27. April 2017
Am Bahnhof Südkreuz in Berlin sind sie schon probeweise im Einsatz: Videokameras, die Kriminelle, Terroristen oder sogenannte Gefährder mittels Gesichtserkennung identifizieren sollen. Das Projekt des Bundesinnenministeriums sorgte für heftige Kontroversen: Wie ist die rechtliche Lage beim Einsatz von intelligenter Videoüberwachung, und was folgt daraus für den Datenschutz?
Seit August 2017 richten in Berlin drei unscheinbare Kameras am Bahnhof Südkreuz ihre Linsen auf einen Eingang, einen Ausgang und eine Rolltreppe. Optisch unterscheiden sie sich nicht von den Videokameras, die bereits vielerorts in Bahnhöfen eingesetzt werden . Doch die blauen Hinweisfelder in ihrer Umgebung machen auf eine Besonderheit aufmerksam: „Pilotprojekt Gesichtserkennung. Erkennungsbereich“ ist hier zu lesen. Denn die aufgenommenen Videos werden von einer Software verarbeitet, die versucht, die Gesichter von 300 vorab registrierten Testpersonen zu identifizieren. Mit dem Pilotprojekt möchte das Bundesinnenministerium testen, ob sich über die Technik gesuchte Straftäter, Terroristen oder sogenannte Gefährder automatisch und verlässlich erkennen lassen. Die Erwartungen der Behörde: „Durch den Einsatz intelligenter Gesichtserkennungssysteme können zukünftig wesentlich bessere Ergebnisse für die Sicherheit der Bürgerinnen und Bürger erzielt werden“, so heißt es in einer Pressemitteilung des Innenministeriums. Videoüberwachung mit Gesichtserkennung soll die Verbrechensbekämpfung verbessern und die Aufklärung beschleunigen. Im Dezember 2017 zog der damalige Innenminister Thomas de Maizière eine positive Zwischenbilanz: Die Erkennungsquote sei erfreulich hoch. Bei einem positiven Endergebnis sei darum eine flächendeckende Einführung der automatisierten Gesichtserkennung auf Bahnhöfen und Flughäfen denkbar .
Wirksames Mittel gegen Straftaten?
Datenschützer betrachten das Thema zum Teil aus einer anderen Perspektive: Durch die intelligente Videoüberwachung könne der Staat Bewegungsmuster seiner Bürger erstellen und sie auf Schritt und Tritt verfolgen. Ob dies tatsächlich für mehr Sicherheit sorgt, wird verschiedentlich bezweifelt. Denn was würde passieren, wenn über die Gesichtserkennung wirklich ein Terrorist identifiziert wird? Die Polizei müsste dann schnell genug vor Ort sein können, um ihn an seinem Tun zu hindern. Das gibt auch der Jurist Dennis-Kenji Kipker zu bedenken. „Intelligente Videoüberwachung kann bestenfalls die Fahndung erleichtern und eventuell dazu dienen, Tatmuster zu erkennen. Verhindern lassen sich Straftaten dadurch kaum“, sagt der wissenschaftliche Geschäftsführer des Instituts für Informations-, Gesundheits- und Medizinrecht (IGMR) an der Universität Bremen, der zugleich Vorstandsmitglied der Europäischen Akademie für Informationsfreiheit und Datenschutz (EAID) ist. „Die Wahrscheinlichkeit, individuell identifiziert zu werden, liegt deutlich höher als bei herkömmlichen Kameras. Zudem müssen im Vorfeld grundsätzlich zusätzlich noch weitere Daten gespeichert werden, mit denen diese individuelle Identifikation stattfinden kann.“ Aufgrund dieses Aspekts hat die oberste Berliner Datenschützerin Maja Smoltczyk ebenfalls Vorbehalte geäußert. Jörg Schlißke, Datenschutzexperte von TÜViT, geht noch einen Schritt weiter: „Das Grundrecht der informationellen Selbstbestimmung darf hier zugunsten eines Generalverdachts gegenüber den Bürgerinnen und Bürgern nicht aufgeweicht werden.“ Denn sämtliche Menschen, die täglich durch das Blickfeld der Kameras liefen, seien aus Sicht des Staates prinzipiell verdächtig – und zudem der Gefahr falscher Verdächtigung durch mögliche Fehlfunktionen der Technik ausgesetzt.
„Nur auf eine abstrakte Gefährdungslage oder vergleichbare Fälle zu verweisen genügt den Anforderungen der DSGVO daher nicht.“
Anonymes Bewegen in der Öffentlichkeit: ein Grundrecht?
