Warum KI die RAF-Terroristin Daniela Klette finden konnte und die Polizei nicht

Gut 30 Jahre lang hat die Polizei nach dem RAF-Mitglied Daniela Klette gesucht. Der Journalist Michael Colborne brauchte dagegen nur 30 Minuten, um Klette zu finden: Er lud das uralte, schwarz-weiße Fahndungsfoto bei einer Gesichtersuchmaschine hoch, diese spuckte private Facebook-Fotos aus, die Klette in einer Capoeira-Tanzgruppe zeigten. Unter dem Decknamen Claudia lebte die 66-Jährige jahrelang unbehelligt in Berlin.

Der Fall wird in einem Podcast aufgearbeitet, anschließend sind es wohl Privatleute, die der Polizei den entscheidenden Hinweis geben. Klette wird im Februar 2024 in ihrer Wohnung festgenommen, am Dienstag, 25. März, beginnt der Gerichtsprozess gegen sie in Celle. Aber warum konnten Journalisten die RAF-Terroristin so mühelos aufspüren?

Pimeyes: Landes-Datenschützer beobachtet Gesichtersuchmaschine seit langem

Das Werkzeug, das der Journalist Colborne genutzt hat, heißt Pimeyes. Erstmals gerät die Plattform im Sommer 2020 durch Recherchen von Netzpolitik.org ins Licht der Öffentlichkeit. Man lädt dort ein Bild hoch und die Suchmaschine spuckt alle Fotos der Person aus, die im Internet zu finden sind.

Die Recherchen sind Anlass für Baden-Württembergs Datenschutzbehörde, ein Verfahren zu starten. „Auch Bürger in Baden-Württemberg sind in ihren Rechten massiv gefährdet, wenn ohne ihre Kenntnis Bilder von ihnen im Netz abgeglichen werden und so ihre Identität für Dritte feststellbar wird“, erklärt der damalige Landesdatenschützer Stefan Brink.

Doch die Sache zieht sich hin, weder das Verfahren noch ein drohendes Bußgeld beeindrucken Pimeyes. Die Firma flieht ins EU-Ausland, erst auf die Seychellen, heute gibt sie Belize als Unternehmenssitz an.

Mit der KI-Verordnung könnten die Datenschutzbehörden nicht mehr zuständig sein

„Wir betreiben das Verfahren momentan nicht aktiv weiter“, erklärt der heutige Landesdatenschutzbeauftragte Tobias Keber im Gespräch mit unserer Redaktion. Der Grund ist aber nicht, dass Pim-eyes schlecht zu erreichen ist, sondern die KI-Verordnung der EU. Sie gilt seit Sommer 2024 und verbietet KI-Tools, „die Datenbanken zur Gesichtserkennung durch das ungezielte Auslesen von Gesichtsbildern aus dem Internet“ erstellen.

Das Geschäftsmodell von Pimeyes dürfte in Europa also verboten sein. Das Problem: Verstöße gegen die KI-Verordnung soll die Bundesnetzagentur ahnden, das nötige Gesetz hatte die Ampel-Koalition aber nicht mehr auf den Weg gebracht.

„Sollte Software wie Pimeyes unter die KI-Verordnung fallen, wären wir als Behörde nach gegenwärtigem Diskussionsstand nicht zuständig, sondern auch die Bundesnetzagentur“, erklärt Keber. Die nächste Bundesregierung müsse regeln, wie Netzagentur und Datenschützer zusammenarbeiten.

Klar ist für Keber aber, dass etwas passieren muss. Wenn Fotos von Gesichtern massenhaft ausgelesen werden, seien das hochsensible Daten. „Ein Passwort können Sie einfach wechseln, den Abstand zwischen ihren Augen und ihrer Nase nicht.“

Polizeigewerkschaft und Unionspolitiker fordern Gesichtserkennung in Echtzeit

Der Fahndungserfolg im Fall Klette hat eine Debatte ausgelöst, ob Gesichtserkennung eingesetzt werden sollte. „Dass die Polizei im Zeitalter von Künstlicher Intelligenz, Automatisierung und Digitalisierung solch hilfreiche Software nicht nutzen darf, ist uns Polizistinnen und Polizisten nicht mehr vermittelbar“, kritisiert etwa Jochen Kopelke, Bundesvorsitzender der Gewerkschaft der Polizei. Mindestens an Bahnhöfen, Flughäfen und in  Fußballstadien müsse Videoüberwachung mit Gesichtserkennung möglich sein.

Noch weiter geht die Union und fordert in ihrem Wahlprogramm, dass Videokameras mit Gesichtserkennung an „Brennpunkten und Gefahrenorten“ genutzt werden. Zudem brauche es für die Polizeibehörden eine „möglichst umfassende Befugnis zur elektronischen Gesichtserkennung“. Auch der Heilbronner CDU-Abgeordnete Alexander Throm fordert das seit längerem.

„Massive Grundrechtseingriffe“: Einsatz von Pimeyes braucht Gesetz

Pimeyes könnte das liefern, aber sollte es das? „Das sind massive Grundrechtseingriffe, weil sie sehr viele Menschen betreffen“, sagt Keber. Gesichter in Echtzeit und aus der Ferne auslesen sei heikel. „Da sagt die KI-Verordnung zu Recht: Das sind Konzepte eines Überwachungsstaats, den wir nicht haben wollen.“

Dabei hält es der Anwalt für „durchaus denkbar“, dass ein Gesetz den Einsatz solcher Technik erlaubt. Im Gesetzgebungsverfahren könne eine gesellschaftliche Debatte geführt werden. „Wenn Sie sich einer solchen Software bedienen, müssen Sie sicherstellen, dass das kontrollierbar ist.“ 

Bisher wird Pimeyes vom Bundeskriminalamt offiziell nicht genutzt. Die Behörde greift aber auf eine eigene Datenbank mit Gesichtserkennung zurück.