Es ist eine nüchterne Pressemitteilung, die das Haus von Stefan Brink heute morgen verschickt hat, aber ihr Inhalt wird wohl international registriert werden. Denn der baden-württembergische Datenschutzbeauftragte legt sich kurz vor Ende seiner Amtszeit noch mit einem Unternehmen an, das vor einigen Jahren durch Berichterstattung auf netzpolitik.org auf einen Schlag weltbekannt wurde: die Gesichtersuchmaschine PimEyes.
Das Unternehmen scannt massenhaft Fotos von Gesichtern im Netz und erfasst deren biometrische Eigenheiten, etwa den Abstand der Augen. Lädt man ein Foto hoch, liefert PimEyes für zahlende Kund:innen dann Links zu identischen Gesichtern. Für einige markiert PimEyes damit das Ende der Anonymität im öffentlichen Raum.
Heute morgen gab Brinks Behörde nun bekannt, dass sie ein Bußgeldverfahren gegen PimEyes einleiten wird. Es geht um einen Verstoß gegen die europäischen Datenschutzregeln (DSGVO), diese verbieten es, biometrische Daten zur Identifizierung von Personen zu verwenden. Genau das aber tut PimEyes laut Brink. Die Suchmaschine des Unternehmens ist noch dazu fast weltweit für alle Nutzer:innen verfügbar – im Gegensatz zu vergleichbaren Werkzeugen, die Sicherheitsbehörden vorbehalten sind. Weil immer noch unklar sei, wie PimEyes überhaupt mit den gesammelten Daten umgeht, ist die Aufsichtsbehörde aus dem Ländle nun aktiv geworden.
Aus Baden-Württemberg für die ganze Welt
Formal ist Brink für den Schutz der Daten einer recht kleinen Gruppe Menschen zuständig: der Einwohner:innen Baden-Württembergs. Doch er kann sich rechtlich eine Schwäche von PimEyes zunutze machen: Die Programme, mit denen PimEyes automatisch das Netz nach Gesichtern durchsucht, können nicht unterscheiden, aus welchem Land oder gar Bundesland eine Person stammt. Sie sammeln unterschiedslos alle Gesichter, die sie im Netz auf öffentlichen Seiten finden: auf Blogs, Sozialen Medien oder in Online-Foren. Das wurde auch schon dem Konkurrenten Clearview zum Verhängnis, der in mehreren EU-Ländern bereits mit Bußgeldern in Millionenhöhe belegt wurde.
Und alle, das heißt eben: Möglicherweise sind auch Menschen aus Baden-Württemberg betroffen. Auch diese seien in ihren Rechten gefährdet, sagt Brink, wenn ohne ihr Wissen Bilder von ihnen im Netz abgeglichen werden und so ihre Identität festgestellt werden kann – womit Brink dann in Aktion treten darf. „Das Vorgehen des Unternehmens wirft aus Sicht der Datenschutz-Grundverordnung erhebliche Fragen auf“, sagt Brink. „Die wollen wir jetzt im Interesse der Bürger_innen klären.“
So ist es nun nicht etwa eine der nationalen Datenschutzbehörden aus Frankreich, Italien oder Polen, die das weltweit erste solche Verfahren gegen PimEyes einleitet, sondern die kleine Behörde aus Süddeutschland.
Verfahren läuft seit anderthalb Jahren
Brinks Behörde hatte bereits von anderthalb Jahren ein Verfahren gegen PimEyes eröffnet, nachdem Berichte unter anderem von netzpolitik.org öffentlich gemacht haben, dass PimEyes massenweise biometrische Daten im Netz sammelt und speichert. Das Unternehmen, das ursprünglich in Polen gegründet wurde und seinen Sitz derzeit in Belize angibt, reagierte auf einen Fragenkatalog der Behörde zunächst nicht.
Anfang des Jahres wurde dann bekannt, dass PimEyes einen neuen Besitzer hat, einen 34-jährigen Sicherheitsforscher aus Georgien namens Giorgi Gobronidze. In einem Interview mit der New York Times sagte Gobronidze damals, er habe bislang nichts von der deutschen Behörde gehört, aber sei gerne bereit, all ihre Fragen zu beantworten. Brinks Behörde sagte uns zugleich, sie erreiche PimEyes nicht. „Sollte unser Schreiben vom vergangenen Jahr beim Unternehmen nicht angekommen sein, übersenden wir Herrn Gobronidze sehr gerne erneut unsere Fragen und Hinweise.“ Unter anderem wollte sich Brink das Geschäftsmodell von PimEyes erklären lassen und dabei auch wissen, wie von Seiten des Anbieters naheliegender Missbrauch verhindert wird.
Stellungnahme lässt Fragen offen
Zwischenzeitlich ist das offenbar gelungen. Am 1. November sei eine Stellungnahme von PimEyes eingegangen, schreibt Brinks Behörde. Doch zufrieden war man in Baden-Württemberg mit den Antworten nicht. PimEyes behaupte darin, lediglich öffentlich verfügbare Bilder zu verarbeiten, schreibt die Behörde, und dass es diese selbst nicht einzelnen Personen zuordnen könne. Daher handele es sich gar nicht um eine Verarbeitung personenbezogener Daten. Außerdem sieht sich PimEyes im Recht, weil es die Daten „im Rahmen einer öffentlichen Aufgabe beziehungsweise zum Schutze lebenswichtiger Interessen der betroffenen Personen“ verarbeite.
