Nachdem bereits 2021 Medienberichte zeigten, dass das Unternehmen PimEyes „massenhaft Gesichter im Internet nach individuellen Merkmalen“ scannt und biometrische Daten (also persönliche Merkmale wie Gesichtsform, Augenfarbe oder den Abstand von Mund zu Nase) speichert, mit denen sich jeder Mensch treffsicher identifizieren lässt, hatte der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Dr. Stefan Brink ein Verfahren gegen das Unternehmen eröffnet und es zu einer Stellungnahme zu den durch das Unternehmen verarbeiteten Daten aufgefordert. Dafür hatte der Landesbeauftragte dem Unternehmen einen umfangreichen Fragenkatalog erarbeitet und überreicht.

Am 1. November 2022 erhielt der Landesbeauftragte nun eine Stellungnahme von PimEyes, in der das Unternehmen auf die Rechtsgrundlage der Verarbeitung biometrischer Daten zur Identifizierung von Personen, technisch-organisatorische Maßnahmen (TOMs) und Maßnahmen gegen den Missbrauch der Daten eingeht.

PimEyes stellt in seiner Stellungnahme fest, lediglich öffentlich verfügbare Bilder zu verarbeiten und dass es diese selbst nicht Personen zuordnen könne. Für von PimEyes gespeicherte Daten bestehe daher gar kein Personenbezug, es fehle damit an einer Verarbeitung personenbezogener Daten. Würde man – entgegen der Ansicht von PimEyes – dennoch einen Personenbezug annehmen, so sei dies jedenfalls als eine zulässige Verarbeitung im öffentlichen Interesse, im Rahmen einer öffentlichen Aufgabe bzw. zum Schutze lebenswichtiger Interessen der betroffenen Personen anzusehen.

Diesen Aussagen tritt der Landesbeauftragte wegen der massiven Gefährdung der Rechte und Freiheiten der Bürger_innen, auch in Baden-Württemberg, energisch entgegen.

Dem Landesbeauftragten für den Datenschutz und die Informationsfreiheit Dr. Stefan Brink reicht die Stellungnahme des Unternehmens PimEyes damit keineswegs aus, sie lässt entscheidende Antworten auf seine Fragen weiterhin offen. Aufgrund der offenbar fehlenden Datenschutzkonformität und der aus Sicht des LfDI erheblichen Mängel im Bereich der technisch-organisatorischen Maßnahmen seitens PimEyes eröffnet der Landesbeauftragte daher nun ein Bußgeldverfahren gegen PimEyes.

Der LfDI verfügt über sämtliche Abhilfebefugnisse nach Art. 58. Abs.2 DS-GVO, hierzu zählen unter anderem die Verwarnung, Anordnung, auch zur Löschung von personenbezogenen Daten oder in Bezug auf nichtöffentliche Stellen das Erlassen eines Bußgeldes von bis zu 4 Prozent des jährlichen Umsatzes bzw. maximal 20 Millionen Euro.

Fotos von betroffenen Personen sind personenbezogene Daten

Jedes Foto, auf dem eine Person abgebildet ist oder über welches ein Bezug zu einer Person hergestellt werden kann, stellt ein personenbezogenes Datum dar. Für die Verarbeitung solcher Fotos ist eine Rechtsgrundlage gemäß Artikel 6 DS-GVO erforderlich. Werden darüber hinaus noch biometrische Daten zum Zwecke der eindeutigen Identifizierung einer natürlichen Person verarbeitet (biometrische Gesichtserkennung), findet eine Verarbeitung besonderer Kategorien personenbezogener Daten statt. Eine solche Verarbeitung ist nach Artikel 9 DS-GVO prinzipiell untersagt. Etwas anderes gilt nur dann, wenn eine ausdrückliche Einwilligung gemäß Artikel 9 Absatz 2 Buchstabe a DS-GVO oder eine sonstige Ausnahme nach Artikel 9 Absatz 2 DS-GVO vorliegt.

