Mit einem Gesetzespaket zur „Stärkung digitaler Ermittlungsbefugnisse“ will die schwarz-rote Bundesregierung den Sicherheitsbehörden weitreichende neue Befugnisse einräumen – darunter einen biometrische Internetabgleich. Doch offenbar hakt es in der politischen Abstimmung zwischen den Bundesministerien. Die beiden Gesetzentwürfe tauchten seit Herbst 2025 auf der Zeitplanung des Bundeskabinetts auf und landeten immer wieder auf der langen Bank. Im März legten die Ministerien ihre Referentenentwürfe vor, zu denen Verbände und die Bundesländern Stellung nehmen konnten. Nun soll das Bundeskabinett die Entwürfe verabschieden. Danach ist der Bundestag an der Reihe.
Was plant die Bundesregierung?
Was wie ein typisches Ringen um Kompromisse zwischen BMI und BMJ aussieht, ist weit mehr: Es ist das größte Paket an neuen digitalen Überwachungsbefugnissen seit 20 Jahren. Die Gesetzentwürfe sollen dazu dienen, Maßnahmen umzusetzen, die schon lange auf der Wunschliste von Bundeskriminalamt (BKA), Bundespolizei (BPol) und Bundesamt für Migration und Flucht (BAMF) stehen. Die CDU/CSU hat sie in den Koalitionsvertrag verhandelt – nur Teile der SPD nahmen das als Niederlage wahr.
Die Bundesregierung will gesetzlich erlauben, dass Polizei und Migrationsbehörden Fotos, Videos oder Stimmaufnahmen nutzen dürfen, um sie mit öffentlich zugänglichen Daten aus dem Internet abzugleichen. Es ist unklar, ob das gegen ein Verbot der KI-Verordnung der EU verstößt. Menschenrechtsorganisationen sprechen von einem „qualitativen Sprung in der Überwachungsinfrastruktur“.
Was ist ein biometrischer Internetabgleich?
Sucht die Polizei eine Person oder will sie herausfinden, wer ein Unbekannter auf einem Foto ist, muss ein Ermittler bislang oft händisch im Internet suchenoder polizeiliche Datenbanken durchforsten. Die neuen Gesetzentwürfe machen einen Vorschlag. Liegt den Behörden ein Foto oder eine Tonaufnahme vor – etwa ein Fahndungsfoto oder die Videoaufnahme eines Bankraubs – dürften sie das Internet mit biometrischen Scans auf Übereinstimmungen durchsuchen. Als Datenquellen kommen prinzipiell alle Bild-, Video- und Tonaufnahmen in Betracht, die im Internet zugänglich sind.
In 5 Minuten up to date
1× pro Woche die Top-Themen der letzten sieben Tage und die spannendsten Fundstücke als Newsletter.
Wie findet die Software die biometrischen Übereinstimmungen?
Um einen biometrischen Internetabgleich durchzuführen, brauchen die Behörden eine Datengrundlage und eine spezielle Analysesoftware.
In einem ersten Schritt prüft sie, ob auf den Daten aus dem Internet ein menschliches Gesicht zu sehen oder eine menschliche Stimme zu hören ist. In einem zweiten Schritt analysiert das Programm, ob eine Übereinstimmung zwischen dem Datensatz und den eingegebenen Fotos oder Stimmen der gesuchten Person vorliegt. Ein flüchtiger Straftäter könnte dann auf einem Urlaubsfoto in Mexiko auftauchen – oder ein Bankräuber als Lehrer einer Grundschule identifiziert werden. Im Bereich des Asylrechts könnte das BAMF einen biometrischen Internetabgleich nutzen, um eine Person, die ohne Passdokumente eingereist ist, zu identifizieren.
Keine Echtzeit-Scans
Ausgeschlossen soll laut den Entwürfen jedenfalls sein, dass Polizei- und Migrationsbehörden einen Echtzeit-Abgleich mit Daten aus dem Internet durchführt. Tabu sind dadurch laufende Streams – etwa einer Webcam oder einem Insta-Live. Unklar bleibt aber, wann genau „Echtzeit“ aufhört und wann eine nachträgliche Identifizierung beginnt. Wird ein Livestram aufgezeichnet und auf einer Videoplattform hochgeladen, greift die Rechtsgrundlage dann wieder. Der Hintergrund für den Ausschluss einer Echtzeit-Identifizierung sind wohl auch die sehr restriktiven Vorgaben im EU AI Act.
