Trotz einer Weisung des Hamburgischen Datenschutzbeauftragten will die Polizei der Hansestadt nicht auf ihr neues Gesichtserkennung-System verzichten. In vier Wochen verhandelt das Verwaltungsgericht über die eigens angelegte Lichtbilddatei. Ohne das Urteil abzuwarten, entzieht die Landesregierung dem Datenschützer sein schärfstes Schwert.

Auch nach der Löschungsanordnung durch den Beauftragten für Datenschutz und Informationsfreiheit nutzt die Polizei in Hamburg weiterhin ein System zur Gesichtserkennung. Das schreibt der rot-grüne [!] Senat in der Antwort auf eine Anfrage der Linksfraktion in der Hamburger Bürgerschaft. Seit dem 18. Dezember 2018 wurden weitere 92 Recherchen in Bild- und Videodateien durchgeführt. Damit summieren sich die gesamten Suchvorgänge nach Tatverdächtigen auf 782.

Nach dem G20-Gipfel hatte die Polizei eine „Sonderkommission Schwarzer Block“ eingerichtet. Zur Identifizierung mutmaßlicher StraftäterInnen hat die Abteilung 3,57 Terabyte polizeieigenes Bild- und Videomaterial in ein „System Gesichtserkennungssoftware“ eingespielt. Weitere 9,90 TB an polizeifremdem Material stammen aus einem Hinweisportal, das vom Bundeskriminalamt für den freiwilligen Upload eingerichtet wurde. Derzeit enthält das System mehr als 15.000 Videos und 16.000 Bilder.

Fotos von erkennungsdienstlicher Behandlung

Die in Hamburg genutzte Anlage stammt von der deutschen Firma Videmo. Beim Einspielen der Rohdaten berechnet die Software mithilfe von Augen- und Ohrabständen, Nasenform, Mundwinkel und Haaransatz alle darin enthaltenen Gesichter. Jedes einzelne Gesicht wird als bekannte oder unbekannte Identität der betreffenden Person in einer weiteren Datenbank gespeichert und für die weitere Verarbeitung genutzt. Auf diese Referenzdatei bezieht sich die Anordnung zur Löschung des Datenschutzbeauftragten Johannes Caspar.

Zur Identifizierung von Personen verwendet die Polizei Lichtbilder von erkennungsdienstlichen („ED“-) Maßnahmen, die während des Gipfels erhoben wurden. Auch diese Fotos werden in die Referenzdatei eingespielt und in den Bild- und Videodaten gesucht. Auf diese Weise will die Polizei den Betroffenen weitere Straftaten nachweisen. Etwa ein Drittel aller Recherchen in dem Gesichtserkennungssystem erfolgten mit namentlich bekannten Tatverdächtigen.

Laut Caspar werden dabei auch ED-Bilder genutzt, die nicht im Rahmen des G20-Gipfels abgenommen wurden. Weitere Fotos stammen aus dem Auskunftssystem POLAS der Hamburger Polizei sowie der INPOL-Datei, die das Bundeskriminalamts (BKA) gemeinsam mit den Landeskriminalämtern betreibt.

Kaum Erfolg beim BKA

Um welche einzelnen INPOL-Datenbestände es sich dabei handelt, schreibt die Landesregierung nicht. Möglich wären Lichtbilder, die in der Kategorie „Politisch motivierte Kriminalität – Links“ gespeichert sind. Die Fotos aus INPOL seien jedoch manuell und nicht automatisiert in das Hamburger System übertragen worden, betont der Senat.

Die Identitäten unbekannter Tatverdächtiger haben die ErmittlerInnen anschließend auch im Gesichtserkennungssystem (GES) des BKA gesucht. Dabei wird ebenfalls die polizeiliche INPOL-Datei abgefragt. Dort sind rund 5,6 Millionen Lichtbilder von circa 5 Millionen Personen gespeichert.

Die Nutzung des GES steigt jedes Jahr deutlich an, in 2018 haben die Bundes- und Landesbehörden über 40.000 Recherchen durchgeführt und dabei rund 1.000 Personen identifiziert. Dem Senat zufolge hat die Hamburger Polizei das BKA mit 75 Suchvorgängen beauftragt. Nur in drei Fällen wurden allerdings Personentreffer erzielt. Jedes fünfte Bild war nicht für eine GES-Recherche geeignet und musste ausgesondert werden.

