Noch vor kurzer Zeit war das Unternehmen in Wrocław in Polen ansässig: PimEyes. Heute steht in der Datenschutzerklärung als verantwortliche Stelle eine „Face Recognition Solutions Ltd.“ mit Sitz auf Mahé, der Hauptinsel der Seychellen.
Unsere Recherchen hatten gezeigt, dass PimEyes massenhaft biometrische Gesichtsdaten aus dem Netz abgreift und dabei personenbezogene Merkmale wie Gesichtsform, Augenfarbe oder biometrische Parameter wie den Abstand von Mund zu Nase sammelt und analysiert, um damit Menschen zu identifizieren. Nach unseren Recherchen und eigenen Angaben würden täglich mehr als ein Terabyte Fotos biometrisch analysiert, was die unternehmenseigene Datenbank in nur zwei Jahren von einhundert Millionen auf neunhundert Millionen Gesichter im April 2020 anwachsen ließ. Mittlerweile müsste die Eine-Milliarde-Gesichter-Schwelle überschritten sein. Anfragen von netzpolitik.org nach der derzeitigen Anzahl der gespeicherten Gesichter ließ das Unternehmen unbeantwortet.
Jedes Gesicht, das im Netz öffentlich zu sehen ist, könnte von PimEyes potentiell gespeichert und biometrisch verwertet werden. Der baden-württembergische Landesdatenschutzbeauftragte Stefan Brink sah dafür keinerlei datenschutzkonforme Rechtsgrundlage und bemängelte die fehlende Einwilligung der betroffenen Personen. Er hatte dem Unternehmen daher einen Fragenkatalog gesendet. PimEyes wurde von ihm eine vierwöchige Frist zur Stellungnahme gegeben. Zu dem umfangreichen Fragenkatalog gab es von den Seychellen keine Reaktion, wie netzpolitik.org auf Nachfrage von Brinks Behörde bestätigt wurde.
Kein europäischer Sitz, keine Niederlassung
Brink hatte sich schon kurz nach der Veröffentlichung der PimEyes-Recherchen von netzpolitik.org im Juli 2020 dafür eingesetzt, die Datenschutz-Grundverordnung (DSGVO) konsequent anzuwenden, aber auch angemerkt, dass wir uns „auch als Gesellschaft gegen diese Entwicklung stemmen und dem Missbrauch unserer unveränderlichen biometrischen Merkmale entschieden entgegentreten“ sollten. Er forderte zugleich „eine Aussetzung des Einsatzes solcher Techniken – zumindest in Europa“.
Dafür kämpft aktuell auch ein Bündnis von Bürgerrechtsorganisationen, das eine Million Unterschriften in mindestens sieben Ländern der Europäischen Union sammeln will. Auch ihnen gilt die automatisierte Gesichtserkennung als besonders grundrechtsfeindlich und gefährlich. Wenn dieses Ziel der Initiative Reclaim your Face erreicht ist, müsste die EU-Kommission die Initiatoren anhören.
Aber ist PimEyes mit europäischem Recht überhaupt beizukommen? Die Firma hat seit mehreren Monaten keinen europäischen Sitz und auch keine Niederlassung mehr. Was diese Verlegung des Firmensitzes von PimEyes auf die Seychellen für die baden-württembergische Landesdatenschutzbehörde und ihre Zuständigkeit und ihre möglichen rechtlichen Schritte bedeutet, haben wir dort nachgefragt. Der Flucht ins außereuropäische Ausland folgt aus rechtlicher Sicht zunächst keine große Änderung:
Selbst wenn Verantwortliche nicht in der Union niedergelassen sind, ist die DS-GVO nach dem Marktortprinzip auch auf Verarbeitungen personenbezogener Daten anwendbar, die mit einem Dienstleistungs- oder Warenangebot an betroffene Personen in der EU im Zusammenhang stehen. […] Soweit eine Niederlassung in Europa nicht benannt ist, ergibt sich die Zuständigkeit des Landesbeauftragten für den Datenschutz und die Informationsfreiheit Baden-Württemberg aufgrund von Artikel 55 Absatz 1 DS-GVO in Verbindung mit § 40 BDSG. Gibt es keine Niederlassung in der EU, ist der LfDI Baden-Württemberg für Verarbeitungstätigkeiten zuständig, die auf hiesige betroffene Personen ausgerichtet sind, und insoweit seine ihm mit der DS-GVO übertragenen Befugnisse auszuüben.
Zwar kann der Landesdatenschutzbeauftragte auf dieser rechtlichen Grundlage auch „Auskünfte verlangen oder Anordnungen treffen“, wenn keine Niederlassung in Europa benannt ist, aber ob sie auch greifen, ist eine ganz andere Frage. Denn „der Vollzug dieser Maßnahmen“, etwa bei einem Bußgeld, ist von der „Kooperation des Sitzlandes“ abhängig. Und dass die Seychellen hier mitwirken, ist alles andere als sicher.
Weiterhin Millionen Betroffene
Ob das Angebot von PimEyes in Europa legal ist, bleibt also weiterhin umstritten. Die Bildersuchmaschine mit angegliederter Gesichtserkennung saugt nach allem, was bisher bekannt ist, weiterhin rund um die Uhr das Netz nach verfügbaren Fotos ab und durchforstet öffentliche Plattformen nach Gesichtern. Dass weiterhin ohne Einwilligung der Millionen Betroffenen in massenhafter Weise Profilbildungen und biometrische Vermessungen stattfinden, davon geht auch der Landesdatenschutzbeauftragte aus. Ob sich dadurch eine „Notwendigkeit einer eigenständigen technischen Prüfung von unserer Seite“ ergebe, richte sich aber nach dem weiteren Fortgang des Verfahrens.
Zunächst wird Brinks Behörde an „die Verpflichtung zur Abgabe einer Stellungnahme erinnern“. Der Landesbeauftragte verspricht gegenüber netzpolitik.org, an dem Fall der nach wie vor öffentlich nutzbaren Suchmaschine dranzubleiben.
Welche Quellen finanzieren PimEyes? Wie geben die [Un]Verantwortlichen von PimEyes ihr Geld aus? Wer bezahlt die Infrastruktur? Hat Interpol schon eine Red Notice herausgegeben?
Mich würde interessieren wie es mit den Milliarden Datensätzen aussieht, die man hier höchstwahrscheinlich ins Nicht-EU-Ausland verschoben hat. Das müssen nicht mal die Gesichtsbilder selbst sein, sondern könnte auch „nur“ eine Datenbank der daraus gewonnen Erkennungsmuster sein. Greift denn da die DSGVO nicht mehr?
Hier gilt wie auch bei Telegram: Pech gehabt. Solange eine internationale Regulierung ohne kleinsten gemeinsamen Nenner fehlt bleibt das Internet eben ein rechtsfreier Raum. Wenn sich suveräne Staaten nicht untereinander einigen können gilt eben gar nichts.