Spätestens nachdem Journalisten im Jahr 2023 die mutmaßliche Ex-RAF-Terroristin Daniela Klette durch eine Gesichtserkennungssuche mit der kommerziellen Webseite PimEyes aufspürten, kam im gesellschaftlichen und politischen Diskurs die Frage auf: Warum darf das nicht auch die Polizei? Der Ruf nach entsprechenden Befugnissen liegt nahe, lenkt aber vom eigentlichen Problem ab: Der nun geplante § 98d StPO-E schafft eine neue Ermittlungsmaßnahme, ohne ihre Voraussetzungen auszubuchstabieren. Unklar bleiben die Datenbasis, die eingesetzten Systeme, die Kontrolle der Ergebnisse und die rechtlichen Grenzen des biometrischen Abgleichs.

Der Schritt in frei zugängliche Online-Datenräume

Bislang verwenden die deutschen Strafverfolgungsbehörden zur Gesichtserkennung das beim BKA zentral angesiedelte Gesichtserkennungssystem GES, um unbekannte Verdächtige anhand der Datenbank INPOL-Z zu identifizieren (– allerdings auch dies ohne taugliche Rechtsgrundlage, dazu näher Hahn, Automatisierte Gesichtserkennung in der Strafverfolgung, 2025, S. 213 ff.). Dort sind rund 7,6 Millionen Lichtbilder recherchefähig gespeichert – Bilder von Verurteilten, Verdächtigten, Personen aus Gefahrenabwehrdatenbanken sowie allen Asylsuchenden. Bislang werden die Ergebnisse der Suchanfragen von menschlichen Lichtbildexperten im 4-Augen-Vergleich überprüft und erst dann an die jeweiligen Ermittler weitergeleitet (zum Ablauf Hahn, Automatisierte Gesichtserkennung in der Strafverfolgung, 2025, S. 66 ff.).

Die Datenbanken kommerzieller Anbieter wie PimEyes (ca. 3 Milliarden Fotos) sind um ein Vielfaches größer und erweitern daher den Kreis an Personen, die identifiziert werden können. Zudem können durch eine biometrische Suche anhand von Internetfotos Hinweise auf den Aufenthaltsort einer Person generiert werden. So war es auch im Fall Klette, in dem Journalisten sie auf einem Foto eines Capoeira-Vereins in Berlin-Kreuzberg entdeckten.

Die Ampel-Koalition unternahm nach der Entdeckung von Klette einen ersten Versuch, eine Rechtsgrundlage für biometrische Abgleiche mit Internetdaten für die Strafverfolgungsbehörden zu schaffen. Dieser scheiterte jedoch im Bundesrat – weil die Maßnahmen „nicht weit genug“ gingen. Nun folgt ein weiterer Anlauf mit einem Referentenentwurf des Bundesministeriums der Justiz und für Verbraucherschutz. Den Strafverfolgungsbehörden soll mit einem neu einzuführenden § 98d StPO-E ermöglicht werden, „zur Erforschung des Sachverhalts, zur Identitätsfeststellung oder zur Ermittlung des Aufenthaltsorts des Beschuldigten oder eines Zeugen […] biometrische Daten aus einem Strafverfahren mit im Internet öffentlich zugänglichen biometrischen Daten mittels einer automatisierten Anwendung zur Datenverarbeitung“ abzugleichen. Der Gesetzentwurf sieht dabei gewisse Begrenzungen der Maßnahme und einige Verfahrensvorgaben (z.B. Protokollierungs- und Löschvorschriften) vor. Es bleiben allerdings mehrere Fragezeichen:

Mit welcher Datenbank?

