Einsatz von Gesichtserkennungssoftware, eine invasive Covid-19 Tracing App, das Verknüpfen von biometrischen Daten wie Fingerabdrücken und DNA – die Wunschliste der slowenischen Polizei war lang. Beim neunten Stopp unseres AlgoRail durch Europa berichtet Lenart J. Kučić, wie die Polizei ihre Macht kontinuierlich ausbaut, indem sie ihre Grenzen überschreitet und dies anschließend legalisieren lässt.

Als die slowenische Zivilgesellschaft und Datenschutzexpert:innen den AlgorithmWatch-Bericht 2019 über Gesichtserkennung in der Europäischen Union lasen, waren sie überrascht, Slowenien unter den Ländern zu finden, in denen die Polizei Gesichtserkennungssoftware einsetzt.

Die Polizei verwendet eine Gesichtserkennungssoftware namens Face Trace, um Verdächtige mit Hilfe von Open-Source-Untersuchungsmethoden (wie der Suche in sozialen Medien und anderen Online-Quellen) zu finden. Ein Artikel einer Boulevardzeitung, der davon berichtet, wurde im Dezember 2015 veröffentlicht – vier Jahre vor dem AlgorithmWatch-Bericht. Nach einer gründlichen Recherche in den slowenischen Medienarchiven fand ich eine noch frühere Erwähnung von Face Trace. Darin spricht ein Journalist mit dem Polizeibeamten, der 2014 für die Gesichtserkennungssoftware zuständig war.

Begegnung in der Polizeidatenbank

Es gibt viele Beispiele für den Einsatz von Gesichtserkennung durch die Polizei. So wandte sich eine Frau im Januar 2017 an einen Journalisten, der für die nationale Fernsehwebsite MMC schreibt. Sie wurde von der Verkehrspolizei angehalten. Sie hatte ihren Ausweis nicht bei sich, und der Polizeibeamte brachte sie zu seinem Auto, um ihre Identität auf dem Polizeicomputer zu bestätigen. Als sie ihre persönlichen Daten angab, erschienen Fotos von ihr auf dem Bildschirm. Sie erwartete, ihre offiziellen Fotos zu sehen, aber sie bemerkte auch Fotos, die sie nur auf ihrem persönlichen Facebook-Profil veröffentlicht hatte.

Die Polizei lehnte es ab, zu bestätigen oder zu leugnen, dass sie Bilder aus Social-Media-Profilen in ihrer Datenbank sammelte. Ein Sprecher der Polizei erzählte dem Journalisten, dass der Polizeibeamte möglicherweise nur öffentlich zugängliche Fotos im Internet überprüft habe. Es wurde behauptet, dass jeder und jede auf die Informationen in sozialen Medien zugreifen könne, und lieferten ein langatmiges juristisches Argument, warum Bürger:innen immer einen gültigen Ausweis bei sich tragen müssen, um solche Polizeiverfahren und die Zahlung einer Geldstrafe zu vermeiden.

Man kann daraus schließen, dass die slowenische Polizei seit 2014 eine Gesichtserkennungssoftware verwendet. Die Polizei bestätigte mir, dass sie Gesichtserkennungssoftware verwende, um zum Beispiel Skizzen der Polizei mit Bildern in ihrer Datenbank zu vergleichen. Es ist jedoch wahrscheinlich, dass auch Fotos von Gesichtern verwendet werden. Dies ist wichtig, weil die Datenbank Fotos von persönlichen Social Media Profilen und öffentlichen Großveranstaltungen enthalten könnte.

Wir verwenden hier den Konjunktiv, weil wir nicht mit Sicherheit wissen, welche Fotos die Polizei tatsächlich in ihrer Datenbank aufbewahrt. Die offiziellen Antworten der Polizei blieben während unserer Recherche zweideutig, und der Informationsbeauftragte hat noch nicht beschlossen, die Angelegenheit zu untersuchen und die Nutzung und den Inhalt der Polizeidatenbanken zu evaluieren (eine solche Inspektion ist laut dem Informationsbeauftragten für dieses Jahr geplant).

