Datenschutzbeschwerde gegen Gesichtserkennung PimEyes
Die Bürgerrechtsorganisation Big Brother Watch hat in Großbritannien eine Datenschutzbeschwerde gegen die Gesichtserkennungssuchmaschine PimEyes eingereicht. Die Organisation warnt, der Dienst könne genutzt werden, um andere Menschen zu überwachen und zu belästigen.
PimEyes sammelt im Internet Gesichtsbilder, analysiert diese nach individuellen Merkmalen und speichert die biometrischen Daten. Die Suchmaschine ermöglicht es jedem, ein Foto hochzuladen und nach Treffern im Internet zu suchen. In der Beschwerde an die britische Datenschutzbehörde ICO argumentiert Big Brother Watch, PimEyes verarbeite wahrscheinlich unrechtmäßig biometrische Daten Millionen britischer Bürgerinnen und Bürger. Diese könnten ohne deren Wissen oder Zustimmung durchsucht werden. Das berge ernsthafte Risiken für die Rechte und Freiheiten der Betroffenen. Die Datenschutzbehörde solle die rechtswidrige Verarbeitung stoppen und die Löschung der gesammelten Daten anweisen.
PimEyes behauptet, die Suchmaschine sei dazu gedacht, dass Nutzerinnen und Nutzer nach eigenen Bildern im Internet suchen. Doch Big Brother Watch kritisiert, es gebe keine Sicherheitsvorkehrungen, um zu verhindern, dass nach Dritten gesucht wird.
Zahlenden Kunden zeigt die Suchmaschine übereinstimmende Fotos zusammen mit Fundstellen im Internet an. Big Brother Watch warnt, damit sei es möglich, etwa den Namen einer Person herauszufinden – oder Hinweise auf deren Arbeitsplatz und Wohnort.
Eingriff in die Privatsphäre
Im Rahmen eines kostenpflichtigen Abonnements benachrichtigt die Suchmaschine Nutzer auch automatisch, wenn eine gesuchte Person im Internet gefunden wird. Die britischen Bürgerrechtler befürchten, der Dienst könne so missbraucht werden, um Personen zu stalken und zu belästigen. Besonders beunruhigend sei, dass mit PimEyes die Identität von Personen ermittelt werden könne, von denen intime Fotos ungefragt veröffentlicht wurden. Auch Kinder könnten im Internet aufgespürt werden. PimEyes greife “stark in die Privatsphäre ein”.
Madeleine Stone, Rechtsreferentin bei Big Brother Watch, sagte: “PimEyes ermöglicht Eingriffe in die Privatsphäre und Stalking in einem bisher unvorstellbaren Ausmaß. Diese Gesichtserkennungssuchmaschine scannt gesetzwidrig Milliarden unserer Fotos ohne unser Wissen oder unsere Erlaubnis.” Der Dienst könne etwa von potenziellen Arbeitgebern, Gewalttätern oder Stalkern missbraucht werden.
Alex Lawrence-Archer von der Kanzlei AWO, die an der Beschwerde mitgearbeitet hat, kritisierte: “Das Tool birgt erhebliche Risiken, da es Menschen ermöglichen könnte, mit nur einem Gesichtsbild den Namen und die Adresse von völlig Fremden zu ermitteln.” Die Behauptung des Unternehmens, PimEyes diene der Suche nach dem eigenen Gesicht, ließe sich nicht belegen.
Das Angebot von PimEyes war im Sommer 2020 durch eine Recherche der Nachrichtenseite netzpolitik.org bekannt geworden. Damals hatte das Unternehmen seinen Firmensitz noch in Polen und das Angebot war komplett kostenlos.
An dem Dienst hatte es massive Kritik gegeben: So hatte die netzpolitische Sprecherin der Linken im Bundestag, Anke Domscheit-Berg, PimEyes etwa als “hochgefährlich” bewertet. Frauen, die sich anonym im öffentlichen Raum bewegen möchten, könnten leichter identifiziert und Belästigungen ausgesetzt werden, sagte Domscheit-Berg.
In der Folge zog das Unternehmen auf die Seychellen um. Inzwischen wurde PimEyes verkauft und auf der Internetseite ist eine Adresse im zentralamerikanischen Belize zu finden. Der neue Besitzer Giorgi Gobronidze unterhält nach Angaben der New York Times auch ein Büro in Georgien.
Recherchen zeigen Missbrauchspotenzial auf
Wie Gobronidze im September gegenüber netzpolitik.org sagte, umfasst die Gesichtserkennungsdatenbank inzwischen etwa 2,1 Milliarden Gesichter. Er behauptete auch, das Unternehmen überwache Suchanfragen bei PimEyes, um verdächtige Aktivitäten festzustellen.
Die Neue Zürcher Zeitung hatte jedoch erst im September gezeigt, dass sich mit PimEyes auch Teilnehmerinnen und Teilnehmer einer Demonstration identifizieren lassen. Einer Recherche von netzpolitik.org zufolge nutzen Männer die Suchmaschine zudem, um fremde Frauen aufzuspüren.
Europäische Datenschützer verhängen Strafen gegen ähnliche Datenbank
PimEyes weckt Erinnerungen an das umstrittene US-Unternehmen Clearview AI, das ebenfalls im Internet Fotos von Menschen sammelt und diese für eine biometrische Gesichtserkennungsdatenbank verwendet. Die britische Datenschutzbehörde hatte im Mai eine Strafe in Höhe von umgerechnet etwa 8,9 Millionen Euro gegen Clearview verhängt, weil das Unternehmen biometrische Daten verarbeitet hat, ohne Betroffene darüber zu informieren. Clearview habe auch keinen rechtmäßigen Grund gehabt, die Daten zu sammeln. Auch in anderen Ländern wurden ähnliche Strafen gegen Clearview verhängt, unter anderem in Frankreich und Italien.
Big Brother Watch argumentiert, PimEyes verstoße in ähnlicher Weise gegen das Datenschutzrecht. Während Clearview seine Dienste jedoch nur Strafverfolgungsbehörden anbiete, könne PimEyes von jedem genutzt werden.
In Deutschland hatte der Datenschutzbeauftragte von Baden-Württemberg, Stefan Brink, bereits im Mai 2021 ein Verfahren gegen PimEyes eröffnet. “Es droht nicht weniger als der Verlust der Anonymität”, hatte Brink gewarnt. Die europäische Datenschutzgrundverordnung (DSGVO) verbietet es, biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person ohne deren Einwilligung zu verarbeiten.
Brink hatte damals erklärt, das Vorgehen des Unternehmens werfe aus Sicht der Datenschutzgrundverordnung erhebliche Fragen auf. Er hatte das Unternehmen daher zu einer Stellungnahme aufgefordert. Wie die Behörde auf Anfrage von Posteo mitteilte, läuft das Verfahren aktuell noch. “Kürzlich” habe der Datenschutzbeauftragte eine Antwort erhalten, diese werde derzeit geprüft. (js)