Kein Rechtsbehelf möglich

Im Interview mit Netzpolitik.org hatte Caspar die Technologie als „neue Dimension staatlicher Ermittlungs- und Kontrolloptionen“ bezeichnet. Das im öffentlichen Raum verdachtslos eingesammelte Bildmaterial erlaube „Schlüsse auf Verhaltensmuster und Präferenzen des Einzelnen“.

Seine Löschanordnung begründet der Datenschutzbeauftragte mit einem erheblichen Eingriff in die Rechte und Freiheiten einer Vielzahl von Betroffenen, die in dem System gespeichert werden. Die biometrische Erfassung betrifft demnach „massenhaft Personen, die nicht tatverdächtig sind und dies zu keinem Zeitpunkt waren“.

Ohne Kenntnis werden die Gesichtsmodelle der aufgezeichneten Personen mathematisch berechnet, gespeichert und durchsucht. Die Polizei erstellt daraus Profile über deren Standort, Verhalten und soziale Kontakte. Ein Rechtsbehelf ist nicht möglich, da die Betroffenen von der Verarbeitung ihrer Daten nicht erfahren.

Datenschützer soll nur noch warnen dürfen

Auch nach Auflösung der „Sonderkommission Schwarzer Block“ will die Polizei die Gesichtsbilder weiter nutzen. Die Innenbehörde der Stadt Hamburg hat deshalb im Januar eine Klage gegen die Anordnung von Caspar eingereicht, die mündliche Verhandlung vor dem Verwaltungsgericht ist für den 23. Oktober geplant. Das Verfahren ist von so großer Bedeutung, dass die unterlegene Partei in die Berufung gehen dürfte.

Ohne das Urteil abzuwarten, rächt sich der Senat auch politisch. Johannes Caspar hatte seine Weisungsbefugnis nach dem G20-Gipfel das erste und bisher einzige Mal genutzt. Obwohl er also behutsam und keineswegs inflationär mit diesem scharfen Schwert umgeht, soll ihm diese Kompetenz im neuen Polizeigesetz entzogen werden.

Im Entwurf des Gesetzes schreibt die Landesregierung, eine Letztentscheidungs- und Anordnungsbefugnis des Datenschutzbeauftragten lasse sich „nicht mit dem Bedürfnis nach ständiger Verfügbarkeit rechtmäßig erhobener Daten und Datenverarbeitungsanlagen in Einklang bringen“. Caspar möge sich zukünftig mit einer Beanstandung oder Warnung zufrieden geben.

Ein Text von  (netzpolitk.org) Creative Commons BY-NC-SA 4.0.


mehr zum Thema


Foto: Gesichtserkennung, Symbolbild Bautsch, CC0 1.0 Verzicht auf das Copyright

 

auch für Kinder

14. Juli 2019

Beim Passieren einer EU-Außengrenze sollen bald alle Reisenden biometrische Daten abgeben. Das führt zu langen Wartezeiten, die Grenzkontrollen werden deshalb zunehmend automatisiert. Davon profitieren zuerst Personen, die Gesichtsbilder bereits auf dem Chip ihres „ePass“ hinterlegt haben.

Die Bundespolizei weitet die Nutzung ihrer sogenannten „eGAtes“ auf Kinder aus. Seit Beginn der Ferienzeit in Deutschland ist die dort eingesetzte Technik „EasyPASS“ bundesweit für Personen ab einem Alter von 12 Jahren freigeschaltet. Mit dem teilautomatisierten Grenzkontrollsystem wird der Übertritt einer Außengrenze der Europäischen Union kontrolliert. Es kann von Staatsangehörigen aller EU-Mitgliedstaaten sowie der Schweiz freiwillig genutzt werden. Wer nicht automatisch gescannt werden möchte, muss mitunter Warteschlangen an den gewöhnlichen „manuellen“ Kontrollspuren in Kauf nehmen.

