Gesichtsdaten an Forscher weitergegeben? IT-Sicherheitsexperte verklagt das BKA

close notice

This article is also available in English. It was translated with technical assistance and editorially reviewed before publication.

Don’t show this again.

Der IT-Sicherheitsexperte und Hacker Janik Besendorf hat am Freitag mit Unterstützung des Chaos Computer Clubs (CCC) Klage gegen das Bundeskriminalamt (BKA) beim Verwaltungsgericht Wiesbaden eingereicht. Er wirft der Behörde vor, seine biometrischen Gesichtsdaten unrechtmäßig verarbeitet und vermutlich auch an Dritte für Probeläufe zur biometrischen Gesichtserkennung weitergegeben zu haben.

Konkret richtet sich die Klage laut dem CCC gegen eine Kooperation des BKA mit dem Fraunhofer-Institut für Graphische Datenverarbeitung (IGD). Dabei soll die Wiesbadener Polizeibehörde knapp 5 Millionen Gesichtsdaten aus der polizeilichen Verbunddatei Inpol-Zentral (Z) zweckentfremdet und ohne Rechtsgrundlage ans IGD übermittelt haben. Die Bilder dienten als Testmaterial für vier neue BKA-Gesichtserkennungssysteme.

Besendorf, dessen Gesichtsfoto nach einer erkennungsdienstlichen Behandlung unter dem Vorwurf des Hausfriedensbruchs 2018 in die INPOL-Z-Datenbank gelangte, fühlt sich damit unwissentlich zu einem Testobjekt gemacht. Mit einem potenziell möglichen Löschantrag zu seinen Fotos will Besendorf laut Netzpolitik.org noch warten, bis das Verfahren abgeschlossen ist. Das soll verhindern, dass Beweise zerstört werden.

Streit mit der Datenschutzaufsicht

Die BKA-Vorgehensweise wurde 2021 durch eine Anfrage des CCC-Sprechers Matthias Marx über das Informationsfreiheitsgesetz (IFG) bekannt. Der damalige Bundesdatenschutzbeauftragte Ulrich Kelber sah die Praxis der Ermittler als problematisch an, doch eine anschließende Beschwerde von Besendorf blieb erfolglos.

Laut Netzpolitik.org schrieb das BKA der Datenschutzbehörde: Die Bilddaten hätten die Behörde nicht verlassen "und standen Mitarbeitenden des Fraunhofer IGD auch nicht zur Einsichtnahme zur Verfügung". Beim Test seien strenge Datenschutzmaßnahmen ergriffen worden. Das genutzte Computersystem sei passwortgeschützt und in einem abgeschlossenen Raum untergebracht gewesen, zu dem nur das Projektteam Zugang gehabt habe. Zudem sei der Rechner nie mit dem Internet oder anderen polizeilichen Systemen verbunden gewesen. Die Fotos sollen auf einer verschlüsselten Festplatte transportiert worden sein, nach dem Einlesen wurden die USB-Anschlüsse des Systems deaktiviert.

Neues "Sicherheitspaket" in der Mache

An anderer Stelle hat es dem Bericht nach jedoch geheißen, IGD-Experten seien – unter BKA-Aufsicht – im Rechnerraum gewesen. Politiker der Linken monierten damals, der ganze Vorgang stehe "exemplarisch für den Umgang der Sicherheitsbehörden mit den Anforderungen des Datenschutzes". Entweder werde die entsprechende Aufsicht gar nicht eingebunden, deren Zuständigkeit bestritten oder das Erfordernis einer gesetzlichen Grundlage geleugnet.

Bei deutschen Sicherheitsbehörden spielt die automatisierte Gesichtserkennung eine immer größere Rolle. Schon 2023 führt die hiesige Polizei in Inpol-Z fast 6,7 Millionen relevante Lichtbilder zu gut 4,6 Millionen Personen. Das nutzt bereits seit 2008 das Gesichtserkennungssystem GES. Die Zahl der damit durchgeführten Recherchen steigt seit Jahren rasant an. Mit einem neuen, heftig umkämpften "Sicherheitspaket" will Bundesinnenminister Alexander Dobrindt (CSU) die Befugnisse der Strafverfolger in diesem Bereich massiv ausgebaut werden.

(nen)