In Teheran und anderen iranischen Städten haben Bilder jubelnder Menschen nach dem Tod von Ali Khamenei weltweit Aufmerksamkeit erregt – nicht wegen der Berichterstattung der staatlichen Medien, sondern wegen der stillen Begleiter im Hintergrund: Kameras, die längst nicht mehr nur aufzeichnen, sondern identifizieren.
Eine aktuelle, internationale Recherchekooperation um Forbidden Stories und Le Monde legt offen, dass der Iran sich dafür hochentwickelte Gesichtserkennungssoftware aus Russland beschafft haben soll, und zwar über ein Geflecht aus Tarnfirmen und staatsnahen Technologieunternehmen. Im Zentrum steht die Software FindFace des russischen Unternehmens NtechLab, die in Russland bereits zur Überwachung von Oppositionellen und Regimekritikern eingesetzt worden sein soll und nun offenbar Bestandteil des iranischen Sicherheitsapparats ist.
Die technischen Fähigkeiten der eingesetzten Systeme sind dabei für sich genommen nicht außergewöhnlich. Sie stehen exemplarisch für eine globale Überwachungsindustrie, in der Gesichtserkennungslösungen in immer größeren Maßstab verfügbar sind. Bemerkenswert ist, wer diese Technologie einsetzt, wie sie beschafft wird und in welchen rechtlichen und politischen Strukturen sie verankert ist. Gerade im Vergleich mit den europäischen Debatten um biometrische Fernidentifizierung, KI‑Regulierung und Datenschutz zeigt der Fall Iran, wie stark der normative Rahmen darüber entscheidet, ob ein und dieselbe Technologie als Instrument moderner Strafverfolgung oder als Baustein einer repressiven Überwachungsordnung wirkt.
Irans Beschaffungsweg
Frontfirmen und sanktionierte Software
Den Recherchen zufolge beginnt die Spur im Jahr 2019 mit dem Kauf der Gesichtserkennungssoftware FindFace durch die iranische Firma Rasadco. Kurz darauf geht Rasadco in der größeren Firma Kama auf, die fortan als Drehscheibe fungiert und NtechLabs Software an unterschiedliche Einrichtungen im Iran weiterverkauft. Auftraggeber reichen von Universitäten über Stadtverwaltungen bis hin zu Akteuren des Sicherheitsapparats. In Vertragsunterlagen tauchen Kunden auf, die den Revolutionsgarden zugerechnet werden, ebenso wie das Ministerium für Nachrichtendienste. Teilweise wird mit Kürzeln operiert, hinter denen die Recherche Frontgesellschaften vermutet, die es erlauben, Vertragsbeziehungen und Geldflüsse zu verschleiern.
Besonders brisant ist die Herkunft der Technologie. NtechLab gilt als einer der prominenten russischen Anbieter von Gesichtserkennung und soll in Russland im Umfeld staatlicher Konzerne und Sicherheitsbehörden operieren. Wegen seiner Rolle bei der Überwachung von Oppositionellen steht das Unternehmen auf Sanktionslisten der Europäischen Union und der Vereinigten Staaten. Gleichwohl gelangt seine Software über iranische Zwischenfirmen in ein Land, das selbst Ziel westlicher Sanktionen ist. Der Vorgang illustriert, wie schwierig es ist, den Export komplexer Überwachungstechnologie wirksam zu kontrollieren, wenn Drittstaaten und private Vermittler bereit sind, als Scharnier zu agieren.
Technische Nutzung in Iran
Technisch betrachtet knüpft der iranische Einsatz an international etablierte Muster der Videoanalytik an. FindFace ist darauf ausgelegt, Gesichter in Bild- und Videomaterial zu erkennen, mit Referenzdatenbanken abzugleichen und Personen über verschiedene Kameras und Zeitpunkte hinweg wiederzuerkennen.
Die Software kann Live‑Streams auswerten, aber auch nachträglich auf aufgezeichnete Videos zugreifen. Entscheidend ist die Vielfalt der möglichen Datenquellen. Neben stationären Überwachungskameras kommen private CCTV‑Systeme in Geschäften oder Wohnhäusern ebenso in Betracht wie Kameras in U‑Bahn‑Stationen. Zudem lassen sich öffentlich verfügbare Videos aus sozialen Netzwerken in die Auswertung einbeziehen. Aus Sicht eines autoritären Regimes eröffnen sich damit zwei zentrale Möglichkeiten. Zum einen kann der Staat Protestereignisse zunächst nur dokumentieren und die Identifikation von Personen auf einen späteren Zeitpunkt verschieben, an dem Kapazitäten für Verhöre oder Verhaftungen zur Verfügung stehen. Zum anderen lässt sich aus wiederkehrenden Treffern, gemeinsamen Auftritten im öffentlichen Raum und digitalen Spuren ein Beziehungsgeflecht ableiten, das die Sicherheitsbehörden als sozialen Graphen nutzen können. Der Einsatz von Gesichtserkennung wird damit zu einer Ergänzung klassischer Methoden wie Informantennetzen, Telefonüberwachung und Internetfilterung.
In einem politischen Umfeld, in dem rechtsstaatliche Verfahrensgarantien schwach ausgeprägt sind, tritt eine systematische Fehlerkontrolle in den Hintergrund. Gesichtserkennungssysteme arbeiten nie fehlerfrei, insbesondere bei schlechter Bildqualität, ungünstigen Lichtverhältnissen oder verdeckten Gesichtern. Die entscheidende Frage ist, wie ein System mit Falschtreffern umgeht und welche Folgen ein Fehlalarm für Betroffene hat. In einem repressiven Kontext steigt das Risiko, dass technische Unsicherheiten zu Lasten unschuldiger Personen gehen und faktisch nicht korrigiert werden.
Kommerzielle Systeme und erste europäische Praxiserfahrungen
Während die iranische Entwicklung vor allem die Kombination aus autoritärem Regime und fortgeschrittener Analytik zeigt, verläuft die Debatte in Europa anders. Hier sind es zunächst private Dienste wie PimEyes oder FindFace in ihrer kommerziellen Variante, die die technischen Möglichkeiten vorführen. Diese Systeme durchsuchen große Mengen öffentlich verfügbarer Bilder im Netz und liefern bei Eingabe eines Fotos eine Liste vermeintlicher Treffer. Die Identifizierung der ehemaligen RAF‑Terroristin Daniela Klette, bei der ein Journalist ein altes Fahndungsfoto in PimEyes einspeiste und binnen Minuten auf aktuelle Bilder stieß, hat die öffentliche Wahrnehmung solcher Werkzeuge geschärft.
Rechtlich sind solche Anwendungen in der Europäischen Union auf dünnem Eis unterwegs. Die massenhafte Erhebung und Verarbeitung biometrischer Daten ohne Einwilligung der Betroffenen kollidiert mit dem grundsätzlichen Verbot der Verarbeitung besonderer Kategorien personenbezogener Daten nach der Datenschutz‑Grundverordnung. Das erklärt, warum Anbieter ihren formalen Sitz häufig in Drittstaaten verlagern, obwohl der Dienst auf europäische Nutzerinnen und Nutzer zielt. Gleichzeitig machen diese Beispiele deutlich, welches Ermittlungs- und Fahndungspotenzial sich aus einem umfassenden Abgleich von Netzbildern mit polizeilichen Lichtbildern ergeben kann.
Dieser Befund bleibt in Sicherheitsbehörden nicht unbeachtet. Pilotprojekte zur Gesichtserkennung im öffentlichen Raum – etwa am Berliner Bahnhof Südkreuz – haben gezeigt, dass sich registrierte Personen mit hoher Trefferquote identifizieren lassen, zugleich aber eine nicht zu vernachlässigende Zahl Unbeteiligter fälschlicherweise als Treffer erscheint. Auch in der nachträglichen Fernidentifizierung greifen Polizeibehörden bereits auf biometrische Abgleiche mit erkennungsdienstlichen Fotos in nationalen Informationssystemen zurück. Der Schritt, diese Kapazitäten auf öffentlich zugängliche Online‑Daten zu erweitern, liegt aus technischer Sicht nahe, wirft aber eine Vielzahl von Rechtsfragen auf.
