Making the World a Safer Place(?) – Gesichtserkennung in der Strafverfolgung auf einem neuen Level

Die Welt zu einem sichereren Ort machen – das ist die Mission von Clearview, einer Software, die Anfang 2020 für Aufsehen gesorgt hat. Mit dieser lassen sich in Sekundenschnelle Personen identifizieren – mit nur einem einzigen Foto. Dieses wird mit einer Datenbank aus drei Milliarden Fotos abgeglichen, woraufhin die ähnlichsten Treffer angezeigt werden. Die Gesichtserkennungstechnologie wird bereits in den USA von Strafverfolgungsbehörden eingesetzt und soll laut Clearview auch nur diesem Zweck dienen. Doch die kritischen Stimmen sind laut. Wir schauen hinter die Kulissen der Technologie.

von Lena Kaul

Gesichtserkennung in neuer Dimension

Gesichtserkennung ist an sich nichts Neues. Es wird schon lange daran geforscht und die Technologie wird immer weiterentwickelt. Große Firmen wie Google hielten sie jedoch zunächst zurück, wie in einem Zitat aus dem Jahr 2011 von Eric Schmidt, dem ehemaligen Vorstandsvorsitzenden bei Google, deutlich wird: „Es ist die einzige Technologie, die Google entwickelt hat und bei der wir, nachdem wir sie uns angesehen haben, beschlossen haben, damit aufzuhören.“ Denn diese könne nicht nur für gute Zwecke, sondern auch auf „sehr schlechte Art und Weise” genutzt werden. Dennoch durchdringt Gesichtserkennung heute immer mehr Bereiche und ist teilweise bereits in unseren Alltag vorgedrungen: von lustigen Snapchat-Filtern über das Entsperren unseres Smartphones per FaceID bis hin zur Grenzkontrolle per Gesichtsscan (Easy Pass). Mit Clearview scheint nun ein weiteres Tabu gebrochen, ein neuer Meilenstein gesetzt. Gesichtserkennung ist zwar auch in der Polizeiarbeit der USA nichts Neues, doch Clearview nutzt eine Datenbank von nie dagewesenem Ausmaß. Statt mit einer Datenbank aus Fahndungs- oder Führerscheinfoto gleicht die Software die Fotos gesuchter Personen mit öffentlich zugänglichen Bildern aus sozialen Medien ab.

So kommt die Clearview-Datenbank laut eigener Aussage auf drei Milliarden Fotos. Genutzt wird die Datenbank bis jetzt ausschließlich durch Strafverfolgungsbehörden und einige private Sicherheitsunternehmen. Für die Öffentlichkeit soll das System laut Clearview nicht zugänglich sein – auch nicht in Zukunft. Im März 2020 berichtete der Unternehmensgründer Hoan Ton-That in einem Interview mit CNN Business, dass bereits über 600 Behörden das System anwenden, laut einem BuzzFeed-Artikel sind es sogar über 2200, darunter das F.B.I. und das Ministerium für Innere Sicherheit (Department of Homeland Security). Das Startup wurde bekannt durch einen Artikel der New York Times (NYT) im Januar 2020.

Gegenüber der NYT sagte das Unternehmen, die Software finde in 75 Prozent der Fälle ein „passendes“ Bild zum gesuchten. Die Trefferquote liegt dabei laut einem FAQ-Dokument bei 98,6 Prozent. Damit sind bereits zwei große Kritikpunkte an der Software angedeutet: die Trefferquote und die Datenbank.

Das Problem mit der Trefferquote

Ob ein gefundenes Bild wirklich passt, also ein korrekter Treffer ist, ist nämlich nicht gesagt. Wie gut die Software tatsächlich arbeitet, ist noch unklar. Eine Prüfung durch eine unabhängige Partei wie das National Institute of Standards and Technology (NIST) liegt bisher nicht vor, obwohl Clearview auf seiner Webseite bis vor Kurzem noch angab, dass die Technologie „von unabhängiger Seite auf ihre Genauigkeit getestet und von staatlich anerkannten Behörden auf ihre Rechtskonformität geprüft“ wurde.