Ob und in welchem Umfang die intelligente Videoüberwachung eingesetzt werden darf, ist rechtlich fraglich, erläutert Jörg Schlißke. Die Datenschutz-Grundverordnung (DSGVO) und das BDSG-neu verlangten eine Abwägung im Einzelfall und den Nachweis einer konkreten Bedrohung „Nur auf eine abstrakte Gefährdungslage oder vergleichbare Fälle zu verweisen genügt den Anforderungen der DSGVO daher nicht“, sagt Schlißke. Sprich: Nur weil die Terrorgefahr in Deutschland generell gestiegen ist, können nicht auf jedem Platz und in jedem Bahnhof prophylaktisch Kameras mit eingebauter Gesichtserkennung installiert werden. Die Bundesregierung und das Innenministerium würden den Einsatz von Videoüberwachung gerne auf Fußballstadien, Einkaufszentren, weitere Bahnhöfe oder öffentliche Verkehrsmittel ausweiten. In diesem Sinne wurde 2017 das Bundesdatenschutzgesetz ergänzt. Die entscheidende Frage lautet aber auch hier: Genügt künftig der Verweis auf eine theoretische Terrorgefahr, damit beispielsweise Betreiber von Einkaufszentren Überwachungskameras einsetzen dürfen, oder müssen sie eine konkrete Bedrohungslage nachweisen? Die Videoüberwachung von Fußballstadien oder Konzerten unter Sicherheitsaspekten kann von Fall zu Fall durchaus legitim sein, meint der Datenschutzexperte von TÜViT. Die Verwendung von Technik zur automatischen Gesichtserkennung etwa in Einkaufszentren kommt für ihn jedoch nicht infrage. „Ein solches Szenario widerspricht dem Grundsatz der Erforderlichkeit. Das wäre, als würde man mit Kanonen auf Spatzen schießen, denn es gibt mit Sicherheit ein geringeres Mittel – eines, das keine Biometrie verlangt.“
„Intelligente Videoüberwachung ist aus datenschutzrechtlicher Sicht ein hohes Risiko“
Fraglich ist aber auch, ob Gesichtserkennung durch staatliche Stellen grundsätzlich mit der Datenschutz-Grundverordnung vereinbar ist. Prinzipiell setzt die DSGVO der Verarbeitung biometrischer Daten enge Grenzen. Zulässig ist sie nur, wenn die Betroffenen ausdrücklich einwilligen – so wie die Testpersonen am Südkreuz – oder wenn die Identifizierung aus Gründen eines erheblichen öffentlichen Interesses erforderlich ist. Auf das letztgenannte Argument können sich in erster Linie Sicherheitsbehörden stützen, beispielsweise bei der Verfolgung schwerer Straftaten. Es dürfte auch dieser Grund sein, auf den sich das Innenministerium bezieht.
Generell wirft ein möglicher Einsatz von Gesichtserkennung aus der Perspektive von Datenschützern wie Kipker und Schlißke eine ganze Reihe offener Fragen auf: Woher stammen die biometrischen Daten aus den Datenbanken, mit denen abgeglichen wird? Wie lange werden die Daten der erfassten Bürger gespeichert? Wo werden sie aufbewahrt? Wer hat Zugriff auf die Daten? Wie werden die Datensicherheit und die Zweckbindung gewährleistet? Wie wird sichergestellt, dass die Daten tatsächlich nur für den jeweiligen Zweck verwendet und nicht etwa an ausländische Nachrichtendienste weitergegeben werden? „Das ist alles noch nicht geklärt“, so Schlißke.
Vor einem möglichen Einsatz intelligenter Videoüberwachung plädiert Kipker für bundeseinheitliche Normen: zum Beispiel für eine unabhängige Treuhandstelle. Anstatt bei einzelnen Polizeibehörden würden die Daten hier zentral gespeichert – Polizei und betroffene Bürger könnten so darauf zugreifen. Ein Modell, das auch Jörg Schlißke von TÜViT prinzipiell für sinnvoll hält und für das er zugleich weitergehende technische und organisatorische Maßnahmen empfiehlt.
Als eines der führenden Prüfdienstleistungsunternehmen für IT-Sicherheit und Datenschutz beschäftigt sich die TÜV Informationstechnik (TÜViT) täglich mit derlei Lösungsansätzen. So ist es bereits frühzeitig bei der Planung und Durchführung von Videoüberwachung möglich, nachhaltige Lösungskonzepte zu erarbeiten, um einen bestmöglichen Interessenausgleich zwischen dem öffentlichen Sicherheitsinteresse und den Grundrechten der Bürger zu generieren, erklärt Jörg Schlißke. „Wir Datenschützer argumentieren immer nach dem Prinzip der Erforderlichkeit: Gibt es ein geringeres Mittel, das weniger in die Schutzrechte der Bürger eingreift, müssen diese Maßnahmen zum Tragen kommen.“ Die Verantwortlichen für die Videoüberwachung müssten zum Beispiel prüfen, inwieweit eine Überwachung zeitlich eingeschränkt werden kann und welche Bereiche ausgeblendet oder verpixelt werden können. Schon bei der Beschaffung und Installation der Technik sollte auf „eingebauten Datenschutz“ geachtet werden. Nicht zwingend benötigte Funktionen wie freie Schwenkbarkeit, Zoomfähigkeit und Funkübertragung dürften von der eingesetzten Technik nicht unterstützt werden. Außerdem sollten überzogene Speicherfristen unbedingt vermieden werden – darin sind sich die Datenschutzexperten Schlißke und Kipker einig.
Das könnte Sie auch noch interessieren
ZUR PERSON
Jörg Schlißke ist Produktmanager für Datenschutzqualifizierung bei TÜViT. Mit seinem Team ist der Wirtschaftsjurist verantwortlich für Datenschutzberatung, Datenschutzbegutachtung und Zertifizierung zum Datenschutz und zur Datensicherheit. Zudem ist er Leiter der Fachstelle für Datenschutzsachverständige beim Unabhängigen Landeszentrum für Datenschutz in Schleswig-Holstein.
Dennis-Kenji Kipker ist Wissenschaftlicher Geschäftsführer des Instituts für Informations-, Gesundheits- und Medizinrecht (IGMR) an der Universität Bremen und Mitglied des Vorstands der Europäischen Akademie für Informationsfreiheit und Datenschutz (EAID) in Berlin. Schwerpunktmäßig beschäftigt sich der Informationsrechtler mit IT-Sicherheit, Datenschutz und staatlicher Überwachungstätigkeit. Dabei plädiert Kipker für eine „informationelle Waffengleichheit“ zwischen den Sicherheitsbehörden und der Öffentlichkeit. Der Einsatz von Überwachungstechnologie sollte stets durch Vorkehrungen zugunsten der Bürger ausgeglichen werden, um den damit verbundenen Eingriff in deren Grundrechte verhältnismäßig zu gestalten.