Nutzung biometrischer Datenbanken durch das Bundesamt für Migration und Flüchtlinge

Nach § 15b des Asylgesetzes (AsylG) darf ein biometrisches Lichtbild eines Ausländers „mit allgemein öffentlich zugänglichen personenbezogenen Daten aus dem Internet mittels einer automatisierten Anwendung zur Datenverarbeitung biometrisch abgeglichen werden, wenn der Ausländer keinen gültigen Pass oder Passersatz besitzt, der Abgleich für die Feststellung der Identität oder Staatsangehörigkeit des Ausländers erforderlich ist und der Zweck der Maßnahme nicht durch mildere Mittel erreicht werden kann“. Das Bundesamt für Migration und Flüchtlinge (BAMF) ist für diese Maßnahme zuständig.

Die Indexierung im Internet öffentlich zugänglicher biometrischer Lichtbilder steht seit Jahren in der Kritik. Eine Reihe europäischer Datenschutzbehörden hatte bei dem privaten Anbieter einer biometrischen Lichtbilddatensuchmaschine, ClearView AI, Verstöße gegen grundlegende Datenschutzprinzipien und grundrechtliche Garantien festgestellt und ihm gegenüber Bußen ausgesprochen. So erließ die niederländische Datenschutzbehörde AP ein Bußgeld in Höhe von 30,5 Mio. Euro gegen ClearView AI (autoriteitpersoonsgegevens.nl/actueel/ap-legt-clearview-boete-op-voor-illegale-dataverzameling-voor-gezichtsherkenning). Auch die französische Datenschutzbehörde CNIL, die griechische Datenschutzaufsicht, die britische Aufsichtsbehörde ICO und die italienische Datenschutzbehörde GPDP verhängten Bußgelder und Geldstrafen in Höhe von 20 Millionen Euro bzw. 7,5 Mio. Pfund gegen ClearView AI (www.cnil.fr/fr/reconnaissance-faciale-sanction-de-20-millions-deuros-lencontre-de-clearviewai; www.dpa.gr/el/enimerwtiko/prakseisArxis/epiboli-prostimoy-stin-etaireia-clearview-ai-inc; ico.org.uk/about-the-ico/media-centre/news-and-blogs/2022/05/ico-fines-facial-recognition-database-company-clearview-ai-inc/; www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/9751323).

Ferner verbietet die EU-Verordnung über künstliche Intelligenz (KI-VO) mit Inkrafttreten der darin festgelegten Verbote zum 2. Februar 2025 „das Inverkehrbringen, die Inbetriebnahme für diesen spezifischen Zweck oder die Verwendung von KI-Systemen, die Datenbanken zur Gesichtserkennung durch das ungezielt Auslesen von Gesichtsbildern aus dem Internet oder von Überwachungsaufnahmen erstellen oder erweitern“ (Artikel 5 Absatz 1 Buchstabe e KI-VO). Dieses Verbot umfasst sowohl KI-Anbieter als auch öffentliche Stellen wie Polizei-, Strafverfolgungs- und Migrationsbehörden, die ein solches KI-System anschaffen, betreiben oder nutzen. Erwägungsgrund 43 der KI-Verordnung begründet das Verbot damit, dass „diese Praxis das Gefühl der Massenüberwachung verstärkt und zu groben Verletzungen der Grundrechte, einschließlich des Rechts auf Privatsphäre, führen kann“ (Verordnung (EU) 2024/1689 des Europäischen Parlaments und des Rates: eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=OJ:L_202401689, S. 12). Gleichzeitig kann ein automatisierter Abgleich biometrischer Lichtbilder mit allgemein öffentlich zugänglichen personenbezogenen Daten aus dem Internet, wie nach § 15b AsylG vorgesehen, nach Einschätzung der Fragesteller nicht ohne den Einsatz dieser EU-weit verbotenen KI-Systeme umgesetzt werden. Somit steht der in § 15b AsylG beschriebene automatisierte Abgleichvorgang in Konflikt mit geltendem EU-Recht.

Nach § 15b Absatz 11 AsylG soll über eine Rechtsverordnung „(…) das Nähere zu dem technischen Verfahren, den Sicherungsmaßnahmen zur Verhinderung unbefugter Datenzugriffe und, (…) nähere Vorgaben zu Art, Umfang und Dauer,“ bestimmt werden. „(…) insbesondere (1) Eingabe- und Zugangsberechtigung, (2) Speicher- und Löschfristen, (3) Art der zu speichernden Daten, (4) Personenkreis, der von der Speicherung betroffen ist, (5) Dauer der Speicherung, und (6) Protokollierung.“

Wir fragen die Bundesregierung: