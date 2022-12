Dem Betreiber der Suchmaschine PimEyes, die auf biometrische Gesichtserkennung spezialisiert ist, droht eine Strafe in Millionenhöhe. Der baden-württembergische Datenschutzbeauftragte Stefan Brink teilte am Mittwoch mit, ein Bußgeldverfahren gegen das Unternehmen eingeleitet zu haben. Er geht davon aus, dass die Firma gegen die Datenschutz-Grundverordnung (DSGVO) verstößt.

Brink hatte bereits im Mai 2021 eine Untersuchung von PimEyes gestartet. Da es sich bei biometrischen Daten um besonders schutzwürdige Informationen handelt, hätte das Start-up ihm zufolge von jeder Person in ihrer Datenbank aus hunderten Millionen Gesichtern eine Einwilligung einholen müssen. Der Kontrolleur hörte daraufhin von dem in Polen gegründeten Unternehmen lange nichts. Erst als mit Giorgi Gobronidze ein Sicherheitsforscher aus Georgien PimEyes übernahm und ein erweitertes Bezahlmodell mit angeblichem Fokus auch auf Datenschutz einführte, erfolgte ein Austausch von Schriftsachen.

Verstoß gegen die DSGVO?

Anfang November erreichte die Aufsichtsbehörde so eine Stellungnahme, in der das Unternehmen auf die Rechtsgrundlage der Verarbeitung biometrischer Daten zur Identifizierung von Personen, technisch-organisatorische Maßnahmen (TOMs) und Vorkehrungen gegen den Missbrauch der Daten eingeht. Demnach zieht sich PimEyes auf die Position zurück, lediglich öffentlich verfügbare Bilder zu verarbeiten. Diese könne es selbst nicht Personen zuordnen. Die DSGVO finde daher keine Anwendung.

Würde man – entgegen der eigenen Ansicht – trotzdem von einem Personenbezug ausgehen, ist die entsprechende Datenverarbeitung laut der Eingabe zulässig. Sie erfolge im öffentlichen Interesse, zum Erfüllen einer öffentlichen Aufgabe beziehungsweise zum Schutze lebenswichtiger Interessen der Betroffenen.

Brink tritt dieser Auffassung vehement entgegen. Die Stellungnahme lässt ihm zufolge "entscheidende Antworten auf seine Fragen weiterhin offen". Das Geschäftsmodell von PimEyes sei offenbar nicht mit der DSGVO vereinbar, begründet der Kontrolleur seinen weiteren Verfahrensschritt. Auch im Bereich der TOMs bestünden "erhebliche Mängel".

PimEyes hat seinen Sitz laut seiner Datenschutzerklärung inzwischen offenbar im mittelamerikanischen Karibikstaat Belize. Damit gibt es keine Aufsichtsbehörde in der EU, die für das Unternehmen federführend zuständig wäre. Auch der Kontrolleur eines hiesigen Bundeslands kann gegen die Firma vorgehen, wenn Bürger ins Visier eines global agierenden Dienstes gelangen. Brink betont in diesem Sinne, das Amt verfüge über "sämtliche Abhilfebefugnisse" nach Artikel 58 DSGVO. Dazu zählten etwa die Optionen, eine Verwarnung auszusprechen, das Löschen persönlicher Daten anzuordnen oder ein Bußgeld zu verhängen von bis zu 4 Prozent des jährlichen Umsatzes beziehungsweise maximal 20 Millionen Euro.

Zugleich unterstreicht Brink, dass schon jedes Foto, auf dem eine Person abgebildet ist oder über das ein Bezug zu einem Individuum hergestellt werden kann, ein personenbezogenes Datum darstelle. Für dessen Verarbeitung sei eine Rechtsgrundlage nötig, bei biometrischen Merkmalen eine "ausdrückliche Einwilligung". Bei einem automatisierten Abruf von Bildern im Internet könnten diese Anforderungen grundsätzlich nicht erfüllt werden.

Missbrauch nicht ausgeschlossen

"PimEyes kann und darf nicht die polizeiliche Ermittlungsarbeit ersetzen und auf diese Weise in die Rechte betroffener Personen eingreifen", will die Aufsichtsinstanz auch das neue Modell nicht gelten lassen. Die erwähnte Opt-out-Möglichkeit sei unzureichend und in sich widersprüchlich, da man erst die eigene Identität bestätigen müsse. Maßnahmen wie eine Anzeige von URLs nur für registrierte Nutzer, individuell begrenzte Suchanfragen oder Geoblocking in "kritischen" Ländern schlössen Missbrauch durch Dritte nicht hinreichend aus.

(olb)