Dieser Artikel stammt von Netzpolitik.org.
Die Ukraine benutzt seit der russischen Invasion vor bald zwei Jahren auch KI-Gesichtserkennungssysteme. Das könnte rechtlich problematisch werden, weil das Land so bald wie möglich in die EU will. Expert:innen gaben letzte Woche einige Tipps, wie sich das Land darauf vorbereiten könnte.
Vor bald zwei Jahren begann Russland seine Invasion der Ukraine. Seitdem befindet sich das Land im Ausnahmezustand. Damit gibt es auch Sonderregeln für Überwachungstechnologie: Die Ukraine setzt etwa Clearview ein, eine Software zur Gesichtserkennung, gegen die europäische Datenschutzbehörden seit Jahren vorgehen.
Die Ukraine will in die EU, die Union hat im Dezember offiziell Beitrittsgespräche eröffnet. Um der EU beizutreten, muss ein Land aber das bestehende europäische Recht übernehmen, und dazu gehört auch die Datenschutz-Grundverordnung. Die sieht massenhafte Gesichtsüberwachung ohne Einwilligung nicht gerne. Letzte Woche diskutierten deshalb Expert:innen in Brüssel, wie die Ukraine sich auf den Frieden und das Ende des Ausnahmezustands vorbereiten könnte.
Fehler können tödlich sein
Die Ukraine setzt Clearview hauptsächlich für zwei Zwecke ein: zur Identifikation von russischen Kriegsgefangenen und von ukrainischen Gefallenen. „Wir können nicht verneinen, dass das System effektiv ist“, sagte Anna Liudva vom Digital Security Lab Ukraine. Trotzdem sollte man die Probleme und deren mögliche Auswirkungen nicht übersehen. Wenn ein Gesicht falsch erkannt wird und vielleicht tote und lebendige Soldaten verwechselt werden, seien das „auf einem Schlachtfeld potenziell tödliche Fehler“. Das könnte etwa der Fall sein, wenn Verwundete fälschlicherweise für tot gehalten werden.
Laut der Website von Clearview haben ukrainische Behörden bis zum vergangenen November 350.000 Suchen mit der Software durchgeführt. Mehr als 100.000 davon seien aber zu den Gesichtern lebender Menschen gewesen, sagte Liudva – und für diese gelten Datenschutzregeln. Das ukrainische Datenschutzgesetz ist aus dem Jahr 2010 und „extrem veraltet“, ein eigenes Gesetz zur Regelung von Massenüberwachung gibt es nicht. Außerdem habe das Land seit dem Beginn des Krieges einige Gesetze eingeführt, die lückenhaft seien. Diese Lücken gelte es nun zu füllen, besonders, weil der Krieg sich immer weiter in die Länge zieht.
Lieber selbst entwickeln
Natürlich sei ein Ausnahmezustand wie in der Ukraine ein juristischer Sonderfall, sagt Liudva. Hier werde eine komplexe juristische Situation geschaffen: Das Recht auf Leben und das Recht auf Privatsphäre müssten eventuell gegeneinander abgewogen werden.
Aber das Land arbeitet gerade an seinem EU-Beitritt und muss damit auch die Datenschutz-Grundverordnung umsetzen. Über die Probleme von Clearviews mit der DSGVO redete Irmak Erdoğan Peter, Forscherin an der Universität Leuven. Sie teilte die Meinung mehrerer europäischer Datenschutzbehörden: Eine weltweite Datenbank mit Gesichtern, erstellt ohne Wissen der Leute darin, verträgt sich nicht mit der DSGVO. Clearview wurde deshalb in der EU schon zu mehreren Strafzahlungen verdonnert, zahlt diese aber nicht und kooperiert auch ansonsten nicht mit den Aufsichtsbehörden. Das Unternehmen hat seinen Hauptsitz in New York.
Die Ukraine sollte lieber mit Unternehmen zusammenarbeiten, die EU-Gesetze befolgten, empfahl Erdoğan Peter. Anna Liudva sah noch eine andere Alternative: Die Ukraine sollte selbst ein eigenes, ähnliches System entwickeln. So könnten zumindest Abflüsse von Daten verhindert werden, die potenziell in russische Hände fallen könnten. Dabei verwies sie auf Brave1, eine Plattform der ukrainischen Regierung, auf der Unternehmen mit der Armee zusammenarbeiten.
Maksym Makarchuk, Leiter der KI-Abteilung von Brave1, stellte ein Programm vor, das die Plattform bald nach dem Beginn der Invasion entwickelte: Im Internet frei zugängliche Kameras wurden zusammengeschaltet und ihre Bilder ausgewertet, um russische Panzerkolonnen zu entdecken. Sein Standpunkt: In Kriegszeiten sollten Entscheidungen zum Einsatz von Systemen wie Clearview so gefällt werden, dass möglichst viele Leben gerettet werden.
Der Einsatz solcher Systeme in Kriegszeiten riskiert aber auch, sie für den kommenden Frieden zu normalisieren, warnte Erdoğan Peter. Sobald solche Systeme in die längerfristige Sicherheitsinfrastruktur eingebettet werden, könnten sie zu Massenüberwachung führen.
Ausnahmen für die nationale Sicherheit
Eine gute Nachricht für die Ukraine: Trotz der rechtlichen Probleme mit Clearview muss es seine Systeme vielleicht nicht abschalten, wenn es einmal der EU beitritt. Diese Meinung vertrat zumindest Francesca Fanucci, Juristin beim Europäischen Zentrum für gemeinnütziges Recht. „Unserer Einschätzung nach sind die DSGVO, die Strafverfolgungsrichtlinie und die KI-Verordnung mit Schlupflöchern durchsetzt, die der Ukraine erlauben würden, sich in diesem Kontext sehr einfach zu bewegen.“
Denn wenn es um die nationale Sicherheit geht, haben in der EU momentan immer noch die Mitgliedstaaten das Sagen. Die DSGVO trifft auf Datenverarbeitungen zum Zweck der nationalen Sicherheit nicht zu. Gleichzeitig hat sie aber auch eine Regelung für die Zweckbegrenzung – und wenn der Krieg in der Ukraine einmal endet, wird sich damit wahrscheinlich auch der Zweck ändern, meinte Fanucci. Auch Erdoğan Peter verwies auf ein Urteil des Europäischen Gerichtshofs, das klarstellt, dass auch die nationale Sicherheit kein Blankoscheck zum Einschränken des Datenschutzes ist.
Fanucci erwähnte außerdem ein anderes Beispiel, in dem Staaten nach einem Krisenfall neue Überwachungssysteme übrig hatten: Corona-Tracing in Ländern, die keine datenschutzfreundliche Lösung gefunden hatten. Das zeige eine klare Lehre für die Ukraine, meinte sie: „Wenn die Zivilgesellschaft nicht wachsam bleibt, wird sich das hier wiederholen.“
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
Zur Quelle wechseln
Zur CC-Lizenz für diesen Artikel
Author: Maximilian Henning