Die Erfahrung zeigt aber: Überwachungsbefugnisse werden oftmals erst mit Einschränkungen eingeführt, und dann peu à peu ausgeweitet. So kam die Kfz-Kennzeichenerfassung zunächst nur für die LKW-Maut zum Einsatz, und ist nun auf dem Weg, zu einem anlasslosen Überwachungsinstrument zu werden.
Datengrundlage
Doch wie genau kommen die Behörden an die „öffentlich zugänglichen Daten aus dem Internet“, um einen biometrischen Abgleich durchzuführen? Diese wichtige Frage haben alle bisherigen Gesetzesvorschläge bislang offen gelassen. Die Ministerien sagen: Das Gesetz sei bewusst „technikoffen“ ausgestaltet – man würde später schauen, wie man es genau umsetze. Technische Expert:innen vermuten hingegen: So richtig wissen die Ministerien selbst noch nicht, wie das funktionieren soll – oder wollen sich der Einfachheit halber alle Optionen offen lassen. Verfassungsrechtlersehen genau hier ein Problem: Denn das Demokratie- und Rechtsstaatsprinzip schreibt vor, dass der Gesetzgeber alle wesentlichen Entscheidungen über Grundrechtseingriffe selbst treffen muss – und die Antwort auf die Frage, wie genau die Überwachungstechnik funktioniert, nicht an die Exekutive delegieren darf.
Digitale Grundrechte brauchen eine starke Stimme – deine Unterstützung macht sie hörbar.
Als gemeinnützige Organisation finanzieren wir uns durch Spenden. Hilf uns, Machtmissbrauch einzudämmen und digitale Souveränität zu stärken.
Clearview.AI
Denkbar wäre ein Archiv aus Bildern und Tonaufnahmen, das die Polizei selbst pflegt oder von einem Unternehmen ankauft. So hat die umstrittene Firma Clearview eine Datenbank angelegt, die alle Gesichtsbilder enthält, die durch Suchmaschinen auffindbar, von sozialen Netzwerken bereitgestellt oder bei Datenhändlern zum Kauf angeboten sind. Mehrere Datenschutzaufsichtsbehörden haben die Datensammlung durch Clearview in der Vergangenheit als rechtswidrig eingestuft und das Unternehmen mit Bußgeldern belegt.
Eine Zusammenarbeit mit Clearview wäre aber auch aus anderen Gründen problematisch. Denn Clearview behandelt die Details der Datensammlung und die genaue Funktionsweise als Geschäftsgeheimnis. Wer eine Anfrage an Clearview stellt, kann nicht ausschließen, dass die Eingabedaten zu anderen Zwecken weiterverwendet werden – etwa durch US-Geheimdienste oder für repressive Maßnahmen anderer Kunden des Konzerns. In der öffentlichen Kritik steht derzeit der Einsatz von Palantir-Produkten bei der Abschiebung von Migrant:innen durch die Behörde ICE in den USA. Im schlimmsten Fall würden deutsche Polizeibehörden Daten liefern und eine Software trainieren, die für illegitime Zwecke zum Einsatz kommt. Sucht eine Asylbehörde etwa nach dem Bild einer Person, die in einem anderen Staat verfolgt wird, könnte es sein, dass sie selbst oder ihre Familie in Gefahr gerät.
PimEyes
Es gibt aber auch technische Lösungen, die nicht auf eine kuratierte private Datenbank zurückgreifen, sondern Daten vorgeblich im frei verfügbaren Internet „crawlen“. So setzt die Suchmaschine PimEyes auf ein Verfahren, bei dem man das gewünschte Ergebnis (ein Gesicht) eingibt und die Suchmaschine anschließend alle biometrischen Übereinstimmungen anzeigt (“reverse engineering image search engines”). Mit dieser Methode fanden ein Team aus Journalist:innen Fotos des ehemaligen RAF-Mitglieds Daniela Klette bei einer Capoeira-Gruppe. Das führte später offenbar zu ihrer Festnahme mitten in Kreuzberg. Auch PimEyes ist umstritten. Der Landesdatenschutzbeauftragte in Baden-Württemberg hat ein Verfahren eingeleitet, weil die hohen Voraussetzungen der DSGVO zur Verarbeitung biometrischer Daten nicht erfüllt sind. Die Firma hat ihren Sitz von der EU in das karibische Belize verlegt und wird von einer Firma aus Dubai kontrolliert.
Was bedeutet die Maßnahme für Menschen in Deutschland?
