Die auf biometrische Massenüberwachung spezialisierte US-Firma Clearview AI hat vor einem britischen Gericht eine empfindliche Niederlage erlitten. Demnach gelten britische Datenschutzgesetze auch für Unternehmen, die nicht in Großbritannien ansässig sind und die ihre Dienste vorrangig ausländischen Behörden oder Unternehmen anbieten. Entsprechend ist die britische Aufsichtsbehörde ICO (Information Commissioner’s Office) zuständig und kann gegebenenfalls Strafen verhängen, urteilte das Berufungsgericht Upper Tribunal in der vergangenen Woche.

Das erst vor wenigen Jahren gegründete IT-Unternehmen hat laut eigener Aussage inzwischen mehr als 60 Milliarden Bilder von Gesichtern in eine durchsuchbare Datenbank gepackt. Dabei greift Clearview AI Quellen aus dem offenen Internet ab, darunter soziale Medien. Hinzu kommt sonstiges öffentlich zugängliches Bildmaterial, etwa Fahndungsfotos. Den Zugang zu der Gesichtserkennungsdatenbank bietet die Firma vor allem US-amerikanischen Behörden an, etwa lokalen Polizeien oder der Abschiebebehörde ICE. Für viele dieser Behörden gehört der Abgleich mit solchen Datenbanken inzwischen zum Alltag.

In Europa ist die Gesichtersuchmaschine hingegen unter starken Druck geraten. Unter anderem Italien und Frankreich haben Clearview AI wegen Datenschutzverletzungen zu millionenschweren Geldbußen verdonnert. Auch in Großbritannien hat ICO dem Anbieter im Jahr 2022 eine Buße von umgerechnet rund 8 Millionen Euro aufgebrummt und zudem angeordnet, Daten britischer Bürger:innen aus der Datenbank zu löschen. Der Anbieter habe ihre Daten ohne deren Wissen und Zustimmung massenhaft abgezogen, ausgewertet und kommerziell ausgeschlachtet, führte ICO damals aus.

Streit um Geltungsbereich von Datenschutzgesetzen

Gegen den Bescheid hatte sich Clearview AI juristisch gewehrt und konnte sich zumindest anfangs durchsetzen. So hatte die erste Instanz, das sogenannte First-tier Tribunal (FTT), der ICO-Behörde grundsätzlich das Recht abgesprochen, solche Urteile zu fällen. Zwar seien britische Bürger:innen womöglich der Überwachung ihres Lebens und ihres Verhaltens ausgesetzt. Jedoch falle die Datenverarbeitung des US-Unternehmens nicht in den Geltungsbereich des an die DSGVO der EU angelehnten britischen Datenschutzgesetzes, so das FTT.

Dieser Argumentation ist das Berufungsgericht nicht gefolgt und gab der Aufsichtsbehörde ICO in den relevanten Punkten recht. Dem Urteil zufolge steht die Verarbeitung personenbezogener Daten durch Clearview AI im Zusammenhang mit der Überwachung des Verhaltens von Einwohner:innen des Vereinigten Königreichs. Somit fällt dies in den Anwendungsbereich des britischen Datenschutzrechts, selbst wenn das Unternehmen seine Dienste für ausländische Strafverfolgungs- und Regierungsbehörden erbringt.

Das Urteil hat Präzedenzwirkung, allerdings kann Clearview AI noch in Berufung gehen. Derweil überwies das Upper Tribunal den Fall wieder zurück an das untergeordnete Gericht. Dieses muss den Fall erneut aufrollen und dabei berücksichtigen, dass die ICO-Aufsicht Geldbußen verhängen und sonstige Auflagen wie Löschanordnungen erteilen kann.

Unklare Lage in der EU

Der Klage gegen Clearview AI hatte sich die britische Menschenrechtsorganisation Privacy International angeschlossen. Der Programmdirektor Tom West begrüßt das Urteil: Nur weil ein Unternehmen mit ausländischen Strafverfolgungsbehörden oder nationalen Sicherheitsbehörden zusammenarbeite, könne es sich nicht dem Datenschutzrecht entziehen. „Es wäre ein massives Problem, wenn diese Behörden aufdringliche Datenverarbeitungen an private Akteure auslagern könnten, die nicht unter das Gesetz fallen“, so West.

Auseinandersetzungen rund um den Einsatz biometrischer Massenüberwachung könnten durchaus auch in der EU bevorstehen. Die im Vorjahr in Kraft getretene KI-Verordnung enthält zwar eine Reihe an Schutzvorkehrungen, räumt aber Ermittlungsbehörden Ausnahmen bei der biometrischen Identifikation ein. Sogar die als besonders gefährlich geltende Echtzeit-Überwachung ist nicht komplett verboten. Wie groß der Spielraum für EU-Behörden tatsächlich ist, bleibt allerdings noch unklar.

