Im ebenso bekannten wie brutalen Kindermärchen „Rumpelstilzchen“ der Brüder Grimm muss eine Königin den Namen eines „Männleins“ mit magischen Kräften erraten. Über mehrere Tage hinweg versucht sie es mit allen Namen, die sie jemals gehört hatte, aber vergeblich.

Erst am dritten Tag berichtet ein von ihr entsandter Bote von einem Wesen, das bei seinem Tanz ums Feuer sang: „Ach, wie gut, dass niemand weiß, dass ich Rumpelstilzchen heiß“. Nur durch diese Zufallsbegegnung gelingt es der Königin, das Männlein beim Namen zu nennen und damit zu bezwingen.

Mit einer Gesichter-Suchmaschine wie PimEyes hätte die Königin nicht drei Tage gebraucht, und sie hätte auch keinen Boten entsenden müssen. Genügt hätte ihr ein Schnappschuss per Smartphone und ein wenig Glück bei der Online-Suche. Dann hätte das identifizierte Rumpelstilzchen schon nach einer simplen Suchanfrage schreien müssen: „Das hat dir der Teufel gesagt!“ und sich vor Wut entzweigerissen.

Welle der Empörung

Über die Macht von öffentlich zugänglichen Gesichter-Suchmaschinen berichteten wir erstmals im Jahr 2020 und lösten damit eine Welle der Empörung aus. Sie dienen Stalker*innen als ideales Werkzeug und gefährden die Anonymität im öffentlichen Raum. Zwei Jahre später zeigten unsere Recherchen, dass so eine Suchmaschine nicht nur für Märchen-Königinnen nützlich sein kann, sondern auch für Männer, die fremden Frauen nachstellen.

Alarmierte Reaktionen auf unsere PimEyes-Recherchen kamen aus dem Bundestag, von den Polizeigewerkschaften GdP und DPolG sowie von Europa-Abgeordneten der SPD und CDU. Fachleute stellten die Legalität solcher Gesichter-Suchmaschinen infrage, besonders mit Blick auf Datenschutzgrundverordnung (DSGVO). Deshalb leitete auch die Datenschutzbehörde Baden-Württemberg ein Verfahren gegen PimEyes ein.

Fünf Jahre nach unseren ersten Berichten sind die rechtlichen Hürden noch höher geworden. Die neue KI-Verordnung der EU (AI Act) enthält eine Regelung, die sich als Reaktion auf Gesichter-Suchmaschinen wie PimEyes werten lässt. Zu den „verbotenen Praktiken“ in der EU zählen demnach KI-Systeme, „die Datenbanken zur Gesichtserkennung durch das ungezielte Auslesen von Gesichtsbildern aus dem Internet oder von Überwachungsaufnahmen erstellen oder erweitern“.

Wer gegen diese Verbote aus der KI-Verordnung verstößt, muss mit Geldstrafen bis zu 35 Millionen Euro oder bis zu 7 Prozent des weltweiten Jahresumsatzes rechnen.

Branche breitet sich ungehindert aus

Zumindest auf dem Papier ist die Luft für Gesichter-Suchmaschinen also ziemlich dünn. Neue Recherchen von netzpolitik.org zeigen allerdings, wie die Branche wächst. Zu PimEyes sind mindestens drei Konkurrenten hinzugekommen: „ProFaceFinder“, „TrustPics“ und „FaceCheck.ID“.

Ihre kostenpflichtigen Dienste bieten die Unternehmen offen im Netz an. Eine abschreckende Wirkung durch EU-Gesetze lässt sich nicht erkennen. Einige Anbieter haben sogar Verbindungen zu EU-Mitgliedstaaten, wie aus unseren Recherchen hervorgeht.

AlgorithmWatch-Geschäftsführer Matthias Spielkamp spricht von einer „Katastrophe für Demokratie und Rechtsstaat“. Europa-Abgeordnete von CDU, Grünen und FDP fordern ein entschlossenes Eingreifen der Aufsichtsbehörden. Doch die treten seit Jahren auf der Stelle.

