Gesichtersuche im Asylverfahren: Biometrie ohne Bremse

Das Bundesinnenministerium plant, die Hürden für den Einsatz von Gesichter-Suchmaschinen im Asylverfahren weiter zu senken. Die Änderung am Asylgesetz ist Teil eines Gesetzespakets aus dem Haus von Innenminister Alexander Dobrindt (CSU). Es soll dem Bundesamt für Migration und Flüchtlinge (BAMF) erlauben, die Fotos von Asylsuchenden „mit öffentlich zugänglichen personenbezogenen Daten aus dem Internet“ biometrisch abzugleichen, wenn diese keine Ausweispapiere vorlegen.

Eine entsprechende Regelung im Asylgesetz war bereits im vergangenen Oktober als Teil des sogenannten Sicherheitspakets verabschiedet worden – mit den Stimmen der Ampel-Regierung. Das BAMF darf also schon die biometrische Gesichtersuche im Asylverfahren einsetzen.

Biometrische Suche statt milderer Mittel

Das akutelle Gesetz sieht allerdings eine Reihe von Hürden vor. Der Einsatz ist als Ultima Ratio vorgesehen, wenn das BAMF die Identität nicht mithilfe „milderer Mittel“ klären kann. Das könnte etwa eine Heiratsurkunde oder andere Dokumente sein, die Name und Staatsangehörigkeit der Betroffenen nachweisen. Diese Einschränkung ist im neuen Referentenentwurf aus dem BMI gestrichen.

Auch ist bisher vorgeschrieben, dass die Betroffenen vorab über „den Zweck, Umfang und die Durchführung“ informiert werden müssen. Wann und mit welchem Programm der Abgleich erfolgte, muss protokolliert werden. Nach Abschluss der Maßnahme muss die zuständige Datenschutzaufsicht davon erfahren.

Diese Auflagen will das BMI streichen. Gleichzeitig soll das BAMF neue Befugnisse bekommen. Es soll personenbezogene Daten jetzt auch international übermitteln dürfen, wenn es um den „Schutz der nationalen Sicherheit“ geht. Damit können die biometrischen Daten der Personen gemeint sein oder auch die Informationen, die das BAMF durch den Einsatz der Gesichter-Suchmaschinen erlangt hat.

Superdatenbanken mit Milliarden Gesichtern

Biometrische Gesichter-Suchmaschinen wie Clearview oder PimEyes erlauben es, mit einem beliebigen Foto einer Person weitere Treffer zu ihrem Gesicht im öffentlichen Internet zu finden, auch wenn diese verwackelt sind oder die Person in einer größeren Menschenansammlung aufgenommen wurde. Das können etwa Aufnahmen auf Facebook, YouTube oder PornHub sein – oder ein Bild, das am Rande einer Demo oder Sportveranstaltung geschossen wurde.

Um den Abgleich in Sekunden durchführen zu können, erstellen die Betreiber der Suchmaschinen große Datenbanken, in denen sie die biometrischen Daten von Milliarden Gesichtern als mathematische Repräsentation speichern. Dafür durchsuchen sie massenweise und anlasslos das öffentliche Internet und verarbeiten die gefundenen Gesichter. Das geschieht ohne Einwilligung der betroffenen Personen.

Solche kommerziellen Gesichter-Suchmaschinen sind in der EU verboten. Die KI-Verordnung untersagt „die Verwendung von KI-Systemen, die Datenbanken zur Gesichtserkennung durch das ungezielte Auslesen von Gesichtsbildern aus dem Internet oder von Überwachungsmaterial erstellen oder erweitern“. Auch die Datenschutzgrundverordnung erlaubt die Verarbeitung von biometrischen Daten nur in Ausnahmefällen. Das BAMF müsste daher zunächst eine legale technische Lösung entwickeln lassen. Die Bundesdatenschutzbeauftragte nannte eine solche Umsetzung „unrealistisch“.

Laut den Plänen des Bundesinnenministeriums sollen auch das Bundeskriminalamt und die Bundespolizei mit Hilfe des biometrischen Abgleiches im Internet nach Personen fahnden dürfen. Das BKA soll damit nicht nur Verdächtige suchen, sondern auch Opfer und Zeugen. Bei Befragungen im Bundestag konnten die Behördenvertreter nicht beantworten, wie der Abgleich geschehen soll, ohne gegen die EU-Gesetzgebung zu verstoßen. In der Begründung des neuen Entwurfes heißt es dazu nur, die Vorgaben aus der KI-Verordnung seien zu beachten.

„Gesichtsbilder sind höchstpersönliche Daten, deren biometrische Verarbeitung die Datenschutzgrundverordnung nur in wenigen Ausnahmen zulässt“, sagt Eric Töpfer, der am Deutschen Institut für Menschenrechte zu Grundrechten im Migrationsprozess arbeitet und schon die Änderung des Asylgesetzes im vergangenen Herbst für den Bundestag kommentiert hat. „Bereits die Befugnis fürs BAMF zum Internetabgleich aus dem ersten Sicherheitspaket war unverhältnismäßig“, sagt er. „Nun sollen offensichtlich auch die letzten Garantien zum Schutz von Betroffenenrechten geschleift werden.“

Noch in der Abstimmung

Die Pläne sind in einem frühen Stadium. Das Bundesinnenministerium hat sie zur Abstimmung an andere Ministerien verschickt. Danach folgt eine Länder- und Verbändebeteiligung, bevor das Kabinett das Paket beschließt und es an den Bundestag geht.