Genau das loten derzeit eine Reihe an EU-Ländern aus, darunter auch Deutschland. So will das Bundesinnenministerium die Hürden für den Einsatz von Gesichter-Suchmaschinen im Asylverfahren weiter senken. Zugleich sollen Bundeskriminalamt und Bundespolizei künftig kommerzielle Gesichtersuchmaschinen wie Clearview oder PimEyes im Polizeialltag nutzen können, geht es nach Innenminister Alexander Dobrindt (CSU). Auf der Wunschliste stehen zudem weitere Datenanalysetools, etwa Palantir aus dem Hause des Trump-Verbündeten Peter Thiel.

Gegen die Pläne regt sich zunehmend Widerstand aus der Zivilgesellschaft. Erst heute haben die Nichtregierungsorganisationen AlgorithmWatch, Amnesty International, der Chaos Computer Club und die Gesellschaft für Freiheitsrechte gemeinsam mit dem ehemaligen Bundesbeauftragten für den Datenschutz und die Informationsfreiheit, Ulrich Kelber, ihre Zweifel an deren Rechtmäßigkeit deutlich gemacht. In der vorliegenden Form wären die Gesetzentwürfe nicht mit EU-Recht vereinbar, so die Expert:innen.

Es ist das Jahr 2045 und Dennis meldet sich nach einem Umzug in der neuen Stadt an. Laut Personalausweis ist Dennis ein Mann. Die Person auf dem Amt sieht allerdings mit einem Blick in seine Meldedaten, dass Dennis früher anders hieß und auch einen anderen Geschlechtseintrag hatte. Sie sieht, dass er zwanzig Jahre zuvor seine Daten nach dem Selbstbestimmungsgesetz hat ändern lassen. Sie sieht: Dennis ist trans.

So würde es in Zukunft ablaufen, wenn eine Verordnung aus dem Bundesinnenministerium an diesem Freitag verabschiedet wird. Sie soll die praktische Umsetzung des Selbstbestimmungsgesetzes im Meldewesen regeln. Also: Wie und wo wird in amtlichen Registern festgehalten, dass eine Person ihren Vornamen und Geschlechtseintrag geändert hat?

Bislang gilt: Ein neuer Datensatz wird angelegt, der alte mit einem Sperrvermerk versehen. Laut den Plänen aus dem Haus von Alexander Dobrindt (CSU) soll sich das ändern. Der alte Vorname, das frühere Geschlecht, das Datum der Änderung – all das soll jetzt in eigenen Datenfeldern im aktuellen Datensatz gespeichert werden.

Noch dazu für immer, denn die Daten sollen außerdem bei jedem Umzug automatisch mit auf die Reise gehen. Sie könnten von unzähligen weiteren Behörden jederzeit automatisiert abgerufen werden. Die Folgen für die Betroffenen wären weitreichend.

Ministerium nennt es notwendig, Verbände nennen es absurd

Das Bundesinnenministerium argumentiert, die Änderungen seien notwendig, um Menschen eindeutig identifizieren zu können. Außerdem würden die Informationen gebraucht, um das sogenannte Offenbarungsverbot einhalten zu können. Es soll Menschen vor unfreiwilligen Outings schützen, etwa am Arbeitsplatz oder im Sportverein.

Unter den Menschen, für deren Wohlergehen und Rechte das Selbstbestimmungsgesetz gedacht war, sorgen die Pläne hingegen für große Unruhe. Alle Verbände, die sich zum Entwurf geäußert haben, sind sich einig in ihrer Kritik. Das eigentliche Ziel des Gesetzes – ein Leben mit weniger Diskriminierung in der neuen Identität – wäre damit torpediert. Das sagt der Bundesverband Trans*, davor warnt auch die Deutsche Gesellschaft für Trans*- und Inter*geschlechtlichkeit.

Die Argumente des Ministeriums nennen sie fadenscheinig. Seit den 1980er-Jahren kann man in Deutschland den eigenen Geschlechtseintrag ändern. Nie sei es dabei zu Schwierigkeiten bei der Identifikation gekommen.

