In einem Urteil zum Schutz biometrischer Daten hat der Europäische Gerichtshof (EuGH) am Donnerstag der Praxis vieler Polizeibehörden enge Grenzen gesetzt, Verdächtige routinemäßig erkennungsdienstlich zu behandeln. Die Luxemburger Richter betonen, dass das Aufnehmen sensibler biometrischer Daten wie Fingerabdrücke oder Gesichtsbilder in strafrechtlichen Ermittlungsverfahren nicht systematisch erfolgen darf. Vielmehr muss jede derartige Maßnahme im Einzelfall durch eine unbedingte Erforderlichkeit gerechtfertigt und klar begründet werden.

Auslöser des Verfahrens in der Rechtssache C-371/24 (Comdribus) war ein Vorfall im Jahr 2020 in Paris. Ein Mann, dessen Namen der EuGH mit HW abkürzt, wurde als Organisator einer nicht angemeldeten Demonstration festgenommen. Während des Polizeigewahrsams verweigerte er die Abnahme von Fingerabdrücken und das Anfertigen von Lichtbildern.

HW wurde später von dem ursprünglichen Tatvorwurf des Aufruhrs freigesprochen. Trotzdem verurteilte ihn ein französisches Strafgericht zu einer Geldstrafe von 300 Euro wegen seiner Weigerung, an der erkennungsdienstlichen Behandlung mitzuwirken. HW wehrte sich gegen diesen Schuldspruch mit dem Argument, die französische Regelung sei unvereinbar mit der europäischen Datenschutzrichtlinie für den Bereich Strafverfolgung und Justiz.

Besonders sensible Daten

Das Pariser Berufungsgericht legte den Fall dem EuGH vor. Es wollte klären lassen, ob nationale Behörden tatsächlich von jeder verdächtigen Person ohne spezifische Rechtfertigung biometrische Daten verlangen dürfen.

Die jetzige Antwort aus Luxemburg legt Wert auf die Privatsphäre der Bürger: Da biometrische Daten zu den besonders sensiblen Kategorien gehören, genießen sie der Entscheidung zufolge einen verstärkten Schutz. Ihre Verarbeitung ist demnach nur dann zulässig, wenn sie absolut notwendig ist und durch geeignete Garantien für die Grundrechte der Betroffenen flankiert wird.

Der EuGH unterstreicht in seinem Beschluss, dass das bloße Vorhandensein eines plausiblen Tatverdachts allein nicht ausreiche, um tiefgreifende Eingriffe in die Privatsphäre wie die Erfassung biometrischer Merkmale zu rechtfertigen. Jede Entscheidung für eine solche Maßnahme müsse zumindest eine summarische Begründung enthalten. Diese soll es der betroffenen Person ermöglichen, die Notwendigkeit nachzuvollziehen und gegebenenfalls rechtlich gegen die Maßnahme vorzugehen.

Einschlägige nationale Vorschriften müssen klar gefasst sein. Sie sind mit EU-Recht nicht vereinbar, wenn sie eine automatische und unterschiedslose Erhebung nach sich ziehen, ohne dass die Strafverfolger die Erforderlichkeit im konkreten Einzelfall prüfen.

Strafe für Nein-Sager?

Der EuGH entschied zudem, dass eine strafrechtliche Sanktion für die Weigerung, sich biometrisch erfassen zu lassen, nur unter bestimmten Voraussetzungen verhängt werden kann. Und zwar nur, wenn die zugrunde liegende Forderung der Polizei selbst rechtmäßig war.

Das heißt: Erfüllt die Datenerhebung nicht das Kriterium der unbedingten Erforderlichkeit, darf auch die Verweigerung nicht bestraft werden. Zudem muss jede Sanktion dem Grundsatz der Verhältnismäßigkeit entsprechen, der in der EU-Grundrechtecharta verankert ist.

Das Urteil konkretisiert die Anforderungen der Datenschutzrichtlinie. Es dürfte weitreichende Folgen für die polizeiliche Praxis in vielen Mitgliedstaaten haben, in denen die erkennungsdienstliche Behandlung bisher oft als Standardprozedur bei jeder Festnahme galt.

Behörden müssen nun ihre internen Bestimmungen anpassen. Dabei gilt es sicherzustellen, dass die Erhebung biometrischer Daten kein Automatismus ist. Vorzuweisen ist ein begründeter Ausnahmefall, der den spezifischen Zwecken der Ermittlung dient. Bürger werden damit gegenüber staatlichen Übergriffen im digitalen und biometrischen Zeitalter besser geschützt.