Gesetze hacken

Oftmals wird es der Polizei ermöglicht, Gesetzgebungen so auszulegen, wie es ihren Bedürfnissen am besten entspricht – ohne großen Widerstand durch die Öffentlichkeit, Politiker:innen oder Datenschutzexpert:innen. „Die Polizei folgt immer dem gleichen Muster. Erstens demonstrieren ihre Vertreter:innen auf dramatische Weise alle neuen Bedrohungen für das öffentliche Leben: den internationalen Terrorismus und das organisierte Verbrechen, die Flüchtlingskrise und Online-Bedrohungen – von Pädophilie bis zu Cyberangriffen. Als Nächstes bringen sie ihre Frustrationen und Sorgen zum Ausdruck, weil sie die Bösewichte nicht effizient bekämpfen können, da die über die neuesten Technologien verfügen und keine rechtlichen Beschränkungen für deren Einsatz haben. Deshalb warten sie auf jede Gelegenheit, die bestehende Gesetzgebung zu ändern und ihre Befugnisse zu erweitern“, erklärte ein Beamter, der an mehreren Verhandlungsrunden mit der Polizei teilgenommen hatte (und anonym bleiben möchte).

Die Polizei legt immer eine sehr ehrgeizige Wunschliste vor, sagte unsere Quelle. Einige Wünsche sind eindeutig nicht realistisch und würden den Gesetzgebungsprozess niemals bestehen: die Schwächung der Verschlüsselung von Kommunikationsanwendungen oder der Einsatz von Drohnen zur Massenüberwachung. Aber sie können in Verhandlungen mit dem Informationsbeauftragten und anderen Datenschutzverfechter:innen verwendet werden. Gut, die Verschlüsselung fassen wir nicht an, sagt dann die Polizei. Aber wir müssen noch das veraltete Gesetz über die Pflichten und Befugnisse der Polizei ändern und zum Beispiel biometrische Daten einbeziehen. Nachdem biometrische Daten in der Gesetzgebung erwähnt sind, kann die Polizei dies als rechtliche Grundlage für den Einsatz von Gesichtserkennungssoftware interpretieren.

Ein solches Hacken des Gesetzgebungsprozesses durch die Polizei ist nicht nur hypothetisch. Der slowenische Informationsbeauftragte bestätigte, dass die Polizei bereits 2014 über den Einsatz der Gesichtserkennungssoftware Face Trace informiert hatte. Die Polizei behauptete, dass der Kommissar mit dem von ihnen vorgeschlagenen Einsatz einverstanden sei. Tatsächlich aber gab das Büro des Kommissars mehrere kritische Kommentare zum Einsatz biometrischer Methoden und zur Gesichtserkennung zwischen 2015 und 2019 ab. Ein neues Gesetz über die Pflichten und Befugnisse der Polizei, das 2017 eingeführt wurde, erlaubte der Polizei dann den Einsatz von Technologien, die biometrische Daten oder Gesichtserkennung nutzen und schuf damit einen rechtlichen Rahmen für den Einsatz der Software Face Trace. Der Polizei ist es nun erlaubt, die Gesichtserkennung automatisch mit anderen biometrischen Daten wie Fingerabdrücken und DNA-Profilen zu verknüpfen.

Kein öffentlicher Druck?

Die Polizei sah sich jedoch einigen Widerständen ausgesetzt. Der slowenische Menschenrechtsbeauftrage und der Informationsbeauftragte reichten 2017 eine formelle Beschwerde beim Verfassungsgericht ein. Sie behaupteten, das neue Gesetz über die Pflichten und Befugnisse der Polizei legalisiere einige unzulässige Maßnahmen zur Erhebung personenbezogener Daten ohne ausreichenden Schutz für die Bürger:innen, die keiner Straftat beschuldigt oder verdächtigt wurden.

Es gibt einige problematische Aspekte in Bezug auf die Implementierung und Anwendung von künstlicher Intelligenz (KI), Algorithmen und automatisierten Entscheidungsfindungssystemen (ADM) in Slowenien. Während unserer Recherchen für den letzten AutomatingSociety Report haben sich nur sehr wenige zivilgesellschaftliche Organisationen oder Einzelpersonen mit den sozialen Auswirkungen der Automatisierung auf die Gesellschaft befasst. Darüber hinaus werden Konferenzen über KI in der Regel von kommerziellen Unternehmen und Industriegruppen gesponsert und organisiert, die für ihre Produkte werben wollen. Hinzu kommt, dass NGOs oft unterfinanziert sind und nicht genügend Personal haben, um alle relevanten Themen abzudecken. Folglich stößt die Polizei kaum auf Widerstand, wenn sie ihre „Wunschliste“ bei der Regierung abgibt.