Beiden Aussagen widerspricht die Behörde: Jedes Foto, auf dem eine Person abgebildet ist, sei ein personenbezogenes Datum. Werden zudem biometrische Daten zur Identifikation verwendet, sei das eindeutig verboten. Es sei denn es liegt eine ausdrückliche Einwilligung der Person vor – die PimEyes nicht einholt, wenn es massenweise Fotos im Netz einsammelt. Und ein öffentliches Interesse oder den Schutz von Personen? Das könnte PimEyes nur gültig machen, wenn es von einer öffentlichen Stelle dazu beauftragt würde – was ebenfalls nicht der Fall ist.
PimEyes bemüht sich derzeit um eine Re-Branding: weg vom Image als Werkzeug für Stalker hin zu zu einem Hilfsmittel, mit dem vulnerable Menschen sich selbst vor Stalkern oder einer unerwünschten Verbreitung ihrer Bilder schützen können. Als neue Zielgruppen für seinen bezahlten Service nannte Gobronidze im Interview mit netzpolitik.org unter anderem Frauen, queere Personen oder Sexarbeiter:innen.
Doch bei Brink verfangen diese Argumente nicht. „Wir müssen darauf achten, dass auch im digitalen Zeitalter der massenhaften Bildverarbeitung persönliche Fotos nicht ihren Schutz verlieren“, sagt er. „Wer immer versucht uns einzureden, dass der Verlust der Anonymität notwendige Folge der Digitalisierung sei, will letztlich nur seine wirtschaftlichen Interessen über den Schutz unserer personenbezogenen Daten stellen.“ Jede Teilnahme an Demos, jeder Besuch eines Gotteshauses oder schlicht der Supermarkteinkauf mit Wein und Gemüse könnte im Zweifel von Dritten fotografiert und im Internet abgeglichen werden. „Die Konsequenzen, die sich daraus ergeben, sind gefährlich für unsere Demokratie. Es ist Zeit, hier für Klarheit zu sorgen.“ Daher eröffne seine Behörde nun das exemplarische Bußgeldverfahren.
Strafe möglich, Ausgang unklar
Brinks Ankündigung dürfte jetzt erst mal für Aufsehen sorgen. Theoretisch könnte er PimEyes mit einem Bußgeld von bis zu 20 Millionen Euro belegen. Doch dass ein Verfahren eingeleitet wurde, heißt noch lange nicht, dass PimEyes am Ende auch ein Bußgeld auferlegt bekommt – oder es gar zahlen wird. Die Erfahrung mit vergleichbaren Fällen zeigt, dass es ausgesprochen schwierig ist, Strafen und Anordnungen für Datenschutzverstöße durchzusetzen, wenn Unternehmen ihren Sitz außerhalb der EU haben. PimEyes ist derzeit laut seiner Datenschutzerklärung im Karibikstaat Belize registriert.
Das ist auch Brinks Behörde klar. „Grundsätzlich ist ein Verfahren gegen eine verantwortliche Stelle außerhalb der EU schwieriger zu führen als innerhalb der EU“, schreibt ein Sprecher. „Wichtig ist für uns zunächst, das Verfahren zu führen. Das Ergebnis des Verfahrens ist für uns derzeit zweitrangig.“ Auf die Frage, ob es auch um die Symbolik geht, sagt er: „Unsere Bußgeldverfahren haben immer auch exemplarischen Charakter, hier geht um die datenschutzrechtliche Beurteilung der anlasslosen Gesichtserkennung.“
Das Unternehmen hat nun vier Wochen Zeit, um zu reagieren und für Aufklärung zu sorgen. Danach entscheidet Brinks Behörde, ob und welche Rechte verletzt wurden und verhängt womöglich ein Bußgeld.
Das Problem ist halt immer das gleiche: Millionenstrafen sind voellig egal, wenn ohnehin Millionen an VC in der Hoffnung auf „Marktdominanz“ verbrannt werden koennen. Illegalitaet als Geschaeftsmodell ist voellig normal und akzeptiert, solange es keine etablierten Privilegien angreift.
Die deutsche Autoindustrie agiert uebrigens nicht grundsaetzlich anders, wenn es um die Einhaltung von Vorschriften geht.
Ja, Brinks Ankündigung dürfte jetzt erst mal für Aufsehen sorgen. Aber das war es dann auch wahrscheinlich wieder. Denn das läuft nach meiner Wahrnehmung doch immer so. Die Landesdatenschutzbeauftragten machen medienwirksam große Worte und belassen es dann doch in den allermeisten Fällen bei einer lauwarmen „Ermahnung“. Gesetze, die nicht durchgesetzt werden, werden aber nicht befolgt.
Ich sehe die öffentlichen Datenschutzbeauftragten mittlerweile eher als Teil des Problems. Was die da veranstalten, ist doch meist nur bedeutungsloses (soll heißen: folgenloses) Theater.