Zum Inhalt springen Zur Navigation springen
Gesichtserkennungssuchmaschine: Das Ende der Anonymität?

Gesichtserkennungssuchmaschine: Das Ende der Anonymität?

Artikel von Bianca Pettinger·13. Juli 2020

Das Google der Gesichtserkennung – das polnische Start-up PimEyes – sorgt aktuell für Gänsehaut unter Datenschützern, Politikern und Betroffenen. Jeder ist identifizierbar, keiner kann sich verstecken. Doch während die Plattform ihre Spuren verwischt, gucken wir nur tatenlos zu.

900 Millionen Gesichter

Es ist ein unglaublicher Skandal, den Recherchen der Website netzpolitik.org kürzlich hierzulande offenbarten: Die polnische Gesichtserkennungssuchmaschine PimEyes durchwühlt nach Hochladen eines Fotos das Internet und soziale Medien auf der Suche nach passenden Gesichtern. Um die dubiosen Machenschaften zu verschleiern, ändert das Unternehmen fragwürdige Passagen aus ihren Online-Angeboten oder löscht diese gänzlich – aus den Augen, aus dem Sinn.

Gut möglich, dass Sie selbst schon seitens PimEyes gespeichert wurden: Auf der inzwischen nicht mehr verfügbaren Facebook-Seite gaben die Datensammler 2018 Einblicke in ihr Geschäft. Täglich würden mehr als ein Terabyte an Fotos ausgewertet. Zudem umfasse die Datenbank über 100 Millionen Gesichter. Während sich die Zahl bereits ein Jahr später laut einem Dokument der Polnischen Agentur für Unternehmensentwicklung verfünffachte, betrug sie nach Angaben der (mittlerweile um die Nennung der Summe bereinigten) PimEyes-Website im April 2020 schon 900 Millionen. Unfassbar.

PimEyes mag noch so sehr versichern, die Privatsphäre der Nutzerinnen und Nutzer schützen zu wollen – wer mit besonders großen Rabatten bei 100 Millionen Gesichtssuchanfragen pro Monat wirbt, der kann nichts Gutes im Schilde führen.

Risiken und Nebenwirkungen

Die Massensuche und –analyse von Fotos birgt enorme Risiken für jedermann – sowohl die Rechte auf informationelle Selbstbestimmung und Privatsphäre, als auch das Recht am eigenen Bild nach § 22 KUG sind betroffen.

Nun nutzen Politiker die Gunst der Stunde, um sich zu positionieren. Dagegen reiben sich autokratisch geführte Staaten, sowie Strafermittlungsbehörden bereits die Hände, erscheint die Datenbank doch zu verlockend.

Riesiges Missbrauchspotential

PimEyes führt einen umfassenden Angriff auf die Anonymität – zwar werden bei den Suchergebnissen keine Namen angeführt, der lässt sich jedoch leicht über das Vorschaubild und die Domain herausfinden, auf die PimEyes verweist. Aber auch ohne Namensangabe handelt es sich bei den Fotos um personenbezogene Daten, sobald die Person darauf von engen Bekannten identifizierbar ist.

Ob Sie gerne an regierungskritischen Demos teilnehmen oder sich vor einem Wahllokal befinden, ob Sie einer Minderheit angehören oder homosexuell sind – Jeder, der Ihr Foto in die Suchmaschine einspeist, wird Sie auf aussagekräftigen Bildern finden. Wie hoch die Treffsicherheit ist, beweist ein netzpolitik.org-Experiment: Obwohl die Screenshots die Testpersonen (94 Bundestagsabgeordnete) teils nur schräg erfassten und die Köpfe auf Briefmarkengröße geschrumpft wurden, konnte PimEyes mit Ausnahme eines einzigen Falles zu allen Personen weitere Fotos aufspüren. Gruselig.

Wer Angst davor haben muss, für sein vollkommen legitimes öffentliches Verhalten sanktioniert zu werden, der schränkt seine individuelle Freiheit ein – um nicht ins Fadenkreuz zu geraten. Jens Zimmermann (SPD) fasst die Risiken zusammen:

„Wollen wir wirklich in einer Gesellschaft leben, in der Anonymität im öffentlichen Raum de facto nicht mehr möglich ist?“

Das wollen wir nicht, denn Gefahren lauern überall: Der allzu neugierige Chef, der Bewerbungsfotos auf eine unliebsame Vergangenheit abcheckt. Pädophile, die mittels eines im Internet gefundenen Schnappschusses nach dem Profil der postenden Eltern und damit dem Wohnort eines Kindes suchen. Der wütende Exfreund, der Nacktaufnahmen der Verflossenen online stellt und dessen Rachsucht von der Verbreitung durch die Plattform profitiert. Ein Stalker, der mehr über sein Opfer herausfinden möchte.

