BKA: Biometrische Marktforschung ohne Rechtsgrundlage

Das BKA hat mehrere Millionen Gesichtsbilder aus INPOL-Z ohne Rechtsgrundlage an Fraunhofer weitergegeben. Dagegen klagt ein Betroffener mit Unterstützung des CCC.

When using the maps, content is loaded from third-party servers. If you agree to this, a cookie will be set and this notice will be hidden. If not, no maps will be displayed.

Hessisches LKA testet Pimeyes

In den Jahren 2021 und 2022 hat das Hessische LKA die Gesichtersuchmaschine Pimeyes getestet.

Der Hessische Datenschutzbeauftragte wurde dabei nicht informiert. Es gab auch keine Vereinbarung zur Auftragsdatenvereinbarung. Pimeyes wurde nicht ins Verfahrensverzeichnis aufgenommen. Es wurden keine Maßnahmen zur Sicherstellung der Rechte Betroffener getroffen.

Innenminister Peter Beuth meint, dass “die hessische Polizei Systeme zur automatischen Datenverarbeitung nur dann in den regulären Wirkbetrieb überführt, wenn die für einen Einsatz notwendigen rechtlichen Voraussetzungen erfüllt sind.” Bei einem Testbetrieb schert sich die Hessische Polizei offenbar weniger um die notwendigen rechtlichen Voraussetzungen.

Live-Gesichtserkennung im Frankfurter Bahnhofsviertel

Mit 50 Kameras überwacht die Polizei das Frankfurter Bahnhofsviertel. Seit dem 10. Juli 2025 werden dabei auch alle Gesichter der Passanten erfasst und abgeglichen.

Auch wenn nur bestimmte Personengruppen gesucht werden (“Vermisste und Opfer von Entführungen, Menschenhandel oder sexueller Ausbeutung sowie Gefahrenverursacher einer terroristischen Straftat“), muss das System dennoch zunächst alle Gesichter erfassen, um anschließend einen Abgleich vornehmen zu können.

Zwar soll diese “gezielte” Suche nur nach richterlichem Beschluss möglich sein. Doch im Umfeld des am zweitstärksten frequentierten Fernbahnhof Deutschlands, den täglich etwa 493.000 Menschen passieren, ist die Wahrscheinlichkeit hoch, dass sich immer eine gesuchte Person in der Nähe befindet. Daher kann man erwarten, dass die Gesichtserkennung praktisch dauerhaft in Betrieb ist.

Journalisten nutzen Pimeyes und helfen der Polizei

Ein Team um die Journalisten Khesrau Behroz und Patrick Stegemann sowie Michael Colborne vom Recherche-Netzwerk Bellingcat halfen der Polizei. Obwohl Gesichtersuchmaschinen wie Pimeyes und Clearview AI in der EU illegal sind, luden sie Fotos vom ehemaligen RAF-Mitglied Daniela Klette bei Pimeyes hoch. Damit wurde Klette auf der Webseite eines Capoeira-Vereins in Berlin identifiziert. Ihre Rechercheergebnisse wurden im Podcast Legion: Most Wanted im Dezember 2023 veröffentlicht. Wenige Wochen später wurde Klette festgenommen.

Automatische Gesichtserkennung im „Grenzgebiet“

Zur Bekämpfung schwerer grenzüberschreitender Kriminalität (wie Fahrraddiebstähle) ​wird ab 2019 Gesichtserkennung in einem 30km schmalen Streifen Nahe der Grenze eingesetzt. In der Evaluation wurde festgestellt, dass das Verfahren teuer ist und wenig bringt.

Der Einsatz des Personen-Identifikations-Systems (PerIS) sollte 2023 beendet werden, dann aber zur “Strafverfolgungsvorsorge” in manchen Orten sogar ausgeweitet. Die sächsische Polizei hatte das System ohne Einbezug der sächsischen Datenschutzbeauftragten entwickelt. Diese hält es für verfassungswidrig.

Neben Gesichtern kann das System auch Nummernschilder erfassen. Es gibt eine stationäre und eine mobile Variante. Im Rahmen der Amtshilfe wurde die Technik auch von anderen Bundesländern eingesetzt.