So funktioniert die Gesichtersuche

Eine typische Gesichter-Suchmaschine funktioniert grundsätzlich so: Automatisch durchforsten die Betreiber*innen das Netz nach Fotos. Sie erfassen dabei die einzigartigen Merkmale von Gesichtern, etwa die Abstände von Augen, Nase und Kinn. Das Ergebnis speichern sie in Form einer mathematischen Repräsentation, zum Beispiel als Hash oder Vektor. So entsteht eine riesige Bibliothek. Ob und wie die einzelnen Anbieter, die wir in diesem Artikel vorstellen, davon abweichen, können wir nicht beurteilen.

Laden Nutzer*innen in der Suchmaschine ein neues Foto hoch, werden dessen Merkmale erfasst und mit der Bibliothek abgeglichen. Sie erhalten daraufhin eine Liste mit identischen oder ähnlichen Gesichtern – inklusive Link zum Fundort im Netz. Die verlinkten Websites können Aufschluss darüber geben, wer die gesuchte Person ist, auch wenn die Suchmaschine nicht direkt einen Namen ausspuckt.

Ob auf einer Demo, im Wartezimmer oder im Nachtbus: Wer die Aufnahme eines Gesichts ergattert, kann die Suchmaschine damit füttern. So lassen sich anhand der Suchergebnisse oftmals Unbekannte identifizieren. Es genügt, wenn die gesuchte Person auf einem online veröffentlichten Foto mit Namensbezug auftaucht, selbst wenn es nur klein und im Hintergrund ist. Ob Jahrzehnte alte Fotos von einer Vereinsfeier oder eine von der Lokalzeitung fotografierte Kundgebung: Das und mehr können Gesichter-Suchmachinen zutage fördern.

Ins Visier geraten können alle. Besonders gefährdet sind vulnerable Gruppen wie beispielsweise Frauen, queere Menschen, Aktivist*innen und Dissident*innen.

ProFaceFinder: Server in Belgien

Der erste von insgesamt drei PimEyes-Konkurrenten, den wir hier näher beleuchten, trägt den Namen ProFaceFinder. Ein Interesse am deutschsprachigen Markt scheint das Unternehmen zu haben. Wiederholt erhielt Redaktion E-Mails einer Marketing-Person, die uns zur Berichterstattung über ProFaceFinder als PimEyes-Alternative ermuntern wollte. Dabei hob sie hervor, dass die Suchmaschine anhand von Gesichtern sogar Social-Media-Profile aufspüren könne.

Auf der englischsprachigen Startseite heißt es, das Werkzeug nutze „fortschrittliche künstliche Intelligenz, um Gesichtsmerkmale präzise zu erkennen“. Es sei „perfekt für die Suche nach Menschen auf Dating-Websites, sozialen Medien oder in Strafregistern“. Auf Englisch heißt es:

Durchsuchen Sie Milliarden von Gesichtern im Internet und finden Sie die Person, die Sie suchen, in Sekunden!

Bis vor kurzem wurde in der Datenschutz-Richtlinie noch ein Inhaber und Datenverantwortlicher benannt. Dessen Name verschwand allerdings von dieser Seite, nachdem wir uns mit Fragen an das Unternehmen gewandt hatten.

Wir wollten mehr darüber erfahren, wo das Unternehmen seinen Sitz hat, wie viele Menschen dort arbeiten und wie es sich an DSGVO und KI-Verordnung halten will. Deshalb haben wir dem Unternehmen eine E-Mail geschickt. Zumindest die erste Antwort wurde mit „GS“ unterzeichnet.

Laut „GS“ umfasse die Datenbank von ProFaceFinder „Hunderte Millionen Bilder, die aus öffentlich zugänglichen Online-Quellen indexiert wurden“. Das Unternehmen verwende „fortschrittliche Hashing- und Face-Clustering-Techniken, um Duplikate zu erkennen und eindeutige Gesichter zu identifizieren.“ Die Bilder stammen demnach aus „Blogs, Foren, Nachrichtenseiten und öffentlich zugänglichen Profilen“.

Die Firma sei im Jahr 2023 in den USA gegründet worden und beschäftige weniger als zehn Angestellte. Monatlich habe die Seite geschätzt mehr als 80.000 Besucher*innen sowie eine „kleine, aber wachsende Anzahl Abonnent*innen“.