Wenn der Staat alle Bild- und Tonaufnahmen im Internet auf biometrische Treffer durchsuchen darf, kommt es aus grundrechtlicher Perspektive zu einem Paradigmenwechsel. Jedes Bild, Video und jede Tonaufnahme einer Stimme, die wir hochladen, landen dann womöglich in einer staatlichen Datenbank. Jedes Selfie und jedes Insta-Live kommen in die Fänge einer Analysesoftware der Polizei.
In 5 Minuten up to date
1× pro Woche die Top-Themen der letzten sieben Tage und die spannendsten Fundstücke als Newsletter.
Es gibt durchaus Szenarien, in denen sich das als hilfreich erweisen kann:
Gibt es eine Stimmaufnahme von jemand, der ein Geschäft überfallen hat, fällt es der Polizei womöglich leichter, den Täter mit einem biometrischen Internetabgleich zu identifizieren. Die Stimme könnte auf einem Video, in einem Podcast oder auf einer öffentlich hochgeladenen Tonaufnahme auftauchen.
Eine Person, die unter falscher Identität nach Deutschland einreist, kann mit einem biometrischen Abgleich auf Videos im Internet als potentieller Attentäter oder Rückkehrer des Islamischen Staats (IS) erkannt werden.
Ein entführtes Kind kann mit einem biometrischen Internetabgleich auf den Aufnahmen einer Webcam im Ausland erkannt werden.
Doch mit einem biometrischen Abgleich durch den Staat gehen auch viele Risiken für Grundrechte einher:
Liegt ein falscher Verdacht vor, können Partybilder, Kinderbilder von Momfluencern oder die Aufnahme eines Touristen vom Christopher Street Day in die Hände der Sicherheitsbehörden gelangen. Dadurch erhält der Staat Einblick in die Privatsphäre von Personen und kann die Informationen später gegen sie verwenden.
Ein Polizist könnte die Funktion missbrauchen, um belastende Informationen über Personen aus seinem privaten Umfeld aufzuspüren. Sind im Gesetz keine Sicherungsmaßnahmen dagegen vorgesehen – etwa eine personengenaue Protokollierung der Nutzung – oder wirkt die Behörde sich schützend vor die handelnden Personen, bleibt ein solch rechtswidriges Verhalten womöglich ungesühnt.
Bekommen die Taliban mit, dass deutsche Migrationsbehörden bestimmte Fotos einer ehemaligen Ortskraft auf Fahndungsseiten der afghanischen Polizei mit einer Software gescannt hat, können sie darauf schließen, dass die Person in Deutschland Asyl beantragt hat und sie verfolgen. Ebenso kann es sein, dass Bilder einer vermeintlich verdächtigen Person, durch eine Rechtsauskunft in den Händen ausländischer Mächte landet.
Wo verläuft die Grenze zwischen moderner Polizeiarbeit im Rechtsstaat und einem autoritären Überwachungsstaat?
Das Verhältnis zwischen individueller Freiheit und staatlicher Kontrolle wird fortlaufend demokratisch ausgehandelt. Wo die Grundrechte des Grundgesetzes dem Staat im digitalen Zeitalter Grenzen für eine Überwachung der Bevölkerung zieht, ist in der Fachliteratur umstritten.
Auf der einen Seite ist es nachvollziehbar, dass die Polizei alle Möglichkeiten ausschöpfen will, um Kriminalität zu bekämpfen. Auf der anderen Seite sind Eingriffe in Grundrechte nur dann zulässig, wenn sie verhältnismäßig und rechtsstaatlich kontrollierbar sind. Immer wieder hat das Bundesverfassungsgericht neue Befugnisse der Sicherheitsbehörden gekippt, weil der Gesetzgeber und die Behörden keine ausreichenden Schutzmaßnahmen für die Freiheitsrechte der Bürger:innen vorgesehen hatten.
Wenn der Staat den analogen und digitalen Raum stärker überwachen will, muss er auch strukturelle Risiken bedenken:
Wenn rechtsstaatliche Garantien unter Beschuss geraten, können digitale Ermittlungsbefugnisse ins Autoritäre kippen. Das zeigen die aktuellen Entwicklungen in den USA. Die Bundesbehörde ICE nutzt unterschiedliche Überwachungsinstrumente, um Migrant:innen abzuschieben. Dabei kommen auch unbescholtene Bürger ins Visier.