Gesichtserkennungssoftware neigt bisher dazu, bestimmte Personengruppen zu diskriminieren. So sind neuronale Netze, mit denen die Technologie arbeitet, wohl häufig auf kaukasische Gesichtszüge trainiert, sodass andere Personengruppen schlechter erkannt werden, wie z. B. eine Studie des NIST aus dem Jahr 2019 zeigt. Auch werden Männer in der Regel besser erkannt als Frauen. Dadurch können rassistische Vorurteile in der Polizeiarbeit verstärkt werden. So kam es Anfang Januar 2020 in Detroit zu einer Verhaftung eines Unschuldigen aufgrund einer falschen Identifizierung durch Gesichtserkennung. Besonders war an diesem Fall nicht die fehlerhafte Festnahme, sondern dass die Polizei zugab, dass sie den Mann aufgrund einer Gesichtserkennungssoftware verhaftet hat. Behörden in den USA müssen den Angeklagten nämlich nicht mitteilen, dass diese durch eine Gesichtserkennungssoftware identifiziert wurden, solange es sich nicht um die einzige Grundlage für den Haftbefehl handelt. Der Fall wurde im August publik und sorgte in den USA vor allem im Rahmen der Black Lives Matter Bewegung für viel Aufsehen.

Die US-amerikanische Forscherin Clare Garvie warnt vor einem allgemeinen Problem bei der Verwendung von Gesichtserkennungssoftware in der Polizeiarbeit: Schlechter Input erzeuge auch schlechten Output (“Garbage in, garbage out”). Sie forscht am Georgetown University Law Center in Washington D.C., genauer am Center on Privacy and Technology, zum Thema Gesichtserkennung. Das Problem sei oftmals, dass die Bilder, die von Polizisten für die Suche verwendet werden, keine gute Qualität haben, schlicht nicht dazu geeignet sind, sie in ein Gesichtserkennungssystem einzuspeisen. So werden oftmals Phantombilder, stark verpixelte Bilder aus Überwachungskameras oder sogar Bilder von ähnlich aussehenden Personen, also keine Fotos des eigentlichen Täters, verwendet. Das System kann nur mit den Daten arbeiten, die es bekommt. Sind diese schlecht, ist das Ergebnis entsprechend. Clearview schreibt zwar „die mit Clearview und den zugehörigen Systemen und Technologien ermittelten Suchergebnisse sind indikativ und nicht endgültig“, jedoch scheint die Praxis zumindest in einigen Fällen anders auszusehen. Garvie fordert daher klare Richtlinien und Standards, an die sich Behörden verbindlich halten müssen, sowie Kontrollinstanzen. Hierzu formulierte sie 2016 zusammen mit zwei Kollegen ausführliche Empfehlungen. Dazu gehört unter anderem, dass die Datenbanken keine Fotos von unschuldigen Personen enthalten sollten. Dies führt direkt zum zweiten Kritikpunkt: die Datenbank, mit der die Software trainiert wird bzw. die zum Vergleich der Bilder herangezogen wird. Hierzu zunächst ein kurzer Exkurs zum maschinellen Lernen.

Wie funktioniert Gesichtserkennung?

Dahinter stecken sogenannte künstliche neuronale Netze (KNN), die in ihrer Struktur das menschliche Gehirn nachahmen. Sie bestehen aus mehreren Schichten (engl. Layer), in denen sich „Neuronen“ befinden. Diese sind über die Schichten hinweg miteinander verknüpft. KNN stellen eine Methode des maschinellen Lernens dar. Dabei lernt der Computer von selbst, anhand von Daten, die er bekommt, eine bestimmte Aufgabe auszuführen – hier die der Gesichtserkennung. Der Algorithmus ist dabei wie ein Kind. Er lernt anhand dessen, was man ihm vorsetzt. Bei der Gesichtserkennung sind dies unzählige Bilder von Gesichtern sowie Bilder, die keine Gesichter zeigen. Diese bilden das sogenannte Trainingsset, in dem bereits bekannt ist, welche Bilder Gesichter sind und welche nicht. Ein Nachteil ist, dass man für dieses Training eine große Datenmenge benötigt, die durch soziale Netzwerke jedoch zur Verfügung steht – und genau das nutzt Clearview.