Rechtliche Grundlagen zur Überwachungstechnologie
KI‑Verordnung und Datenschutzrecht
Mit der KI‑Verordnung hat die Europäische Union einen eigenen Rechtsrahmen geschaffen, der den Einsatz biometrischer Fernidentifizierungssysteme nicht vollständig verbietet, aber in ein dichtes Netz von Anforderungen spannt. Die Verordnung definiert biometrische Daten und biometrische Identifizierungssysteme im Gleichlauf mit Datenschutz‑Grundverordnung und Richtlinie für den Bereich Polizei und Justiz. Biometrische Fernidentifizierung meint dabei ausdrücklich Systeme, die Personen aus der Ferne und ohne ihre Mitwirkung anhand biometrischer Merkmale identifizieren sollen.
Solche Systeme werden als Hochrisiko‑KI eingestuft. Sie unterliegen einem Katalog verbindlicher Pflichten, der von Risikomanagement über Daten‑Governance und technische Dokumentation bis hin zu Protokollierungs-, Transparenz- und Aufsichtspflichten reicht. Speziell für biometrische Identifizierung sind die Anforderungen verschärft. Jede Suche wird protokolliert, die Qualität der Referenzdaten ist zu sichern und die menschliche Aufsicht so auszugestalten, dass algorithmische Treffer nicht automatisch in Maßnahmen übersetzt werden dürfen.
Parallel dazu bleibt das Datenschutzrecht voll wirksam. Biometrische Daten gelten weiterhin als besonders sensible Informationen, deren Verarbeitung grundsätzlich untersagt ist und nur in eng gefassten Ausnahmefällen erfolgen darf. Im Strafverfolgungsbereich verweist die KI‑Verordnung ausdrücklich auf die Vorgaben der Richtlinie für Polizei und Justiz, die für biometrische Daten eine „unbedingte Erforderlichkeit“ verlangt und zusätzliche Garantien für die Rechte der Betroffenen fordert. Die Folge ist eine doppelte Prüfung: Nicht nur das KI‑System muss den Produkt‑ und Verhaltensanforderungen der Verordnung entsprechen, auch die konkrete Datenverarbeitung braucht eine klare gesetzliche Grundlage und muss sich an strengen Erforderlichkeitsmaßstäben messen lassen.
Verbotene Praktiken und Ausnahmen: Art. 5 KI‑VO
Kernstück der Regulierung ist Artikel 5 der KI‑Verordnung, der bestimmte Anwendungen als unzulässige KI‑Praktiken klassifiziert. Für Gesichtserkennung sind dabei zwei Verbote besonders relevant. Zum einen untersagt die Verordnung Systeme, die Datenbanken zur Gesichtserkennung durch ungezieltes Auslesen von Bildern aus dem Internet oder von Überwachungsaufnahmen aufbauen oder erweitern. Damit wird die Praxis des Scraping adressiert, die zentrale Grundlage vieler kommerzieller Dienste ist und im iranischen Fall faktisch durch das umfassende Auswerten von Online‑Videos und CCTV‑Material gespiegelt wird.
Zum anderen stellt Artikel 5 die biometrische Echtzeit‑Fernidentifizierung in öffentlich zugänglichen Räumen zu Strafverfolgungszwecken grundsätzlich in die Kategorie verbotener Praktiken, erlaubt aber eng umrissene Ausnahmen. Diese Ausnahmen beziehen sich vor allem auf die Suche nach Opfern bestimmter Delikte, die Abwehr konkreter, erheblicher Gefahren für Leib und Leben – insbesondere Terroranschläge – sowie die Fahndung nach Verdächtigen schwerer Straftaten. Voraussetzung ist jeweils, dass der Einsatz des Systems unbedingt erforderlich ist, was über die klassische Verhältnismäßigkeit hinausgeht.