Das Bundesinnenministerium hat das neue Gesetzespaket in zwei Teile geteilt. Die Neufassung des Asylgesetzes befindet sich im ersten Teil, der keine Zustimmung des Bundesrates braucht.

Auszug aus dem Referentenentwurf „Entwurf eines ersten Gesetzes zur Stärkung digitaler Ermittlungsbefugnisse in der Polizeiarbeit“ des BMI vom 25. Juli 2025

§ 15b – Biometrischer Abgleich mit öffentlich zugänglichen Daten aus dem Internet

(1) Das nach § 16 Absatz 1 Satz 1 und 2 erhobene biometrische Lichtbild des Ausländers darf mit öffentlich zugänglichen personenbezogenen Daten aus dem Internet mittels einer automatisierten Anwendung zur Datenverarbeitung biometrisch abgeglichen werden, wenn es zur Feststellung der Identität oder Staatsangehörigkeit erforderlich ist, da der Ausländer keinen gültigen Pass oder Passersatz besitzt. Die öffentlich zugänglichen Daten aus dem Internet dürfen nicht in Echtzeit erhoben werden.

(2) Die im Rahmen des Abgleichs nach Absatz 1 erhobenen Daten sind nach Durchführung des Abgleichs unverzüglich zu löschen, sofern sie für die Feststellung der Identität oder Staatsangehörigkeit nicht mehr erforderlich sind.

(3) Bei der Übermittlung im innerstaatlichen Bereich sowie an Mitgliedsstaaten der Europäischen Union kann das Bundesamt personenbezogene Daten an öffentliche und nichtöffentliche Stellen übermitteln, sofern dies zur Durchführung des Abgleichs nach Absatz 1 erforderlich ist.

(4) Im internationalen Bereich kann das Bundesamt personenbezogene Daten an Öffentliche und nichtöffentliche Stellen übermitteln, sofern dies zur Durchführung des Abgleichs nach Absatz 1 erforderlich ist und von § 81 Absatz 1 Nummer 3 und Absatz 4 des Bundesdatenschutzgesetzes abweichen, sofern dies zum Zweck des Schutzes der nationalen Sicherheit erforderlich ist.

Bisherige Fassung des § 15b Asylgesetz (im neuen Entwurf gestrichene Passagen von netzpolitik.org markiert)

§ 15b – Nachträglicher biometrischer Abgleich mit öffentlich zugänglichen Daten aus dem Internet

(1) Das nach § 16 Absatz 1 Satz 1 und 2 erhobene biometrische Lichtbild des Ausländers darf mit öffentlich zugänglichen personenbezogenen Daten aus dem Internet mittels einer automatisierten Anwendung zur Datenverarbeitung biometrisch abgeglichen werden, wenn der Ausländer keinen gültigen Pass- oder Passersatz besitzt, der Abgleich für die Feststellung der Identität oder Staatsangehörigkeit des Ausländers erforderlich ist und der Zweck der Maßnahme nicht durch mildere Mittel erreicht werden kann. Liegen tatsächliche Anhaltspunkte für die Annahme vor, dass durch eine Maßnahme nach Satz 1 allein Erkenntnisse aus dem Kernbereich privater Lebensgestaltung erlangt wird, ist die Maßnahme unzulässig. Erkenntnisse aus dem Kernbereich privater Lebensgestaltung, die durch den Abgleich erlangt wurden, dürfen nicht verwertet werden. Aufzeichnungen hierüber sind unverzüglich zu löschen. Die Tatsache ihrer Erlangung und Löschung ist aktenkundig zu machen. Ein Abgleich mit Daten nach Satz 1 aus im Internet öffentlich zugänglichen Echtzeit-Lichtbild- und Echtzeit-Videodateien ist ausgeschlossen.

(2) Die Treffer des Abgleichs sind durch Inaugenscheinnahme zu überprüfen. Zweifel an der Richtigkeit der Treffer gehen nicht zu Lasten des Ausländers.

(3) Die im Rahmen des Abgleichs nach Absatz 1 erhobenen Daten sind nach Durchführung des Abgleichs unverzüglich zu löschen, sobald sie für die Feststellung der Identität oder Staatsangehörigkeit nicht mehr erforderlich sind. Der Abgleich und das Löschen von Daten ist in der Asylakte zu dokumentieren.

(4) Bei jeder Maßnahme nach Absatz 1 sind die Bezeichnung der eingesetzten automatisierten Anwendung zur Datenverarbeitung, der Zeitpunkt ihres Einsatzes und die Organisationseinheit, die die Maßnahme durchführt, zu protokollieren. Nach Beendigung einer Maßnahme nach Absatz 1 ist die Stelle zu unterrichten, die für die Kontrolle der Einhaltung der Vorschriften über den Datenschutz bei öffentlichen Stellen zuständig ist.

(5) Die betroffene Person ist über den Zweck, den Umfang und die Durchführung des biometrischen Abgleichs vorab in verständlicher Weise zu informieren.

(6) Durch geeignete technische und organisatorische Maßnahmen ist sicherzustellen, dass kein unberechtigter Zugriff auf die erhobenen Daten erfolgt.

(7) Für die in den Absätzen 1 bis 6 genannten Maßnahmen ist das Bundesamt zuständig. Es hat dabei sicherzustellen, dass diskriminierende Algorithmen weder herausgebildet noch verwendet werden. Soweit technisch möglich, muss die Nachvollziehbarkeit des verwendeten Verfahrens sichergestellt werden.