Bei PimEyes handelt es sich um eine polnische Gesichtserkennungssoftware, welche massenhaft Gesichter analysiert. So werden Gesichter nach individuellen Merkmalen (Gesichtsform, Augenfarbe, Abstand von Mund zu Nase etc.) gescannt und eine Identifizierung der Person möglich gemacht. Dabei speichert PimEyes die biometrischen Daten der Personen – nach Art 9 DSGVO ist jedoch die Verarbeitung biometrischer Daten grundsätzlich untersagt, sofern keine Ausnahmetatbestand vorliegt.
Die Bedenken werden laut
Bereits im Jahr 2020 geriet das Unternehmen in den Fokus der Öffentlichkeit, indem die Gesichtserkennung als Angriff auf die Anonymität gesehen wurde. So wurde insbesondere das Missbrauchspotential als höchst bedenklich angesehen, da die Software durch Stalker genutzt werden könnte, Personen, die im Bereich der Sexarbeit arbeiten, geoutet werden könnten, Rachepornos leichter auffindbar seien, sowie Teilnehmende einer Demonstration nachträglich identifiziert werden könnten. Jeder Mensch könnte damit im öffentlichen Raum jederzeit identifizierbar gemacht werden – und das einzig durch einen Schnappschuss und anschließenden Abgleich mit der Datenbank.
Damit stellt PimEyes ähnlich wie Clearview – wir berichteten – eine Gefahr dar. Jedoch handelt es sich hierbei im Gegensatz zu Clearview, welche nur Ermittlungsbehörden einsetzen können, um eine für jeden frei zugängliche Software. Diese kann kostenlos genutzt werden und bei Abschluss eines Premium-Abos werden auch Links zu den Fundstellen zur Verfügung gestellt. In der Vergangenheit wurden auch Ergebnisse von Social-Media-Seiten angezeigt – jedoch wurde das Unternehmen durch Social-Media-Plattformen wie Facebook, YouTube und TikTok mittlerweile abgemahnt. Das Unternehmen scrape nach eigenen Aussagen keine Fotos von Social-Media-Seiten.
Verfahrenseröffnung und Flucht ins Ausland
Auch der ehemalige Landesbeauftragte für Datenschutz und Informationssicherheit Baden-Württemberg Dr. Stefan Brink (seit dem 01.01.2023 übernimmt Dr. Jan Wacke kommissarisch die Aufgaben als LfDI) sieht das Programm als drohenden Verlust der Anonymität und eröffnete ein Verfahren gegen das Unternehmen.
Trotz des Wechsels des ursprünglich in Polen ansässigen Unternehmens als „Face Recognition Solutions Ltd.“ auf die Seychellen forderte der ehemalige Landesbeauftragte im Mai 2021 das Unternehmen mittels eines umfangreichen Fragenkatalogs zur Stellungnahme auf. Insbesondere sollte geklärt werden, auf welcher Rechtsgrundlage die Daten gespeichert und verarbeitet werden und welche technisch-organisatorischen Maßnahmen für die Sicherheit der Daten bestehen. Aufgrund der Tatsache, dass personenbezogene Daten von europäischen Nutzenden verarbeitet werden, ist von einer Anwendbarkeit der DSGVO auszugehen. Der Landesbeauftragte war schon damals der Meinung, dass ohne Einwilligung der betroffenen Person keine Profilbildung stattfinden dürfe.
Inhaberwechsel und erste Antworten
Nach langem Schweigen des Unternehmens erfolgte 2022 ein Inhaberwechsel von PimEyes und der Unternehmenssitz wurde laut Datenschutzerklärung nach Belize verlegt. Der neue Inhaber brach das Schweigen des Unternehmens und hat öffentlich Stellung bezogen. Durch eine neue Richtlinie für soziale Verantwortung, welche sich für ein freies Internet, freien Zugang zu Technologien, ethische KI und Frauenrechte ausspricht, wird versucht das Image zu verbessern. Die Gesichtserkennung soll helfen, eigene Fotos im Netz zu finden und so den Datenschutz zu verbessern.
Der neue Inhaber war nun auch bereit, die Fragen des damaligen Landesbeauftragten zu beantworten und hat am 01. November 2022 eine Stellungnahme an diesen abgegeben. Hierbei vertritt die Firma den Standpunkt, dass nur öffentlich verfügbare Bilder verarbeitet werden und keine Zuordnung zu Personen erfolgt, weshalb kein Personenbezug gegeben sei. Selbst wenn man von einem Personenbezug ausgehe, sei es als „eine zulässige Verarbeitung im öffentlichen Interesse, im Rahmen einer öffentlichen Aufgabe bzw. zum Schutze lebenswichtiger Interessen der betroffenen Personen anzusehen“.
Weltweit erstes Bußgeldverfahren
Dem trat Dr. Brink energisch entgegen: Die Stellungnahme reicht aus seiner Sicht keineswegs aus. Er ist nach wie vor von der fehlenden Datenschutzkonformität und erheblichen Mängeln im Bereich der technisch-organisatorischen Maßnahmen überzeugt, weshalb dieser laut Pressemitteilung vom 21. Dezember 2022 nun ein Bußgeldverfahren gegen PimEyes eröffnet hat.
Selbstverständlich handelt es sich bei Fotos von Personen um personenbezogene Daten; bei den biometrischen Daten sogar um besondere Kategorien von personenbezogenen Daten nach Art. 9 DSGVO. Diese dürfen nur mit ausdrücklicher Einwilligung der Betroffenen nach Artikel 9 Absatz 2 Buchstabe a DSGVO verarbeitet werden, da ansonsten in der vorliegenden Konstellation keine Ausnahme des Artikel 9 DSGVO in Frage kommt.
Auch handelt das Unternehmen nicht im öffentlichen Interesse, da hierfür die ausdrückliche Ermächtigung einer öffentlichen Stelle notwendig ist.
Kritisiert wird zudem, dass für die Betroffenen lediglich ein Opt-Out möglich ist, wenn diese ein Portraitfoto von sich hochladen und ihre Identität durch Vorlage eines Ausweises nachweisen.
Darüber hinaus genügt es nicht, dass Missbrauch durch Dritte allein dadurch verhindert werden soll, dass in den Nutzungsbedingungen ein solcher Missbrauch untersagt wurde.
Konsequenzen für PimEyes?
Das Unternehmen läuft nun Gefahr, ein Bußgeld von bis zu 20 Millionen Euro bezahlen zu müssen. Noch ist jedoch unklar, ob PimEyes ein solches Bußgeld auferlegt wird – derzeit ist lediglich das Verfahren eröffnet worden. Eine Vollstreckung in Belize dürfte sich ebenfalls als schwierig gestalten. PimEyes hat insgesamt vier Wochen Zeit zu reagieren – wir sind gespannt, wie das Verfahren weitergehen wird.