrt wurde, zog er vor Gericht.
Das Verwaltungsgericht Wiesbaden hat überaus schnell reagiert und mit seinem Beschluss nun den EuGH hinzugezogen. Mit sehr hoher Wahrscheinlichkeit wird das europäische Höchstgericht erneut über die zwangsweise Erfassung von Fingerabdrücken entscheiden. Die anlassunabhängige Vermessung der biometrischen Merkmale von Menschen für ihre Identifikationspapiere ist nicht das erste Mal ein Fall für den EuGH. Zuletzt war dazu vor acht Jahren ein Urteil (vom 17. Oktober 2013) ergangen. Der damalige deutsche Kläger, der einen Reisepass ohne Fingerabdrücke ausgestellt bekommen wollte und mit seinem Fall ebenfalls in Luxemburg landete, hatte allerdings keinen Erfolg.
Im Beschluss des Wiesbadener Verwaltungsgerichts wird entsprechend betont und auch schlüssig begründet, dass die Funktion eines Ausweises nicht mit der eines Reisepasses vergleichbar sei. Die Chancen des Klägers dürften also hoch sein, dass der EuGH den Fall aufgreift.
Für den Fälschungsschutz ungeeignet
Dass diese obligatorische Abnahme von Fingerabdrücken ein Eingriff in Grundrechte ist, steht außer Frage. Artikel 7 und 8 der Grundrechtecharta sind klar betroffen. Aber ist er auch ungerechtfertigt und unverhältnismäßig? Dazu gehört die Frage, ob nicht auch geringere Eingriffe ausgereicht hätten.
Die EU-Verordnung 2019/1157 soll dem Schutz vor Fälschungen dienen und eine verlässliche Verbindung zwischen dem Inhaber und seinem Ausweis herstellen, um einer betrügerischen Verwendung vorzubeugen. In Erwägungsgrund 18 heißt es:
Die Speicherung eines Gesichtsbilds und zweier Fingerabdrücke […] auf Personalausweisen und Aufenthaltskarten […] stellt eine geeignete Kombination einer zuverlässigen Identifizierung und Echtheitsprüfung im Hinblick auf eine Verringerung des Betrugsrisikos dar, um die Sicherheit von Personalausweisen und Aufenthaltskarten zu verbessern.
Dass die Aufnahme von Fingerabdrücken für den Fälschungsschutz geeignet ist und damit Betrug und Identitätsdiebstahl verhindern kann, bezweifelt das VG Wiesbaden in seinem Beschluss ausdrücklich. Wenn schon das Gesicht einer Person zum Abgleich vorhanden ist, erschließt sich nicht, warum ein zweites Merkmal wie der Fingerabdruck erforderlich sein soll.
Im Erwägungsgrund 19 der Verordnung ist auch geregelt, dass die EU-Mitgliedstaaten zur Überprüfung der Identität eines Ausweisinhabers vorrangig das Gesichtsbild prüfen. Die Fingerabdrücke sollen höchstens bestätigend überprüft werden.
Der Beschluss des Gerichts greift mehrfach die Stellungnahme des Europäischen Datenschutzbeauftragten zur geplanten Einführung der Speicherung von Fingerabdrücken in Personalausweisen (pdf) aus dem Jahr 2018 auf, der weit vor dem Inkrafttreten schon kritisiert hatte, dass die Notwendigkeit des Fingerabdruckszwangs nicht begründet sei. Mit weniger eingriffsintensiven Maßnahmen könnte man das Ziel der Fälschungssicherheit auch erreichen, argumentierte er. Biometrische Daten seien nach EU-Recht besonders schützenswert, zumal wenn hier 370 Millionen Menschen betroffen sind.
Gefahr des Identitätsdiebstahls
Der Anwalt des Klägers, Wilhelm Achelpöhler, hatte die Klage erst Ende Dezember eingereicht. Der Beschluss des Gerichts erfolgte also sehr schnell, betont der Rechtsanwalt gegenüber netzpolitik.org. Wenn der Vorlagebeschluss des Verwaltungsgerichts Wiesbaden an den EuGH übermittelt worden sei, könnten neben dem Kläger und der beklagten deutschen Stadt auch die EU-Mitgliedstaaten und die EU-Kommission binnen zwei Monaten Schriftsätze an den Gerichtshof senden.
Nach den schriftlichen Stellungnahmen erwartet Achelpöhler eine mündliche Verhandlung am Gerichtshof. Der Anwalt sieht gegenüber netzpolitik.org seine Argumentation durch den Beschluss des Verwaltungsgerichts insgesamt bestätigt und wird auch beim EuGH den Mandanten vertreten.
