LDN 399 Polizei solle Gesichterkennung nicht nutzen

Ich muss sagen, ich kann der Argumentation die von Philip bei 1:28:00ff der Lage getroffen wird, nicht zustimmen:

(sinngemäße Zusammenfassung)
Philip baut hier erst das Argument auf „man könnte ja argumentieren, dass die Datenbanken zur Gesichtserkennung jetzt in der Welt sind und nicht mehr weggehen und daher die Strafverfolgungsbehörden diese nutzen können sollten“
und antwortet darauf dann mit
„Selbst wenn man davon aussgeht, dass die Datenbanken nicht mehr weggehen, muss man ja trotzdem nicht den deutschen Polizeibehörden erlauben diese Technik zu nutzen. Man kann ja trotzdem sagen ‚unsere Polizei, unsere Geheimdienste dürfen so etwas nicht nutzen.‘“

Also da kann ich nicht mitgehen. Um es vorweg ganz deutlich zu sagen: Ich bin absolut dagegen, dass Polizeibehörden derlei Datenbanken nutzen dürfen!

Aber die Antwort darauf, dass das Problem in der Welt ist, müsste doch eine Regulierung dahingehend sein, dass die Nutzung solcher Datenbanken (in der EU) für alle Menschen verboten ist und nicht, dass nur die Strafverfolgungsbehörden diese Datenbanken nicht nutzen dürfen, oder nicht? Wie sähe denn eine Welt aus, in der wir nur den Strafverfolgungsbehörden verbieten, derlei Technologie zu benutzen, aber den Privatanwendern nicht? Da kursiert dann nach einem Kapitalverbrechen ein Foto und die Polizei sucht mit herkömmlichen Methoden nach den Verdächtigen/Zeugen die dort zu sehen sind, während Hans und Franz per Datenbanksuche nach einer Minute bereits Namen und Anschrift der Person ermittelt haben? Was würde das denn auch mittelfristig für das Vertrauen in die Strafverfolgungsbehörden bedeuten, wenn sie ständig hinterhinken, weil sie im Gegensatz zu allen anderen Akteuren (bspw. Journalisten) bei der Technologienutzung gehandicapped sind?

Vielleicht habe ich die Aussage an der Stelle auch falsch verstanden, aber ich halte „diese Technologie nur für Strafverfolgungsbehörden verbieten“ für keinen sinnvollen Ansatz. Daher müsst aus meiner Sicht die Technologie entweder für alle in der EU verboten werden (damit auch die Arbeitgeber nicht mehr sehen können, auf welcher Demo ich war), oder - mein weniger präferierter Weg - für alle erlaubt sein (für die Behörden, dann trotzdem mit ganz erheblichen Leitplanken). Aber nur die Strafverfolgungsbehörden von der Nutzung zu exkludieren ist mMn keine sinnvolle Lösung, denn auch wenn diese auf keinen Fall übermächtig werden sollen, sollten man sie auch nicht zum einzigen Blinden in einem Raum voller Sehender degradieren.

(Ich bin jetzt kein Techwiz, der wüsste, wie man ein EU-weites Verbot sinnvoll umsetzen kann. Was ist mit VPN Nutzung? Was ist wenn ich nen amerikanischen Privatdetektiv engagiere der solche tools benutzt und mir am Schluss eine Antwort auf meine Frage liefert, von der ich nicht weiß, wo sie herkommt? etc Also mir ist bewusst, dass ein EU-weites Verbot da nicht problemlos wäre, aber zumindest könnnte erstmal niemand bei X posten, dass er den Tatverdächtigen XY durch Gesichtserkennung Z schon identifiziert hätte, während die Polizei im dunkeln tappt - denn das wäre dann illegal)

Nach meinem Verständnis geht es nicht darum, dass die Polizei die beiden kommerziellen Datenbanken nutzen soll, die beliebigen Fotos von Menschen im Internet mit sensiblen, personenbezogenen Daten kombinieren und diese Hinz und Kunz zum Abruf auf Basis eines hochgeladenen Fotos anbieten.

Hier geht es offenbar darum, dass der Staat selbst eine solche Datenbank anlegen soll. So jedenfalls verstehe ich den Kommentartor aus dem Heiseverlag, auf den die Hosts verlinken:

Quelle:

Da an der Stelle im podcast explizit die bereits in Amerika existierenden Datenbanken genannt werden, klang die aussage an genannter Stelle für mich danach, dass auch die bestehenden nicht genutzt werden dürfen sollen.

Das wird schlechterdings nicht gehen. Auch deren Nutzung verstößt sehr wahrscheinlich gegen Datenschutzgesetze und die Gesetzentwürfe ändern daran nichts.

Unabhängig von dieser Frage hier noch eine interessante Quelle:

Ja wenn man das tatsächlich so umsetzt, gibt es einfach einen gigantischen Raum für merkwürdige Entwicklungen und rechtliche Grauzonen. Was ist bspw. auch mit den hinweisen ausländischer Behörden / Geheimdienste, die umgänglich Gesichtserkennung nutzen dürfen? Dürften die deutschen Behörden solche Hinweise dann nicht verwenden (und wie realistisch wäre das)? Oder entsteht dann einfach ein großer Verschiebebahnhof für solche Informationen, die im Ausland akquiriert werden, um an die deutschen Behörden weitergeleitet werden?