Autoritäre Tendenzen

Kurz nachdem die Covid-19-Pandemie Anfang dieses Jahres ausgebrochen ist, begann die slowenische Regierung die Krise als Vorwand zu nutzen, um die Polizeibefugnisse erheblich auszuweiten.

Die Methode ähnelt früheren Versuchen, die Gesetzgebung zu hacken. Im März 2020 schlug die slowenische Regierung einen ersten Entwurf des „Gesetzes über die Interventionsmaßnahmen zur Milderung der Folgen der übertragbaren Krankheit SARS-CoV-2 (Covid-19) für Bürger:innen und Wirtschaft“ vor. Der Entwurf enthielt auch zwei Artikel, die die Befugnisse der Polizei dramatisch erweiterten.

In Artikel 103 wurde vorgeschlagen, dass die Polizei – neben anderen Maßnahmen – Gesichtserkennung zum Identifizieren von angehaltenen Personen einsetzen, deren Häuser oder Wohnungen betreten, deren Bewegungsfreiheit einschränken sowie geschützte persönliche Daten sammeln und verarbeiten könnte. Artikel 104 schlug vor, dass die Polizei ohne Gerichtsbeschluss den Standort von Mobiltelefonen zurückverfolgen könnte. Alle vorgeschlagenen Maßnahmen wurden im Rahmen eines Dringlichkeitsverfahrens eingeführt – ohne jegliche Konsultationen oder öffentliche Debatten. Der Informationsbeauftragte beschrieb die Anti-Corona-Maßnahmen daher als einen Versuch, möglicherweise „einen Polizeistaat zu errichten“.

Artikel 104 wurde schließlich aufgrund heftiger Kritik aus der Öffentlichkeit und von den politischen Oppositionsparteien aus dem geänderten Gesetz gestrichen. Artikel 103 blieb jedoch bestehen und das „Covid-Gesetz“ wurde im April 2020 verabschiedet. Darüber hinaus bestand die Regierung darauf, dass eine Contact Tracing App notwendig sei, um Gesundheitsbeamt:innen zu helfen, die Pandemie zu stoppen. Sie schlug auch vor, dass Bürger:innen bei Reisen durch das Land ein solche App installiert haben müssen.

Es bedarf vieler kleiner Schritte, um eine – teilweise automatisierte – Überwachungsinfrastruktur aufzubauen. Die slowenische Polizei hat konsequent solche Schritte unternommen, und das „Covid-Gesetz“ hat höchstwahrscheinlich die meisten Punkte auf ihrer „Wunschliste“ legalisiert, von der Gesichtserkennung bis zur Ermittlung von Kontaktpersonen.

Das war’s für den neunten Stopp unseres AlgoRails durch Europa, auf dessen Reise wir mehr darüber erfahren wollen, wie algorithmische Systeme in unserer europäischen Nachbarschaft eingesetzt werden. Nächster Halt ist die Schweiz.

Diese Story wurde von  Julia Gundlach  gekürzt und ins Deutsche übersetzt. Der ungekürzte Beitrag wurde auf der Webseite von AlgorithmWatch veröffentlicht

Die Blogreihe AlgoRail ist Teil des Automating Society Reports 2020 von der Bertelsmann Stiftung und AlgorithmWatch, der im Herbst dieses Jahres veröffentlicht und von Dr. Sarah Fischer  koordiniert wird. Neben journalistischen Geschichten wie dieser, gibt der Report einen Überblick über verschiedene Anwendungsbeispiele algorithmischer Systeme sowie aktuelle Debatten, Policy Responses und wichtige Akteure in 15 Ländern. Eine erste Ausgabe des Reports ist im Januar 2019 erschienen.

Dieser Text ist lizenziert unter einerCreative Commons Namensnennung 4.0 International Lizenz.