Die Gesichtserkennung erfolgt grob in vier Schritten: Gesichtserfassung, Anpassung des Bildes, Merkmalsextraktion und Klassifizierung (Identifikation). Bei der Gesichtserfassung (1) geht es zunächst darum zu unterscheiden, ob das Bild überhaupt ein Gesicht darstellt und wenn ja, wo es sich befindet. Hierfür wird meist bereits ein KNN verwendet. Ein typisches Beispiel hierfür ist die Gesichtserkennung für die Fotofilter bei Snapchat und Co. Bei der Anpassung (2) werden Parameter wie Lichtverhältnisse oder die Perspektive angepasst. Als nächstes geht es dann darum, die charakteristischen Merkmale des Gesichts zu erfassen (3). Auch dies geschieht mittels eines KNN. Die Bilddaten durchlaufen das KNN, wobei an den „Neuronen“ zahlreiche Berechnungen vorgenommen werden. Die Neuronen sind bei einem KNN mathematische Funktionen. Die Verbindungen zwischen den Neuronen sind dabei variabel, sodass das System sich selbst anpassen, also „lernen“ kann. Da dies durch die vielen Schichten des KNN geschieht, spricht man von Deep Learning. Anhand der Beispiele aus dem Trainingsdatensatz hat es gelernt, welche Merkmale sich eignen, um ein Gesicht zu erkennen. Es ist also durchaus relevant, anhand welcher Daten das Netz trainiert wird. Das Verfahren ermöglicht es heutzutage auch, Personen trotz zeitlicher Veränderungen (z. B. Alter, Brille, Make-Up) zu erkennen. Haben die Bilddaten das komplette neuronale Netz durchlaufen, wird als Ergebnis ein Vektor des Gesichts ausgegeben. Dieser wird mit allen Vektoren der Bilder aus der Datenbank verglichen. Dies ist der letzte Schritt (4): die Klassifizierung bzw. Identifikation des Gesichts.

Das Problem mit der Datenübertragung

Clearview arbeitet nur mit öffentlich zugänglichen Bildern – allerdings nicht wie bisher in der Polizeiarbeit mit Bildern, die Behörden normalerweise vorliegen (Fahndungsfotos etc.), sondern Bildern aus sozialen Medien wie Facebook. Ist das Bild einer Person nicht öffentlich freigegeben, wird dieses zwar nicht verwendet. Die Nutzer werden allerdings nicht benachrichtigt, wenn ein Bild von ihnen in die Datenbank aufgenommen wird. Eigentlich verbieten soziale Medien dieses automatisierte Scraping. Clearview verstößt hier gegen die Nutzungsbedingungen und schafft damit eine Anwendung, die es so zuvor nicht gab … Clearview-CEO Hoan Ton-That, äußerte hierzu gegenüber der NYT: „Viele Leute machen das. Facebook weiß das.“ Auffällig ist hier, dass Peter Thiel, laut NYT einer der ersten externen Investoren des Startups, auch Investor der ersten Stunde bei Facebook war, auch wenn er mittlerweile die meisten Anteile verkauft hat. Eine Verbindung ist zumindest zu sehen. Wenn ein Bild einmal öffentlich war und somit in die Clearview-Datenbank gelangte, wird es nicht wieder gelöscht – auch nicht, wenn es auf Facebook gelöscht wird. Die Standardeinstellung für Facebook-Profilbilder ist zudem „öffentlich“ und das Bannerbild kann gar nicht auf „privat“ eingestellt werden. Man muss also aktiv für seinen Datenschutz sorgen. Ist das Bild einmal in der Clearview-Datenbank, muss eine Löschung gezielt über ein Formular, das mittlerweile auf der Clearview-Webseite bereitgestellt wird, beantragt werden. Man gibt den Nutzern also eine Möglichkeit, ihre Daten zu schützen – ob allerdings das aktive Widersprechen eine adäquate Lösung ist, bleibt zu hinterfragen …

