GesichtserkennungDatenschutz-Verfahren gegen PimEyes und Clearview

PimEyes und Clearview AI sind Unternehmen, die ungefragt Millionen von Gesichtsbilder aus dem Internet speichern, auswerten und katalogisieren, um daraus Überwachungssysteme zu bauen. Datenschützer gehen nun gegen die Firmen vor.

Gesicht
Jedes Gesicht, das im Internet zu sehen ist, könnte von Firmen wie PimEyes oder Clearview gespeichert und ausgewertet werden. – Gemeinfrei-ähnlich freigegeben durch unsplash.com Alexander Krivitskiy

Der baden-württembergische Landesdatenschutzbeauftragte Stefan Brink geht gegen die mittlerweile auf den Seychellen ansässige Gesichtserkennungsfirma PimEyes vor. Recherchen von netzpolitik.org hatten im vergangenen Jahr aufgedeckt, dass die damalige polnische Gesichtssuchmaschine PimEyes mindestens hunderte Millionen Gesichter gespeichert hat und jede Person, von der es ein Bild im Internet gibt, betroffen sein könnte.

Die Recherche hatte damals parteiübergreifend und international für einen Aufschrei gesorgt. Offenbar in Folge der Aufmerksamkeit, dem darauf folgenden Interesse polnischer Aufsichtsbehörden und den offensichtlichen Verstößen gegen die Datenschutzgrundverordnung, zog sich PimEyes aus dem EU-Land auf die Seychellen zurück.

Keine Profilbildung ohne Einwilligung

Die baden-württembergische Behörde hat nun PimEyes aufgefordert, Stellung zu den durch das Unternehmen verarbeiteten Daten zu beziehen. Dafür hat der Landesbeauftragte dem Unternehmen einen umfangreichen Fragenkatalog geschickt, der innerhalb von vier Wochen zu beantworten ist.

Brink erklärt, warum ausgerechnet ein Landesdatenschutzbeauftragter gegen ein Unternehmen auf den Seychellen vorgeht: „Auch Bürger_innen in Baden-Württemberg sind in ihren Rechten massiv gefährdet, wenn ohne ihre Kenntnis Profile über sie gebildet und für Dritte zugänglich werden.“

Ohne Einwilligung der betroffenen Person dürfe keine Profilbildung stattfinden. Besonders heikel werde es, wenn massenhaft biometrische Daten gesammelt würden. Jede politische, religiöse, sexuelle oder andere private Angelegenheit kann so mit der jeweiligen Person direkt verknüpft werden, so der Datenschutzbeauftragte weiter.

Seine Zuständigkeit begründet Brink mit der Datenschutzgrundverordnung und damit, dass das Unternehmen keinen europäischen Sitz habe. Wieviel ein deutscher Landesdatenschützer gegen ein Unternehmen auf den Seychellen ausrichten kann, wird sich zeigen. 

Beschwerden gegen Clearview AI

Auch dem amerikanischen Biometrieunternehmen Clearview AI, das Milliarden Fotos im Netz gesammelt und ausgewertet hat, steht Ärger ins Haus. Eine Bündnis von Bürgerrechtsorganisationen hat bei europäischen Datenschutzbehörden in Frankreich, Österreich, Italien, Griechenland und dem Vereinigten Königreich Beschwerden eingereicht.

„Technologien zur Gesichtserkennung bedrohen unser Online- und Offline-Leben. Indem sie heimlich unsere biometrischen Daten sammeln, ermöglichen diese Technologien eine ständige Überwachung“, sagt Fabio Pietrosanti, Präsident des an der Initiative beteiligten Hermes Center.

Clearview hat nach eigenen Angaben mehr als drei Milliarden Gesichter in der Datenbank gespeichert und hat seine Dienste staatlichen Behörden und privaten Unternehmen angeboten. 

Die Bürgerrechtsorganisationen erwarten sich von ihrer Beschwerde, dass die europäischen Datenschutzbehörden ein Verbot solcher Praktiken durchsetzen werden.

In Deutschland läuft schon ein Verfahren gegen Clearview AI. Das Unternehmen zeigt sich dabei wenig kooperativ.

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

4 Ergänzungen

  1. Es ist klar, dass die DSGVO mit ihrem globalen Gültigkeitsanspruch ein Papiertiger ist. Firmen mit Sitz außerhalb der EU-Jurisdiktion können die DSGVO-Regelungen in vielen Fällen egal sein. Die DSGVO wirkt so vor allem als Aufforderung an datengetriebene Unternehmen, ihren Sitz doch bitte nicht in der EU zu nehmen.

    Die Folge ist natürlich ebenso klar: Die für 2025 geplante EU-Firewall wird definitiv (irgendwann) kommen. Missliebige Dienste wird man dann in EU-Europa nicht mehr nutzen können.

    1. Man sollte die illegale gewerbliche Verarbeitung (höchst)persönlicher Daten dann vielleicht mal strafrechtlich zum Verbrechen hochstufen! Mal schaun wer dann noch für die arbeiten will bzw. welches Unternehmen noch mit denen kooperieren würde.

  2. Das Unternehmen mag auf den Seychellen ansässig sein. Manches spricht dafür, dass PimEyes noch immer eine Niederlassung in Polen hat. Es wäre spannend zu wissen, was sich in Polen und Hamburg seit August 2020 getan hat.

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.