BKA zu Softwaretests mit Millionen Polizeifotos: Die DSGVO lässt das zu

Darf das BKA Millionen Polizeifotos benutzen, um Gesichtserkennungssoftware zu testen? Die Rechtslage ist unklar.

In Pocket speichern vorlesen Druckansicht 28 Kommentare lesen

Blick in ein Rechenzentrum des Bundeskriminalamts.

(Bild: BKA)

Lesezeit: 3 Min.

Eine moderne Gesichtserkennung ist für das Bundeskriminalamt (BKA) sehr wichtig, um Straftaten zu verfolgen und Gefahren abzuwehren. Ebenso wichtig sei es, Zuordnungsfehler zu vermeiden, schreibt ein Sprecher des BKA in einer Stellungnahme gegenüber heise online. Weil Veröffentlichungen wie des US-amerikanischen NIST aus dem Jahr 2014 vermuten ließen, dass es noch leistungsfähigere Algorithmen gibt als die von der damals in der Polizeibehörde verwendeten, habe das BKA 2016 eine Projektgruppe eingerichtet, die Alternativen erkunden sollte. In dem Zug hat das BKA 4,8 Millionen Gesichtsbilder aus dem Informationssystem INPOL-Z extrahiert und zusammen mit dem Fraunhofer-Institut für Graphische Datenverarbeitung (Fraunhofer IGD) für Softwaretests verwendet.

Der Vorgang wurde durch Anfragen des Sprechers des Chaos Computer Clubs auf der Plattform Frag den Staat dokumentiert, darüber berichtete vergangene Woche der BR. Dabei wurde deutlich, dass es über die juristische Grundlage derartiger Softwaretests unterschiedliche, zumindest differenzierte Auffassungen gibt. Das BKA betonte nun gegenüber heise online, gerade angesichts der hohen Bedeutung der Gesichtserkennung für die Strafverfolgung und Gefahrenabwehr, zur Vermeidung von Zuordnungsfehlern und insbesondere um die Sicherheit und Zuverlässigkeit der Datenverarbeitung zu gewährleisten, seien diese Tests nach der Datenschutz-Grundverordnung (DSGVO) erlaubt. Konkret bezieht sich das BKA dabei auf Art. 6 Abs. 1 lit. c und Art. 9 Abs. 2 lit. g der DSGVO, verbunden mit Paragraf 64 des Bundesdatenschutzgesetzes (BDSG).

Auf Artikel 6 der DSGVO bezieht sich in einer Stellungnahme gegenüber heise online auch Wenke Kant, Sprecherin des Bundesbeauftragten für den Datenschutz. Auf dieser Grundlage dürften Polizeibehörden testen. "Gleichzeitig muss die eingesetzte Gesichtserkennungssoftware regelmäßig evaluiert und getestet werden, um Fehler, Diskriminierungen, Missbrauchsgefahren und IT-Sicherheitsrisiken zu verhindern." Die Rechtslage dafür sei unbefriedigend. Von daher habe der Datenschutzbeauftragte gefordert, eine spezifische Rechtsgrundlage zu schaffen.

Kant erläutert, das BKA habe mit dem Testen der Gesichtserkennungssoftware Vorkehrungen dafür getroffen, dass die eingesetzte Software nicht zu falschen Ergebnissen führt. Dies sei auch datenschutzrechtlich im Interesse der Richtigkeit und Sicherheit der Datenverarbeitung geboten. Die Wahl einer im Ergebnis falschen Rechtsgrundlage führe nicht zwingend dazu, dass die Datenverarbeitung rechtswidrig sei.

In dieser Diskussion sollte Paragraf 49 Satz 2 des BDSG beachtet werden, erklärt Kant. Demnach dürfen Daten, die einmal zu polizeilichen Zwecken erhoben wurden, auch zu anderen Zwecken verarbeitet werden, wenn eine Rechtsvorschrift dies vorsieht. Eine "andere Rechtsvorschrift" könne auch die DSGVO sein. Das BKA habe dem Bundesdatenschützer gegenüber zudem versichert, dass es dem Fraunhofer IGD nie Gesichtsbilder oder andere personenbezogene Daten übermittelt habe.

(anw)