BKA nutzte Millionen Fotos aus Polizeidatenbank

15. Mai 2024

Das Bundeskriminalamt (BKA) steht im Fokus, nachdem bekannt wurde, dass es Millionen von Fotos aus der Polizeidatenbank INPOL-Z für Softwaretests nutzte, wie der BR am 10.05.2024 berichtet. Diese Vorgehensweise wirft Fragen zum Datenschutz und zur Rechtmäßigkeit solcher Maßnahmen auf.

Softwaretests mit Fotos aus Informationssystem

Das BKA hat 4,8 Millionen Gesichtsfotos aus der Polizeidatenbank INPOL-Z entnommen und dem Fraunhofer-Institut für Graphische Datenverarbeitung (Fraunhofer IGD) zur Verfügung gestellt, laut dem BR. Das Projekt EGES (Ertüchtigung des Gesichtserkennungssystems im BKA) verwendet diese Bilder 2019, um die Leistung der Gesichtserkennungssoftware des BKA mit anderen zu vergleichen. Die genutzten Daten umfassen Frontal- und Halbprofilbilder von etwa 3 Millionen Menschen sowie Bilder von Bart- und Brillenträgern laut des Evaluierungsberichts. Nach dem BKA habe man die Daten abgekoppelt vom Internet an einem geschützten Ort im BKA-Wiesbaden aufbewahrt und mittlerweile gelöscht.

Wissenschaftliche Forschung?

Der Bundesbeauftragte für den Datenschutz (BfDI) bewerte den Vorgang laut des BR-Berichts und eines Antwortschreibens auf „FragDenStaat“ als problematisch. Das BKA betrachte das Projekt hingegen als “wissenschaftliche Forschung” und stütze sich dabei auf das BKA-Gesetz. Den BfDI müsse man nicht hinzuziehen. Dieser äußerte trotzdem Zweifel an der wissenschaftlichen Natur der Tests. Insgesamt sieht er jedoch von einer Beanstandung aufgrund der uneinheitlichen Beurteilung der Rechtslage ab. Eine aktuelle Stellungnahme gibt es noch nicht.

Datenschutzrechtliche Aspekte

Das BKA beruft sich auf § 21 BKA-Gesetz. Nach Absatz 1 kann das BKA im Rahmen seiner Aufgaben bei ihm vorhandene personenbezogene Daten, wenn dies für bestimmte wissenschaftliche Forschungsarbeiten erforderlich ist, weiterverarbeiten, soweit eine Verwendung anonymisierter Daten zu diesem Zweck nicht möglich ist und das öffentliche Interesse an der Forschungsarbeit das schutzwürdige Interesse der betroffenen Person erheblich überwiegt.

Allerdings stehen die Softwaretests nicht im unmittelbaren Zusammenhang mit Gefahrenabwehr und Strafverfolgung, weshalb die DSGVO vorrangig gelten könnte. Teilweise wird jedoch auch die Meinung vertrete, dass sich Sicherheitsbehörden an die jeweiligen Spezialgesetze halten müssen. Während sich das BKA zunächst auf das BKA-Gesetz berufen habe, stütze man sich mittlerweile auf die DSGVO. Das zeigt jedenfalls, dass das BKA durchaus einschneidende Grundrechtseingriffe ohne sichere Rechtsgrundlage vorgenommen hat.

Im Übrigen ist im Datenschutzrecht die Zweckbindung zu beachten. Das bedeutet, dass Daten nur zu dem Zweck verarbeitet werden dürfen, zu dem sie auch erhoben wurden. Hier liegt es jedoch nahe, zu argumentieren, dass es sich bei der Verwendung zu „Forschungszwecken“ oder „Softwaretests“ um einen neuen Zweck handelt.

Fazit

Dass das BKA 4,8 Millionen Fotos aus der Polizeidatenbank nutzte, wirft erhebliche Bedenken bezüglich der Achtung von datenschutzrechtlichen Vorgaben durch Strafverfolgungsbehörden auf. Gerade bei Grundrechtseingriffen sollten Behörden stets vor dem Eingriff die Existenz einer sicheren Rechtsgrundlage prüfen.