Simon Coulthard Dezember 29, 2022
Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit, Dr. Stefan Brink, hat ein Verfahren gegen PimEyes eingeleitet - wegen des Einsatzes der Gesichtserkennungstechnologie sowie der Gesichtsdatenbanken und persönlichen Profile des Unternehmens.
Die Nutzer haben unter dem Verlust ihrer Anonymität gelitten, was die Aufmerksamkeit der Datenschützer auf sich gezogen hat.
Nach Recherchen von netzpolitik.org scannt das Unternehmen "massenhaft Gesichter im Internet nach individuellen Merkmalen" und speichert biometrische Daten (d. h. persönliche Merkmale wie Gesichtsform, Augenfarbe oder der Abstand zwischen Mund und Nase), mit denen jeder Mensch genau erkannt werden kann.
Die Bedenken begannen im Mai 2021, woraufhin mehrere Verfahren durchgeführt wurden, um zu prüfen, ob das Unternehmen die Datenschutzgesetze einhält.
Lesen Sie mehr zu diesem Thema auf der Webseite des Landesbeauftragten für den Datenschutz und die Informationsfreiheit.
Da PimEyes weltweit eingesetzt wird, kann man davon ausgehen, dass das Unternehmen personenbezogene Daten von europäischen Nutzern verarbeitet und somit in den Anwendungsbereich der Allgemeinen Datenschutzverordnung (DSGVO) fällt.
Dieses Gesetz verbietet die Verwendung biometrischer Informationen zur Identifizierung von Menschen, dennoch war die Datenbank des Unternehmens für Nutzer überall auf der Welt zugänglich.
Der Staatskommissar ist sich immer noch nicht im Klaren darüber, wie das Unternehmen diese Daten verwendet.
Man kann ein Foto einer Person einreichen, um herauszufinden, wo im Internet das Gesicht dieser Person bereits vorhanden ist, etwa in sozialen Medien, auf der eigenen Webseite oder in der öffentlichen Cloud. In der Stellungnahme des Staatskommissars ist noch unklar, wie das Unternehmen diese Daten nutzt.
Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit, Dr. Stefan Brink, hat PimEyes aufgefordert, Auskunft über die Daten zu geben, die das Unternehmen verarbeitet. Zu diesem Zweck hat der Landesbeauftragte dem Unternehmen eine lange Liste von Anfragen zugesandt.
Am 1. November 2022 erhielt der Landesbeauftragte eine Stellungnahme von PimEyes, in der das Unternehmen die rechtliche Rechtfertigung für die Verwendung biometrischer Daten zur Identifizierung von Personen, technologische und organisatorische Maßnahmen (TOMs) sowie Schutzmaßnahmen gegen Datenmissbrauch erläutert.
Das Unternehmen ermöglicht es seinen Nutzern, ein Foto einer Person einzureichen, und sie erhalten dann Links zu allen Orten, wo diese Person anderswo online fotografiert wurde - sei es in sozialen Medien, auf Webseiten oder in der öffentlichen Cloud.
PimEyes behauptet in seiner Erklärung, dass es nur Fotos analysiert, die der Öffentlichkeit zur Verfügung gestellt werden, und dass es nicht in der Lage ist, die Eigentümer zu identifizieren. Daher gebe es bei den von PimEyes erfassten Daten überhaupt keinen Personenbezug und es finde keine Verarbeitung personenbezogener Daten statt.
Der Landesbeauftragte widerspricht diesen Behauptungen vehement, da das Vorgehen des Unternehmens eine große Gefahr für die Rechte und Freiheiten der Menschen darstelle.
Deutschland nimmt den Datenschutz ernster als die meisten anderen Länder und der Landesbeauftragte hat ein Bußgeldverfahren gegen PimEyes eingeleitet, weil das Unternehmen offensichtlich Datenschutzgesetze missachtet und gravierende Mängel bei den technischen und organisatorischen Sicherheitsmaßnahmen aufweist.
Jedes Bild einer Person, mit dem sie identifiziert werden kann oder das sie abbildet, stellt personenbezogene Daten dar. Für die Verarbeitung solcher Bilder ist eine Rechtsgrundlage nach Art. 6 DSGVO erforderlich.
Besondere Kategorien personenbezogener Daten werden verarbeitet, wenn zusätzlich biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person verwendet werden (biometrische Gesichtserkennung). Artikel 9 DSGVO verbietet diese Art der Verarbeitung generell.
Immer mehr Unternehmen denken darüber nach, Systeme zu implementieren, die biometrische Daten zu Genehmigungs- oder Sicherheitszwecken verarbeiten (z. B. Zugangskontrolle, Überwachung der Arbeitszeiten und Gebäudesicherheit).
Je nach Kontext kann die Verwendung biometrischer Daten den Benutzerkomfort, die betriebliche Effizienz und die Sicherheit verbessern. Die Verwendung solcher Systeme wird jedoch als starker Eingriff in die Privatsphäre angesehen, und die Datenschutz-Grundverordnung lässt in der Praxis nur eine begrenzte Anzahl solcher Vorgänge zu.
Gewinnen Sie erstklassige Einblicke und bieten Sie innovativen Datenschutz und Sicherheit
Halten Sie Schritt mit der Welt der datenschutzfreundlichen Analytik mit einer monatlichen Zusammenstellung von Neuigkeiten, Ratschlägen und Updates!