1034/J XXVII. GP
Eingelangt am 27.02.2020
Dieser Text wurde elektronisch übermittelt. Abweichungen vom Original sind
möglich.
Anfrage
der Abgeordneten Dr. Nikolaus Scherak‚ MA, Kolleginnen und Kollegen
an den Bundesminister für Inneres
betreffend Leaks zu geplantem EU-Netzwerk von Gesichtserkennungsdatenbanken unter österreichischer Leitung
Ein am 21. Februar 2020 veröffentlichter Artikel der Rechercheplattform "The Intercepts" deckte auf, dass unter der österreichischer Führung an der Errichtung eines europäischen Datenverbundsystems für Gesichserkennungssysteme gearbeitet wird (https://theintercept.com/2020/02/21/eu-facial-recognition-database/).
Übersetzung des Artikels aus dem englischen Original:
"Laut durchgesickerten internen Dokumenten der Europäischen Union könnte die EU bald ein Netzwerk nationaler Datenbanken zur Gesichtserkennung der Polizei aufbauen. In einem Bericht der nationalen Polizeikräfte von zehn EU-Mitgliedstaaten unter der Leitung von Österreich wird die Einführung von EU-Rechtsvorschriften gefordert, um solche Datenbanken in jedem Mitgliedstaat einzuführen und miteinander zu verbinden. Der Bericht, den "The Intercept" von einem europäischen Beamten erhalten hat, der über die Entwicklung des Netzwerks besorgt ist, wurde im November 2019 unter EU- und nationalen Beamten verteilt. Sofern frühere Vereinbarungen zum Datenaustausch ein Vorbild sind, so ist zu befürchten, dass das neue Gesichtserkennungsnetzwerk mit ähnlichen verbunden Datenbanken in den USA verknüpft wird. Damit wird das geschaffen, was Datenschutzforscher_innen eine massive "transatlantische Konsolidierung biometrischer Daten" nennen.
Der Bericht wurde im Rahmen von Diskussionen über die Erweiterung des Prüm-Systems erstellt, einer EU-weiten Initiative, die DNA-, Fingerabdruck- und Fahrzeugregistrierungsdatenbanken für die gegenseitige Suche miteinander verbindet. Ein ähnliches System besteht zwischen den USA und jedem Land, das Teil des Visa Waiver-Programms ist und die Mehrheit der EU-Länder umfasst. Durch bilaterale Abkommen können US-amerikanische und europäische Behörden auf die Fingerabdruck- und DNA-Datenbanken des jeweils anderen zugreifen.
Obwohl neue Rechtsvorschriften gemäß der Empfehlung des Berichts noch nicht vorliegen, laufen die Vorbereitungsarbeiten. Informationen, die die Europäische Kommission dem Europäischen Parlament im vergangenen November zur Verfügung gestellt hat, zeigen, dass fast 700.000 Euro für eine Studie des Beratungsunternehmens Deloitte zu möglichen Änderungen des Prüm-Systems verwendet werden, wobei sich ein Teil der Arbeit mit der Gesichtserkennungstechnologie befasst. Die Europäische Kommission hat außerdem 500.000 Euro an ein Konsortium öffentlicher Stellen unter der Leitung des Estnischen Forensic Science Institute gezahlt, um „die aktuelle Situation der Gesichtserkennung bei strafrechtlichen Ermittlungen in allen EU-Mitgliedstaaten abzubilden“, mit dem Ziel, „in Richtung den möglichen Austausch von Gesichtsdaten", heißt es in einer Projektpräsentation, die an nationale Vertreter in Brüssel gesendet wurde.
