Vandaag, noyb een rechtszaak aangespannen tegen de gegevensbeschermingsautoriteit (DPA) in Hamburg. De autoriteit beschouwt de praktijken van de gezichtsherkenningszoekmachine PimEyes als illegaal, maar weigert effectieve actie te ondernemen omdat het bedrijf in Dubai gevestigd lijkt te zijn. PimEyes haalt systematisch biometrische gegevens van afbeeldingen op het internet en gebruikt deze om een database op te bouwen. Gebruikers kunnen foto's van mensen uploaden naar deze website om via gezichtsherkenning meer afbeeldingen van dezelfde persoon te vinden. De eiser had oorspronkelijk in juli 2020 een klacht tegen PimEyes ingediend bij de DPA in Hamburg.
Achtergrond over PimEyes. PimEyes scant continu het internet om gezichten te verzamelen in een database. Het bedrijf heeft al miljarden afbeeldingen verzamelddie worden gebruikt voor de gezichtsherkenningszoekmachine. Op de website kan iedereen andere mensen identificeren door een foto van hen te uploaden. Je krijgt dan meer afbeeldingen van dezelfde persoon te zien, inclusief links naar de bronnen. Tegen betaling krijg je toegang tot meer details, zoals de waarschijnlijkheid dat het om dezelfde persoon gaat. De technologie hierachter is gebaseerd op gezichtsherkenning - en dus op de analyse van biometrische gegevens. In dit opzicht werkt PimEyes op een vergelijkbare manier als het Amerikaanse bedrijf Clearview AI, dat al boetes opliep die in de miljoenen liepen vanwege zijn GDPR-overtredingen.
Max Schrems, voorzitter van noyb: "De ongecontroleerde verspreiding van gezichtsherkenningstools zoals PimEyes is desastreus voor de privacy: stalking en massasurveillance van miljoenen mensen kan binnen enkele seconden worden uitgevoerd. PimEyes heeft miljarden biometrische gegevens van onschuldige mensen verzameld zonder hun medeweten en maakt deze gegevens beschikbaar voor iedereen. Deze massasurveillance van privépersonen is duidelijk onwettig - en de autoriteit in Hamburg ziet dit ook zo."
Jarenlang wachten op een "informatiebrief". Een getroffen individu had daarom al in juli 2020 een klacht ingediend tegen PimEyes. De voor deze zaak verantwoordelijke autoriteit voor gegevensbescherming in Hamburg deed er meer dan vijf jaar over om tot een besluit te komen. Maar hoewel de autoriteit ervan uitgaat dat PimEyes onrechtmatig handelde en had moeten reageren op het toegangs- en verwijderingsverzoek van de klager, heeft ze geen actie ondernomen: de gegevensbeschermingsautoriteit beweert dat ze, afgezien van het sturen van een "informatiebrief" aan het bedrijf, geen concrete maatregelen hoeft te nemen om een voortdurende schending van de wet te voorkomen. De redenering: PimEyes is gevestigd in Dubai en reageert niet op vragen.
Gedurende de vijf jaar van de procedure beweert PimEyes gevestigd te zijn geweest in Polen, de Seychellen en Belize - toch hebben de Hamburgse autoriteiten blijkbaar nooit geverifieerd of de wisselende locaties op de website wel klopten. Nu worden ze echter gebruikt als rechtvaardiging om geen actie te ondernemen.
Jonas Breyer, de advocaat van de aanklager: "Het is zorgwekkend dat de autoriteit niet eens een poging doet om effectieve stappen te ondernemen om de GDPR te handhaven - en dat PimEyes dus ongehinderd door kan gaan met zijn duidelijk onrechtmatige praktijken. De toezichthoudende autoriteit in Hamburg geeft eens te meer aan dat ze, zelfs in het licht van ernstige GDPR-schendingen, op haar handen blijft zitten en berekende schendingen van de wet uitnodigt."
Juridische stappen tegen de autoriteit. De eiser vindt dat de Hamburgse gegevensbeschermingsautoriteit effectieve maatregelen moet nemen tegen PimEyes, wat ook mogelijk is in het geval van gegevensbeheerders uit derde landen. Dit kan het bevriezen van tegoeden in Europa inhouden, het eisen dat de dienstverleners van PimEyes gegevens wissen, of het rechtstreeks opleggen van maatregelen tegen de Georgische directeur. Mocht de rechtszaak succesvol zijn, dan zou de autoriteit de oorspronkelijke klacht moeten heroverwegen en waarschijnlijk maatregelen moeten nemen die effectief soelaas bieden.
Felix Mikolasch, advocaat gegevensbescherming bij noyb: "In plaats van te vertrouwen op de contactgegevens op de website van PimEyes om te stoppen met het werk aan de zaak, zou de toezichthoudende autoriteit in Hamburg effectieve actie moeten ondernemen tegen het bedrijf. Ze kan haar werk niet simpelweg beëindigen omdat ze speculeert dat de maatregelen wel eens vruchteloos zouden kunnen zijn. Deze mogelijkheid kan nooit volledig worden uitgesloten. Andere autoriteiten hebben ook boetes opgelegd aan het vergelijkbare Amerikaanse bedrijf Clearview AI."
De eiser wordt vertegenwoordigd door Jonas Breyer van Breyer Legal. noyb vertegenwoordigde de eiser in de procedure voor de Hamburg Data Protection Authority en ondersteunt de claim. Deze zaak wordt ook gesteund door de Chaos Computer Club.