Eine Suche anhand von Gesichts- oder anderen biometrischen Daten setzt den Abgleich mit einer zuvor angelegten Datenbank voraus. Ein unmittelbares „Durchsuchen des Internets“ ist technisch nicht möglich. Biometrische Gesichtserkennung arbeitet nicht mit den Bildern selbst, sondern mit sogenannten „Embeddings“, also numerischen Vektoren zur Repräsentation von Gesichtsmerkmalen. Diese Embeddings werden mithilfe tiefer neuronaler Netze aus den gespeicherten Gesichtsbildern extrahiert und zur Gesichtserkennung abgeglichen (zur Technologie Hahn, Automatisierte Gesichtserkennung in der Strafverfolgung, 2025, S. 49 ff.). Gesichtserkennung ohne eine bestehende Datenbank (an Lichtbildern und ihnen zugeordneten Embeddings) würde bedeuten, für jede neue Suchanfrage „on the fly“ sämtliche zu vergleichenden Bilder (welche?) herunterzuladen und entsprechende Embeddings zu generieren. Das wäre mit einem Ressourcenaufwand verbunden, der weder praktisch noch ökonomisch wäre. Für die Durchführung der in § 98d StPO-E vorgesehenen Ermittlungsmaßnahme ist daher eine bereits vorhandene Abgleichdatenbank erforderlich.

Der häufig gegen die Erstellung einer solchen Datenbank ins Feld geführte Art. 5 Abs. 1 lit. 3 KI-VO steht dem nicht grundsätzlich entgegen. Die Vorschrift untersagt „das Inverkehrbringen, die Inbetriebnahme für diesen spezifischen Zweck oder die Verwendung von KI-Systemen, die Datenbanken zur Gesichtserkennung durch das ungezielte Auslesen von Gesichtsbildern aus dem Internet oder von Überwachungsaufnahmen erstellen oder erweitern“. Erfasst sind jedoch nur Datenbanken, die mithilfe von KI-Systemengeneriert werden. Die Definition eines KI-Systems in der KI-Verordnung ist zwar weit (vgl. Art. 3 Nr. 1 KI-VO), dennoch können solche Datenbanken auch mit eindeutig nicht KI-basierter Software erstellt werden. Typischerweise kommen hierfür sogenannte Crawler zum Einsatz, die automatisiert öffentlich zugängliche Inhalte, insbesondere Bilder, erfassen, speichern und in Datenbanken ablegen. Ein KI-System liegt nach der KI-Verordnung nur vor, wenn ein Programm nach Inbetriebnahme „anpassungsfähig sein kann“. Dies ist etwa der Fall, wenn Methoden des maschinellen Lernens zur Bestimmung seines Verhaltens eingesetzt werden. Beruht der Crawler hingegen auf fest vorgegebenen, menschlich definierten Algorithmen, fehlt es an dieser Anpassungsfähigkeit. In diesem Fall liegt kein KI-System vor, sodass das Verbot des Art. 5 Abs. 1 lit. 3 KI-VO nicht eingreift.

Es stellt sich allerdings dennoch die Frage, welche Datenbank für den biometrischen Abgleich herangezogen werden soll und woher die entsprechenden Online-Datensätze kommen. Das Erheben und Speichern dieser Abgleichdaten von Unbeteiligten sind – neben der Verwendung, die § 98d StPO-E regeln soll – eigenständige Grundrechtseingriffe (vgl. nur BVerfGE 100, 313 (366 f.); 130, 151 (184); stRspr). Die Errichtung einer (polizeieigenen) Datenbank setzt daher eine eigene Rechtsgrundlage voraus (vgl. auch Golla, Die kriminalbehördliche Informationsordnung, 2024, S. 90 ff.), die u.a. die rechtlichen Voraussetzungen für die Speicherung in der Datenbank und Rechtsschutzmöglichkeiten regelt.

Der Gesetzentwurf sieht in seiner Begründung jedoch vor, dass eine „dauerhafte Datenbank“ nicht erstellt werden soll und dass die bei Durchführung des Abgleichs erhobenen und verwendeten Daten unverzüglich zu löschen seien (S. 13). Den wenig ressourceneffizienten Weg einer „on the fly“-Gesichtserkennung werden die Behörden in der Praxis aber wohl nicht gehen. Denn der Entwurf sieht selbst „für den Fall, dass die Strafverfolgungsbehörden den Abgleich technisch nicht selbst durchführen können“ die Inanspruchnahme eines „Anbieters im Ausland“ vor. Welche Anbieter damit konkret gemeint sind, bleibt jedoch unklar. Die kommerziellen Anbieter mit Datensätzen in relevanter Größenordnung – etwa PimEyes (3 Milliarden Fotos) oder Clearview AI (70 Milliarden Fotos) beruhen auf rechtswidrigen Praktiken, die insbesondere gegen die DSGVO verstoßen.

