Bilderkennung: Das zweite Gesicht

Jüngst machte die Firma Clearview Schlagzeilen, weil sie Porträtfotos massenhaft aus dem Internet fischt und damit eine Datenbank zur Gesichtserkennung füttert. Doch es gibt Abhilfe.

Lesezeit: 3 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen
Bilderkennung: Das zweite Gesicht

Eine Software verändert Bilder so, dass sich keine individuellen Merkmale mehr ableiten lassen sollen.

(Bild: Screenshot YouTube)

Von
  • Angela Chen
  • Wolfgang Stieler

Wenn jemand in einem Videoclip auftaucht, der die gleiche Hautfarbe, das gleiche Geschlecht und das gleiche Alter wie Sie hat, die gleichen Gesten und Ge­sichtsausdrücke verwendet wie Sie, aber nicht genauso aussieht wie Sie – sind Sie es dann immer noch? Nein, sagt Gil Perry, Mitbegründer des israelischen Datenschutzunternehmens D-ID. Selbst wenn das Video auf Aufnahmen von Ihnen beruht.

D-ID nimmt Videomaterial auf – zum Beispiel mit einer Überwachungskamera in einem Geschäft – und verwandelt die Person im Video per Software in einen Avatar, der dieselben Attribute hat wie die aufgenommene Person, aber etwas anders aussieht. Der Vorteil für Unternehmen ist, dass dieses neue, "anonymisierte" Video nicht mehr die genaue Identität eines Kunden verrät – was laut Perry bedeutet, dass Unternehmen "die Notwendigkeit der Zustimmung eliminieren" und das Filmmaterial für Geschäfts- und Marketingzwecke analysieren ­können. Ein ganz ähnliches Produkt wird auch vom Berliner Start-up Brighter AI entwickelt.

D-ID nennt bisher keine Kunden. Laut Perry sind es aber vor allem Einzelhändler, Autofirmen und "große Konzerne, die in Europa Überwachungskameras einsetzen". Zusätzlich zu seiner Video-Software bietet D-ID auch an, Fotos, die im Internet veröffentlicht werden, so zu verändern, dass sie dem Original immer noch ähnlich sehen, sich aber keine biometrischen Merkmale daraus ziehen lassen. Das würde Diensten wie Clear­view einen Riegel vorschieben.

TR 3/2020

Mitte Januar hatte die New York Times berichtet, dass das US-Unternehmen mit Bildern aus sozialen Netzen eine umfassende Datenbank für seine Gesichtserkennungs-App aufgebaut hat. Die App wird weltweit von Polizei- und Sicherheitsdiensten verwendet. Zwar haben Google, Twitter und andere Plattformen Clearview mittlerweile untersagt, ihre Bilder zu verwenden. Doch die Datenbank mit rund drei Milliarden Bildern ist erst einmal in der Welt.

Die Verschleierung von D-ID könnte hier helfen. Leider hat die Sache einen Nachteil: Um personenbezogene Merkmale zu verschleiern, muss der Algorithmus genau diese Merkmale erst einmal erkennen. Diese Daten liegen also bei D-ID, und man muss darauf vertrauen, dass sie nicht in die Hände Dritter gelangen – sei es nun absichtlich oder unabsichtlich.

Michael Veale, Datenschutzexperte am University College London, sieht zudem die Gefahr eines leichtfertigen Umgangs mit Gesichtserkennung. Anonymisierungstechnologie könnte Unternehmen automatisch einen Freibrief geben, "die Videoüberwachung für leichtfertige Geschäftszwecke einzusetzen, die nicht von ernsthaftem öffentlichen Interesse sind wie die Verbrechensbekämpfung". Um Fragen wie diese zu klären, erwägt die neue Europäische Kommission nach Medienberichten, den Einsatz automatisierter Gesichtserkennung im öffentlichen Raum vorübergehend zu verbieten. Das Verbot soll zunächst drei bis fünf Jahre andauern. In diesem Zeitraum soll eine "solide Methodologie für die Einschätzung der Auswirkungen der Technologie und mögliche Risikomanagementmaßnahmen" entwickelt werden.

Ann Cavoukian, Vorstandsmitglied von D-ID und ehemalige Datenschutzbeauftragte der kanadischen Provinz Ontario, hält das für überzogen. Es sei nichts Falsches daran, Daten zu sammeln, solange die genaue Identität der Menschen verschleiert werde. "Wenn Sie heutzutage möchten, dass überhaupt keine Daten über Sie gesammelt werden, obwohl es kein Problem mit der Privatsphäre gibt, weil Sie unkenntlich gemacht und anonymisiert wurden, werden Sie sich nicht weit vor die Tür wagen können", sagt sie. "Das ist die Realität." Die Lösung sei daher "eine totale Win-win-Situation". Der Datenschutzanwalt von D-ID, David Mirchin, fügt an: Die Anonymisierungslösung von D-ID analysiere, offenbare oder speichere zu keinem Zeitpunkt diese sensiblen Daten.

Rein technisch gesehen ist diese Einschätzung vermutlich richtig. D-ID gibt zwar keine Einzelheiten preis. In jüngster Vergangenheit sind jedoch eine Reihe ähnlicher wissenschaftlicher Studien veröffentlicht worden. Die Idee dabei ist, sogenannte Generative Adversarial Networks (GANs) zu nutzen. Das sind spezielle neuronale Netze, die gewissermaßen den Wettlauf zwischen einem Kunstfälscher und einem Kunstdetektiv abbilden: Beide Netze werden mit derselben Datensammlung trainiert. Das erste, genannt Generator, hat die Aufgabe, künstliche Outputs wie Fotos oder Handschriften zu erzeugen, die so realistisch sind wie möglich.

Das zweite, der Diskriminator, vergleicht das Ergebnis mit echten Bildern aus der Trainingssammlung und versucht, Originale und Fälschungen zu unterscheiden. Auf der Basis dieser Ergebnisse passt der Generator seine Parameter für das Erzeugen neuer Bilder an. Håkon Hukkelås von der Norwegian University of Science and Technology gab solchen GANs reduzierte Informationen über das Gesicht und die Körperhaltung vor und ließ die Software den Rest ergänzen. Auch Hukkelås betont, der Generatorteil habe "keinerlei Zugriff auf sensitive, private Informationen".

Problematisch ist die Technologie aber noch aus einem anderen Grund. Denn mit denselben GANs, die die Privatsphäre schützen, lassen sich auch Passfotos herstellen, die zwei verschiedenen Personen ähneln. Das so erzeugte Bild entspricht dann nicht nur optisch den zwei Personen, sondern führt auch automatisierte Gesichtserkennung hinters Licht. Der Sicherheitsexperte Christoph Busch von der Hochschule Darmstadt schätzt nach Umfragen unter Experten, dass bereits 1000 Ausweisdokumente mit solchen "gemorphten" Bildern in Umlauf sind.

(wst)