Alle sieben deutschen Großflughäfen sind mit „EasyPASS“ ausgestattet. Mit Stand von letztem Monat sind dort 230 „eGates“ installiert, über 73 Millionen Reisende haben die Anlagen bereits durchschritten. Minderjährige können das System zunächst aber nur in Frankfurt am Main, Düsseldorf, Hamburg und München nutzen. Weitere Anlagen sind an den Flughäfen Berlin-Tegel und Berlin-Schönefeld sowie Köln/Bonn installiert. Im nächsten Jahr sollen auch Stuttgart und Hannover an „EasyPASS“ angeschlossen werden.

Abgleich mit Fahndungsdatenbanken

Eine Nutzung von „EasyPASS“ ist lediglich mit dem sogenannten „ePass“ möglich, der biometrische Daten auf einem Chip speichert. In den Kontrollkabinen wird das Dokument auf einen Dokumentenleser gelegt. Anschließend wird überprüft, ob der Reisepass für „EasyPASS“ geeignet ist. Dann wird das Gesichtsbild des Reisenden mit einer Kamera aufgenommen und mit einer Gesichtserkennungssoftware überprüft, ob die Personen mit den in den Pässen gespeicherten Lichtbildern übereinstimmen. Der Abgleich mit dem Chip dauert nach Angaben des Bundesinnenministeriums drei Sekunden, die Dauer der gesamten Kontrolle wird mit 30 Sekunden angegeben.

Die Passdaten der Reisenden werden mit einschlägigen Polizeidatenbanken abgeglichen, darunter die deutsche INPOL-Datenbank und das Schengener Informationssystem. Mittlerweile ist an den EU-Außengrenzen auch die Abfrage von Interpol-Dateien für gestohlene Ausweisdokumente verpflichtend. Diese systematische Überprüfung auch von Personen, die von der Freizügigkeit im Schengenraum profitieren, wurde nach den November-Anschlägen von 2015 in Frankreich eingeführt.

Wenn „EasyPASS“ keine Beanstandung meldet, können die Reisenden die Schleuse passieren. Andernfalls warten BeamtInnen der Bundespolizei neben den Anlagen und greifen bei Bedarf ein. Auch wenn von dem automatischen System keine Auffälligkeiten festgestellt werden, können die Personen mit weiteren Kontrollmaßnahmen behelligt werden.

Überprüfung von Zertifikaten

Die „EasyPASS“-Technik stammt vom einem Herstellerkonsortium der Firmen Bundesdruckerei und Secunet. Die Gesichtserkennungssoftware liefert die Firma L-1 Identity Solutions, die mittlerweile zum französischen Idemia-Konzern gehört und an verschiedenen deutschen Biometrieprojekten beteiligt ist. Eine direkte Abfrage der Gesichtsbilder mit polizeilichen Informationssystemen erfolgt derzeit nicht. Die aufgenommenen Fotos werden dem Bundesinnenministerium zufolge nicht gespeichert oder in Ermittlungsverfahren verwendet.

Das System überprüft in drei verschiedenen Verfahren die Echtheit des Ausweises („Passive Authentication“, „Chip Authentication“, „Active Authentication“). Auch „ePässe“ können gefälscht werden, als mögliche Manipulationsverfahren nennt das Bundesinnenministerium das Klonen oder Simulieren von RFID-Chips und das Verfälschen von Inhalten. In „EasyPASS“ werden deshalb die Zertifikate der Chips analysiert. Diese werden mit einer „Schengen Masterlist“ abgeglichen, zu der jeder Schengen-Mitgliedstaat beiträgt. Die deutsche Masterliste wird vom Bundesamt für Sicherheit in der Informationstechnik geführt und der Bundespolizei zur Verfügung gestellt. Auch die EU-Agentur für den Betrieb von IT-Großsystemen (eu-LISA) und die Grenzagentur Frontex sind in das „Schengen Masterlist Projekt“ eingebunden.

Ausgleich für zunehmende Kontrollzeiten

„EasyPASS“ wurde 2009 als „GAnGes“ (Grenzkontollsystem für die Anwendungserprobung von Gesichtserkennungsverfahren) am Flughafen Frankfurt am Main getestet und dort seit 2014 in einem Pilotprojekt erstmals betrieben. Die Installation an den übrigen Flughäfen wird aus dem „Fonds für die innere Sicherheit“ der Europäischen Union gefördert.