Die Richter des Verwaltungsgerichts gehen über die Argumente in der Klage teilweise sogar hinaus und verweisen in ihrem Beschluss auch darauf, dass in den Ausweisen der gesamte Fingerabdruck gespeichert wird und nicht nur partielle Informationen. Dadurch erhöhe sich das Risiko eines Identitätsdiebstahls. Statt des gesamten Abdrucks hätten auch nur Teile der Minuzien auf den Fingerkuppen verwendet werden können, aus denen ein ganzer Fingerabdruck nicht mehr rekonstruierbar wäre. Darauf hatte bereits der Europäische Datenschutzbeauftragte hingewiesen.
Auch digitalcourage sieht eine Gefahr des Identitätsdiebstahls und eines „Datenlecks“, die unweigerlich bestünden. Konstantin Macher von Digitalcourage erklärte dazu in einer Pressemitteilung des Vereins vom 27. Januar: „Erfahrungsgemäß ist bei einem Datenleck die Frage nicht ob, sondern wann es passiert. Die Speicherung unserer kompletten Fingerabdrücke vergrößert die Gefahr eines Identitätsdiebstahls, sobald der RFID-Chip geknackt ist.“
Auf Nachfrage von netzpolitik.org, was mit dem „Knacken des RFID-Chips“ technisch gemeint sei, erklärt Macher, dass auch der Fall bedacht werden müsse, „wenn sich eines Tages die Verschlüsselung der Daten auf dem Personalausweis als nicht (mehr) sicher herausstellen sollte“. Denn auch eine starke Verschlüsselung könne keine absolute Sicherheit garantieren.
Vier Innenminister
Den Ausweis mit Chip gibt es seit mehr als elf Jahren, der Biometrie-Reisepass mit Chip wurde sogar schon einige Jahre zuvor eingeführt. Über 62 Millionen Deutsche besitzen mittlerweile ein Ausweis-Exemplar mit einem Funk-Chip (RFID).
Immerhin vier Innenminister haben ihren Anteil daran: Otto Schily (SPD) hatte nach dem elften September die Biometrie-Idee zunächst für den Reisepass stark protegiert, Wolfgang Schäuble (CDU) brachte sie durch das Bundeskabinett, Thomas de Maizière (CDU) durfte den Personalausweis mit biometrischen Daten und funkendem Chip präsentieren und Horst Seehofer (CSU) verpflichtete die Ausweisbesitzer zuletzt auch noch zur Fingerabdruckabgabe.
Die biometrischen Daten des Chips dürfen Polizeien, Zollverwaltung, Steuerfahndung und Meldebehörden auslesen, nicht aber private Akteure. Alle Personalausweise bleiben allerdings auch dann gültige Ausweisdokumente, wenn der Chip den Geist aufgibt und nicht mehr auslesbar ist. Die Fingerabdrücke sind dann verloren – anders als die Gesichtsbilder, die zwar dann auch nicht mehr digital ausgelesen werden können, aber wenigstens aufgedruckt sind und noch mit dem Gesicht des Inhabers verglichen werden können.
Viele glauben, dass es in Deutschland eine Personalausweispflicht gibt, aber das stimmt so nicht. Denn nach § 1 Abs. 2 Satz 3 des Personalausweisgesetzes besteht keine Pflicht zum Besitz eines Personalausweises. Wer etwa einen gültigen Reisepass hat, muss keinen Personalausweis besitzen. Eine „Ausweispflicht“ besteht also zwar, aber nicht im Wortsinn: Man muss sich mit einem hoheitlichen Dokument ausweisen können, nicht unbedingt aber mit einem Personalausweis. Dennoch zeigt schon die hohe Anzahl der Ausweise, die im Umlauf sind, dass die große Mehrheit der Deutschen einen Personalausweis hat.
Allein deswegen betrifft die EuGH-Vorlage des Verwaltungsgerichts Millionen Bürger und ihre persönlichen Biometriedaten. Sollte der EuGH im Sinne der Grundrechte entscheiden und die zwangsweise Erhebung der Fingerabdruckdaten für unverhältnismäßig befinden, dann wäre die Entscheidung nicht nur für den Kläger von Bedeutung, sondern verbindlich für alle EU-Staaten. Die verpflichtende biometrische Vermessung der Fingerkuppen könnte dann ein Ende finden.