Fehlende Kontrollinstanzen

Ein weiteres Problem in Bezug auf den Datenschutz: Was macht Clearview eigentlich mit den Fotos, die die Nutzer des Systems hochladen? Auf den Clearview-Servern liegen immer mehr sensible Daten. Doch kann die Firma diese auch ausreichend schützen? Welche Kontrollmöglichkeiten hat die Firma über die Daten und über das, was als Ergebnis ausgegeben wird? Wie kann dies wiederum kontrolliert werden? Clearview schreibt in seinen FAQs zwar, dass Mitarbeiter die Fotos nicht anschauen, doch letztlich können diese Fragen nicht hinreichend geklärt werden.

Es fehlt an Kontrollinstanzen. Im Rahmen der Recherchen der NYT erschien es zudem so, als hätten die Mitarbeiter mehr Zugriff auf die Daten, als sie zugeben wollen. Nachdem der Journalist sein eigenes Foto von Polizeibeamten durch die Software laufen ließ, bekamen sie Anrufe von Unternehmensvertretern, die fragten, ob sie mit den Medien sprächen. Schauen die Mitarbeitenden bei Clearview also doch, nach wem die Nutzer mit der Clearview-Software suchen? Das Unternehmen erklärte, das System gebe eine Warnung bei ungewöhnlichem Suchverhalten aus, um „unangemessene Suchen“ („inappropriate searches“) zu verhindern. Das ist zunächst einmal äußerst sinnvoll. Die Frage ist, wer bestimmt, was eine unangemessene Suche ist und vor allem, was nicht?

Auf der Unternehmens-Webseite betont Clearview die positiven Seiten der Software, beispielsweise dass sie Kinder und die Schwächsten in der Gesellschaft vor Verbrechen schützt (auf der neuen Version der Webseite ist dies etwas abgeschwächt). Dass Gesichtserkennungstechnologie sinnvoll zur Aufklärung von Verbrechen angewendet werden kann, soll hier nicht infrage gestellt werden. Die Frage bleibt nur, wie es überprüfbar ist, dass es bei der positiven Anwendung bleibt. Clearview entgegnet diesen Bedenken, dass die Anwendung zum einen nicht für die Öffentlichkeit verfügbar sei, und zum anderen Nutzer, die gegen die aufgestellten Nutzungsrichtlinien verstoßen, gelöscht würden. Um einen Account zu erstellen, benötige es zudem die Erlaubnis eines Vorgesetzten der eigenen Organisation. Darüber hinaus seien Sicherheitsvorkehrungen implementiert, die sicherstellen sollen, dass die Software nur für ihren angedachten Zweck verwendet wird. Wie diese aussehen, ist jedoch unklar.

Einige Staaten und Städte in den USA haben bereits Maßnahmen ergriffen, indem sie den Einsatz von Gesichtserkennung für die Polizeiarbeit und die Regierung verboten haben: unter anderem San Francisco und Oakland in Kalifornien sowie Somerville und Brookline in Massachusetts. Auch mit der ein oder anderen juristischen Auseinandersetzung muss Clearview rechnen, wie sich z. B. an der Klage der Bürgerrechtsorganisation American Civil Liberties Union (ACLU) im Mai 2020 zeigt. Der Protest ist aber bisher eher vereinzelt. Es sind auch eher die „wohlhabenden, weißen und sehr progressiven“ Städte, die als erste Verbote erhoben, wie Jameson Spivack vom Center on Privacy and Technology gegenüber heise online feststellt.

Was geschieht in anderen Ländern?

Auch in anderen Ländern werden zunehmend ähnliche Technologien eingesetzt. Vor einigen Jahren wurde bereits die App FindFace in Russland entwickelt, die im Gegensatz zu Clearview sogar für die allgemeine Öffentlichkeit zugänglich ist. Mit 200 Millionen Bildern aus dem russischen Facebook-Pendant VKontakte (VK) als Datenbank sollte die App das Dating revolutionieren: Statt eine Person anzusprechen, lädt man einfach ein Foto von ihr in die App und gelangt im besten Fall zu ihrem VK-Profil. Doch auch hier gibt es durchaus andere Anwendungsgebiete: 2017 wurden mit der App Medienberichten zufolge beispielsweise Teilnehmer regierungskritischer Demonstrationen identifiziert. In China wird Gesichtserkennung vielerorts in Verbindung mit den sogenannten Social Credit Systemen verwendet. Und auch die sozialen Medien selbst, wie Facebook (DeepFace) oder Snapchat, sowie mittlerweile auch Google (FaceNet) nutzen die Technologie.