Anders als ein kategorisches Verbot legt Artikel 5 jedoch eine komplexe Ausnahmearchitektur fest. Jede Verwendung biometrischer Echtzeit‑Fernidentifizierung zur Strafverfolgung bedarf einer vorherigen Genehmigung durch eine Justizbehörde oder eine unabhängige Verwaltungsstelle. Der Antrag muss detailliert begründen, warum der Einsatz notwendig ist, welche alternativen Maßnahmen geprüft wurden und wie der Einsatz räumlich, zeitlich und personell begrenzt wird. Zudem verlangt die Verordnung eine Grundrechtefolgenabschätzung und die Dokumentation sämtlicher Einsätze in einer europäischen Datenbank.
Nachträgliche Fernidentifizierung: Hochrisiko statt Totalverbot
Weniger strikt ist der Umgang mit nachträglicher biometrischer Fernidentifizierung. Hier stuft die KI‑Verordnung entsprechende Systeme als Hochrisiko‑KI ein, die – anders als Echtzeit‑Massenüberwachung im öffentlichen Raum – nicht grundsätzlich verboten sind. Für Strafverfolgungsbehörden gelten besondere Betreiberpflichten. So ist eine anlasslose, flächendeckende Auswertung von Bilddaten nicht zulässig. Die Nutzung soll auf konkrete Fälle der Strafverfolgung beschränkt bleiben, in denen eine gesetzliche Befugnis besteht und zusätzliche verfahrensrechtliche Garantien eingehalten werden.
Auch hier muss der Einsatz der Systeme genehmigt und dokumentiert werden. Die Verordnung fordert unter anderem, dass auf Basis eines biometrischen Treffers nicht ohne zusätzliche Prüfung Maßnahmen ergriffen werden dürfen, wenn diese nachteilige Rechtsfolgen für Betroffene haben. Zudem greifen die Informationspflichten der Polizeidatenschutzrichtlinie, die in nationales Recht umgesetzt wurden und grundsätzlich verlangen, dass Betroffene über Datenverarbeitungen informiert werden, sobald dies den Zweck der Maßnahme nicht mehr gefährdet.
Mit Blick auf die Praxisplanung in Deutschland bedeutet das zweierlei: Ein biometrischer Abgleich von im Netz öffentlich zugänglichen Bildern mit polizeilichen Lichtbildern ist nach der KI‑Verordnung nicht ausgeschlossen, wenn er nachträglich erfolgt, auf konkrete Ermittlungsmaßnahmen begrenzt ist und auf einer klaren gesetzlichen Grundlage beruht. Zugleich darf diese gesetzliche Grundlage die Grenzen des Artikel 5 nicht unterlaufen, insbesondere nicht das Verbot, durch Scraping generierte Datenbanken zur Grundlage eines Systems zu machen.
Nationale Umsetzung in DE: Von Hessen bis zu Bundesplänen
Wie sich der europäische Rahmen in nationales Recht übersetzen lässt, zeigt das Beispiel Hessen. Der Landesgesetzgeber hat biometrische Echtzeit‑Fernidentifikation in sein Sicherheits‑ und Ordnungsgesetz aufgenommen, allerdings mit einem engen Zuschnitt auf die Abwehr terroristischer Gefahren und die Suche nach bestimmten Opfern oder Vermissten. Die Gesetzesbegründung und die Praxisgestaltung orientieren sich sichtbar an den Vorgaben der KI‑Verordnung: Richtervorbehalt, strenge Anforderungen an die Erforderlichkeit, Begrenzung auf bestimmte Räume und Zeiträume sowie die institutionalisierte Kontrolle von Treffern durch menschliche Prüfer.
Demgegenüber weist ein auf Bundesebene diskutierter Entwurf, der Polizei einen biometrischen Abgleich mit allen öffentlich zugänglichen Online‑Daten ermöglichen soll, deutlich weiter. Zwar sieht der Entwurf tatbestandliche Eingriffsschwellen und Verfahrensregeln vor, etwa bestimmte Deliktskategorien und Begründungspflichten. Zugleich bleibt aber an verschiedenen Stellen offen, wie die Anforderungen der KI‑Verordnung – insbesondere das Scraping‑Verbot und das Verbot, allein auf algorithmische Treffer zu reagieren – konkret umgesetzt werden sollen.