„GS“ zufolge sei es verboten, mit der Gesichtersuche Menschen zu stalken, zu überwachen, zu diskriminieren oder zu de-anonymisieren. Um Missbrauch zu verhindern, würden Suchanfragen auch händisch überprüft. Nach dem Einsatzzweck der Suchmaschine gefragt, schreibt er, die Nutzer*innen würden mit ProFaceFinder unter anderem kontrollieren, ob Online-Kontakte ihr wahres Gesicht zeigten („Catfishing“) sowie „Identitäten prüfen“, etwa zur „persönlichen Sicherheit“ oder für „berufliche Zwecke“.

Hier wird ein Widerspruch erkennbar: Wie sollen Nutzer*innen die Identität einer Person prüfen, wenn es ihnen nicht erlaubt ist, Menschen mit der Suchmaschine zu de-anonymisieren? Entweder finden sie einen Namen oder nicht.

Mit Blick auf DSGVO und KI-Verordnung schreibt „GS“, dass das Unternehmen derzeit rechtliche Beratung in Anspruch nehme, um die Einhaltung zu prüfen. Zudem betreibe es „einige operative Infrastrukturen in Belgien“. Weiter schreibt „GS“:

Wir verarbeiten keine biometrischen Daten im Sinne der DSGVO; es sei denn, die Nutzer laden ausdrücklich ein Bild zum Abgleich hoch. Wir erstellen keine dauerhaften Identitätsprofile und versuchen auch nicht, einzelne Personen zu identifizieren. […] Wir sammeln nicht wahllos Gesichtsdaten oder verstoßen gegen die KI-Verordnung – wir konzentrieren uns auf verantwortungsvoll gesammelte und eindeutig öffentliche Inhalte.

Die DSGVO definiert „biometrische Daten“ hingegen als:

mit speziellen technischen Verfahren gewonnene personenbezogene Daten zu den physischen, physiologischen oder verhaltenstypischen Merkmalen einer natürlichen Person, die die eindeutige Identifizierung dieser natürlichen Person ermöglichen oder bestätigen, wie Gesichtsbilder […].

Was „GS“ in seiner E-Mail-Antwort nicht offenlegt, ist der Name des Unternehmens hinter „ProFaceFinder“ sowie der US-Bundesstaat, in dem das Unternehmen registriert ist. Wir haken mehrfach vergeblich nach.

„Wir ziehen es derzeit vor, die Marke ‚ProFaceFinder‘ nicht mit unserem internen Unternehmensnamen zu verknüpfen“, erklärt „GS“. Damit wollte er „Team und Infrastruktur vor potenziellem Missbrauch oder Belästigung“ schützen. Vertrauen und Transparenz nehme man dennoch „ernst“, gerade mit Blick auf DSGVO und KI-Verordnung. „Ich hoffe, das ergibt Sinn“, schreibt der mutmaßliche Chef einer Firma, die nicht einmal ihren Namen verraten will.

TrustPics: Mutterfirma auch in EU aktiv

Der zweite von drei PimEyes-Konkurrenten hat das Wort „Vertrauen“ gleich in den eigenen Namen gepackt: „TrustPics“. Auf der Startseite erklärt das Unternehmen, Gesichter anhand eines Hashing-Verfahrens wiederzuerkennen.

Betreiber laut Website ist die US-amerikanische Outlimit Inc., die gleich hinter mehreren Online-Diensten steckt. Darunter sind zwei Apps, mit denen man Handys aus der Ferne überwachen kann. Vermarktet werden sie als Werkzeuge für Eltern, die kontrollieren wollen, wo sich ihre Kinder aufhalten. Auch eine Suchmaschine für Background-Checks zu Personen gehört zum Portfolio. Laut Website soll sie öffentlich zugängliche Informationen anhäufen, etwa aus Telefonbüchern und sozialen Netzwerken.