Das ist auch der netzpolitischen Sprecherin der Linksfraktion im Bundestag, Frau Anke Domscheit-Berg, nicht geheuer:

„Die Vorstellung, dass jeder Creep in der U-Bahn mich über ein Handyfoto identifizieren und ohne große Hürden meinen Wohn- und Arbeitsort ausfindig machen kann, finde ich extrem beunruhigend.“

Das alles ist kein Albtraum, sondern (alb-)traumhafte Zukunft, je nach Perspektive: Bei Strafverfolgungsbehörden dürfte die Gesichtssuche äußerst beliebt sein. Wie sonst ist es zu erklären, dass ausgerechnet die europäische Polizeibehörde Europol zu den Kunden der schwedischen Safer Society Group zählt, in deren Software Paliscope PimEyes integriert ist? Zudem bauen die PimEyes-Gründer derzeit das Unternehmen Faceware AI auf, um kundenspezifische Gesichtserkennungssoftware für Strafverfolgungsbehörden zu entwickeln.

Auf Worte müssen Taten folgen

Es tut sich was in der deutschen Politik: Mittlerweile scheint der ein oder andere Politiker erkannt zu haben, was uns droht. Frau Anke Domscheit-Berg wandte sich direkt an den Bundesdatenschutzbeauftragten, Herrn Ulrich Kelber:

„Wenn diese App keine Rechtsgrundlage hat, wie sie die DSGVO vorschreibt, müssen daher entsprechende Sanktionen verhängt und eine Verbreitung der App schnellstmöglich unterbunden werden.“

Der digitalpolitische Sprecher der Union im Bundestag, Herr Tankred Schipanski, forderte:

„Wenn (eine Regulierung) auf Ebene der EU zeitnah nicht gelingen sollte, müssen wir hier als nationaler Gesetzgeber tätig werden.“

Ach, wie war das? Seltsam, Anfang dieses Jahres wollte der Bundesinnenminister, Herr Horst Seehofer, mit dem neuen Bundespolizeigesetz sogar noch eine automatisierte Gesichtserkennung in öffentlichen Räumen einführen. Nach Kritik zog er den Vorschlag zurück. Dauert bestimmt nicht lange und Herr Seehofer mutiert erneut zum Drehhofer.

DSGVO-Verstöße und Vertuschung

Viele der in etwa 900 Millionen durch PimEyes analysierten Gesichter dürften ohne datenschutzrechtliche Rechtsgrundlage verarbeitet worden sein, obwohl Art. 9 Abs. 1 DSGVO die Verarbeitung biometrischer Daten zur eindeutigen Identifizierung einer natürlichen Person ohne Eingreifen einer Erlaubnisnorm verbietet. An 900 Millionen Einwilligungen nach Art. 9 Abs. 2 lit. a DSGVO, die das Ganze rechtfertigen würden, glaubt kein Mensch.

PimEyes versucht es seit Bekanntwerden der netzpolitik.org-Recherchen mit Tricks: Zum einen untersage die DSGVO die Verarbeitung nur zur eindeutigen Identifizierung, PimEyes nenne aber selbst keine Namen.  Zum anderen sei die Suchmaschine dazu gedacht, lediglich das eigene Gesicht hochzuladen. Damit könne man seine Fotos im Internet finden – PimEyes als Freund und Helfer für mehr Privatsphäre, sozusagen.

Dabei ist PimEyes (fast) ein Meister der Vertuschung: So waren Nutzer bisher dazu ermuntert worden, Bilder von Fremden hochzuladen, denn noch vor Kurzem befand sich auf der Startseite der Vorschlag, mit Hilfe der Software nach Aufnahmen Prominenter zu suchen. Ein Werbeclip auf YouTube, der die Suche nach Johnny Depp zeigte, verschwand spurlos.

