Die datenschutzrechtliche Bewertung biometrischer Suchmaschinen beschäftigt Aufsichtsbehörden bereits seit mehreren Jahren. Nun rückt ein Fall der Hamburger Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) in den Fokus. Die Datenschutzorganisation noyb hat nach aktueller Pressemitteilung Klage gegen die Behörde erhoben, weil diese eine Beschwerde gegen den Anbieter PimEyes nicht weiterverfolgt haben soll. Der Fall wirft grundlegende Fragen zur Reichweite aufsichtsbehördlicher Pflichten und zum Umgang mit biometrischer Gesichtserkennung im Internet auf.
Wer oder was ist „PimEyes“?
PimEyes betreibt eine Gesichtssuchmaschine, die öffentlich im Internet verfügbare Fotos automatisiert erfasst und biometrisch analysiert. Nutzer können ein Bild einer Person hochladen und erhalten anschließend Trefferlisten mit ähnlichen oder identischen Gesichtern aus Online-Quellen. Technisch basiert der Dienst auf Verfahren zur biometrischen Mustererkennung.
Datenschutzrechtlich ist dies besonders sensibel, weil biometrische Daten nach Art. 9 DSGVO grundsätzlich zu den besonders geschützten Kategorien personenbezogener Daten zählen. Die Verarbeitung solcher Daten ist nur unter engen Voraussetzungen zulässig. Kritiker bezweifeln seit längerem, dass PimEyes hierfür über eine tragfähige Rechtsgrundlage verfügt.
Warum erhebt nyob Klage?
Die Organisation noyb („None of Your Business“) wurde von dem Datenschutzaktivisten Max Schrems gegründet und führt regelmäßig Verfahren gegen Unternehmen und Behörden im Datenschutzkontext. Ziel der Organisation ist es, datenschutzrechtliche Vorgaben gerichtlich durchzusetzen und die Anwendung der DSGVO zu überprüfen.
Nach Angaben der Organisation wurde bereits im Jahr 2020 eine Beschwerde gegen PimEyes beim HmbBfDI eingereicht.
Noyb wirft der Behörde vor, über Jahre hinweg keine wirksamen Maßnahmen gegen die Verarbeitung personenbezogener Daten ergriffen und das Verfahren schließlich eingestellt zu haben.
Die Behörde soll in der Begründung ihrer Entscheidung zugestanden, dass das Unternehmen zwar rechtswidrig agiere und Auskunfts- und Löschanfragen hätte beantworten müssen, gleichzeitig aber auch darauf hingewiesen haben, dass das Unternehmen seinen Hauptsitz in Dubai habe und nicht auf Anfragen seitens der Behörde reagiere. Sie habe daher entschieden, abgesehen von einem Versand eines Informationsschreibens nicht weiter tätig zu werden.
Gegen die diese Einstellung geht noyb nun gerichtlich vor.
Worauf stützt noyb die Klage?
noyb hält das Vorgehen der Behörde für rechtswidrig und sieht insbesondere die Pflicht zur effektiven Bearbeitung von Beschwerden verletzt. Nach Auffassung der Organisation genügt es nicht, ein Verfahren ohne weitergehende aufsichtsrechtliche Maßnahmen einzustellen, wenn weiterhin umfangreiche biometrische Verarbeitungen stattfinden.
Die Organisation ist der Ansicht, dass die Hamburger Datenschutzbehörde effektiv gegen PimEyes vorgehen sollte. Dies sei auch bei Verantwortlichen aus Drittstaaten möglich. So hätte sie Gelder in Europa einfrieren können, PimEyes-Dienstleister zur Datenlöschung verpflichtet können oder Maßnahmen direkt gegen den georgischen Geschäftsführer verhängt können.
Sollte die Klage erfolgreich sein, müsste die Behörde erneut über die ursprüngliche Beschwerde entscheiden und voraussichtlich Maßnahmen treffen, die effektive Abhilfe schaffen.
Die Klage richtet sich damit weniger unmittelbar gegen das Vorgehen von PimEyes selbst als gegen die behördliche Untätigkeit. Im Kern geht es um die Frage, welchen Umfang die Prüf- und Eingriffspflichten einer Datenschutzaufsichtsbehörde nach der DSGVO haben.
Was passiert als nächstes?
Nach den veröffentlichten Informationen wurde die Klage vor dem Verwaltungsgericht Hamburg erhoben. Dort soll nun überprüft werden, ob der HmbBfDI seiner aufsichtsrechtlichen Verantwortung ausreichend nachgekommen ist und ob die Einstellung des Beschwerdeverfahrens rechtmäßig war.
Die Entscheidung könnte über den konkreten Einzelfall hinaus Bedeutung entfalten. Insbesondere dürfte relevant werden, welche Anforderungen Gerichte künftig an die Effektivität datenschutzrechtlicher Aufsicht bei komplexen internationalen Sachverhalten stellen.
Fazit
Der Streit um PimEyes verdeutlicht erneut die datenschutzrechtlichen Herausforderungen biometrischer Technologien. Gleichzeitig rückt der Fall die Rolle der Aufsichtsbehörden selbst in den Mittelpunkt. Die Klage von noyb richtet sich nicht nur gegen eine konkrete Datenverarbeitung, sondern auch gegen die Frage, wie aktiv Datenschutzbehörden bei potenziell besonders eingriffsintensiven Technologien einschreiten müssen.
Er zeigt auch ein strukturelles Problem der grenzüberschreitenden Datenschutzaufsicht: Verfahren ziehen sich über Jahre hin, während die beanstandeten Verarbeitungen fortgeführt werden.
Das Verfahren vor dem Verwaltungsgericht Hamburg dürfte daher auch für künftige Beschwerden gegen KI-gestützte Identifizierungs- und Überwachungssysteme von erheblicher Bedeutung sein.
Die Entscheidung des Gerichts bleibt abzuwarten.
NIS-2 jetzt umsetzen
KINAST Informationssicherheitsberatung für NIS-2-regulierte Einrichtungen
Ganzheitliche Beratung zu Cybersicherheit, Risikomanagement, Incident Response und regulatorischer Umsetzung.