Über mehrere Wochen haben wir immer wieder E-Mails verschickt, um zu erfahren, wie „TrustPics“ zur Einhaltung von DSGVO und KI-Verordnung steht. Wir haben hierfür sowohl TrustPics selbst kontaktiert als auch andere Dienste aus dem Portfolio der Outlimit Inc. – doch unsere Fragen blieben unbeantwortet.

Mindestens ein Dienst der Outlimit Inc. ist wohl auch in der EU aktiv. Im Impressum der Kinder-Überwachungs-App „Kidgy“ steht der Name eines Unternehmens in Prag. Auch im tschechischen Handelsregister ist es zu finden. Geschäftsführer ist demnach ein Mann aus Bulgarien.

Gerne hätten wir von ihm mehr über die Outlimits Inc. erfahren. In unseren E-Mails an Kidgy und die anderen Dienste haben wir uns ausdrücklich nach ihm erkundigt. Keine Antwort.

FaceCheck.ID: Einsatz durch Polizei in Neuseeland

Der dritte und letzte PimEyes-Konkurrent dieser Recherche heißt „FaceCheck.ID“ und soll Medienberichten zufolge bereits von der Polizei in Neuseeland eingesetzt worden sein.

Auf der Startseite prangt das Zitat eines „anonymen Benutzers“, der die Gesichtersuche „erschreckend gut“ finden soll. In einem „Hinweis“ ganz unten auf der Startseite heißt es: „FaceCheck ist eine Suchmaschine zur Gesichtserkennung“.

Außerdem finden sich dort mehrere Sätze, die offenbar der rechtlichen Absicherung dienen sollen, etwa:

„Nur für Bildungszwecke.“

„FaceCheck speichert keine sensiblen oder persönlich identifizierbaren Daten.“

„Die KI von FaceCheck ist so trainiert, dass sie keine Kindergesichter indiziert.“

Besonders wirksam scheint das erwähnte KI-Training in Bezug auf Kindergesichter nicht gewesen zu sein. Die Suchmaschine ermöglicht es, mühelos nach Gesichtern von Kindern zu suchen und fördert dabei Dutzende Ergebnisse zutage.

Die Betreiberfirma sitzt laut Website in Belize. In einer Pressemitteilung der Suchmaschine Ende 2024 wurde allerdings ein Sitz im US-Bundesstaat Hawaii genannt sowie der Name eines „Präsidenten von FaceCheck.ID“.

Kontaktieren konnten wir das Unternehmen allerdings nicht. Wir schickten E-Mails an die bei FaceCheckID hinterlegte Adresse sowie über das Kontaktformular des PR-Portals. Die Nachrichten ließen sich nicht zustellen.

PimEyes will keine Gesichter-Suchmaschine sein

Im Gegensatz zur Konkurrenz gibt sich PimEyes alles andere als verschlossen. Betrieben wird die Suchmaschine von der Carribex LTD aus Belize. Firmenchef Giorgi Gobronidze aus Georgien erklärt auf Anfrage ausführlich, dass PimEyes seiner Auffassung nach häufig falsch dargestellt werde.

„PimEyes ist keine Gesichtserkennungsplattform“, will Gobronidze per E-Mail klarstellen. Die Startseite von PimEyes erweckt einen anderen Eindruck. Dort steht: „PimEyes nutzt Suchtechnologien zur Gesichtserkennung“, „Die Gesichtserkennungs-Website PimEyes ist eines der leistungsfähigsten Gesichtserkennungs-Tools der Welt“ und „Es ist Gesichtserkennung auf Steroiden“.

Weiter schreibt Gobronidze, mit der Suchmaschine würde „niemand“ eindeutig identifiziert, es würden lediglich Websites gefunden. Ein Fall aus der jüngsten Geschichte zeigt, wie Identifizierung konkret aussehen kann. Ende 2023 spürten Journalisten mit Hilfe von PimEyes das seit Jahren untergetauchte, ehemalige RAF-Mitglied Daniela Klette in Berlin auf. Die Suchmaschine fand ihr Gesicht auf den Fotos eines Capoeira-Vereins, den sie unter falscher Identität besucht hatte.