"Dies ist auf nationaler und europäischer Ebene von Bedeutung, insbesondere da einige EU-Länder zu autoritäreren Regierungen tendieren", sagte Edin Omanovic, Advocacy Director von Privacy International. Omanovic befürchtet, dass eine europaweite Gesichtsdatenbank für die „politisch motivierte Überwachung“ und nicht nur für die Standardarbeit der Polizei verwendet wird. Die Möglichkeit einer allgegenwärtigen, ungerechtfertigten oder illegalen Überwachung ist einer von vielen Kritikpunkten der Gesichtserkennungstechnologie. Ein weiterer Grund ist, dass sie notorisch ungenau ist, insbesondere bei der Erkennung von People of Color.
"Ohne die Transparenz und die rechtlichen Garantien, dass die Gesichtserkennungstechnologie rechtmäßig ist", sagte Omanovic, "sollte es ein Moratorium dafür geben."
Die EU hat in den letzten Jahren große Schritte unternommen, um eine Vielzahl von Migrations- und Sicherheitsdatenbanken miteinander zu verbinden. Durch die im April vergangenen Jahres verabschiedeten neuen Gesetze wurde eine Datenbank eingerichtet, in der Fingerabdrücke, Gesichtsbilder und andere personenbezogene Daten von bis zu 300 Millionen Nicht-EU-Bürgern gespeichert werden. Dabei werden Daten aus fünf verschiedenen Systemen zusammengeführt. Laut dem Bericht von 10 Polizeikräften schlugen die Berater von Deloitte vor, dasselbe mit Gesichtsbildern der Polizei zu tun, aber die Idee wurde von den Strafverfolgungsbeamten einstimmig abgelehnt.
In dem Bericht wird jedoch empfohlen, alle Gesichtsdatenbanken der EU-Mitgliedstaaten zu verknüpfen, was den gleichen praktischen Effekt zu haben scheint. In einem anderen internen EU-Polizeibericht - einem Bericht einer Arbeitsgruppe zu Prüm, der sich mit dem Austausch von Führerscheindaten befasste - stellt die Polizei fest, dass „ein Netzwerk miteinander verbundener nationaler Register als virtuelles europäisches Register angesehen werden kann“.
Für die Polizei liegen die Vorteile miteinander verbundener Gesichtserkennungsdatenbanken auf der Hand. Der von Österreich geleitete Bericht betrachtet die Technologie als ein „hoch geeignetes“ biometrisches Instrument zur Identifizierung unbekannter Verdächtiger und schlägt vor, die Datenbanken „so schnell wie möglich“ zu erstellen und zu verknüpfen. Sie erkennt auch die Notwendigkeit von Datenschutzmaßnahmen an, wie beispielsweise die Letzt-Überprüfung von Übereinstimmungstreffern durch einen Menschen. Datenschutzfachleute sind jedoch der Ansicht, dass die Schaffung eines solchen Systems der erste Schritt zu einer stärkeren Weitergabe und Verknüpfung von Daten ist, wo solche Kontrollen aber unzureichend sind.
Europäische Schritte zur Konsolidierung von Gesichtserkennungsdaten der Polizei ähneln bestimmten Bemühungen in den USA, sagte Neema Singh Guliani, leitender Rechtsberater bei der American Civil Liberties Union. Viele US-Strafverfolgungsbehörden arbeiten in „Fusionszentren“, in denen sie sich am selben Ort befinden und Daten austauschen können. Wenn sie eine Vereinbarung zum Informationsaustausch mit dem FBI oder dem Department of Homeland Security haben, besteht laut Guliani das Risiko, dass die Informationen funktional an weitere Ebenen der US-Strafverfolgung weitergegeben werden.
"Angesichts der bestehenden Beziehungen zum Informationsaustausch ist es sehr wahrscheinlich, dass die USA auch Zugang zu diesen Informationen wünschen."
Bereits 2004 forderte die US-Botschaft in Brüssel einen Rahmen mit der EU, der einen „umfassenden Austausch und die Weitergabe aller Arten von Daten, einschließlich personenbezogener Daten“ ermöglicht. In den letzten Jahren haben sich die Bemühungen um dieses Ziel intensiviert. Laut einem Bericht des Government Accountability Office forderte das Department of Homeland Security im Jahr 2015 die Umsetzung der von den Ländern des Visa Waiver Program geforderten Vereinbarungen zum Datenaustausch. Dazu gehörte, dass das FBI anderen Staaten beim Aufbau der erforderlichen Computernetzwerke behilflich war.