Was als Befreiung gedacht war, könnte zur Datenspur fürs Leben werden

„Aus unserer Sicht wäre die Einführung dieser Verordnung ein Bruch des Offenbarungsverbots“, sagt Gabriel_Nox Koenig vom Bundesverband Trans*. Dass die Daten laut der Begründung aus dem Innenministerium mitgeführt werden sollen, um das Offenbarungsverbot achten zu können, findet er unlogisch. „Personen können mich ja dann allein deswegen misgendern und mit meinem alten Namen ansprechen, weil diese dauerhaft in meinem Meldedaten sichtbar sind.“ Egal wie oft man dann innerhalb Deutschlands umziehe, diese Daten würden einen auf ewig verfolgen.

Auch der LSVD Verband Queere Vielfalt nennt die Begründung paradox. „Dadurch entsteht faktisch ein Mechanismus, der das ‚alte Geschlecht‘ dauerhaft mitführt, obwohl das SBGG gerade darauf abzielt, dass Menschen nach einer Änderung nicht mehr an ihren früheren Geschlechtseintrag gebunden sind.“

„Altes Ich zementiert“: Familienausschuss übt scharfe Kritik

Trotz der Kritik aus den Verbänden hat das Ministerium die Verordnung nahezu unverändert zur Abstimmung in den Bundesrat geschickt. Die Länderkammer muss zustimmen, weil die Umsetzung im Meldewesen Sache der Länder ist. Eine Abstimmung steht für diesen Freitag auf der Tagesordnung, Ausgang: ungewiss.

Zumindest der Familienausschuss hat jedoch bereits empfohlen, der Verordnung nicht zuzustimmen. Die Begründung deckt sich mit der vernichtenden Kritik aus den Verbänden. Um Menschen zu identifizieren und das Offenbarungsverbot einzuhalten, sei die Verordnung nicht erforderlich. „Vielmehr missachtet sie den besonderen Schutzbedarf der betroffenen Personengruppe und setzt sie einem erhöhten Diskriminierungsrisiko aus.“

Die Regelung zementiere faktisch ein „altes Ich“, das dauerhaft mitgeführt werden müsse. Personen blieben in zentralen amtlichen Registern „technisch und datenseitig mit ihrer früheren geschlechtlichen Identität verbunden“ – ohne dass dies ein konkreter Verwaltungszweck rechtfertige. Die Anerkennung der neuen Geschlechtsidentität werde dadurch dauerhaft erschwert, das Ziel des Selbstbestimmungsgesetzes konterkariert.

Kritisch sieht der Ausschuss auch, wie viele öffentlichen Stellen in Zukunft automatisiert Zugang zu den sensiblen Informationen haben werden. „In der Praxis bedeutet dies, dass Betroffene keinen Überblick mehr darüber haben, welche Stellen von der Änderung ihres Geschlechtseintrags Kenntnis erlangen.“

Dobrindt plant Zwangsouting per Verordnung

Wie leicht sensible Daten künftig zugänglich werden

Was dieser automatisierte Abruf in der Praxis bedeutet, dazu kann Rhandos Auskunft geben. Die Verwaltungsjuristin ist aktiv im Chaos Computer Club Hamburg und hat Einblick in das Handeln von Behörden. Wer bislang aus einer Behörde Zugriff auf Informationen wie den früheren Namen oder Geschlechtseintrag haben wollte, sagt sie, musste dafür beantragen, den Sperrvermerk zu umgehen. Solche Anfragen wurden von der Meldebehörde für jeden Einzelfall geprüft.

In Zukunft würde es hingegen ausreichen, das entsprechende Datenfeld „Geschlechtseintrag vor Änderung“ oder „Vornamen vor Änderung“ anzuklicken. Schon könne man sich diese Information anzeigen lassen – oder etwa eine Liste aller Personen in den Kommunen des eigenen Bundeslandes erstellen, bei denen dieses Feld befüllt ist.

„Aus eigener Erfahrung weiß ich, wie leicht dieser Zugriff theoretisch ist“, sagt Rhandos. Behörden dürften auf alle Daten aus dem Melderegister zugreifen, wenn es „erforderlich ist für die Erfüllung ihrer Aufgaben“. Das ließe sich weit auslegen. In der Suchmaske könnten alle im Datensatz für das Meldewesen vorhandenen Datenfelder einfach ausgewählt werden. Als Begründung müsse man nur einen beliebigen Text in ein Freitextfeld eingeben.

