Nach Recherchen des BR verwertete das deutsche Bundeskriminalamt (BKA) im Jahr 2018 knapp 5 Millionen Bilder aus der Polizeidatenbank, um eine Gesichtserkennungssoftware zu testen. Damit nutzt das BKA eine datenschutzrechtliche Grauzone aus.

Aus einer Recherche des Bayerischen Rundfunks (BR) geht hervor, dass das BKA Fotos von etwa 3 Millionen Personen einsetzte, um eine Bilderkennungssoftware zu testen. Die Polizei hätte die Bilder nur intern verwenden dürfen, denn Deutschland gilt die Datenschutzgrundverordnung (DSGVO). Das ist ein Gesetz der Europäischen Union (EU) und regelt den Umgang mit personenbezogenen Daten. Dadurch braucht es für jede Datenverarbeitung eine Rechtsgrundlage, entweder in Form einer Gesetzesgrundlage oder einer Einwilligung. Beides war in diesem Fall nicht gegeben.

Demnach wurden die Bilder vom Bundeskriminalamt für einen Zweck eingesetzt, für den sie nicht erhoben wurden. Das Vorgehen beruht deshalb auf keiner sauberen Rechtsgrundlage. Einer der Betroffenen, IT-Sicherheitsexperte Janik Besendorf, sieht seine Grundrechte verletzt und erwägt, das BKA aufgrund der Zweckentfremdung seiner persönlichen Daten zu verklagen.

Die interne Kommunikation zwischen dem BKA und dem Bundesdatenschutzbeauftragten (BfDI), Ulrich Kelber, zeigt, dass das Bundeskriminalamt das Projekt als „wissenschaftliche Forschung” deklarierte und sich auf einen Paragrafen im BKA-Gesetz berief. Dass es sich tatsächlich um ausschließlich wissenschaftliche Forschung handelte, ist zu bezweifeln. Die Informationsbereitstellung des BKA gegenüber dem BfDI war spärlich und verzögert, wie aus den Dokumenten hervorgeht. Der Abschlussbericht wurde Kelber erst anderthalb Jahre nach Fertigstellung des Projekts übermittelt.

Der Bundesdatenschutzbeauftragte Ulrich Kelber kritisierte die Vorgehensweise des BKA als „problematisch” und drängte auf eine Gesetzesänderung, um bei derartigen Tests Rechtssicherheit und Transparenz sicherzustellen. Ebenfalls äußerte der Professor für Strafrecht und Digitalisierung an der Ludwig-Maximilians-Universität München, Mark Zöller, gegenüber dem BR Kritik daran, dass neue Technologien eingesetzt würden, bevor eine klare rechtliche Grundlage geschaffen sei. Die biometrische Überwachungstechnik entstehe nicht in einem luftleeren Raum, sondern es werde durchaus zu polizeilich relevanten Zwecken getestet.

Das Bundeskriminalamt (BKA) hebt nun hervor, dass die Computer, die für die Auswertungen verwendet wurden, in einem speziell eingerichteten Raum ohne Internetzugang in Wiesbaden (dem Standort des BKA) platziert waren. Nach Abschluss des Projekts seien die verwendeten Festplatten vernichtet worden.