Österreich, um ein Beispiel zu nennen, hat im Oktober 2017 damit begonnen, Fingerabdrücke mit den kriminellen Fingerabdruckdatenbanken des FBI zu vergleichen, erklärte Reinhard Schmid, ein hochrangiger Beamter des österreichischen Geheimdienstes. Seitdem wurden etwa 12.000 Abzüge von Personen überprüft, was zu 150 Übereinstimmungen führte. "Rund 20 dieser identifizierten Personen wurden untersucht und der Mitgliedschaft in terroristischen Organisationen verdächtigt", sagte Schmid, während in 56 Fällen Einzelpersonen versucht hatten, eine falsche Identität zu verwenden.
"Ihre Logik lautet hier: 'Wenn ein schweres Verbrechen vorliegt und ein vorhandenes Foto durch eine Datenbank laufen lassen möchte, warum sollte ich das nicht tun können?'," sagt Guliani. Die Auswirkungen auf die Privatsphäre seien jedoch enorm. "Sobald Sie den Zugang haben, haben Sie letztendlich die Möglichkeit, fast jeden überall zu identifizieren."
Der Bericht von zehn Polizeikräften fordert Europol, die EU-Agentur für polizeilichen Informations- und Informationsaustausch, auf, eine Rolle beim Austausch von Gesichtserkennung und anderen biometrischen Daten mit Nicht-EU-Staaten zu spielen. Dies spiegelt die Empfehlungen der europäischen Regierungen selbst wider: In einer Erklärung vom Juli 2018 wurde die Kommission aufgefordert, eine „Ausweitung des Anwendungsbereichs“ des Prüm-Netzwerks in Betracht zu ziehen und Europol die Führungsfunktion beim Datenaustausch mit Drittländern zu übertragen.
Das FBI und Europol beantworteten keine Fragen zu Vereinbarungen über den Datenaustausch zwischen der EU und den USA. Ein Sprecher der Europäischen Kommission erkannte die Aussicht an, dem Prüm-Netzwerk Gesichtserkennungsdaten hinzuzufügen, lehnte es jedoch ab, näher darauf einzugehen.
Die unterfertigten Abgeordneten stellen daher folgende
1. Trifft es zu, dass das zitierte Vorhaben zur Errichtung eines europäischen Datenverbundsystems für Gesichtserkennungssysteme unter der Führung Österreichs ausgearbeitet wurde/wird?
a. Wenn ja, inwiefern?
b. Wenn nein, inwiefern trifft das nicht zu?
2. Seit wann ist diese Arbeitsgruppe mit dem Ziel der Errichtung eines europäischen Datenverbundsystems für Gesichtserkennungssysteme aktiv?
a. Welche Personen mit welchen Funktionen gehören seitens der österreichischen Sicherheitsbehörden dieser Arbeitsgruppe an?
3. In welchem europäischen Gremium wurde bzw. wird dieses Datenverbundsystem geplant bzw. diskutiert?
a. Im Rat?
i. Wenn ja, in welcher Ratsarbeitsgruppe?
b. In der Kommission?