Gobronidze zufolge sei die Rolle biometrischer Merkmale bei PimEyes „null“. Auf der Startseite von PimEyes steht jedoch: „In den Suchergebnissen zeigen wir nicht nur ähnliche Fotos, […] sondern auch Bilder, auf denen Sie vor einem anderen Hintergrund, mit anderen Personen oder sogar mit einem anderen Haarschnitt zu sehen sind.“ Das heißt, für die Suchmaschine werden die besonderen Merkmale eines Gesichts mit Hilfe technischer Verfahren erkannt – was gemeinhin als Biometrie bezeichnet wird.

Mehrere Datenschutzbehörden hätten PimEyes untersucht, schreibt Gobronidze weiter. „Wir haben vollständig und transparent kooperiert.“ Verstöße seien keine festgestellt worden. „Das ist ein überprüfbares Ergebnis.“

Auf Nachfrage liefert der Landesdatenschutzbeauftragte Baden-Württemberg Kontext. Demnach habe die Behörde PimEyes noch nicht abschließend bewertet. Die Antworten des Unternehmens hätten Fragen offengelassen, weshalb die Behörde ein Bußgeldverfahren eingeleitet habe. Allerdings ruhe das Verfahren derzeit – dazu später mehr.

Die britische Datenschutzaufsicht ICO teilt mit, einen Fall zu PimEyes eröffnet zu haben. Man habe sich jedoch gegen ein formelles Verfahren entschieden und den Fall im März 2023 geschlossen. Zu den Gründen will sich die Behörde auf Anfrage von netzpolitik.org nicht äußern.

AlgorithmWatch: „Katastrophe für Demokratie und Rechtsstaat“

Fachleute lassen keine Zweifel daran, dass sie öffentliche Gesichter-Suchmaschinen für gefährlich halten. „Bereits jetzt ist die Tatsache, dass es diese Suchmaschinen gibt, eine der schlimmsten Entwicklungen der Digitalisierung und eine Katastrophe für Demokratie und Rechtsstaat“, warnt Matthias Spielkamp, Geschäftsführer der Organisation AlgorithmWatch. Solche Suchmaschinen bedeuteten das Ende der Anonymität im öffentlichen Raum, mit entsprechenden Konsequenzen für politischen Protest.

Spielkamps Einschätzung nach sind die Suchmaschinen aus gleich mehreren Gründen in der EU verboten. Neben dem Verbot aus der KI-Verordnung würden auch Vorgaben für den Datenschutz und andere Grundrechte verletzt. Aus dem Hochladen eines Fotos oder Videos könne man kein Einverständnis in die Datenerhebung durch Gesichter-Suchmaschinen herleiten.

Eine mögliche biometrische Identifizierung könne Menschen auch davon abhalten, ihr Grundrecht auf freie Meinungsäußerung oder die Versammlungsfreiheit wahrzunehmen.

Gerade Anbieter ohne Sitz in der EU seien zugleich nur schwer zur Verantwortung zu ziehen, sagt Spielkamp. Die Staaten, in denen die Firmen sitzen, hätten oft wenig Interesse an einem Verbot. Aus der vergleichbaren Erfahrung mit Steuerhinterziehung wisse man aber, dass EU-Behörden trotzdem Druck auf die Anbieter ausüben könnten.

Als Beispiel nennt er das Unternehmen Clearview AI, das seine Gesichtersuche ausschließlich für Ermittlungsbehörden anbietet. Zwar konnten die von EU-Behörden verhängten Geldbußen gegen das Unternehmen nicht eingetrieben werden. „Aber die Behörden könnten Strafanträge gegen Verantwortliche stellen, auf deren Basis dann Haftbefehle ausgestellt werden können.“

Die Verantwortung sieht Spielkamp bei Regierungen und Behörden in Staaten wie Deutschland, die sich nicht klar gegen solche Systeme aussprechen. Oft würden Polizei und Geheimdienste selbst solche Gesichter-Suchmaschinen einsetzen wollen – und dabei die fatalen Folgen „für uns alle“ ignorieren.

