Das alte Datenschutz-Dilemma: Freiheit vs. Sicherheit

Freiheit und Sicherheit werden oft als zwei große Gegensätze unserer Zeit dargestellt. Man will sich natürlich sicher fühlen, aber dabei auch nicht zu sehr eingeschränkt werden. Aktuelle Beispiele liefern gerade zwei Gesetzentwürfe bzw. Gedankenspiele aus dem Justiz- und dem Innenministerium: Es geht um eine mögliche Pflicht von Online-Diensten, Passwörter von mutmaßlichen Kriminellen herauszugeben sowie flächendeckende Gesichtserkennungs-Software, die z.B. in den USA schon weit verbreitet ist: Der Dienst „Clearview“ ermöglicht dort, Straftäter in einer drei Billionen Bilder umfassenden Datenbank in Minuten ausfindig zu machen.

Das geplante Gesetz gegen Hate Speech / Hasskriminalität und der Passwort-Streit

Das Bundesjustizministerium feilt gerade an einem Gesetz gegen Hasskriminalität im Internet. Dass dagegen etwas getan werden muss, sind sich alle einig. Nur wie weit darf der Staat bei der Bekämpfung von Hate Speech gehen? Da gehen die Meinungen auseinander. Ein erster Gesetzentwurf aus dem Haus von Ministerin Christine Lambrecht sah eine weitreichende Verschärfung des Netzwerkdurchsuchungsgesetzes (NetzDG) vor: Netzwerkbetreiber sollten schwere Straftaten wie Morddrohungen, die Belohnung und Billigung von Delikten sowie Volksverhetzung und Gewaltdarstellungen melden müssen. Sie sollen zugleich auch Daten zur Verfügung stellen, die den Behörden eine Strafverfolgung erlaubt.

Die Diskussion lief im Dezember darauf hinaus, dass soziale Netzwerke, Messenger-Dienste, Spiele-Apps, Dating-Portale und auch Cloud-Speicherdienste Passwörter an Staatsanwaltschaft, Polizei, Zoll, Verfassungsschutz und Geheimdienste herausgeben müssen. Schon bisher konnten Polizei und Staatsanwälte die Herausgabe dieser Daten verlangen. Die bisherige Regelung werde nur präzisiert, so Lambrecht. Vor einer Passwort-Herausgabe müsse in jedem Fall ein Richter die Verhältnismäßigkeit der Maßnahme prüfen. Die CDU argumentierte, dies sei sogar eine Verbesserung der aktuellen Situation, denn bisher obliegt die Entscheidung, eine Herausgabe der Daten anzufordern, ausschließlich der Polizei oder Staatsanwaltschaft. Künftig müsse ein Richter nach klar definierten Vorgaben entscheiden.

Allerdings speichern die Anbieter solche Passwörter grundsätzlich verschlüsselt und können sie demzufolge gar nicht im Klartext an die Behörden aushändigen. Die Anbieter sollten auch ihre Passwörter künftig nicht unverschlüsselt speichern, denn wie die FDP richtig anmerkte: „Passwörter sind Generalschlüssel zu unserem Leben.“ EU-Recht verbietet darüber hinaus das unverschlüsselte Speichern ohnehin. Der Entwurf sah auch keine Pflicht zur Herausgabe der Passwörter vor, es sollten nur „sämtliche unternehmensinternen Datenquellen […] berücksichtigt werden“.

Anschließend gab es einen wochenlangen Aufschrei: Die FDP monierte zu Recht, dass „Unternehmen einerseits die Hölle heiß gemacht wird, wenn sie Passwörter rechtswidrig im Klartext speichern“, diese nun aber „plötzlich auf richterliche Anordnung herausgeben [sollen]“. eco warnte vor der „Einrichtung umfassender Überwachungsrechte für Staat und Behörden“, Bitkom sah die Grundwerte unseres Zusammenlebens über Bord geworfen. Die Grünen sprachen von einem „rechtsstaatlichen Dammbruch“ und AfD und Linke sahen einen Überwachungsstaat heraufziehen. Auch der Bundesdatenschutzbeauftragte protestierte und zweifelte an der Vereinbarkeit des Vorhabens mit dem Grundgesetz.

Das Justizministerium scheint nun auf die Kritik einzugehen und stellte Ende Januar klar: Passwörter sollen nach wie vor nur verschlüsselt gespeichert werden und eine Herausgabe an Behörden nur bei der Verfolgung von schwersten Straftaten in Frage kommen, z.B. bei der Verfolgung von Kindesmissbrauch, Mord und Terrorismus. So soll eine Verhältnismäßigkeit zwischen der Tiefe des Eingriffs und der Schwere der Straftat hergestellt werden. Der Gesetzentwurf soll am 19. Februar vom Bundeskabinett beschlossen werden – die finale Version ist derzeit noch nicht bekannt.

Deutschland ist aber nach wie vor weit entfernt von Zuständen wie in China, wo auszuspähende ausländische Zielpersonen seit kurzem bereits bei der Antragstellung für Visa ausgewählt werden. Neuerdings werden zum Beispiel auch Bildungsverlauf und Sprachkenntnisse sowie Informationen zu einer Kontaktperson sowie zur Familie und deren Erreichbarkeit per Telefon oder E-Mail abgefragt. Darüber hinaus fragt die Volksrepublik nach allen bisherigen Arbeitgebern des Antragstellers mit Position innerhalb des Betriebs, Namen des Vorgesetzten, Telefonnummer und Adresse sowie Angaben zu beruflichen Auslandsaufenthalten und Spezialfähigkeiten. Ein Schelm, wer Böses dabei denkt…

Videoüberwachung und Gesichtserkennung

Nun aber wider zurück nach Deutschland: Mitte Januar hieß es, Bundesinnenminister Horst Seehofer wolle der Bundespolizei erlauben, Software zur Gesichtserkennung an „sicherheitsrelevanten Orten“ (gemeint waren 135 Bahnhöfe und 14 Flughäfen) einzusetzen. Die Technologie sollte helfen, unter den Passanten solche Personen aufzuspüren, die zur polizeilichen Beobachtung oder Fahndung ausgeschrieben sind –  etwa Terrorverdächtige oder Menschen, die sich illegal in Deutschland aufhalten.

Davon ist er aber nun wieder abgerückt. Ursprünglich sollten die Beamten Daten aus Bildaufzeichnungsgeräten „automatisch mit biometrischen Daten abgleichen“ können, die sie weiterverarbeitet oder für die sie eine Berechtigung zum Abruf hat. Dies wäre allerdings auf Daten von Menschen beschränkt gewesen, die zur Fahndung ausgeschrieben sind. Dieser Passus wurde nun gestrichen. In der neuen Fassung ist nur noch von der Nutzung von Bildaufzeichnungsgeräten die Rede. Die EU erwägt derweil ein gänzliches Verbot von Gesichtserkennungssoftware im öffentlichen Raum.

Systeme zur automatisierten Gesichtserkennung im öffentlichen Raum können Menschen erkennen, wenn deren Fotos in einer Polizeidatenbank gespeichert sind. Und davon haben deutsche Sicherheitsbehörden ziemlich viele: aktuell sind es fast sechs Millionen Gesichtsbilder, etwa eine Million mehr als noch vor vier Jahren. Und dabei erfolgt die Speicherung nur vorübergehend. Die Fotos betreffen inhaftierte Menschen sowie solche, die zur Fahndung ausgeschrieben oder einer erkennungsdienstlichen Behandlung unterzogen wurden. Zu einer Person können dort mehrere Bilder gespeichert werden. Im ersten Halbjahr 2019 wurden etwa 24.000 Anfragen an das Gesichtserkennungssystem des Bundeskriminalamts (BKA) gestellt.

Das BKA räumt aber ein, dass ihm die genaue Funktionsweise der Systeme nicht bekannt sei, nur dass dabei „Methoden des maschinellen Lernens“ zum Einsatz kämen. Hochbrisant findet das Die Linke: Bei Systemen, die derart tief in Persönlichkeitsrechte eingriffen, dürfte das BKA keine Software nutzen, deren Funktionsweise es nicht kenne. Auch der Bundesdatenschutzbeauftragte Ulrich Kelber warnte, die biometrische Gesichtserkennung im öffentlichen Raum stelle “einen potenziell sehr weitgehenden Grundrechtseingriff dar, der auf jeden Fall durch konkrete Vorschriften legitimiert sein müsste.“ Eine solche Legitimation sieht er derzeit nicht.

Der Fall „Clearview“

Vor wenigen Wochen hatte die „New York Times“ aufgedeckt, dass die US-Firma „Clearview AI“ eine Datenbank aus rund drei Milliarden (!) frei im Internet zugänglichen Bildern von Facebook, YouTube & Co. zusammengestellt und auf dieser Basis unter anderem diversen Behörden einen Service zur Gesichtserkennung angeboten hatte. Mit der Clearview-App soll es möglich sein, ein Foto von einer fremden Person aufzunehmen und auf einen Klick alle öffentlichen Bilder dieser Person zu finden – inklusive Links zu den Seiten, von denen die Bilder stammen und auf denen sich dann leicht weitere Details wie Namen, Adresse oder Kontakte finden lassen. Die „New York Times“ spricht vom „Ende der Privatsphäre, wie wir sie kennen“. Das Tabu ist nun gebrochen. Dabei haben nicht einmal die großen Tech-Konzerne noch die US-Regierung in solches System bislang selbst entwickelt.

Dennoch nutzen zahlreiche Behörden in den USA es offenbar bereits – und sind begeistert von der Effizienz: So konnte in Indiana ein Tatverdächtiger innerhalb von 20 Minuten ausfindig gemacht werden, weil die Software den Täter aus einem Zeugenvideo auch auf einem Social-Media-Video erkannte. Die Polizei hatte den Mann bisher nicht in ihrer Datenbank gelistet.

In den falschen Händen verleiten die Clearview-Daten natürlich zu Missbrauch: So könnten böse, bestochene oder erpresste Polizisten jede Menge private Daten zum eigenen Vorteil abgreifen oder Geheimnisse über Menschen erpressen und sie ins Gefängnis werfen. Der Algorithmus lässt es prinzipiell zu, dass man durch die Straßen gehen oder in der Bahn sitzen und potenziell jeden Menschen, der einem begegnet, identifizieren könnte, z.B. mittels einer Datenbrille. Über sein Onlin-Verhalten wissen die Dienste auch schon alles: So kann in Windeseile ein komplettes Personenprofil erstellt werden. Anonymität im öffentlichen Raum wäre am Ende.

Clearview hat sein Daten zwar aus frei zugänglichen Informationen zusammengestellt (Fachsprache: „ge-scraped“). Facebook verbietet das zwar in seinen AGB, aber offenbar nicht technisch. Um zu verhindern, dass die eigenen Bilder gescraped werden, muss der einzeln aktiv werden und Suchmaschinen den Zugriff auf das eigene Profil verweigern. In der EU verbietet die DSGVO, Bilder, die zu einem anderen Zweck im Netz hochgeladen worden sind, in einer Datenbank zu speichern, ohne die betroffene Person darüber zu informieren und sie um Erlaubnis zu fragen… Hoffen wir mal, dass sich hier alle an Recht und Gesetz halten!