(wpl)

Schauspielerin Collien Fernandes, die sich in den vergangenen Jahren öffentlich gegen Deepfakes engagiert hat, hat Anzeige gegen ihren Ex-Mann Christian Ulmen erstattet. Er soll in sozialen Netzwerken unter ihrem Namen Profile angelegt und diese für erotische Konversationen missbraucht haben.

Das berichtet der „Spiegel“ unter Berufung auf Fernandes und verschiedene Dokumente, der Beschuldigte wollte sich demnach nicht äußern. Die beiden hatten im Jahr 2011 geheiratet und im vergangenen Herbst ihre Trennung bekannt gegeben.

Angebliches Geständnis

Fernandes reichte die Anzeige Ende vergangenen Jahres beim Bezirksgericht Palma de Mallorca ein, wohin das Paar vor drei Jahren mit der gemeinsamen Tochter ausgewandert war. Bereits Jahre zuvor hatte sie laut dem Spiegel erfahren, dass unter ihrem Namen Profile auf LinkedIn angelegt worden waren, über die Unbekannte sich mit fremden Männern zum Telefonsex verabredeten. Zudem seien pornografische Bilder und Videos von Frauen verschickt worden, die ihr täuschend ähnlich sahen – offenbar um den Eindruck zu erwecken, es handele sich um sie selbst. Einen Monat später habe Ulmen ihr gestanden: „Ich war das, ich habe das getan.“

Laut dem „Spiegel“ befindet sich die Anzeige in Spanien noch in einem frühen Stadium, für Ulmen gilt die Unschuldsvermutung. Der Spiegel hat demnach aber eine E-Mail des Schauspielers an einen Berliner Strafverteidiger einsehen können, bei der es sich um eine Beichte handeln könnte. Darin habe er eingestanden, „auf den Namen seiner Frau Fakeprofile auf sozialen Medien angemeldet“ zu haben. Über die habe er mit anderen „Männern gechattet, geflirtet, ‚bis hin zum Sex-Talk’“. Darüber habe er auch Videos verschickt, die er sich aber von frei zugänglichen Seiten aus dem Internet besorgt habe. Die Rede war da also explizit nicht von selbst erstellten Deepfakes.

Dass die Anzeige in Spanien eingereicht wurde, liegt auch daran, dass Opfer von digitaler Gewalt dort bessere Aussichten haben. Das liege unter anderem daran, dass es dort Staatsanwaltschaften und Gerichte gebe, die auf Gewalt gegen Frauen spezialisiert sind. Fernandes setzt sich seit Jahren dafür ein, die juristische Verfolgung pornografischer Deepfakes in Deutschland zu erleichtern. Von ihren persönlichen Erfahrungen berichtete sie im vergangenen Jahr im heise-Podcast „Bits & Böses“, damals aber noch ohne einen Vorwurf gegen eine konkrete Person.

Bundesjustizministerin Stefanie Hubig hat im Januar angekündigt, härter gegen das Erstellen und Verbreiten von sexualisierten Bildern vorgehen zu wollen, die mit KI-Hilfe erstellt wurden.

(mho)

In Brasilien ist am Dienstag ein Gesetz zum Schutz von Minderjährigen im digitalen Raum in Kraft getreten. Es führt strengere Regeln für Kinder und Jugendliche ein, insbesondere in sozialen Netzwerken sowie in digitalen Gaming- und Wettanwendungen.

Das „Digitale Statut für Kinder und Jugendliche“ (Lei do Estatuto Digital da Criança e do Adolescente, kurz ECA Digital), das im September verabschiedet worden ist und nach einer sechsmonatigen Übergangsfrist nun Anwendung findet, ist das erste seiner Art in Lateinamerika. Es schreibt Tech-Unternehmen vor, Elemente zu entfernen, die dazu beitragen, dass brasilianische Minderjährige soziale Medien zwanghaft nutzen oder eine Abhängigkeit entwickeln.

Das neue brasilianische Digitalgesetz verpflichtet Unternehmen, zuverlässige Mechanismen zur Altersverifikation einzuführen, um Minderjährige vor dem Zugriff auf ungeeignete Umgebungen und Inhalte zu schützen – eine einfache Selbstauskunft reicht nicht mehr aus. Zudem ist es bei Social-Media-Konten von Nutzern unter 18 Jahren untersagt, Videos anzuzeigen, die automatisch starten oder in einer Endlosschleife laufen, ebenso wie zielgerichtete Werbung. Die Konten von Minderjährigen unter 16 Jahren müssen mit denen ihrer Erziehungsberechtigten verknüpft werden.