HateAid: Warnung vor Einschüchterung und Stalking

Die Juristin Josephine Ballon warnt vor den Gefahren, die von Gesichter-Suchmaschinen wie PimEyes ausgehen. Für die NGO HateAid berät sie Betroffene von Gewalt im Netz. Teilnehmende von Demonstrationen ließen sich mit Hilfe der Suchmaschinen identifizieren und anschließend einschüchtern. Persönliche Informationen könnten im „feindseligen Kontext“ weiterverbreitet oder zum Stalking eingesetzt werden.

Es sei denkbar, dass Nutzer*innen mit Hilfe der Suchmaschinen die Identität einer gesuchten Person überhaupt erst ermitteln, etwa indem sie Bildausschnitte von Demonstrationen einspeisen und so zu Social-Media-Profilen gelangen.

Der Vollständigkeit halber weist Ballon allerdings darauf hin: Auch Betroffene bildbasierter digitaler Gewalt könnten die Gesichtersuche einsetzen, etwa um herauszufinden, wo Inhalte über sie selbst verbreitet werden. Bei HateAid setze man diese Tools jedoch aus datenschutzrechtlichen Gründen nicht ein.

Axel Voss (CDU): Behörden müssen handeln

Wir haben die Ergebnisse unserer Recherche mehreren EU-Parlamentarier*innen vorgelegt, die das Verbot in der KI-Verordnung mit ausgehandelt haben.

„Nach meinem Verständnis ist dieses Geschäftsmodell kaum mit europäischem Datenschutzrecht vereinbar“, sagt etwa Axel Voss (CDU), Koordinator der EVP-Fraktion im Rechtsausschuss, „insbesondere nicht mit dem AI Act, der genau solche massenhaften, ungezielten Gesichtserkennungsdatenbanken ausdrücklich verbietet“. Dass sich Anbieter anonym oder aus Drittstaaten heraus dem Zugriff entziehen, zeigt für ihn ein Defizit bei der Durchsetzung. „Hier müssen Datenschutzbehörden und die künftige KI-Aufsicht konsequent und koordiniert handeln.“

„Die öffentlichen Gesichtssuchmaschinen sind ein massiver Eingriff in die Privatsphäre und verstoßen gegen geltendes EU-Recht“, sagt auch die liberale deutsche Abgeordnete Svenja Hahn. Dieses Recht müsse jetzt durchgesetzt werden – unabhängig davon, ob ein Unternehmen innerhalb oder außerhalb der EU ansässig ist.

Es sei wahrscheinlich, dass die Verstöße mehr als nur einen EU-Mitgliedsstaat betreffen, deshalb gehe es um grenzübergreifende Rechtsdurchsetzung. Hierbei komme auch dem koordinierenden AI Office der EU-Kommission sowie dem Ausschuss für künstliche Intelligenz eine wichtige Rolle zu, wie Hahn erklärt. Das AI Office ist eine neue Regulierungsbehörde, die unter anderem das gemeinsame Vorgehen der Mitgliedstaaten bei der Durchsetzung der KI-Verordnung koordinieren soll. Es arbeitet seit Mitte 2024.

Auch die niederländische Grünen-Abgeordnete Kim van Sparrentak sieht das Problem bei der Durchsetzung der bestehenden Regeln. Datenschutzbehörden müssten schneller handeln. Im Fall der nationalen Aufsichtsbehörden für die KI-Verordnung sei mitunter nicht einmal klar, wer zuständig ist.

Warum das deutsche PimEyes-Verfahren ruht

Auf diesen Umstand verweist auch die Datenschutzbehörde Baden-Württemberg, die bereits im Jahr 2021 ein Verfahren gegen PimEyes einleitete, es derzeit aber ruhen lässt. Die Behörde sieht neuen Abstimmungsbedarf durch die KI-Verordnung, die nationale Aufsichtsbehörden für deren Durchsetzung vorsieht.

Wer diese Rolle in Deutschland übernimmt, muss noch per Gesetz beschlossen werden. Sehr wahrscheinlich wird es die Bundesnetzagentur (BNetzA) sein; sie bereitet sich bereits auf die Aufgabe vor.

Solange die nationale KI-Aufsicht noch nicht da ist, will man allerdings in Baden-Württemberg nichts weiter tun. „Da der Verlauf eines künftigen weiteren Verfahrens rechtlich mit Blick auf die Zuständigkeit noch nicht abschließend geregelt ist, führen wir das Verfahren derzeit nicht aktiv fort“, erklärt die Behörde auf Anfrage.