Die Einführung von „EasyPASS“ wurde damals mit der Reduzierung der Kontrollzeit begründet. Das ist jedoch nur die halbe Wahrheit, denn mit der Einführung neuer Grenzkontrollverfahren durch die Europäische Union wird eine Zunahme von Wartezeiten befürchtet: Das bereits beschlossene „Ein-/Ausreisesystem“ (EES) sieht vor, dass von allen Reisenden ohne ePass Fingerabdrücke und Gesichtsbilder abgenommen und gespeichert werden müssen. „EasyPASS“ verfolgt deshalb dem Bundesinnenministerium zufolgekompensierend bereits jetzt das Ziel, dass freizügigkeitsberechtigte Personen verstärkt automatisierte Kontrollspuren nutzen“.

Seit 2015 beteiligt sich die Bundespolizei außerdem auf EU-Ebene an Tests zur Nutzung von „EasyPASS“ im neuen EES, ein entsprechendes Pilotprojekt hat die Bundespolizei sogar in eigener Verantwortung verlängert. Am Flughafen Frankfurt am Main und am Kreuzfahrt-Terminal in Rostock-Warnemünde wurden dabei von der Agentur eu-LISA vorgegebene Testszenarien durchgespielt.

Weitere Pilotprojekte

Zur geplanten Einführung des EES in 2022 könnten die „eGates“ mit Fingerabdruckscannern nachgerüstet werden. Reisende könnten dann vor dem Durchschreiten der Kontrollspuren an einem „Kiosk“ ihre biometrischen Daten automatisch einlesen lassen. Bei den Tests in Frankfurt und Warnemünde kam deshalb auch Technik zur Abnahme von Fingerabdrücken zum Einsatz. Genutzt wurden vorhandene Geräte der Firma Crossmatch, die Bundespolizei testete außerdem kontaktlose Fingerabdruckscanner der französischen Firma Morpho (jetzt Idemia). Möglich wäre auch der Einsatz von Iris-Scans in „EasyPASS“.

Die Firma Secunet ist in weitere Pilotprojekte zum Auslesen chipbasierter Ausweisdokumente involviert. Die Bundespolizei hat in Magdeburg und Halle eine Smartphone-App zur Fahndungs- und Dokumentenprüfung mit dem Smartphone getestet, die bundesweite Einführung ist geplant. Derzeit wird hierfür nur das das Gesichtsbild ausgelesen und lokal auf dem Smartphone angezeigt. Auf diese Weise soll die Verifizierung von Personen bei einer mobilen Polizeikontrolle erleichtert werden. Die ebenfalls auf dem Chip gespeicherten Personendaten werden wie in „EasyPASS“ für eine Fahndungsabfrage genutzt.


(von Matthias Monroy auf netzpoitik.org, Creative Commons BY-NC-SA 4.0.; Foto: MAILAI Kinder am Flughafen via pixabay)

PHWs

4. Oktober 2015

Nur, dass sich die werte, fragende Leerschaft nicht wundert, weshalb sie beispielsweise immer wieder mal in „allgemeine Verkehrskontrollen“ gerät. Netzpolitik.org schreibt:

Immer noch speichert die niedersächsische Polizei in ihren Datenverarbeitungssystemen Personen mit dem Merkmal „Prostitution“. Dies geht aus der Antwort auf eine Kleine Anfrage der FDP-Fraktion im Landtag hervor, die in der vergangenen Woche veröffentlicht wurde. Demnach sind mindestens 6.401 Betroffene mit einem solchen „Personengebundenen Hinweis“ (PHW) versehen. Vor bis zu 9.744 Personen wird wegen „Ansteckungsgefahr“ gewarnt, mindestens 347.805 gelten als „Betäubungsmittelkonsument“.

Einer Kategorisierung mit PHW’s müssen weder Strafverfahren noch Verurteilungen vorausgehen. Es genügt die Annahme, dass spätere Strafverfahren „gegen die beschuldigte oder tatverdächtige Person zu führen sind“.