Die Anonymität im öffentlichen Raum wird erheblich eingeschränkt. Wer an einer Demonstration teilnimmt, die ein Tourist filmt, läuft Gefahr, dass der Staat sie oder ihn ohne ihr Wissen einem bestimmten politischen Spektrum zuordnen kann. In der Hand autoritärer Kräfte wird der biometrische Internetabgleich schnell zu einem Instrument, um politische Gegner zu unterdrücken.
Schöpft eine freiheitliche Demokratie alle Möglichkeiten der digitalen Überwachung aus, stellt sie künftigen Regierungen im schlimmsten Fall den Überwachungsstaat der Zukunft schlüsselfertig bereit. Das zeigt ein Beispiel aus Afghanistan: Die internationale Schutztruppe setzte Gesichts- und Iris-Erkennung weitläufig ein, um die afghanische Bevölkerung zu vermessen. Bei ihrem hektischen Abzug im Jahre 2021, ließen US-Kräfte die Geräte und Datenbanken zurück. Die Überwachungs-Infrastruktur fiel letztlich den Taliban in die Hände. Später tauchten biometrische Daten aus Afghanistan frei verkäuflich im Internet auf. Auch die Entwicklungen in den USA zeigen: Wenn sich eine Regierung nicht mehr an Gewaltenteilung und Gerichtsentscheidungen gebunden fühlt, geraten Grundrechte unter Beschuss. Was passiert, wenn die AfD ein Innenministerium übernimmt und die Rechtsaufsicht über die Polizei schleifen lässt – oder digitale Ermittlungsbefugnisse dafür nutzt, gegen oppositionelle Kräfte vorzugehen?
Aus verfassungsrechtlicher Sicht ist es nicht ausgeschlossen, dass die neuen Maßnahmen dazu beitragen, die rote Linie zu einer „Totalüberwachung“ bzw. einer „umfassenden Katalogisierung der Persönlichkeit“ allmählich zu überschreiten. Der Deutsche Anwaltsverein kritisiert, dass der „vorgesehene Einsatzzweck „zur Erforschung des Sachverhalts“ (...) eine massive Zwecköffnung“ zur Folge habe, „was letztlich den Einsatz automatisierter biometrischer Abgleiche zu jedwedem Ermittlungszweck erlaubt“.
Das letzte Wort wird das Bundesverfassungsgericht in Karlsruhe haben, das in der Vergangenheit zahlreiche Sicherheitsgesetze als unverhältnismäßigen Eingriff in Grundrechte aufhob. Auch im parlamentarischen Verfahren bleibt noch Raum dafür, die Grundrechtseingriffe durch Schutzmaßnahmen jedenfalls abzumildern.
Digitale Grundrechte brauchen eine starke Stimme – deine Unterstützung macht sie hörbar.
Als gemeinnützige Organisation finanzieren wir uns durch Spenden. Hilf uns, Machtmissbrauch einzudämmen und digitale Souveränität zu stärken.
Verstößt der biometrische Internetabgleich gegen EU-Recht?
Die KI-Verordnung der EU (EU AI Act) verbietet ausdrücklich „die Verwendung von KI‑Systemen, die Datenbanken zur Gesichtserkennung durch das ungezielte Auslesen von Gesichtsbildern aus dem Internet oder von Überwachungsaufnahmen erstellen oder erweitern“ (Art. 5 Absatz 1 Buchstabe e KI-VO). Über die Frage, wie die Vorschrift im Einzelnen zu verstehen und auszulegen ist, gibt es derzeit eine lebhafte Debatte. Da das Verbot erst in einem sehr späten Zeitpunkt der Verhandlungen zwischen EU-Parlament und EU-Rat Einzug in das Regelwerk fand, ist es an einigen Stellen unklar formuliert. Bislang gibt es keine Rechtsprechung zu dem Thema.
Die Bundesregierung und auch die EU-Kommission vertreten die Position, dass das Instrument „biometrischer Internetabgleich“ durch die KI-Verordnung nicht per se verboten ist. Vielmehr käme es auf die Details an. In einer unverbindlichen Auslegungshilfe stuft die Kommission Datenbanken wie Clearview.AI als verboten ein, die umgedrehte Bildsuche á la PimEyes aber nicht. Und auch die Bundesregierung sieht Schlupflöcher für ihr Vorhaben: Wahlweise vertreten die Ministerien die Meinung, dass die Voraussetzungen des Verbots der KI-Verordnung nicht erfüllt sein, weil
für den Internetscan kein „KI-System“ notwendig sei und der AI Act gar nicht einschlägig sei,
nicht zwingend eine „Datenbank“ zum Einsatz kommen müsse,
dass kein „ungezieltes“ Auslesen von Gesichtsbildern erfolge
Die Abgeordneten des EU-Parlaments, die den Entwurf für ein Verbot eingebracht haben, und einige Wissenschaftler:innen (inklusive des Autors dieses Beitrags) sehen in Art. 5 Absatz 1 Buchstabe 3 ein umfassendes Verbot für biometrische Internetscans. In aller Kürze:
Ohne KI lassen sich vielleicht Bilder aus dem Internet „crawlen“, aber darauf enthaltene Gesichter sind selten eindeutig erkennbar. Um zu erkennen, ob auf einem Bild ein Gesicht zu sehen ist, braucht es maschinelle Lernverfahren, die als „KI-System“ unter den AI Act fallen.