Mit welchem technischen System?

Es stellt sich außerdem die Frage, welche biometrischen Erkennungssysteme (mit welchen Algorithmen? Von welchem Hersteller?) verwendet werden sollen und dürfen. § 98d StPO-E ermöglicht einen Abgleich biometrischer Daten „mittels einer automatisierten Anwendung zur Datenverarbeitung“. Damit dürften insbesondere KI-basierte Anwendungen gemeint sein, denn nach dem Stand der Technik basieren alle leistungsfähigen biometrischen Erkennungssysteme heute auf Verfahren des Deep Learning und damit auf Methoden der künstlichen Intelligenz. Diese haben in den vergangenen Jahren erhebliche Leistungsfortschritte erzielt, sodass jedenfalls die besten Algorithmen inzwischen in den unabhängigen Tests des US-amerikanischen National Institute of Standards and Technology (NIST) „fast perfekte“ („near-perfect“) Erkennungsleistungen erreichen.

Solche Testergebnisse müssen aber kritisch eingeordnet werden. Zunächst unterscheiden sich die verschiedenen Systeme erheblich in ihrer Leistungsfähigkeit. Außerdem werden solche hervorragenden Ergebnisse regelmäßig unter kontrollierten Testbedingungen erzielt (ausreichende Qualität, günstige Aufnahmewinkel und Beleuchtung der Bilder); die tatsächliche Erkennungsleistung kann im praktischen Einsatz deutlich geringer ausfallen und hängt u.a. ab von der Qualität der Such- und Abgleichdaten (eher ungünstig: verschwommene Aufnahme einer Überwachungskamera von schräg oben), von Veränderungen des Erscheinungsbildes (großer zeitlicher Abstand zwischen Such- und Abgleichbild) sowie von der Größe der Abgleichdatenbank (je größer, desto wahrscheinlicher sind dort viele Personen mit ähnlicher Merkmalsausprägung). Und selbst bei Systemen mit geringen Fehlerraten bleiben Fehlidentifizierungen bei großen Datenbeständen ein praktisches Problem, da sich auch niedrige Falsch-Positiv-Raten in absoluten Zahlen erheblich auswirken (0,1 % falsch-positive Treffer bei 10 Millionen Fotos ergeben statistisch 10.000 fehlerhafte Treffer).

Dem kann zwar teilweise durch eine sachverständige menschliche Kontrolle der Treffer begegnet werden (dazu sogleich). Sichergestellt sein müsste jedoch zunächst, dass überhaupt nur biometrische Erkennungssysteme eingesetzt werden, die dem jeweils neusten Stand der Technik entsprechen und innerhalb dieses Standards zu den leistungsfähigsten verfügbaren Systemen zählen.

§ 98d StPO-E enthält aber keine konkreten Vorgaben für die Leistungsfähigkeit der eingesetzten Systeme. Die KI-Verordnung gilt zwar unmittelbar (auch) für biometrische Erkennungssysteme, die die Polizei einsetzt und stellt Anforderungen an die Zuverlässigkeit solcher Systeme. Ihre Vorgaben reichen aber nicht aus, denn sie beschränkt sich darauf, ein lediglich unbestimmt formuliertes „angemessenes Maß“ an Genauigkeit zu verlangen (Art. 15 Abs. 1 KI-VO). Im grundrechtssensiblen Bereich der Strafverfolgung kann dies ersichtlich nicht genügen und führt auch direkt zu einer weiteren Problematik des Gesetzentwurfs:

Wer überprüft die Treffer?

Die Frage, wer die Technologie überhaupt anwendet, ist zentral. Denn der biometrische Abgleich – also die Identifizierung oder Lokalisierung von Personen oder die Ermittlung weiterer Informationen – bildet lediglich den Ausgangspunkt. Anschließend muss das Ergebnis eingeordnet und darüber entschieden werden, ob darauf gestützt grundrechtseingreifende Maßnahmen gegen die identifizierten Personen ergriffen werden.