4. Welche anderen EU-Mitgliedsstaaten sind Teil dieser Arbeitsgruppe unter der Leitung Österreichs?
5. Auf wessen Initiative wurde diese Arbeitsgruppe wann installiert?
6. Wer traf wann die Entscheidung, dass sich Österreich in dieser Arbeitsgruppe beteiligt?
7. Welches österreichische Ressort war bzw. ist federführend in dieser Arbeitsgruppe beteiligt?
8. Welche anderen Ressorts sind noch in dieser Arbeitsgruppe beteiligt?
9. War die Beteiligung Österreichs mit dem Justizministerium abgestimmt?
a. Wenn ja, inwiefern?
b. Wenn ja, war bzw. ist das Justizministerium in die Arbeit der Arbeitsgruppe involviert?
i. Wenn ja, inwiefern?
ii. Wenn nein, weshalb nicht?
c. Wenn ja, gab das Justizministerium seine Zustimmung zum verfolgten Ziel der Errichtung eines europäischen Datenverbundsystems für Gesichtserkennungssysteme?
i. Wenn ja, wann und durch wen?
ii. Wenn nein, weshalb nicht?
d. Wenn nein, weshalb wurde die Beteiligung in den Verhandlungen nicht mit dem Justizministerium abgestimmt?
10. Welche konkreten Ziele wurden seitens Österreich in der Arbeitsgruppe wann und von wem definiert und wie wurden diese konkret definiert?
11. Welche konkrete Rolle nahm bzw. nimmt Österreich in dieser Arbeitsgruppe ein?
12. Welche konkreten Positionen nahm bzw. nimmt Österreich in dieser Arbeitsgruppe ein?
13. Welche konkrete Rolle und welche Postion nimmt Ihr Ressort in dieser Arbeitsgruppe ein?
14. Existieren bereits Moratorien, Punktationen oder dergleichen in Bezug auf das Vorhaben der Errichtung eines europäischen Datenverbundsystems für Gesichtserkennungssysteme?
a. Wenn ja, was wurde wann konkret vereinbart?
15. Existieren Berichte österreichischer Behörden in Bezug auf das Vorhaben der Errichtung eines europäischen Datenverbundsystems für Gesichtserkennungssysteme?
a. Wenn ja, was wurde wann konkret von wem berichtet?
16. Wer erteilte in Österreich wann den politischen Auftrag für diese Initiative und wie lautete der politische Auftrag?
17. Seit wann haben welche Stellen des Ministeriums Kenntnis von dieser Initiative?
18. Seit wann hat Ihr Kabinett Kenntnis von dieser Initiative?
19. Seit wann haben Sie Kenntnis von dieser Initiative?
20. Stand bzw. steht das Innenministerium in Bezug auf das Vorhaben zur Errichtung eines europäischen Datenverbundsystems für Gesichtserkennungssysteme im Austausch mit dem Justizministerium?
a. Wenn ja, seit wann und welchen Inhalt das der Behördenaustausch?
21. Welchen konkreten Inhalt hat die zitierte Deloitte Studie?
22. Wie umfangreich ist die zitierte Deloitte Studie?
23. Welche konkreten Empfehlungen enthält die zitierte Deloitte Studie?
24. Auf welcher Rechtsgrundlage soll es zur Errichtung eines europäischen Datenverbundsystems für Gesichtserkennungssysteme kommen?
25. Soll die Errichtung eines europäischen Datenverbundsystems für Gesichserkennungssysteme im Rahmen des PRÜM Systems erfolgen?
26. Wird das genannte Ziel der Errichtung eines europäischen Datenverbundsystems für Gesichtserkennungssysteme derzeit weiterverfolgt?
a. Wenn ja, inwiefern?
b. Wenn nein, inwiefern nicht?
27. Was ist der aktuelle Stand der Vorarbeiten bzw. der Verhandlungen für dieses Datenverbundsystem?
28. Gibt es konkrete Pläne für einen systematischen Datenaustausch mit USA oder anderen Drittstaaten?
a. Wenn ja, wie sehen diese Pläne konkret aus?
b. Wurde diesbezüglich schon Gespräche mit den USA oder anderen Drittstaaten geführt?
i. Wenn ja, wann jeweils mit welchen Staaten mit welchem Inhalt bzw. welchem Ergebnis?
29. Wie stehen Sie zu dem Vorhaben zur Errichtung eines europäischen Datenverbundsystems für Gesichtserkennungssysteme?