Das Unternehmen ermöglicht es seinen Nutzern, ein Foto einer Person einzureichen, und sie erhalten dann Links zu allen Orten, wo diese Person anderswo online fotografiert wurde - sei es in sozialen Medien, auf Webseiten oder in der öffentlichen Cloud.
PimEyes behauptet in seiner Erklärung, dass es nur Fotos analysiert, die der Öffentlichkeit zur Verfügung gestellt werden, und dass es nicht in der Lage ist, die Eigentümer zu identifizieren. Daher gebe es bei den von PimEyes erfassten Daten überhaupt keinen Personenbezug und es finde keine Verarbeitung personenbezogener Daten statt.
Der Landesbeauftragte widerspricht diesen Behauptungen vehement, da das Vorgehen des Unternehmens eine große Gefahr für die Rechte und Freiheiten der Menschen darstelle.
PimEyes' Missachtung von Datenschutzgesetzen
Deutschland nimmt den Datenschutz ernster als die meisten anderen Länder und der Landesbeauftragte hat ein Bußgeldverfahren gegen PimEyes eingeleitet, weil das Unternehmen offensichtlich Datenschutzgesetze missachtet und gravierende Mängel bei den technischen und organisatorischen Sicherheitsmaßnahmen aufweist.
Jedes Bild einer Person, mit dem sie identifiziert werden kann oder das sie abbildet, stellt personenbezogene Daten dar. Für die Verarbeitung solcher Bilder ist eine Rechtsgrundlage nach Art. 6 DSGVO erforderlich.
Besondere Kategorien personenbezogener Daten werden verarbeitet, wenn zusätzlich biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person verwendet werden (biometrische Gesichtserkennung). Artikel 9 DSGVO verbietet diese Art der Verarbeitung generell.
Immer mehr Unternehmen denken darüber nach, Systeme zu implementieren, die biometrische Daten zu Genehmigungs- oder Sicherheitszwecken verarbeiten (z. B. Zugangskontrolle, Überwachung der Arbeitszeiten und Gebäudesicherheit).
Je nach Kontext kann die Verwendung biometrischer Daten den Benutzerkomfort, die betriebliche Effizienz und die Sicherheit verbessern. Die Verwendung solcher Systeme wird jedoch als starker Eingriff in die Privatsphäre angesehen, und die Datenschutz-Grundverordnung lässt in der Praxis nur eine begrenzte Anzahl solcher Vorgänge zu.