Die Bilanz der Aktivitäten der Datenschutzbehörde in Bezug auf PimEyes ist ernüchternd: Vier Jahre lang passierte wenig, jetzt passiert erst mal gar nichts.

Dafür gibt es Kritik: „Ich halte es nicht für selbsterklärend, warum eine Datenschutzbehörde auf die Einsetzung der BNetzA warten sollte“, sagt Josephine Ballon von HateAid.

EU-Mitgliedstaaten könnten gemeinsam vorgehen

Die Trägheit der Aufsichtsbehörden hat Konsequenzen. Anbieter von Gesichter-Suchmaschinen münzen das als Erfolg um, wie die vor Selbstbewusstsein strotzenden Antworten von PimEyes-Chef Gobronidze zeigen. Könnte die Bundesnetzagentur Schwung in die Sache bringen?

Auf Anfrage verweist die Behörde darauf, dass sie noch nicht per Gesetz als KI-Aufsicht eingesetzt wurde. Und selbst wenn es soweit ist, könnten wiederum andere zuständig sein. Die Auslegung der KI-Verordnung zu verbotenen Praktiken müsse „mit anderen designierten Behörden und dem AI Office der EU koordiniert werden“, schreibt die BNetzA auf Anfrage. Grundlage seien die umfangreichen Leitlinien der EU-Kommission. „Möglich wäre auch ein gemeinsames Vorgehen von Aufsichtsbehörden mehrerer EU-Mitgliedstaaten.“

Zu konkreten Zeitplänen äußert sich die BNetzA nicht. Zumindest vonseiten der EU gibt es eine Frist. Demnach müssen die Mitgliedstaaten die nationale Umsetzung der KI-Aufsicht bis August 2025 regeln. Zuständig ist in Deutschland dafür das neue Digitalministerium. Dessen Sprecher teilt auf Anfrage mit: Der Entwurf für das Gesetz zur Umsetzung sei derzeit in Abstimmung zwischen den Ressorts und solle noch vor der Sommerpause ins Kabinett.

Selbst wenn Aufsichtsbehörden in Gang kommen, ist das Problem nicht einfach zu lösen. Die BNetzA gesteht ein: Wenn Anbieter ihren Sitz außerhalb der EU haben, gestalte sich die Handhabe „schwierig“.

Das können Betroffene tun

Wer seine Rechte gegenüber Gesichter-Suchmaschinen geltend machen möchte, hat mehrere Möglichkeiten. Zunächst bieten alle vier in diesem Artikel genannten Anbieter laut ihrer Websites einen sogenannten Opt-out an. Das heißt, Nutzer*innen können sich aktiv melden und den Anbieter dazu auffordern, Suchergebnisse mit ihrem Gesicht nicht länger anzuzeigen. Wie zuverlässig das funktioniert, haben wir allerdings nicht getestet.

Zudem können Interessierte den Anbietern unter Berufung auf die DSGVO eine Auskunftsanfrage stellen. So lässt sich herausfinden, ob ein Unternehmen die eigenen personenbezogenen Daten verarbeitet hat. Auch eine Löschung dieser Daten könne sie beantragen.

Sollte ein Unternehmen die eigenen Daten ohne Einwilligung verarbeitet haben oder die Auskunftsanfrage ignorieren, können sich Betroffene bei ihrer Datenschutzaufsicht beschweren. Zuständig sind die jeweiligen Landesdatenschutzbehörden. Der Chaos Computer Club Hamburg hat hierfür eine Anleitung veröffentlicht.

Oftmals sind es die Beschwerden einzelner Personen, die bewirken, dass eine Datenschutzbehörde tätig wird. Auch wenn sich die Verfahren viele Jahre ohne Ergebnis in die Läge ziehen können: Wenn sich die Beschwerden von Betroffenen häufen, ist das zumindest ein Zeichen dafür, dass sich Menschen für das Problem interessieren, und dass wirksame Gegenmittel fehlen.