Zwar besteht eine Protokollierungspflicht, eine regelmäßige Kontrolle dieser Protokolle schreibt das Gesetz aber nicht vor. „Das ist ein Scheunentor“, sagt Rhandos, „Das ist die Büchse der Pandora, die hier geöffnet wird.“

Innenministerium ergänzt nur einen Satz

All diese Bedenken hatten Fachleute schon geäußert, nachdem der Entwurf Mitte Juli bekannt wurde. Im Bundesinnenministerium fanden sie damit kaum Gehör. Einen einzigen Satz hat man dort hinzugefügt, bevor der Entwurf an den Bundesrat ging. Im Teil, der den automatisierten Abruf der Daten zwischen Behörden regelt, steht nun: „Eine Suche zur Erstellung einer Ergebnisliste, die ausschließlich Personen anzeigt, die ihren Geschlechtseintrag geändert haben, ist ausgeschlossen.“

Diese „Klarstellung“ solle den Bedenken aus den Verbänden Rechnung tragen, heißt es auf Nachfrage, „insbesondere um die gezielte Suche in den Melderegistern durch Behörden oder öffentliche Stellen nach allen Personen, die ihren Geschlechtseintrag und ihre Vornamen nach den Vorschriften des SBGG, geändert haben, auszuschließen.“

Auf die Frage, wie das Verbot technisch umgesetzt werden soll, antwortet das Innenministerium nur ausweichend: Es bestehe bereits heute Erfahrung im Meldewesen im Umgang mit besonders schutzbedürftigen Daten.

Der Staat sollte Betroffene schützen, nicht ihre sensiblen Daten breiter teilen

Verbände hatten gewarnt, dass mit der neuen Verordnung faktisch jene Personen im Register markiert werden, für die das Selbstbestimmungsgesetz eigentlich Diskriminierung abbauen soll.

Trans-, intergeschlechtliche und nicht binäre Menschen würden dadurch einem höheren Risiko von Diskriminierung ausgesetzt, zu einer Zeit, in der queer- und transfeindliche Straftaten zunehmen. „In dieser Lage ist der Staat verpflichtet, die Betroffenen zu schützen – nicht, ihre sensibelsten Daten breiter zu verteilen“, schreibt etwa der Bundesverband Trans*.

Auch Rhandos sieht als betroffene Person zwei Bedrohungsszenarien: Mitarbeitende bei Behörden könnten die Daten einzelner für rechtsextreme und transfeindliche Organisationen abfragen. Technisch wäre mit der Verordnung zudem vorbereitet, dass eine künftige autoritäre Regierung Menschen anhand der Daten aus dem Melderegister verfolgen könnte.

Betroffen wären alle, die das Selbstbestimmungsgesetz in Anspruch nehmen

Welche Behörden jeweils automatisierten Zugriff auf die Daten bekommen, das legen die einzelnen Bundesländer fest. Auch deswegen herrscht weiter große Verwirrung in der Frage, wer nun was zu sehen bekäme. Was sieht die Person beim Jobcenter, was der Sachbearbeiter auf dem Bürgeramt, was die Polizistin, bei der man eine Zeugenaussage macht?

Das BMI zeigt sich auf diese Fragen wortkarg: Ein Abruf der Daten sei nur dann zulässig, soweit sie der jeweiligen Stelle „zur Erfüllung ihrer Aufgaben bekannt sein müssen“.

Verwirrung herrschte auch zur Frage, wer genau von den neuen Regeln betroffen wäre: Greifen sie erst mit dem Inkrafttreten der Verordnung ab November 2026 oder auch rückwirkend für all jene, die bereits vorher ihre Daten ändern lassen? Hier macht das Ministerium eine klare Aussage: Die neue Verordnung zeichne lediglich die Entscheidungen technisch nach, die mit der Verabschiedung des Selbstbestimmungsgesetzes schon getroffen wurden. Die Regelung würde somit alle Menschen betreffen, die das Selbstbestimmungsgesetz seit seinem Inkrafttreten im November 2024 in Anspruch genommen haben – egal zu welchem Zeitpunkt.

Wer hingegen nach dem alten „Transsexuellengesetz“ seit 1981 seinen Vornamen und Geschlechtseintrag hat ändern lassen, für den gelten weiterhin die Auskunftssperren.

Chaos Computer Club Hamburg warnt vor “Kartei”

Mit offenen und persönlichen Briefen an die Minister*innen im Rat versuchen Aktivist*innen und Organisationen die Änderungen noch abzuwenden. So fordert etwa der Chaos Computer Club Hamburg die dortige Landesregierung dazu auf, den Entwurf abzulehnen.

Eine Kartei von Personen, die das Selbstbestimmungsgesetz in Anspruch genommen hätten, stelle trans* Personen unter Generalverdacht, heißt es dort. Dass Informationen zu vorherigen Namen und Geschlechtseinträgen praktisch sämtlichen Mitarbeitenden aller Behörden mit Zugriff auf das Melderegister zugänglich würden, verstoße gegen jedes Verständnis von Datenschutz.