Auch in Deutschland wird Gesichtserkennung in der Polizeiarbeit eingesetzt, beispielsweise durch das Bundeskriminalamt. Als Datenbank dienen hier jedoch nur Bilder, die im Informationssystem der Polizei (INPOL) erfasst sind. An zahlreichen Orten wird bzw. wurde zudem intelligente Videoüberwachung mit “live” Gesichtserkennung getestet. Der wohl bekannteste Modellversuch fand zwischen dem 01. August 2017 und 31. Juli 2018 am Berliner Bahnhof Südkreuz statt. Der darauffolgende Gesetzesentwurf des Bundesinnenministeriums, in dem die Kompetenzen der Bundespolizei erweitert werden sollten, um Gesichtserkennungstechnologie an 135 Bahnhöfen und 14 Flughäfen einsetzen zu können, stieß jedoch auf Kritik im Bundestag und wurde entsprechend im Januar 2020 wieder zurückgezogen. Vor allem von den Grünen wurde Kritik zu den hohen Fehlerraten geäußert. Im Abschlussbericht des Pilotprojekts heißt es jedoch: „Die Testergebnisse können […] als ausgezeichnete Score-Ergebnisse angesehen werden, die […] [für] den polizeilichen Fahndungsalltag unmittelbar einen erheblichen Sicherheitsgewinn erwarten ließen.“ Diese Formulierung und die entsprechende Handlungsempfehlung wurde vom Chaos Computer Club jedoch stark kritisiert.

Und was ist mit Unternehmen wie Clearview in Deutschland? Grundsätzlich verbietet die Datenschutz-Grundverordnung (DSGVO) in der EU ein solches Vorgehen. Allerdings verhindert diesnicht, dass die Daten trotzdem gesammelt werden, wie der Fall von Matthias Marx zeigt. Das Mitglied des Chaos Computer Clubs hat bei der Hamburger Datenschutzbehörde Beschwerde eingereicht, als er bemerkte, dass Clearview sein biometrisches Profil in ihre Datenbank aufgenommen hatte. Er bekam Recht und die Datenschutzbehörde forderte von Clearview die Löschung des hash-Werts, der eine Art Fingerabdruck der Daten darstellt. Damit wurde allerdings kein allgemeines Verbot für alle Europäer ausgesprochen. Jeder muss sich also selbst beschweren. Wir haben somit innerhalb der EU eine gute Rechtsgrundlage, jedoch besteht noch ein großes Problem in der Kontrolle und Umsetzung des Rechts. Die fragmentierte Branche mit immer mehr kleineren Anbietern erschwert dies zusätzlich. Die Gesetzgebung muss wie so oft aufpassen, nicht den Anschluss an die Technik zu verlieren.

Nach Redaktionsschluss hat die Europäische Kommission einen Gesetzesvorschlag zur Regulierung von automatisierten Entscheidungssystemen (Artificial Intelligence Act) vorgelegt. Es bleibt also spannend auf diesem Gebiet.

Herausgeber

fuks e.V. – Geschäftsbereich Karlsruher Transfer

Waldhornstraße 27,
76131 Karlsruhe
transfer@fuks.org

Urheberrecht:

Alle Rechte vorbehalten. Die Beiträge sind urheberrechtlich geschützt. Vervielfältigungen jeglicher Art sind nur mit Genehmigung der Redaktion und der Autoren statthaft. Namentlich gekennzeichnete Artikel geben nicht unbedingt die Meinung der Redaktion wider. Der Karlsruher Transfer erscheint einmal pro Semester und kann von Interessenten kostenlos bezogen werden.