Polizei Hamburg darf Gesichtserkennungs-Software in Ermittlungsverfahren verwenden

Das Verwaltungsgericht Hamburg urteilte am 23.10.2019, dass die Polizei Hamburg die Gesichtserkennungssoftware „Videmo 360“ zur Aufklärung von Straftaten während des G20-Gipfels 2017, darunter Landfriedensbruch, Körperverletzung und Sachbeschädigung, weiterverwenden darf, Az. 17 K 203/19. Der Hamburgische Datenschutzbeauftragte hatte im Dezember 2018 die Löschung der biometrischen Datenbank zum Gesichtsabgleich angeordnet. Dagegen hatte der Senat für Inneres und Sport im Januar 2019 Klage beim Verwaltungsgericht Hamburg erhoben. Das Verwaltungsgericht hebt zwei Gründe für den Erfolg der Klage hervor:

  • Der Datenschutzbeauftragte hatte im Rahmen der Löschungsanordnung auf die fehlende Rechtsgrundlage für den Einsatz der Software abgestellt, statt konkrete Verstöße gegen das Bundesdatenschutzgesetz zu nennen.
  • Außerdem hatte der Datenschutzbeauftragte die Löschung der Datenbank angeordnet, ohne Bedingungen für einen rechtmäßigen Einsatz zu nennen.

Nach Auffassung des Verwaltungsgerichts liegen die Voraussetzungen für eine entsprechende Anordnung nicht vor. Der Datenschutzbeauftragte hätte die Datenverarbeitung der Polizei in der konkret praktizierten Form in den Blick nehmen und eigene Feststellungen zu einem Verstoß gegen Vorschriften des Datenschutzes treffen müssen. Die Anordnung ist zudem ermessensfehlerhaft, weil der Datenschutzbeauftragte die Möglichkeit, etwaige Verstöße gegen datenschutzrechtliche Vorschriften durch normkonkretisierende Auflagen zu kompensieren, nicht in Betracht gezogen und seiner Entscheidung einen fehlerhaften Bewertungsmaßstab zugrunde gelegt hat. Einer Entscheidung über die Rechtmäßigkeit der beanstandeten Datenverarbeitung durch die Polizei bedurfte es in dieser Konstellation nicht.

(Quelle: Pressemitteilung des Verwaltungsgerichts Hamburg vom 23.10.2019)

Täteridentifizierung mittels Software

Wie funktionieren die softwarebasierten Ermittlungen?

Die Polizei Hamburg erstellte seit März 2018 im Vorfeld strafrechtlicher Ermittlungen aus eigenem Material sowie u.a. Videos von acht S-Bahnhöfen eine Datenbank mit individuellen Gesichts-IDs (Templates). Die Datenbank verwendet sie in bisher 782 Suchvorgängen, um die darin gespeicherten Gesichts-IDs mit den Bildern einzelner Tatverdächtiger, die im Rahmen von erkennungsdienstlichen Maßnahmen während des G20-Gipfels erhoben wurden, abzugleichen.

Welche Folgen hat der Einsatz der Software für die Betroffenen?

Die Polizei Hamburg speichert und verwendet dauerhaft Daten von Personen, gegen die zunächst kein Tatverdacht besteht. Allein die Benutzung bestimmter S-Bahnen und die Teilnahme an Demonstrationen führte für diese Personen zur Erfassung ihres Gesichtsprofils. Mangels Kenntnis von der Verarbeitung ihrer Daten haben die Betroffenen keine Möglichkeit, Rechtsbehelfe einzulegen. Die Speicherung von Daten tausender unbeteiligter Personen auf Vorrat erfolgt zum Zwecke der späteren Verwendung im Strafverfahren.

Polizeiliche Generalklausel reicht als Rechtsgrundlage aus

Die Verarbeitung polizeifremder Daten mit einer biometrischen Datenbank ist ein Eingriff in das Recht auf informationelle Selbstbestimmung der Betroffenen. Nach Auffassung des Verwaltungsgericht Hamburg stellen §§ 161, 163 StPO i.V.m. § 48 BDSG dafür eine ausreichende Eingriffsbefugnis dar. Einen Richtervorbehalt oder die Kontrolle der Datenbank durch unabhängige Stellen sehen diese Generalklauseln jedoch nicht vor.

Das Gericht sieht offenbar in der Generalklausel des § 48 BDSG, die in pauschaler Form die Verarbeitung besonderer Kategorien von Daten, wozu u.a. auch biometrische Daten gehören, regelt, eine hinreichende Grundlage für die massenhafte Erstellung von Gesichtsprofilen zur Strafverfolgung – gerade auch von unbeteiligten Personen. Damit ist im Prinzip der Weg frei, zur Strafverfolgung künftig alle erdenklichen Daten aus dem öffentlichen Raum zu sammeln und daraus biometrische Profile zu generieren, ohne dass konkrete gesetzliche Vorgaben eine unabhängige Kontrolle zur Sicherung von Rechten Betroffener ermöglichen.

(Quelle: Pressemitteilung des Hamburgischen Datenschutzbeauftragten vom 24.10.2019)