Besonders umstritten ist die Frage der Streubreite und der Eingriffsschwelle. Ein biometrischer Abgleich mit sämtlichen offenen Online‑Quellen würde zwangsläufig die Gesichter einer großen Zahl unbeteiligter Personen in eine Fahndung einbeziehen. Selbst wenn die Referenzdaten nicht dauerhaft in nationalen Systemen gespeichert werden, verdichtet sich das beamtliche Erkenntnisinteresse auf diese Daten, weil sie gezielt für den Abgleich herangezogen werden. In Kombination mit Befugnissen, die nicht nur auf Terrorismusabwehr, sondern auf eine breite Palette schwerer Kriminalität zielen, entsteht die Gefahr, dass biometrische Fernidentifizierung von einer eng umrissenen Ausnahme zu einem normalisierten Instrument polizeilicher Ermittlungsarbeit wird.
Europäische Werte als Bollwerk
Neben dem unionsrechtlichen Rahmen bleibt in Deutschland das nationale Verfassungsrecht maßgeblich. Das Bundesverfassungsgericht hat wiederholt betont, dass Eingriffe in das Recht auf informationelle Selbstbestimmung, insbesondere wenn sie heimlich, massenhaft oder mit großer Streubreite erfolgen, nur unter strengen Voraussetzungen zulässig sind. Relevante Kriterien sind Art und Umfang der Daten, die Zahl der betroffenen Personen, die Möglichkeit der Profilbildung sowie das Risiko, dass Betroffene ihr Verhalten ändern, weil sie sich beobachtet fühlen.
Gerade dieser sogenannte Einschüchterungseffekt steht in einem auffälligen Kontrast zum iranischen Szenario. Dort beschreiben Beteiligte und Beobachter, dass das Wissen um flächendeckende Kameras und Gesichtserkennung die Bereitschaft zu offenem Protest schmälert und ein Gefühl permanenter Beobachtung erzeugt. In der deutschen und europäischen Grundrechtsdogmatik würde ein solcher Effekt typischerweise als Argument für strengere Grenzen und zusätzliche Sicherungen angeführt, während er in einem autoritären Kontext als intendierte Wirkung Teil des politischen Kalküls sein kann.
Damit ist der Unterschied zwischen Iran und Europa weniger eine Frage der technischen Möglichkeiten, als des Wertegerüsts, in dem diese Möglichkeiten eingesetzt werden. Biometrische Gesichtserkennung kann sowohl Bestandteil moderner Strafverfolgung als auch Werkzeug politischer Repression sein. Die KI‑Verordnung, die Datenschutzregime und die verfassungsrechtlichen Vorgaben zielen darauf, den Einsatz in Europa auf eng definierte Fälle zu begrenzen und mit dichten Verfahrensgarantien zu versehen. Ob dieser Anspruch im politischen Alltag Bestand hat, wird sich daran zeigen, wie Gesetzgeber und Gerichte mit den Versuchungen umgehen, in Krisenlagen die Schranken schrittweise zu verschieben.
Rechtsanwalt Jens Ferner ist Lehrbeauftragter für Wirtschaftsstrafrecht und IT-Compliance (FH Aachen), Softwareentwickler, fortgebildet in Kommunikationspsychologie und publiziert fortlaufend.
Erreichbarkeit: Erstkontakt per Mail oder Rückruf.
Unsere Anwaltskanzlei im Raum Aachen ist hochspezialisiert auf Strafverteidigung, Cybercrime, Wirtschaftsstrafrecht samt Steuerstrafrecht. Zudem sind wir für Unternehmen im Softwarerecht und Cybersicherheitsrecht beratend tätig.
- KI-Agenten als Innentäter: Wie OpenClaw & Co. zum Haftungs- & Sicherheitsrisiko werden - 14. März 2026
- Retrograde Telegram-Überwachung als Quellen-TKÜ - 13. März 2026
- Cyber Resilience Act als Ende der analogen Fabrik - 11. März 2026