Ebenso merkwürdig ist der Umgang mit dem Dienst „Catfished“, den die PimEyes-Gründer entwickelten. Darin wurde unter anderem damit geworben, mehr über den Schwarm herausfinden zu können. Angeblich sei das Projekt tot, nie veröffentlicht worden. Die Website war jedoch voll funktionsfähig, inklusive Datenschutzerklärung – und verschwand erst nach der Anfrage von netzpolitik.org.

Es ist keine lange Suche notwendig, um auf weitere Ungereimtheiten zu stoßen: Weshalb können Premiumkunden einen E-Mail-Alert für 25 unterschiedliche Gesichter setzen? Haben die mehr als eines? Wieso gibt es Bezahlmodelle für millionenfache Massenabfragen, wenn man sowieso nur sein eigenes Gesicht suchen darf?

Gesichtserkennung in der bisherigen Praxis

Gesichtserkennungssoftware ist ein Datenschutz-Dauerbrenner – alle paar Monate kommt er wieder um die Ecke. Das Ergebnis bleibt jedes Mal dasselbe: Datenschutzrechtlich ist es Murks.

Clearview AI

Drei Milliarden Bilder sammelte die Datenbank des Unternehmens Clearview AI. Ja, Sie haben richtig gelesen. Und Clearview AI ist weiterhin – wenn auch eingeschränkt – aktiv. Eine dem Unternehmen Anfang des Jahres abhanden gekommene Kundenliste zeigt – die Gesichts-Datenbank wird hauptsächlich von Strafverfolgungsbehörden genutzt. Keine Angst: Für einen Einsatz durch europäische Strafverfolgungsbehörden sieht der Europäische Datenschutzausschuss keine rechtliche Grundlage.

Worin liegt der Unterschied zu PimEyes? Nun, PimEyes kann jeder nutzen, nicht nur Unternehmen, Regierungen und Ermittler: Ab auf die Website, Foto hochladen, fertig. Das Missbrauchspotential ist daher höher.

IBM – alles nur Marketing?

Kürzlich kündigte IBM an, keine Gesichtserkennungssoftware mehr anbieten zu wollen – diese diene der Massenüberwachung, rassistischen Behördenkontrollen (Racial Profiling) und der Verwirklichung von Menschenrechtsverletzungen.

Marketing ist alles: Der wahre Grund, weshalb IBM sich von der Gesichtserkennungstechnik verabschiedet, dürfte wohl eher darin liegen, dass IBM keine großen Umsätze damit gemacht hat. Ethische Bedenken spielen stets nur dann eine Rolle, wenn sie einem zum Vorteil gereichen.

Facebook darf nicht fehlen

Wo Daten gesammelt werden, ist Facebook nicht weit: Mittlerweile bietet Facebook zwar Gesichtserkennung an, die Funktion ist jedoch standardmäßig ausgeschaltet.

Google sorgt für einen Eklat

Google dagegen scheint Probleme mit der Gesichtserkennung zu haben. Google Fotos ordnete 2015 dunkelhäutige Menschen automatisch dem Schlagwort „Gorilla“ zu. Unfassbar. Zuvor seien Menschen, egal welcher Hautfarbe, schon als Hunde einsortiert worden.

Interesse besteht auch hierzulande

Deutsche Behörden sind auch hier nicht abgeneigt: In der Polizeidatenbank INPOL finden sich Lichtbilder zu ca. 3,65 Millionen Menschen. Erinnert sei auch an die biometrische Datenbank der Hamburger Polizei im Zusammenhang mit den G20-Gipfel-Demos und -Konflikten, die eine sechsstellige Zahl von Personen erfasse – größtenteils völlig Unschuldige.

Bald wird es zu spät sein

Wenn wir – die Politik, Aufsichtsbehörden, aber auch jeder Einzelne von uns – nicht bald etwas tun, wird es zu spät sein. Plattformen wie PimEyes sind kein vorübergehendes Phänomen. Wird ein Gesichtserkennungsdienst eingestampft, sprießt der nächste schon empor. Der erste Schritt zur Massenüberwachung ist längst getan. Es ist an der Zeit, die DSGVO effektiv umzusetzen. Die Kontrolleure dürfen nicht künstlich kleingehalten werden. Gleichzeitig müssen wir lernen, über die Konsequenzen unseres naiven Online-Verhaltens nachzudenken: Fotos sind privat. Das sollten sie bleiben. Liebe EU, Zeit zu handeln!

Mehr zum Thema
Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2024B“ erhalten Sie 10% Rabatt, gültig bis zum 30.06.2024.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.