„Entscheidungen im Strafverfahren dürfen immer nur von Menschen getroffen werden – nicht von KI-Agenten.“, so Bundesjustizministerin Hubig in diesem Zusammenhang. Der Gesetzentwurf beansprucht dies zu gewährleisten, lässt aber offen, wie genau dies geschehen soll. § 98d StPO-E enthält insbesondere keine Anforderungen an die fachliche Qualifikation der Anwender und ermöglicht damit auch nicht speziell geschulten Polizeibeamten die Durchführung biometrischer Abgleiche. Gerade diese können aber die vom System generierten „Treffer“ mangels eigener Expertise im morphologischen Gesichtsvergleich regelmäßig nicht fundiert überprüfen. Es besteht daher die Gefahr, dass auf den ersten Blick plausibel erscheinende Ergebnisse ungeprüft übernommen werden.

Dies liefe im Übrigen in vielen Fällen auch Art. 26 Abs. 10 UAbs. 3 S. 2 KI-VO zuwider, der verlangt, dass „Strafverfolgungsbehörden keine ausschließlich auf der Grundlage der Ausgabe solcher Systeme zur nachträglichen biometrischen Fernidentifizierung beruhende Entscheidung, aus der sich eine nachteilige Rechtsfolge für eine Person ergibt, treffen“. Kann aber der Anwender den „Treffer“ (also die Ausgabe des biometrischen Fernidentifizierungssystems) mangels entsprechender Expertise nicht wirksam überprüfen, dann kann er gar nicht anders, als Entscheidungen faktisch allein auf Basis dieser Ausgabe zu treffen.

Sinnvoll wäre es, in der Rechtsgrundlage des § 98d StPO-E den Einsatz biometrischer Erkennungssysteme auf entsprechend geschulte Personen zu beschränken, für den Bereich Gesichtserkennung etwa auf beim Bundeskriminalamt ausgebildete Lichtbildexperten oder andere Lichtbildsachverständige. Nur so lassen sich die Treffer sachkundig überprüfen und Fehlidentifizierungen – und damit Ermittlungen gegen Unbeteiligte – wirksam reduzieren.

Auch hier reichen die Vorgaben der KI-Verordnung nicht aus, denn sie bleiben insoweit zu unbestimmt. Zwar ergibt sich aus Art. 14 Abs. 5 KI-VO, dass Ergebnisse von Systemen zur nachträglichen biometrischen Fernidentifizierung von „mindestens zwei natürlichen Personen, die die notwendige Kompetenz, Ausbildung und Befugnis besitzen, getrennt überprüft und bestätigt“ werden sollen. Diese Vorgabe richtet sich jedoch nicht als unmittelbar verbindliche Verfahrensanforderung an die Anwender (oder die Strafverfolgungsbehörde oder den nationalen Gesetzgeber), sondern als Ausgestaltungs- bzw. Designvorgabe an die Anbieter von KI-Systemen (vgl. auch Art. 16 lit. a KI-VO).

Wo sind die Grenzen?

Der vorgeschlagenen Rechtsgrundlage fehlt außerdem in einigen zentralen Fragen eine wirkungsvolle Begrenzung der neuen Ermittlungsmaßnahme. Zwei Beispiele:

Im Gegensatz zu dem ursprünglichen Entwurf der Ampel-Koalition soll ein Abgleich biometrischer Daten nicht nur zur Identitätsermittlung oder zur Ermittlung des Aufenthaltsorts zulässig sein, sondern auch zur „Erforschung des Sachverhalts“. Das bedeutet, dass biometrische Erkennungssysteme auch eingesetzt werden können, um anhand von Internetdaten weitere Informationen über verdächtige Personen zu gewinnen, etwa zu ihren Eigenschaften, Vorlieben oder ihrem Bekannten- und Freundeskreis. Dadurch lassen sich weitreichende Erkenntnisse über eine Person gewinnen, die auch Rückschlüsse auf ihr Inneres – und den Kernbereich ihrer Persönlichkeit – sowie die Erstellung von Persönlichkeitsprofilen ermöglichen können. Dabei kommt es nach der Rechtsprechung des Bundesverfassungsgerichts gerade nicht darauf an, ob die Informationen tatsächlich verknüpft oder Persönlichkeits- und Bewegungsprofile erstellt werden. Entscheidend ist vielmehr, dass dies durch die Maßnahme möglich wäre (vgl. etwa BVerfGE 125, 260 (292)). Es wäre daher angezeigt, eine Regelung zum Kernbereichsschutz zu treffen (etwa durch Verweis auf § 100d StPO) bzw. ein ausdrückliches Verbot der Erstellung von Persönlichkeitsprofilen zu regeln (in diese Richtung etwa § 14a Abs. 2 S. 5 HSOG, Art. 39 Abs. 3 S. 2 BayPAG).

Unklar bleibt auch, ob mit „biometrischen Daten“ ausschließlich auf das tatsächliche äußere Erscheinungsbild (etwa das reale Gesicht) bzw. die echte Stimme des Verdächtigen oder Zeugen Bezug genommen wird. In der Praxis gewinnt die Suche mit künstlich veränderten oder generierten Darstellungen, etwa in Form künstlich gealterter Gesichter oder synthetischer (Phantom-)Bilder, zunehmend an Bedeutung. Zwar kann hierdurch der Kreis potenziell identifizierbarer Personen erweitert werden, zugleich steigt jedoch die Fehleranfälligkeit der Maßnahme (vgl. dazu auch Hahn, Automatisierte Gesichtserkennung in der Strafverfolgung, 2025, S. 267 f.). Eine Regelung dazu, ob und in welchem Umfang derartige Verfahren zulässig sind, enthält die Rechtsgrundlage nicht.

Aber warum dürfen das denn jetzt die Journalisten?

Noch ein Wort zur verbreiteten Kritik à la „Die Idee kann nicht sein, dass Polizei nicht das tun darf, was zum Beispiel Journalisten tun dürfen“: Es ist keineswegs klar, dass Journalisten Fotos von Personen in kommerzielle Gesichtserkennungs-Suchmaschinen hochladen „dürfen“.

Die Verarbeitung biometrischer Daten ist nach Art. 9 Abs. 1 DSGVO grundsätzlich verboten. Mangels einer ausdrücklichen Einwilligung der Betroffenen (Art. 9 Abs. 2 lit. a DSGVO) kommt nur die Ausnahme des Art. 9 Abs. 2 lit. e DSGVO in Betracht. Danach dürfen biometrische Daten ausnahmsweise verarbeitet werden, wenn die betroffene Person diese Daten selbst „offensichtlich öffentlich gemacht“ hat. Voraussetzung ist jedoch, dass die betroffene Person die sensiblen Daten selbst und bewusst veröffentlicht hat. Dies ist beispielsweise nicht der Fall, wenn Dritte Fotos von einer öffentlichen Veranstaltung hochladen, auf denen die Person zu sehen ist. Auch bei vom Nutzer selbst hochgeladenen Fotos ist die Rechtslage unklar. Denn biometrische Daten sind streng genommen nicht das Gesichtsbild selbst, sondern die daraus gewonnenen Face Embeddings (vgl. Art. 4 Nr. 14 DSGVO). Dass solche selbst hochgeladenen „Selfies“ (bzw. die daraus generierten Face Embeddings) von Dritten für eine Gesichtserkennungssuche genutzt werden, brauchen Nutzer in der Regel nicht zu erwarten, zumal die meisten Social-Media-Anbieter eine solche Nutzung ausdrücklich verbieten. Journalisten (und andere Private) dürfen daher nicht „einfach so“ das Gesichtsbild eines Dritten in einer kommerziellen Gesichtserkennungssoftware wie PimEyes hochladen. (Soweit man für die Gesichtserkennungssuche Art. 85 Abs. 2 DSGVO für einschlägig hält, stellen sich vergleichbare Probleme im Hinblick auf das allgemeine Persönlichkeitsrecht.)

Im Übrigen verstößt ein Journalist auch gegen die Nutzungsbedingungen (Terms of Service) von PimEyes, wenn er mit dem Foto einer anderen Person eine Gesichtserkennungssuche vornimmt. Mit den Worten von PimEyes selbst: „Pursuant to our Terms of Service, any search pertaining to other individuals is strictly prohibited.“

Es stellt sich dann allerdings die Frage, für wen PimEyes Pro-Versionen anbietet, mit denen für monatlich 37,99 Euro bis zu 100 Suchanfragen pro Tag durchgeführt werden können…

The post „Aber die Journalisten dürfen das doch auch“ appeared first on Verfassungsblog.