Vor einigen Wochen wurde ich von einem Redakteur von netzpolitik.org auf den Online-Dienst PimEyes aufmerksam gemacht. Wer sich aus den Nachrichten nicht mehr erinnert, PimEyes kam in die Schlagzeilen, weil es eine Art Suchmaschine ist, mit der man das Netz auf ganz gruselige Art und Weise nach Gesichtern absuchen und dadurch auch viele Menschen identifizieren und alle möglichen Informationen über ihren sozialen Kontext – von Wohnort über Freunde bis Hobbies – finden kann. Wer sie benutzen will, brauchte nur ein Foto bei PimEyes hochzuladen, zum Beispiel von der unbekannten Frau schräg gegenüber in der U-Bahn. Der Dienst analysierte das Foto anhand der biometrischen Daten und sucht dann das Internet nach Fotos von der gleichen Person ab. Bis vor ein paar Wochen enthielt die Suchmaschine schon 900 Millionen Datensätze, inzwischen sind es vermutlich schon wieder mehr geworden.
In einem Test wurde mir von netzpolitik.org demonstriert, wie PimEyes arbeitet: ein Journalist hatte ein Foto von mir (https://www.imago-images.de/st/0063388739) dort hochgeladen, dass mich während einer Demonstration gegen staatliche Überwachung zeigt. Das Foto ist etliche Jahre alt, ich kannte es nicht. Netzpolitik.org bekam daraufhin von PimEyes mehr als 60 Fotos angezeigt, die bis auf wenige Ausnahmen tatsächlich alle mich darstellten und die mich auch in meinem Beruf, im privaten Leben und zum Beispiel mit meinem Mann zusammen zeigen und über die es möglich war, viele private Informationen über mich zusammenzutragen und mich eindeutig zu identifizieren. Das polnische Unternehmen, das PimEyes entwickelte, schwört zwar, dass Facebook, Instagram und Co. nicht durchsucht werden, aber Netzpolitik.org wurden auch Ergebnisse aus sozialen Netzwerken angezeigt – was ein klarer Verstoß gegen die AGB dieser Unternehmen ist.
Ich halte Dienste wie PimEyes für sehr gefährlich, denn Stalker oder Pädophile können das Umfeld oder den Aufenthaltsort ihrer Opfer ausfindig machen, Geheimdienste und andere staatliche Stellen könnten Demonstrant:innen identifizieren und ihr Beziehungsumfeld ausforschen, Arbeitgeber:innen könnten das Privatleben ihrer Mitarbeiter:innen ausspionieren und Frauen, die sich anonym im öffentlichen Raum bewegen möchten, können heimlich fotografiert und über derlei abstoßende Dienstleistungen leichter identifziert und damit auch leichter Belästigungen ausgesetzt werden. Die Vorstellung, dass jeder Creep in der U-Bahn mich über ein Handyfoto in Verbindung mit der App identifizieren und ohne große Hürden meinen Wohn- und Arbeitsort ausfindig machen kann, finde ich extrem beunruhigend.
Ich sehe auch die Meinungsfreiheit bedroht, weil Menschen sich eher von Demonstrationen fernhalten werden, wenn sie befürchten müssen, dass staatliche Stellen oder Arbeitgeber:innen ihre politische Einstellungen zu ihrem Nachteil recherchieren oder dass politische Gegner:innen sie identifizieren, ausfindig machen und verfolgen. Neben der potentiell gefährlichen korrekten Identifikation von Menschen im öffentlichen Raum ist aber auch die fehlerhafte Identifikation von Personen ein Problem, denn bestimmte Bevölkerungsgruppen – z.B. People of Colour – werden überdurchschnittlich häufig von Gesichtserkennung falsch identifiziert, häufig genug zu ihrem Nachteil. Genau deshalb hat die Stadt San Francisco ihren Behörden den Einsatz von Gesichtserkennung untersagt und haben mehrere große US-Unternehmen ihre eigenen diesbezüglichen Aktivitäten auf Eis gelegt, damit behördlicher Einsatz von Gesichtserkennungssoftware nicht mehr Menschen mit dunkleren Hautfarben diskriminiert.
Der Umstand, dass Fotos von einer Person im Internet verfügbar sind, ist nach meiner Einschätzung nicht ausreichend, diese personenbezogenen Daten zu aggregieren und elektronisch in dieser Art und Weise zu verarbeiten. Ob und wenn ja welche Rechtsgrundlage überhaupt vorliegt, sollte von den zuständigen Stellen überprüft und festgestellte Verstöße entsprechend hart geahndet werden. Deshalb habe ich mich, wie im Beitrag von netzpolitik.org angekündigt, mit meiner Beschwerde gegen PimEyes an den Bundesdatenschutzbeauftragten Ulrich Kelber gewandt, der mir riet, auch die polnische Datenschutzbehörde mit einzubeziehen, weil PimEyes dort seinen Sitz hat, sowie die Landesdatenschutzbehörde, die für meinen Wohnsitz zuständig ist. Beides habe ich getan. Die Antwortschreiben vom Bundesdatenschutzbeauftragten und von der Landesbeauftragten für den Datenschutz des Landes Brandenburg veröffentliche ich an dieser Stelle. Der Fall ist zwar noch nicht abgeschlossen, aber die Ermittlungen wurden nun aufgenommen. Ich werde diesen Post bei neuen Informationen aktualisieren.
Unten stehend der Brief des Bundesdatenschutzbeauftragten, Ulrich Kelber, vom 24.7.2020, in dem er u.a. mitteilt, dass er meine Bedenken nach seinem ersten Eindruck teilt, weil z.B. offensichtlich keine hinreichenden Schutzvorkehrungen für die Datenschutzrechte Dritter getroffen wurden.
Nachfolgend der Brief der Landesbeauftragten für den Datenschutz, die ebenfalls auf die Federführung der polnischen Behörde verweist, aber nun als Beteiligte selbst in das Verfahren eingetreten ist, um meine Interessen mitzuvertreten und ihrerseits bereits Kontakt mit der polnischen Behörde aufgenommen hat.
Update:
Der Betreiber PimEyes wurde seit der Veröffentlichung der Recherche von netzpolitik.org und nachfolgendem Unmut aus verschiedenen politischen Richtungen von einigen Social-Media-Plattformen geworfen und hat auch Werbung, Texte und Prozesse des Zugangs auf seinem Dienst PimEyes verändert. So muss man nun per Mausklick versichern, dass man nur sein eigenes Foto im Netz sucht und nicht ein Bild Dritter. Deshalb soll auch nur über die Webcam ein Bild hochgeladen werden können, aber die Webcam lässt sich offenbar austricksen, in dem man einfach ein Foto von jemand anderem vor das Kamerauge hält – auch das hat netzpolitik.org recherchiert und getestet und bei der Gelegenheit auch entlarvt, dass das Unternehmen nur so tut, als hätte es ein harmloses Geschäftsmodell, das nur das Recht am eigenen Bild schützen soll, denn wenn man außerhalb der EU oder per VPN den Dienst aufruft, soll es nicht einmal diese lächerlichen Schutzhürden geben.