Und die Polemik sei mir gestattet: Darüber dass unser Staat eine solche Datenbank anlegen mache ich mir keine Sorgen. Wenn der was mit IT baut, dann dauert das eh ewig und drei Tage (Studentencoronahilfe, Klimageldauszahlung, etc.)

1 „Gefällt mir“

Die Ampel-Koalition aus SPD, Grünen und FDP hat sich auf ein Sicherheitspaket geeinigt, das unter anderem die Nutzung von Gesichtserkennung umfasst. … Die Gesetzesentwürfe sollen jedoch noch überarbeitet werden, insbesondere in Bezug auf Migration, neue Ermittlungsbefugnisse für Sicherheitsbehörden und das Waffenrecht, da es bei einer Anhörung im Bundestag erhebliche Kritik gegeben hatte[2].

Ein zentraler Punkt ist, dass die Polizei künftig Fotos von Verdächtigen mit allgemein zugänglichen Internetdaten abgleichen darf. …

Die Grünen betonen, dass sie Verbesserungen erreicht haben, wie die Beschränkung neuer Befugnisse auf schwerste Straftaten und eine stärkere Beteiligung der Bundesdatenschutzbeauftragten[2].

Der biometrische Abgleich mit Internetdaten bleibt im Gesetz vorgesehen, jedoch unter strengeren Auflagen. So darf das Verfahren nicht gegen Personen eingesetzt werden, von denen keine Gefahr ausgeht. Zudem dürfen BKA und andere Behörden nur mit Anbietern im Schengen-Raum zusammenarbeiten, um den Datenschutz zu gewährleisten. Bundesinnenministerin Nancy Faeser begrüßte die Einigung als Stärkung der inneren Sicherheit[2].

https://www.golem.de/news/gesichtserkennung-ampel-einigt-sich-auf-sicherheitspaket-2410-189763.html

Ich habe mal PimEyes mit Fotos von mir ausprobiert und war letztlich etwas „enttäuscht“. Ich „fürchte“, TinEye ist da auch nicht besser.

Statt der Suche nach personenbezogenen Daten (wie ich die LdN-Hosts verstanden hatte), ist das eine umgekehrte Bildersuche (reverse Image Suche), wie es auch viele anderen gibt: Google Suche, Yandex oder auch CopyTrack (Service für Fotografen, die ihre Bildrechte durchsetzen wollen).

Ergebnis des Tools sind lediglich Webseiten, auf der Bilder mit meinem Gesicht gefunden werden. Vollständig war das auf keinen Fall. Und personenbezogene Daten wurden gar keine geliefert. Die finden sich vielleicht auf den Webseiten. Dann sind sie aber schon in der Welt.

Die EU-Datenschutzverstöße entstehen m.W. dadurch, dass diese Dienste das Web crawlen und die Fotos in einem Cache („Datenbank“) sammeln, um eine performante Suche zu gewährleisten. Diese Sammlung von Fotos von Personen ist prinzipbedingt personenbezogen und erfolgt ohne Einwilligung dieser Personen.

Die Suche erfolgt zudem auf Basis von „biometrischen Daten“ der Gesichtern, die unter besonderem Datenschutz stehen. Wenn ich das richtig verstehe, sind die biometrische Daten eines Gesichts so etwas wie ein „Hashwert der Gesichtsgeometrie“. Vom Such- und vom Zielfoto werden solche Werte erstellt und auf Ähnlichkeiten verglichen: Wenn hohe Ähnlichkeit erkannt wird, wird das Foto mit der URL der Webseite, auf der das Bild gefunden wurde, ausgeworfen.

Wenn nun dabei Fotos gefunden werden, auf denen andere aus dem Kontext des Bildes z.B. schließen können, dass es in Brasilien oder bei einem brasilianischen Tanzkurs aufgenommen wurde, dann findet man so eine Terroristin, nach der seit 30 Jahren gesucht wurde.

Gruselig wird es dann, wenn die Polizei automatisiert in großem Ausmaß Fotos von Verdächtigen, Störern und Gefährdern … oder auch nur Zeugen … oder auch nur sonstigen Menschen … fortwährend mit ähnlichen Fotos im Internet abgleicht und die dabei gewonnen Erkenntnisse, z.B. mithilfe von KI, fortlaufend dokumentiert. Je nachdem, wie oft Fotos dieser Person im Internet auftauchen, erhält die Polizei so nach und nach ein ziemlich detailliertes Profil, wobei die Zuverlässigkeit der Quellen vermutlich überhaupt nicht mehr geprüft werden kann, so dass die Qualität solcher Profile zweifelhaft ist.

Gern werde ich auf Denkfehler oder Irrtümer hingewiesen …

Neue Datenschutzbeauftragte befürchtet Superdatenbank: