Die Polizeikräfte der EU-Staaten planen offenbar die Einrichtung eines miteinander verbundenen, EU-weiten Netzes von Gesichtserkennungsdatenbanken. Das zeigen geleakte Dokumente.
Ein Report des EU-Rates, der Berichten zufolge im November letzten Jahres in zehn Mitgliedsstaaten verteilt wurde, beschreibt die Maßnahmen, die Österreich ergriffen hat, um ein Gesetz zum Aufbau eines Netzes von Gesichtserkennungsdatenbanken zu erlassen. Diese sollen von den Polizeikräften im gesamten Block genutzt und abgerufen werden können.
Die Dokumente, auf die The Intercept Zugriff hat, würden somit auch einer Reihe von früheren Berichten entsprechen, laut denen untersucht werden soll, ob der Prümer Vertrag – der Regeln für die operative polizeiliche Zusammenarbeit zwischen den EU-Mitgliedstaaten enthält – um derartige Gesichtsbilder erweitert werden soll.
Unter der gegenwärtigen Regelung gibt es bereits Bestimmungen, die den Austausch von DNA-, Fingerabdruck- und Fahrzeugregisterdaten zwischen den teilnehmenden Mitgliedsstaaten erlauben. Die Initiative war ursprünglich 2005 vom damaligen Bundesinnenminister Wolfgang Schäuble vorgeschlagen worden.
Die Ausweitung des Prümer Vertrags auf Gesichtserkennungsbilder war bereits in den Schlussfolgerungen des EU-Rates im Jahr 2018 vorgesehen. Damals wurden ExpertInnen der Mitgliedstaaten im Rahmen der Arbeitsgruppe „Informationsaustausch und Datenschutz“ des Rates aufgefordert, „den Prümer Arbeitsablauf für weitere Entwicklungen im Hinblick auf mögliche neue biometrische Technologien, z.B. Gesichtserkennungssysteme, zu evaluieren“.
Berichte legen nahe, dass die Europäische Kommission zur Beurteilung der möglichen Einbeziehung von Gesichtserkennungstechnologien in den Prümer Vertrag das internationale Beratungsunternehmen Deloitte mit einer Evaluierung im Wert von 700.000 Euro beauftragt hat.
Weißbuch KI
Die geleakten Dokumente kommen zu einer Zeit, in der die EU mit der Frage ringt, ob und wie Gesichtserkennungstechnologien auf EU-Ebene reguliert werden sollen.
Anfang dieses Jahres wurde in Dokumenten, die EURACTIV erhalten hat, angedeutet, dass die Europäische Kommission im Rahmen ihres Weißbuchs über künstliche Intelligenz scheinbar ein fünfjähriges Moratorium für derartige Technologien in Erwägung gezogen hatte.
Diese Pläne wurden jedoch in der vergangene Woche veröffentlichten Endfassung des Weißbuchs ad acta gelegt. Die Kommission entschied sich stattdessen für eine „EU-weite Debatte über die Verwendung der biometrischen Fernidentifizierung“.
Die Kommission hatte allerdings auch hervorgehoben, dass nach den geltenden EU-Datenschutzvorschriften die Verarbeitung biometrischer Daten zum Zwecke der Identifizierung von Personen verboten ist – es sei denn, bestimmte Bedingungen im Hinblick auf die nationale Sicherheit oder das öffentliche Interesse sind erfüllt.
Artikel 6 der Datenschutzgrundverordnung (DSGVO) der EU legt diese Bedingungen fest, unter denen personenbezogene Daten rechtmäßig verarbeitet werden können. Eine solche Voraussetzung ist die ausdrückliche Zustimmung der betroffenen Person. Artikel 4 (14) der Gesetzgebung deckt die Verarbeitung biometrischer Daten ab.
Trotzdem haben die EU-Mitgliedstaaten in den vergangenen Monaten diverse Zukunftspläne im Bereich der Gesichtserkennungstechnologien entworfen: In Deutschland hat die Bundesregierung ihre Absicht umrissen, automatische Gesichtserkennung an 134 Bahnhöfen und 14 Flughäfen einzuführen, während Frankreich plant, einen gesetzlichen Rahmen zu schaffen, der die Kombination von Videoüberwachungssystemen mit Gesichtserkennungstechnologien erlaubt.
Das Weißbuch der EU zur künstlichen Intelligenz hat eine Reihe von „Hochrisikobereichen“ aufgezeigt, die für eine zukünftige Überwachung in Frage kommen könnten. Die Bereiche lassen sich dabei in zwei Kategorien einteilen: Technologien in „kritischen Sektoren“ und Technologien, die selbst als „kritisch“ angesehen werden.
Zu den kritischen Sektoren gehören das Gesundheits- und das Transportwesen, die Polizei und das Rechtssystem, während zu den Technologien mit kritischem Nutzen solche gehören, bei denen die Gefahr von Todesfällen, Beschädigungen oder Verletzungen besteht, oder die rechtliche Auswirkungen haben können.
Clearview AI
In anderen Teilen der Welt hat die EU derweil eine entschlossene Haltung zur Anwendung der Gesichtserkennung eingenommen. Nach jüngsten Nachrichten, dass das US-Technologieunternehmen Clearview AI mehr als drei Milliarden Gesichtsbilder von Social-Media-Seiten wie YouTube, Facebook und Twitter übernommen hat, ohne die Erlaubnis der NutzerInnen einzuholen, hatte die Kommission mit den EU-Datenschutzbehörden darüber beraten, ob die Daten der europäischen BürgerInnen möglicherweise gefährdet sind.
Clearview AI stellt diversen Strafverfolgungsbehörden eine Datenbank zur Verfügung, die in der Lage ist, Bilder von Gesichtern mit den über drei Milliarden gespeicherten Gesichtsbildern abzugleichen.
„Die Kommission ist sich der Presseberichte bewusst, wir verfolgen das Thema und bleiben in engem Kontakt mit den nationalen Datenschutzbehörden und dem Europäischen Datenschutzrat,“ sagte ein Sprecher der EU-Exekutive gegenüber EURACTIV.com.
„Diese Technologien funktionieren nicht in einem rechtlichen Vakuum. Die Verwendung von persönlichen Daten fällt unter die strengen DSGVO-Regeln, die eine genau definierte Rechtsgrundlage und legitime Zwecke erfordern, ebenso wie dass die betroffene Person über den Prozess informiert ist und über Mittel zur Beschwerde und Überprüfung verfügt.“
Clearview AI ist allerdings nicht Mitglied des Privacy Shield-Abkommens von 2016, das US-amerikanische Unternehmen dazu verpflichtet, persönliche Daten von EU-BürgerInnen gemäß den EU-Standards und europäischen Verbraucherrechten zu schützen.
[Bearbeitet von Zoran Radosavljevic und Tim Steins]