Datenschutznovelle: Polizei und Bürgerrechtler für Verbot von Gesichtserkennung
Bei einer Bundestagsanhörung gab es überraschend Konsens: Biometrische Überwachung im öffentlichen Raum sollte untersagt werden. Scoring-Regeln sind umstritten.
(Bild: LuckyStep/Shutterstock.com)
Bei einer Anhörung im Bundestag zum Gesetzentwurf der Bundesregierung für eine erste Novelle des Bundesdatenschutzgesetzes (BDSG) nahm ein Punkt großen Raum ein, der in dem Vorhaben bislang gar nicht enthalten ist: Ein Verbot biometrischer Überwachung etwa durch automatisierte Gesichtserkennung im öffentlichen Raum. Die Aufnahme dieser Vorgabe forderten vor allem Matthias Marx vom Chaos Computer Club (CCC) und Simone Ruf von der Gesellschaft für Freiheitsrechte (GFF) ein. Überraschend stellte auch Eike Richter, Staatsrechtler an der Akademie der Polizei Hamburg, klar, dass er gegen ein solches Verbot verfassungsrechtlich keine Bedenken habe. Der Gesetzgeber könnte sogar grundrechtlich verpflichtet sein, eine solche Klausel einzufügen.
Bei den Verhandlungen über die neue KI-Verordnung der EU galt vor allem Live-Gesichtserkennung als heißes Eisen. Das EU-Parlament forderte anfangs ein allgemeines Verbot biometrischer Massenüberwachung, die Mitgliedsstaaten waren dagegen. Die finale Fassung sieht vor, dass eine Echtzeit-Identifikation "zeitlich und örtlich begrenzt" möglich sein soll, insbesondere zur gezielten Suche nach Opfern von Entführungen, Menschenhandel und sexueller Ausbeutung oder zur Abwehr "einer konkreten und gegenwärtigen terroristischen Bedrohung".
Die Ampel-Koalition ist sich einig, dass sie verbliebene Hintertüren im AI Act für biometrische Überwachung nicht nutzen, sondern Instrumente wie automatisierte Gesichtserkennung eingrenzen will. Eigentlich seien hierzulande solche Formen der Fernidentifikation für die Polizei "jetzt schon verboten, solange es nicht erlaubt ist", erläuterte Richter. Aktuell handle es sich aber offenbar um einen "unwirksamen Vorbehalt". Wenn dieser nicht greife, sollte angesichts der mit dem Instrument verknüpften Eingriffe in das Recht auf informationelle Selbstbestimmung ein explizites Verbot Vorrang haben. Als Parallele nannte der Polizeirechtler das Folterverbot. Die KI-Verordnung beziehe sich zwar insbesondere auf die Regulierung technischer Systeme. Trotzdem könnte eine gesetzliche Untersagung "breiter bleiben" und gegebenenfalls auch den Privatsektor einschließen.
Dystopie der allgegenwärtigen Erfassung
Zunehmend würden Fälle bekannt, in denen Polizeibehörden biometrische Überwachungssysteme missbräuchlich und ohne rechtliche Grundlage einsetzten, verwies Marx vom CCC etwa auf die im Auftrag einer sächsischen Polizeidirektion entwickelte heimliche Observationstechnik PerIS, die mittlerweile auch für Strafverfolger in anderen Bundesländern im Einsatz ist. Die Polizei habe sich dabei auch der demokratischen Kontrolle entzogen. So sei PerIS in Sachsen erst durch eine parlamentarische Anfrage breiter bekannt geworden. "Zwangsmittel der Behörden fehlen", warb Marx zugleich für den Appell der Konferenz der Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK), Geldbußen gegenüber der öffentlichen Verwaltung verhängen zu können.
Biometrische Überwachungssysteme führten im öffentlichen Raum zu einer allgegenwärtigen Erfassung, gab der Hacker zu bedenken. Jeder Schritt werde aufgezeichnet und könne dank eindeutiger körperlicher Erkennungsmerkmale detailliert ausgewertet werden. Doch wer sich überwacht fühle, könnte sich etwa gegen die Teilnahme an einer Demonstration entscheiden. Diesem Prozess müsse Einhalt geboten werden.
Das BDSG sei besonders gut geeignet, um ein Verbot biometrischer Fernidentifikationssysteme zu verankern, ergänzte Ruf von der GFF. So enthalte dieses schon Vorschriften für biometrische Datenverarbeitungen. Zudem gelte es für private Firmen, öffentliche Stellen des Bundes und behelfsmäßig auch für die der Länder. Generell arbeite automatisierte Gesichtserkennung nicht diskriminierungsfrei und identifiziere "gerade nicht-weiße Menschen häufig falsch". Das erschwere auch die Polizeiarbeit. Bei einem unberechtigten Zugriff auf gesammelte biometrische Daten lasse sich das betroffene Merkmal zudem nicht mehr ändern.
Was dürfen Schufa & Co. fürs Scoring nutzen?
Weiterer Streitpunkt: Die Regierung will auch festlegen, dass Daten wie die Wohnadresse, Name oder Angaben aus sozialen Netzwerken künftig nicht mehr genutzt werden können sollen, um die Zahlungsfähigkeit von Verbrauchern per Scoring einzuschätzen. Wahrscheinlichkeitswerte dürften nur noch erstellt oder verwendet werden, wenn die einbezogenen personenbezogenen Daten für "keine anderen Zwecke verarbeitet werden". Johannes Müller vom Bundesverband der Verbraucherzentralen (vzbv) bezeichnet es als "wichtig, dass bestimmte Kategorien nicht verwertet werden". Sonst könnten Nutzer auch ihr Verhalten in Social Media oder ihre Adresse selbst als Ziel identifizieren, um ihren Score zu erhöhen.
Die künftige Bundesdatenschutzbeauftragte Louisa Specht-Riemenschneider lobte die vorgesehenen Einschränkungen bei automatisierten Entscheidungen auf Basis von Scoring durch die Schufa & Co. als "ausgewogenen Vorschlag". Dieser werde aber nicht reichen, um unausgewogene Bewertungspraktiken in den Griff zu bekommen. "Der Elefant im Raum" seien dabei Zahlungsdienstleister wie Paypal oder Klarna, für die die Vorgaben nicht griffen. Die Bonner Rechtsprofessorin riet daher, auch Artikel 18 der Verbraucherschutzrichtlinie umzusetzen und so die Akteure mit einzuschließen. Genauso wie der amtierende Bundesdatenschützer Ulrich Kelber und der hessische Datenschutzbeauftragte Alexander Roßnagel sprach sich Specht-Riemenschneider zudem dafür aus, die geplanten Beschränkungen des Auskunftsrechts zur Wahrung von Betriebs- und Geschäftsgeheimnissen zu streichen.
Die Verbote beim Scoring für zu weit gefasst hielt dagegen der Passauer Staatsrechtler Meinhard Schröder. Ein "Totalverbot spezieller Kategorien" persönlicher Informationen wie die ethnische Herkunft, biometrische Merkmale und Gesundheitsdaten sei nicht von der Datenschutz-Grundverordnung (DSGVO) gedeckt. Auch der Ausschluss sozialer Netzwerke gehe zu weit: Eine Facebook-Seite etwa sei "offener" als eine normale Webseite. Drohende "Missverständnisse und Rechtsunsicherheiten" befürchtete auch der Münchner Rechtsprofessor Boris Paal bei den prinzipiell gebotenen, aber übers Ziel hinausschießenden Einschränkungen bei automatisierten Entscheidungen.