Regeln für den gesamten digitalen Raum

Die Regeln gelten für alle digitalen Produkte und Dienstleistungen, auch wenn sie nicht explizit als Plattformen für Kinder und Jugendliche gekennzeichnet sind – beispielsweise Banken, Unterhaltungswebseiten oder E-Commerce-Portale. Netzwerke wie Discord und Messenger-Apps wie WhatsApp oder Telegram fallen ebenfalls unter diese Regelung. „Eltern können künftig die Bildschirmzeit ihrer Kinder festlegen, Gespräche mit Dritten blockieren und Finanztransaktionen verhindern“, erklärte die Anwältin Nuria López gegenüber der brasilianischen Tageszeitung O Globo.

Plattformen mit mehr als einer Million registrierter Kinder und Jugendlicher müssen zudem regelmäßig Berichte einreichen, aus denen hervorgeht, wie sie Beschwerden nachgegangen sind und welche Maßnahmen zur Inhaltsmoderation ergriffen wurden. Online-Marktplätze und Liefer-Apps für alkoholische Getränke, Zigaretten und Erotikartikel werden verpflichtet, das Alter bei der Registrierung oder beim Kauf zu überprüfen und Minderjährigen automatisch den Zugriff auf verbotene Artikel zu verweigern. Wettanbieter und Online-Glücksspielplattformen müssen die Registrierung und den Zugriff von Kindern und Jugendlichen verhindern; Suchmaschinen sind dazu angehalten, sexuell explizite Inhalte auszublenden oder zu kennzeichnen und eine Altersverifizierung zum Entsperren zu verlangen. Anbieter pornografischer Inhalte müssen eine Altersverifizierung einführen.

Plattformen sind auch verpflichtet, Inhalte unverzüglich nach Benachrichtigung durch die Betroffenen zu entfernen, nicht erst auf richterliche Anordnung. Dieser Grundsatz soll nicht nur für Verstöße gegen die Rechte von Kindern und Jugendlichen, sondern für jegliche Verstöße im digitalen Raum gelten. Die Strafen bei Nichteinhaltung reichen – je nach Verstoß – von zehn Reais pro registriertem Nutzer bis zu einem Höchstbetrag von 50 Millionen Reais (8,3 Millionen Euro). Unternehmen können außerdem vorübergehend oder dauerhaft vom Betrieb ausgeschlossen werden.

„Eines der fortschrittlichsten Gesetze der Welt“

Ziel des Gesetzes ist es, Fälle von Gewalt, Belästigung und Ausbeutung von Minderjährigen im Internet zu reduzieren. Die Nationale Datenschutzbehörde ANPD soll als Regulierungs- und Aufsichtsbehörde fungieren, muss Vorschriften und Verfahren für eine Umsetzung des Gesetzes aber zum Teil erst noch entwickeln. Das gilt beispielsweise für die Umsetzung der Altersverifizierung und der Verknüpfung von Erwachsenenkonten mit Konten von Minderjährigen unter 16 Jahren.

„Wir setzen eines der fortschrittlichsten Gesetze der Welt in Kraft“, erklärte Präsident Luiz Inácio Lula da Silva. „Genug Toleranz gegenüber Ausbeutung, sexuellem Missbrauch, Kinderpornografie, Mobbing und Selbstverletzung. Was im realen Leben ein Verbrechen ist, ist auch im digitalen Raum ein Verbrechen, und Täter werden die volle Härte des Gesetzes zu spüren bekommen.“

Brasilien, mit einer Bevölkerung von über 210 Millionen Menschen ein riesiger Markt für Plattformen wie Instagram, YouTube oder TikTok sowie für große digitale Wettanbieter, reiht sich mit seinem Digitalgesetz in zahlreiche Initiativen weltweit zum Schutz von Minderjährigen im Internet ein. Nach dem kürzlich eingeführten australischen Social-Media-Verbot für unter 16-Jährige werden auch in Deutschland strengere Regeln für die Social-Media-Nutzung von Minderjährigen diskutiert. Die Bundes-CDU beschloss im Februar, ein Mindestalter von 14 für soziale Medien wie TikTok und Instagram zum Schutz von Kindern und Jugendlichen einführen zu wollen. Auch Koalitionspartner SPD zeigt sich offen für ein Social-Media-Verbot für Kinder unter 14. Bundesbildungsministerin Karin Prien erwartet derweil rasch europäische Vorschriften für Tech-Konzerne, um den Zugang von Kindern und Jugendlichen zu sozialen Medien einzuschränken.

(akn)