Ohne eine „Datenbank“ lässt sich ein biometrischer Abgleich nicht durchführen. Auch PimEyes führt keine Echtzeit-Suche des Internets ab, sondern hält die Daten im Hintergrund bereit. In einer Studie für AlgorithmWatch hat Prof. Lewandowski die technischen Details genau ausgeführt.
Zwar suchen die Behörden „gezielt“ nach einer Person, aber darauf kommt es nicht an. Das Merkmale des „ungezielten Auslesens“ ist technisch zu verstehen. Das ist erfüllt, wenn bei einem Internetabgleich ersteinmal alle möglichen Bilder „gescannt“ werden. Um Bilder mit Gesichtern im Internet zu finden, muss man erstmal alle auffindbaren Internetbild „ungezielt“ sammeln.
Digitale Grundrechte schützen, Freiheitsräume erhalten!
Biometrische Überwachung ist ein intensiver Eingriff in das Recht auf informationelle Selbstbestimmung und schränkt die Freiheitsrechte im Digitalen unverhältnismäßig ein. Es handelt sich um sehr invasive Maßnahmen, mit denen sich die Gesellschaft auf die verfassungsrechtliche rote Linie einer drohenden „Totalüberwachung“ des öffentlichen und digitalen Raums zubewegt.
Mit dem Einsatz von Überwachungssoftware findet derzeit zudem eine problematischen Verlagerung staatlicher Aufgaben auf private Unternehmen statt. Der Staat macht sich von einzelnen Konzernen abhängig. Er verliert die Kontrolle darüber, wie Polizei und Migrationsbehörden ihren Aufgaben nachkommen. Durch einen Einkauf von Überwachungssoftware aus dem Ausland geraten digitale Souveränität und Rechtsstaatlichkeit strukturell in Gefahr.
Hinzu kommt, dass die Technik der biometrischen Identifizierung nicht ausgereift ist. Sie diskriminiert nachweislich Minderheiten und gibt folgenreichen Fehleinschätzungen. Die Gefahren einer anlasslosen Massenüberwachung für die Grundrechte lassen sich nicht mehr hinreichend durch technische und organisatorische Maßnahmen auf ein rechtsstaatlich akzeptables Maß reduzieren, wenn sie zu weit ausgebaut sind.
Verfassungswidrige Sicherheitsgesetze gab es schon in der Vergangenheit
Die Bundesregierung läuft nun Gefahr, sich in die Tradition einzureihen, das SPD und Union gemeinsam verfassungswidrige Überwachungsgesetze verabschieden, die später in Karlsruhe an die Wand fahren. Sie überdeckt damit auch das tiefer liegende Problem: Die Sicherheitsbehörden sind unterbesetzt und verfügen über eine veraltete IT-Infrastruktur. Statt sie für eine effektive Strafverfolgung zu befähigen,liegt der politische Fokus immer wieder darauf, einzelne Systeme aus dem Ausland einzukaufen.
Wie die Entwicklungen in vielen Ländern der Welt zeigen sind unabhängige Gerichte und Gesetzestreue der Verwaltung ein fragiles Konstrukt. In den Händen autoritärer Kräfte können staatliche Überwachungsinstrumente dazu missbraucht werden, um oppositionelle Kräfte auszuleuchten, Versammlungen zu unterdrücken oder politische Gegner zu diffamieren. Global betrachtet ist biometrische Überwachung ein Instrument des digitalen Autoritarismus, den es in freiheitlich-demokratischen Gesellschaften zu verhindern gilt. Nach dem Kabinettsbeschluss beginnt das parlamentarische Verfahren.
Redaktion: Joris Kanowski und Jasmin Ehbauer
In 5 Minuten up to date
1× pro Woche die Top-Themen der letzten sieben Tage und die spannendsten Fundstücke als Newsletter.