Thought Leadership
Die Bürgerrechtsorganisation noyb reicht Klage gegen die Hamburger Datenschutzbehörde ein. Grund ist die ausbleibende Durchsetzung der DSGVO gegen PimEyes.
Die österreichische Datenschutzorganisation noyb (none of your business) hat eine Klage gegen den Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit (HmbBfDI) eingereicht. Kern des Rechtsstreits ist der Vorwurf, dass die Behörde trotz festgestellter Rechtsverstöße keine wirksamen Maßnahmen gegen die Gesichtserkennungssuchmaschine PimEyes ergriffen habe. Während PimEyes Milliarden von biometrischen Datensätzen ohne Zustimmung der Betroffenen verarbeitet, sieht sich die Aufsichtsbehörde aufgrund des Firmensitzes in Dubai außerstande zu intervenieren.
Fünf Jahre Prüfung ohne Sanktionen
Der Fall nahm seinen Anfang im Juli 2020, als ein Betroffener Beschwerde gegen PimEyes einlegte. Der Vorwurf lautete auf die rechtswidrige Erfassung biometrischer Daten ohne ausdrückliche Einwilligung. Nach einer Prüfungszeit von rund fünf Jahren kam die Hamburger Datenschutzbehörde zu dem Schluss, dass die Verarbeitungstätigkeiten von PimEyes tatsächlich als unrechtmäßig im Sinne der EU-Datenschutzgrundverordnung (DSGVO) einzustufen seien.
Trotz dieser Feststellung entschied sich der Regulator gegen aktive Zwangsmaßnahmen. Als Begründung wurde angeführt, dass PimEyes seinen Geschäftssitz mittlerweile nach Dubai verlegt habe und auf behördliche Anfragen nicht reagiere. Die Behörde argumentierte, dass eine Durchsetzung außerhalb der EU-Jurisdiktion faktisch nicht möglich sei. Für noyb stellt diese Argumentation eine gefährliche Signalwirkung dar, die Unternehmen faktisch dazu einlade, die DSGVO durch Sitzverlegungen in Drittstaaten zu umgehen.
Risiko für Stalking, Belästigung und Überwachung
PimEyes operiert als spezialisierte Suchmaschine für Gesichter. Nutzer können ein Foto einer Person hochladen, woraufhin der Algorithmus das Internet nach weiteren Bildern derselben Person durchsucht. Dabei erstellt das System biometrische Fingerabdrücke, um Übereinstimmungen in einer Datenbank zu finden, die laut Schätzungen von noyb Milliarden von Bildern umfasst. PimEyes durchforstet hierfür kontinuierlich soziale Medien, Nachrichtenportale und öffentliche Webseiten.
Kritiker und Datenschützer warnen seit Jahren vor dem Missbrauchspotenzial dieses Werkzeugs. Da die Suche für jedermann zugänglich ist, kann die Technologie für Stalking, Belästigung oder die Überwachung von Privatpersonen genutzt werden. Die massenhafte Verarbeitung biometrischer Daten, die unter der DSGVO als besonders schützenswert gelten, erfolgt in der Regel ohne das Wissen oder die Zustimmung der abgebildeten Personen. noyb-Vorsitzender Max Schrems bezeichnete die ungehinderte Verbreitung solcher Tools als „katastrophal für die Privatsphäre“.
Einfrieren von Geldern von PimEyes möglich
Die Klage von noyb stützt sich auf die Auffassung, dass Datenschutzbehörden bei identifizierten Verstößen rechtlich verpflichtet sind, tätig zu werden. Ein Ermessensspielraum, bei klarer Rechtswidrigkeit untätig zu bleiben, existiert laut noyb nicht. Die Organisation argumentiert, dass der Hamburger Behörde durchaus Instrumente zur Verfügung stünden, um den Druck auf PimEyes zu erhöhen, selbst wenn das Unternehmen seinen Sitz in Dubai hat.
Mögliche Maßnahmen könnten laut der Klageschrift den Zugriff auf europäische Zahlungsströme des Unternehmens (Einfrieren von Geldern) oder Anordnungen gegenüber europäischen Dienstleistern betreffen. So könnten Internet-Service-Provider oder Hosting-Anbieter, die für PimEyes in der EU tätig sind, zur Löschung von Daten oder zur Sperrung von Inhalten verpflichtet werden. Auch Maßnahmen gegen die Geschäftsführung direkt wurden als Option angeführt. Der Anwalt von noyb, Jonas Breyer, äußerte Unverständnis darüber, dass die Behörde bisher nicht einmal den Versuch unternommen habe, solche effektiven Schritte einzuleiten.
Biometrische Daten als besonders geschützte Kategorie
In der rechtlichen Auseinandersetzung spielt Artikel 9 der DSGVO eine zentrale Rolle. Dieser untersagt die Verarbeitung biometrischer Daten zur eindeutigen Identifizierung einer natürlichen Person grundsätzlich, es sei denn, es liegt eine ausdrückliche Einwilligung vor oder es gelten spezifische Ausnahmeregelungen. Da PimEyes diese Daten im Rahmen einer Massenüberwachung verarbeitet, ohne dass die Betroffenen informiert werden, liegt nach Ansicht der Kläger ein schwerwiegender Verstoß gegen die Grundprinzipien des europäischen Datenschutzes vor.
Die Hamburger Aufsichtsbehörde räumte in ihrer Abschlussbewertung zwar ein, dass die Praxis von PimEyes „möglicherweise rechtswidrig“ sei, blieb jedoch bei ihrer Entscheidung zur Untätigkeit. noyb sieht darin eine Kapitulation vor internationalen Akteuren, die den Schutzstandard der EU untergraben. Sollte die Klage erfolgreich sein, müsste die Hamburger DPA die ursprüngliche Beschwerde aus dem Jahr 2020 neu bewerten und wäre gezwungen, konkrete Durchsetzungsmaßnahmen gegen das Unternehmen einzuleiten.
Massenüberwachung in Sekunden möglich
Der Fall PimEyes wird in der Fachwelt als Präzedenzfall für die Durchsetzungsfähigkeit der DSGVO gegenüber Plattformen in Drittstaaten gewertet. Während der Digital Services Act (DSA) und die KI-Verordnung (AI Act) der EU ebenfalls darauf abzielen, biometrische Überwachung zu regulieren, bleibt die DSGVO das primäre Instrument für den Schutz individueller Persönlichkeitsrechte.
Der Ausgang des Verfahrens wird maßgeblich bestimmen, wie deutsche und europäische Regulatoren künftig mit Unternehmen verfahren, die ihre Dienste zwar EU-Bürgern anbieten, sich aber durch Standorte in regulatorischen „Sicherheitsfhäfen“ der Verantwortung entziehen wollen. Max Schrems betonte, dass die Massenüberwachung durch Privatpersonen mittels solcher Tools in Sekundenschnelle erfolgen könne, was eine sofortige staatliche Intervention erfordere.