Ausdrückliche Einwilligung, Artikel 9 Absatz 2 Buchstabe a DS-GVO

Eine ausdrückliche Einwilligung nach Artikel 9 Absatz 2 Buchstabe a DS-GVO verlangt unter anderem, dass diese durch eine eindeutige bestätigende Handlung erfolgt, mit der freiwillig, für den konkreten Fall, in informierter Weise und unmissverständlich bekundet wird, dass die betroffene Person mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist. Bei einem automatisierten Abruf von Bildern im Internet können diese Anforderungen grundsätzlich nicht erfüllt werden. PimEyes hat auch keine Erläuterung dazu abgeben, wie eine solche Einwilligung eingeholt werden könnte. In Ermangelung einer anderen Ausnahme nach Artikel 9 Absatz 2 DS-GVO (s.u.) ist eine ausdrückliche Einwilligung jedoch erforderlich.

Offensichtlich öffentlich gemacht, Artikel 9 Absatz 2 Buchstabe e DS-GVO

Biometrische Daten können dann ohne die ausdrückliche Einwilligung der betroffenen Person verarbeitet werden, wenn diese von der betroffenen Person selbst offensichtlich öffentlich gemacht wurden. Wichtig ist dabei, dass die biometrischen Daten tatsächlich von der Person selbst veröffentlicht wurden und nicht etwa (wie oft im Internet) von Dritten. Auch ist es nicht ausreichend, wenn beispielsweise Standardeinstellungen auf einer Website biometrische Daten öffentlich abrufbar machen. In einem solchen Fall handelt es sich ebenfalls nicht um offensichtlich öffentlich gemachte personenbezogene Daten.

Öffentliches Interesse/Aufgabe und Strafverfolgung

PimEyes gibt an, im öffentlichen Interesse tätig zu werden und seinen Dienst zum Selbstschutz der Bürger_innen anzubieten. Auch dieses Argument verfängt nicht. Private Stellen können nur dann im Rahmen der Strafverfolgung oder im öffentlichen Interesse tätig werden, wenn sie dazu ausdrücklich von einer öffentlichen Stelle ermächtigt wurden. Dies ist vorliegend nicht der Fall: PimEyes kann und darf nicht die polizeiliche Ermittlungsarbeit ersetzen und auf diese Weise in die Rechte betroffener Personen eingreifen.

 Opt-Out

In seiner Rückmeldung beschreibt PimEyes eine Opt-Out-Möglichkeit, um die Verarbeitung eigener Daten zu verhindern. Man könne durch Vorlage eines Fotos und der Bestätigung der eigenen Identität aus der Foto-Datenbank ausgeschlossen werden. Diese Möglichkeit entspricht aber nicht den Anforderungen aus Artikel 25 Absatz 2 DS-GVO, der es Verantwortlichen unter anderem vorschreibt, durch Maßnahmen sicherzustellen, dass personenbezogene Daten nicht ohne Mitwirkung der betroffenen Person einer unbestimmten Zahl von natürlichen Personen zugänglich gemacht werden. Daten durch die Vorlage von noch mehr Daten aus einem Verzeichnis löschen zu lassen, erscheint außerdem widersprüchlich.

 Missbrauch durch Dritte

Auf die Frage des Landesbeauftragten, wie ein Missbrauch der Fotos und Daten durch Dritte verhindert werde, verweist PimEyes lediglich darauf, dass in den Nutzungsbedingungen ein solcher Missbrauch untersagt werde. Ergänzend seien einzelne Maßnahmen getroffen worden (beispielsweise Anzeige von URLs nur für registrierte Nutzer_innen, Rechnungsdaten zur Identifizierung der registrierten Nutzer_innen, individuell begrenzte Anzahl von Suchanfragen pro Tag, Geoblocking in „kritischen“ Ländern). Diese Maßnahmen können jedoch einfach umgangen werden. Wie sie einen ausreichenden Schutz für betroffene Personen herstellen sollen, ist für den Landesbeauftragten aus der Antwort des Unternehmens nicht nachzuvollziehen.

 

Für Rückfragen erreichen Sie uns unter der Telefonnummer
0711/615541-23 und per E-Mail: pressestelle@lfdi.bwl.de

Weitere Informationen zu Datenschutz und Informationsfreiheit finden Sie im Internet unter www.baden-wuerttemberg.datenschutz.de oder unter www.datenschutz.de