BKA-Datenmissbrauch: Wie der deutsche Staat Millionen Bürger für Gesichtserkennung illegal zu Versuchskaninchen machte

Kommentar verfassen

Einleitung: Der Rechtsstaat in der Grauzone

Es ist ein Vorgang, der an die Hybris eines Überwachungsstaates erinnert und das Vertrauen in deutsche Sicherheitsbehörden fundamental erschüttert. Das Bundeskriminalamt (BKA), die zentrale Ermittlungsbehörde der Bundesrepublik, hat ohne valide Rechtsgrundlage knapp fünf Millionen biometrische Gesichtsbilder von rund drei Millionen Menschen aus der Polizeidatenbank INPOL-Z extrahiert. Der Zweck: Eine simple Marktforschung, um die Leistungsfähigkeit kommerzieller Gesichtserkennungssoftware zu testen. Dieser Akt der systematischen Zweckentfremdung sensibelster Daten ist nicht nur ein datenschutzrechtlicher Skandal, sondern eine bewusste Grenzüberschreitung, die nun folgerichtig vor Gericht verhandelt wird. Es ist ein Lehrstück darüber, wie Sicherheitsapparate versuchen, den Rechtsstaat zu untergraben – und wie zivilgesellschaftlicher Widerstand sie zur Verantwortung zieht.

Der Fall „EGES“: Marktforschung mit Polizeifotos

Unter dem beschönigenden Projektnamen „EGES“ („Ertüchtigung des Gesichtserkennungssystems im BKA“) initiierte das BKA 2019 einen umfassenden Test. Ziel war es, die hauseigene Software mit den Produkten von vier externen Herstellern zu vergleichen. Um die Tests so „realistisch“ wie möglich zu gestalten, wurden die Echtdaten von Millionen von Bürgern an das Fraunhofer-Institut für Graphische Datenverarbeitung (IGD) weitergegeben. Darunter befanden sich nicht nur Standardaufnahmen, sondern auch spezifische Datensätze wie Listen von 56.500 Bartträgern und 19.500 Brillenträgern, um die Algorithmen auf die Probe zu stellen.

Einer der Betroffenen ist der IT-Experte Janik Besendorf. Sein Bild landete 2018 nach einer erkennungsdienstlichen Behandlung wegen eines geringfügigen Verdachts in der Datenbank – das Verfahren wurde kurz darauf eingestellt. Dass sein biometrisches Porträt dennoch als Testobjekt für staatliche Überwachungstechnologie missbraucht wurde, erfuhr er erst Jahre später. Seine Reaktion ist die einzig logische in einem Rechtsstaat: Er klagt mit Unterstützung des Chaos Computer Clubs (CCC) vor dem Verwaltungsgericht Wiesbaden gegen die Bundesrepublik Deutschland.

Die juristische Akrobatik einer Bundesbehörde

Die Frage nach der Rechtmäßigkeit dieses Vorgehens ist der Kern des Skandals. Das BKA operierte, wie so oft bei der Einführung neuer Technologien, in einer selbst geschaffenen rechtlichen Grauzone. Prof. Mark Zöller, Experte für Strafrecht und Digitalisierung an der LMU München, diagnostiziert präzise ein wiederkehrendes Muster: Sicherheitsbehörden preschen ohne saubere Rechtsgrundlage vor und schaffen Fakten, die Grundrechtseingriffe zur Folge haben – auch für Unschuldige.

Die Rechtfertigungsversuche des BKA sind ein Paradebeispiel für juristische Verrenkungen:

  1. Die Fiktion der „wissenschaftlichen Forschung“: Zunächst deklarierte das BKA das Projekt als „wissenschaftliche Forschung“ gemäß dem BKA-Gesetz. Eine Behauptung, die der Bundesbeauftragte für den Datenschutz (BfDI), Ulrich Kelber, als „problematisch“ einstufte und klarstellte: „Es mangelt an einer Rechtsgrundlage.“
  2. Die Flucht in die DSGVO: Nachdem die erste Argumentation scheiterte, berief sich das BKA plötzlich auf die Datenschutzgrundverordnung (DSGVO). Diese Argumentation ist an Absurdität kaum zu überbieten. Wie Rechtsexperten korrekterweise anmerken, fallen Tests von Software für Polizeiaufgaben – also Strafverfolgung und Gefahrenabwehr – zwingend unter die Fachgesetze wie das BKA-Gesetz und nicht unter das allgemeine Datenschutzrecht der DSGVO. Es handelt sich um den durchschaubaren Versuch, sich ex post eine Legitimation zu konstruieren, die von Anfang an nicht existierte.

Bezeichnend ist zudem die arrogante Haltung des BKA gegenüber der Aufsichtsbehörde. Anfragen des BfDI wurden monatelang verzögert und nur spärlich beantwortet. Den Abschlussbericht des Projekts erhielt der Bundesdatenschutzbeauftragte erst anderthalb Jahre nach dessen Fertigstellung. Die offizielle Aussage des BKA, eine Einbindung sei „gesetzlich nicht vorgegeben und war fachlich auch nicht erforderlich“, entlarvt ein tiefgreifendes und inakzeptables Selbstverständnis, sich der parlamentarischen und datenschutzrechtlichen Kontrolle entziehen zu können.

Konsequenz: Zivilgesellschaftlicher Widerstand und die Forderung nach Klarheit

Dass dieser Skandal überhaupt öffentlich wurde, ist der Hartnäckigkeit des Chaos Computer Clubs zu verdanken. Ein Antrag nach dem Informationsfreiheitsgesetz (IFG) durch CCC-Sprecher Matthias Marx brachte die entscheidenden Dokumente ans Licht. Es zeigt sich einmal mehr, dass eine wachsame und kritische Zivilgesellschaft das effektivste Korrektiv gegenüber einem übergriffigen Staat ist.

Die vom BKA angeführten Sicherheitsvorkehrungen, wie die Nutzung von Rechnern ohne Internetzugang und die Zerstörung der Festplatten, sind dabei völlig irrelevant. Sie ändern nichts an der ursprünglichen Illegalität des Handelns. Der CCC bringt es auf den Punkt: Eine Zweckentfremdung bleibt eine Zweckentfremdung.

Der Fall Besendorf vs. BKA ist mehr als nur ein einzelner Rechtsstreit. Er ist ein Weckruf. Er zwingt uns zu einer gesellschaftlichen Debatte darüber, welche Befugnisse wir unseren Sicherheitsbehörden im digitalen Zeitalter zugestehen wollen. Die Forderung des BfDI nach einer klaren gesetzlichen Regelung für solche Software-Tests ist überfällig. Es bedarf unmissverständlicher Gesetze, die den Bürgerinnen und Bürgern transparent aufzeigen, was der Staat mit ihren Daten tun darf – und was nicht. Alles andere ist keine Sicherheit, sondern der Weg in die Willkür.

Hinterlasse einen Kommentar