Sächsische “Grenzzone” (via https://www.sachsens-demokratie.net/mitmachen/material/)

Rechtswidriger Einsatz von Gesichtserkennung zu G20

Zum G20-Gipfel im Juli 2017 in Hamburg hat die Polizei Hamburg ohne Rechtsgrundlage die Gesichtserkennungssoftware Videmo 360 eingesetzt. Die Polizei fütterte die Software u.a. mit Bildern und Videos aus dem polizeieigenen Hinweisportal, mit eigenen Aufnahmen und Aufnahmen des ÖPNVs. Biometrische Daten von mehr als 100.000 Personen wurden gesammelt.

Der Hamburgische Datenschutzbeauftragte ordnete eine Löschung der Referenzdatenbank an. Die Löschanordnung wurde zunächst ignoriert, dann wurde die Anordnung vom Verwaltungsgericht kassiert. Polizei und Datenschutzbehörde stritten weiter und schließlich wurde das Verfahren ohne echtes Ergebnis eingestellt ‒ die Polizei löschte die Datenbank nach mehreren Jahren, so dass der Rechtsstreit für erledigt erklärt wurde.

Biometrische Videoüberwachung am Bahnhof Südkreuz

Von 2017 bis 2018 hat die Bundespolizei am Berliner Bahnhof Südkreuz mit Gesichtserkennung experimentiert. Sie wollte herausfinden, wie gut Gesichter in einer Menschenmenge erkannt werden. Die Polizei manipulierte die Ergebnisse, um sie weniger schlecht aussehen zu lassen und feierte das Experiment als großen Erfolg.

Die getesteten Systeme hatten eine so hohe Falscherkennungsrate, dass allein am Bahnhof Südkreuz mit seinen rund 90.000 Reisenden pro Tag täglich mindestens 600 Menschen fälschlicherweise als gesuchte Personen verdächtigt würden.

Gesichtserkennung im Berliner Zoo

Der Berliner Zoo plante 2021 Gesichtserkennung zur Einlasskontrolle mit Technik von HKS Systeme. Die Technik würde auch von anderen Zoos eingesetzt werden. Die Berliner Datenschutzbeauftragte kannte die Pläne nicht und auch die Berliner Politik war nicht begeistert. Erst wenige Monate zuvor hatte der Zoo Daten seiner Besucher*innen “verloren”.

Die Berliner Beauftragte für den Datenschutz schickte einen Fragenkatalog an den Zoo. Dieser kann bei FragDenStaat eingesehen werden. Anfang und Mitte 2022 lief das dazugehörige Prüfverfahren noch, so dass die Antworten des Zoos noch nicht befreit wurden. Der Zoo ruderte vorerst zurück.

Weitergabe und biometrische Verarbeitung von Bildern aus INPOL-Z

Im Jahr 2019 wurde das Fraunhofer-Institut für graphische Datenverarbeitung (IGD) vom Bundeskriminalamt (BKA) beauftragt, einen leistungstechnischen Vergleich von markterhältlichen Gesichtserkennungssystemen vorzunehmen. Vier Systeme verschiedener Hersteller sollten hinsichtlich ihrer Erkennungsleistung evaluiert werden. Hierfür stellte das BKA verschiedene Bildersammlungen, insgesamt ca. 8 Millionen Gesichts- und Halbprofilbilder, aus INPOL-Z zur Verfügung. Die INPOL-Datei enthält vorwiegend Bilder aus erkennungsdienstlichen Behandlungen. Viele Bilder werden rechtswidrig gespeichert. Der von Fraunhofer angefertigte Evaluationsbericht wurde mit FragDenStaat befreit und kann hier abgerufen werden.

Seit April 2021 prüft der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI), ob die Weitergabe der Bilder und die mit dem Test einhergehende Verarbeitung biometrischer Daten datenschutzrechtlich zulässig war. Weitergabe und die biometrische Verarbeitung waren jedoch nicht Gegenstand seiner INPOL-Z-Prüfung im Oktober 2021. Auch im April 2022 sollte die Prüfung noch andauern.

Gesichtsbilder von Personen, die zwischen 2012 und 2019 zu einer erkennungsdienstlichen Behandlung gezwungen wurden, könnten also zu Forschungszwecken an das Fraunhofer-Institut gelangt sein. Die mutmasslich Betroffenen können ihr Beschwerderecht gemäß Art. 77 DSGVO nutzen, um sich beim BfDI, der datenschutzrechtlichen Aufsichtsbehörde des BKAs, zu beschwerden, auch online.