Die Antwort unterteilt die Speicherung in sieben verschiedene Dateisysteme. Aufgeführt wird das niedersächsische Vorgangsbearbeitungssystem NIVADIS sowie eine dazugehörige Auswertedatei. Als weitere Datensammlungen führt die Polizei die elektronische Kriminalakte sowie eine „Themenbezogene Sammlung“.

Als bundesweite Informationssysteme nennt Niedersachsen das polizeiliche Auskunftssystem POLAS nebst Auswertedatei, an die neben den Bundesländern auch die Bundespolizei und das Zollkriminalamt angeschlossen sind, sowie das beim Bundeskriminalamt (BKA) zentral geführte INPOL-System. Nachdem bekannt wurde, dass das BKA die PHW „Fixer“, „Prostitution“ und „Landstreicher“ verwendet, wurden die in INPOL entsprechend Gespeicherten als „Altfälle“ deklariert und nach einer Übergangsfrist gelöscht. Auch der PHW „Straftäter verbotener militanter Organisation“ wird beim BKA laut dem Bundesinnenministerium nicht mehr genutzt.

Die Antwort aus dem Haus von Innenminister Boris Pistorius (SPD; Foto) lässt keinen Rückschluss über die Gesamtzahl der Betroffenen zu. Diese können in mehreren Datensammlungen erscheinen, indem die eingebenden Beamtinnen einen Flag für die entsprechende Datei setzen. Aus diesem Grund erscheint in der Antwort für die PHW „Straftäter verbotener militanter Organisation“ und „Prostitution“ für die bundesweiten Systeme POLAS und INPOL die Zahl Null.

Die Landesregierung erklärt nicht, ob und wann die fraglichen PHW auch in Niedersachsen gelöscht werden sollen. Allerdings sei eine „Neuerfassung der Werte ‚Prostitution‘ und ‚Straftäter verbotener militanter Organisation’“ nicht mehr möglich.

Eigentlich soll die Speicherung eines PHW der „Eigensicherung von Polizeibediensteten“ dienen. Polizeikräfte sollen etwa vorgewarnt werden, wenn Zwangsmaßnahmen wie eine Hausdurchsuchung vorbereitet werden. Vermutlich dürften die PHW aber auch für Folgemaßnahmen herangenommen werden, wenn die Betroffenen in eine Polizeikontrolle geraten.

pistorius_boris_medium_cnmi_thumb

Ein Merkmal „Betäubungsmittelkonsument“ könnte dann eine Durchsuchung des Fahrzeugs nach sich ziehen. Als weiterer Zweck von PHW gilt der „Schutz der [betroffenen] Person“. Das könnte bedeuten, dass die Polizei im Falle des Merkmals „bewaffnet“ schneller zur Dienstwaffe greift als in anderen Fällen. Ob dies dem „Schutz“ der von einer Polizeimaßnahme betroffenen Personen nicht eher abträglich ist, wurde noch nicht untersucht.

Der Berliner Innensenat musste vergangenes Jahr zugeben, dass die PHW zunehmend auch für die „Ermittlungsunterstützung“ genutzt werden. Dann werden sie als „ermittlungsunterstützende Hinweise“ (EHW) bezeichnet. Laut dem Innensenator prüft eine Arbeitsgruppe der Innenministerkonferenz der Länder (IMK), inwiefern die PHW und EHW zukünftig getrennt erfasst werden sollen. Im Frühjahr hatte die IMK beschlossen, den ebenfalls umstrittenen PHW „geisteskrank“ in „Psychische und Verhaltensstörungen“ umzubennen. Dessen ungeachtet werden in Niedersachsen mindestens 7.825 Personen weiterhin als „geisteskrank“ geführt

Die niedersächsische Innenbehörde legt nun ein weiteres, bislang unbekanntes Verfahren offen. Denn auch der niedersächsische Verfassungsschutz kategorisiert die in seinen Datenbanken gespeicherten Personen mit PHW. Zu welchem Zweck ist unklar, der „Eigensicherung“ dürfte dies jedenfalls nicht dienen. Auch die werden nicht genannt. Beispielhaft nennt die Landesregierung die PHW „Alkoholabhängigkeit“, „Drogenkriminalität“, „Hassprediger“ oder „Flüchtling“.

 

[gefunden bei Netzpolitik.org]