noyb hat heute eine Klage gegen die Hamburger Datenschutzbehörde eingereicht. Die Behörde hält das Vorgehen der Gesichtssuchmaschine PimEyes zwar für illegal, will aber keine wirksamen Maßnahmen ergreifen, weil das Unternehmen in Dubai ansässig sei. PimEyes extrahiert systematisch biometrische Daten aus Bildern im Internet und befüllt damit eine Datenbank. Nutzer:innen können Fotos von Personen auf dieser Webseite hochladen, um über Gesichtserkennung weitere Bilder derselben Person zu finden. Ursprünglich hatte der Kläger im Juli 2020 Beschwerde gegen PimEyes bei der Hamburger Datenschutzbehörde eingereicht.
Hintergrund zu PimEyes. PimEyes durchforstet kontinuierlich das Internet und sammelt alle Gesichter, die es findet, in einer Datenbank. Das Unternehmen hat bereits Milliarden Bilder gesammelt, die dann für seine Gesichtssuchmaschine genutzt werden. Auf der Webseite von PimEyes hat jede:r die Möglichkeit, andere Menschen zu identifizieren, indem man ein Foto von ihnen hochlädt. Im Anschluss erhält man dann weitere Bilder derselben Person angezeigt, einschließlich Links zu den Quellen. Gegen Bezahlung erhält man weitere Details, z.B. eine Berechnung der Wahrscheinlichkeit, dass es sich um die gleiche Person handelt. Die Technologie dahinter basiert auf Gesichtserkennung - und damit auf der Auswertung biometrischer Daten. Damit agiert PimEyes ähnlich wie das US-Unternehmen Clearview AI, das wegen seiner DSGVO-Verletzungen bereits diverse Millionen-Strafen ausgefasst hat.
Max Schrems, Vorsitzender von noyb: „Die ungehinderte Ausbreitung von Gesichtserkennungstools wie PimEyes ist katastrophal für die Privatsphäre: Stalking und Massenüberwachung von Millionen sind sekundenschnell möglich. PimEyes hat Milliarden Biometriedaten von Unschuldigen ohne deren Wissen angehäuft und stellt diese Daten allen zur Verfügung. Diese private Massenüberwachung ist klar rechtswidrig – das sieht auch die Hamburger Behörde so.“
Jahrelanges Warten für ein „Informationsschreiben“. Ein Betroffener hatte deshalb schon im Juli 2020 Beschwerde gegen PimEyes eingebracht. Die hier zuständige Hamburger Datenschutzbehörde brauchte mehr als fünf Jahre, um über den Fall zu entscheiden. Zahlreiche Nachfragen waren notwendig. Nun geht die Behörde zwar davon aus, dass PimEyes rechtswidrig agierte und das Auskunfts- und Löschungsbegehren des Beschwerdeführers hätte beantworten müssen – aber tut nichts: Die Behörde behauptete, abgesehen von einem „Informationsschreiben“ an PimEyes, keine konkreten Maßnahme treffen zu müssen, um den Rechtsbruch auch zu unterbinden. Die Begründung: Das Unternehmen habe seinen Sitz in Dubai und reagiert nicht auf Anfragen.
In den fünf Jahren während des Verfahrens war PimEyes laut eigenen Angaben auch schon in Polen, den Seychellen und in Belize ansässig – ob die wechselnden Angaben auf der Webseite faktisch richtig sind, hat die Hamburger Behörde anscheinend nie selbst überprüft. Nun dienen sie aber als Begründung, nicht tätig zu werden.
Jonas Breyer, Anwalt des Beschwerdeführers: „Es ist bedenklich, dass die Behörde effektive Schritte zur Durchsetzung der zweifelsfrei geltenden DSGVO nicht einmal versucht - und PimEyes sein offensichtlich rechtswidriges Vorgehen dadurch ungehindert fortsetzen kann. Die Hamburger Aufsichtsbehörde signalisiert damit einmal mehr, dass sie selbst bei schwerwiegenden DSGVO-Verstößen die Füße auf den Tisch legt und zu kalkuliertem Rechtsbruch einlädt.“
Klage gegen die Behörde. Der Kläger ist der Ansicht, dass die Hamburger Datenschutzbehörde effektiv gegen PimEyes vorgehen sollte, was auch bei Verantwortlichen aus Drittstaaten möglich ist. So könnten Gelder in Europa eingefroren werden, PimEyes-Dienstleister zur Datenlöschung verpflichtet werden oder Maßnahmen direkt gegen den georgischen Geschäftsführer verhängt werden. Sollte die Klage erfolgreich sein, müsste die Behörde erneut über die ursprüngliche Beschwerde entscheiden und voraussichtlich Maßnahmen treffen, die effektive Abhilfe schaffen.
Felix Mikolasch, Datenschutzjurist bei noyb: “Statt sich auf Adressangaben auf der PimEyes-Webseite zu verlassen, sollte die Hamburger Aufsichtsbehörde effektive Maßnahmen gegen das Unternehmen einleiten. Sie kann ihre Arbeit nicht einfach einstellen weil sie spekuliert, dass die Maßnahmen ergebnislos bleiben könnten. Diese Möglichkeit ist nie ganz auszuschließen. Andere Behörden haben auch Bußgelder gegen das vergleichbare US-Unternehmen Clearview AI verhängt.“
Der Kläger wird von Rechtsanwalt Jonas Breyer von Breyer Legal vertreten. noyb vertrat den Kläger im Verfahren vor der Hamburger Datenschutzbehörde und unterstützt die Klage. Dieser Fall wird außerdem vom Chaos Computer Club unterstützt.
