Ihr Gesicht wird zum Suchbegriff. Ein einzelnes Selfie reicht, und Algorithmen verknüpfen Profile, Fotos und Orte, die Sie nie miteinander verbunden hätten.
Genau so funktionieren frei zugängliche Gesichts-Suchmaschinen: Ein Bild genügt, und die Software folgt Ihrem Gesicht quer durchs Internet. Aus verstreuten Bildspuren wird ein eindeutiger Identifikator. Wer so sucht, findet nicht nur Bilder, sondern Menschen.
Inhalt
Worum geht es?
PimEyes ist einer der bekanntesten öffentlich zugänglichen Gesichtssuchmaschinen. Daneben gibt es noch weitere, für jedermann zugängliche Angebote wie: FaceCheck.ID, Search4Faces sowie andere wechselnde Dienste mit Abo Modellen.
Gesichtssuchmaschinen kehren die Logik der Bildersuche um: Nicht die Datei steht im Mittelpunkt, sondern das Gesicht der Person. Wer ein Foto hochlädt, veranlasst die Software, daraus eine numerische Merkmalsdarstellung, also einen „Gesichtsabdruck“ (technisch: Face Embedding), zu bilden und mit einem großen Index frei erreichbarer Webbilder zu vergleichen. Die Trefferliste zeigt Aufnahmen, auf denen dieselbe Person mit hoher Wahrscheinlichkeit erneut erscheint, selbst bei anderer Beleuchtung, Kamera, Perspektive oder Zuschnitt.
Damit unterscheidet sich die Gesichts-Suche grundlegend von der klassischen Reverse-Bildsuche, die vor allem auf Pixelähnlichkeit abstellt und dadurch identische oder sehr ähnliche Dateien findet. Bei der Gesichts-Suche geht es um Wiedererkennung über Kontexte hinweg: ein Selfie wird zum Schlüssel, der weitere Fundstellen desselben Gesichts in ansonsten unverbundenen Ecken des Netzes öffnet. Anbieter bewerben das als Selbstschutz („Finde, wo dein Gesicht auftaucht“) und versprechen Recherche in überwiegend offenen Webquellen. Aber praktisch bedeutet es gleichzeitig eine personengebundene Verknüpfung über Plattformen und Jahre hinweg.
Die Einsatzfelder reichen von harmlosen Recherchen bis zu heiklen Szenarien: Re-Identifikation unter Pseudonym, Doxing, Stalking, Profilbildung zwischen privatem und beruflichem Umfeld. Genau hier beginnt der rechtliche Teil der Geschichte: Wer so identifiziert, verarbeitet regelmäßig biometrische Daten, eine besonders sensible Kategorie mit strengen Hürden nach der DSGVO.
Gesichtssuche ist nicht gleich Bildersuche
Bildersuche findet Dateien zu einem Begriff. Gesichtssuche findet die Orte, an denen Ihr Gesicht auftaucht. Rechtlich entscheidend: Gesichtssuche nutzt regelmäßig biometrische Merkmale (Art. 9 DSGVO), also sensible Daten, deren Verarbeitung nur unter engen Voraussetzungen zulässig ist.
Tipp: Wenn sensible Inhalte in der Bildersuche erscheinen (z. B. intime Fotos), können Sie eine Auslistung beantragen. Den Hintergrund und wie dies funktioniert, erfahren Sie hier: Intime Fotos in der Bildersuche: Klage gegen Google – Schritt-für-Schritt Leitfaden zu Art. 17 DSGVO
Rechtsrahmen
Die DSGVO schützt biometrische Daten besonders streng. Ein normales Foto ist zunächst unkritisch. Kritisch kann es werden, wenn Software daraus einen „Gesichtsabdruck“ berechnet, um Menschen eindeutig wiederzuerkennen. Und: Nur weil Bilder öffentlich auffindbar sind, sind sie nicht zwangsläufig zur freien Nutzung freigegeben.
Für Gesichtssuchmaschinen gelten damit zwei Hürden gleichzeitig:
- eine allgemeine Rechtsgrundlage (Art. 6 DSGVO) und
- eine Sondererlaubnis für biometrische Daten (Art. 9 DSGVO).
Das ist der Punkt, an dem die meisten Modelle scheitern: Eine bloße Interessenabwägung („berechtigtes Interesse“) reicht bei besonderen Daten nicht. Und eine ausdrückliche Einwilligung aller abgebildeten Personen ist in der Praxis kaum darstellbar, wenn Millionen frei zugänglicher Bilder automatisiert durchsucht werden. Öffentliche Auffindbarkeit ist außerdem keine Freikarte: Nur weil ein Foto im Netz steht, ist es nicht zur biometrischen Wiedererkennung freigegeben.
Hinzu kommt die Rechenschaftspflicht: Wer biometrische Identifizierung plant oder einkauft, muss gem. Art. 25 DSGVO von Anfang an Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen nachweisen, transparent informieren und Grenzen festlegen (Zweck, Speicherfristen, Zugriff). Häufig gehört auch eine Datenschutz-Folgenabschätzung (DSFA) dazu, d.h. eine strukturierte Risikoprüfung vor dem Start: Wofür genau brauchen wir das? Welche Alternativen gibt es ohne Biometrie? Welche Missbrauchsrisiken bestehen und wie werden sie kontrolliert (Protokolle, Vier-Augen-Prinzip, „Mensch im Loop“)? Welche Schäden drohen? Und so weiter.
Noch ein oft übersehener Punkt: Die sog. "Haushaltsausnahme" hilft selten. Wer ausschließlich privat im engsten Familien- und Freundeskreis handelt, fällt zwar in der Regel nicht unter die DSGVO. Aber Plattformen, Anbieter und auch Nutzer, die Gesichter außerhalb dieses engen Rahmens systematisch identifizieren, sind davon nicht erfasst. Spätestens ab dem Moment, in dem fremde Personen betroffen sind oder Ergebnisse verbreitet werden, greift die DSGVO vollständig.
Merksatz
Biometrie ist Hochrisiko. Ohne ausreichende Rechtsgrundlage und Sondererlaubnis, ohne DSFA und harte Schutzmaßnahmen bleibt die Gesichts-Suche im roten Bereich.
Praxis: Wie wird damit (derzeit) umgegangen?
In der Wirklichkeit treffen drei Aspekte aufeinander: Anbieter vermarkten Gesichts-Suche als Selbstschutz. Aufsichtsbehörden ziehen enge Grenzen. Und öffentliche Stellen ringen um die Frage, was rechtlich tragfähig ist, vor allem bei Polizei-Anwendungen.
- Anbieter: Dienste wie beispielweise PimEyes funktionieren niedrigschwellig: Foto hochladen, Trefferliste erhalten, optional ein Opt-out beantragen. Dieses Opt-out löscht keine Bilder im Netz, sondern nur die Anzeige im jeweiligen Dienst. Zur Verifikation verlangen Anbieter meist ein aktuelles Selfie und Ident-Nachweise; daneben werben sie mit Abo-Paketen und Zusatzfunktionen. Was selten offen gesagt wird: Nicht jeder Upload stammt vom Berechtigten. In der Realität suchen auch Dritte, und genau dort entsteht Missbrauchspotenzial.
- Aufsicht: Die Linie der Behörde ist klar: „Öffentlich auffindbar“ ist keine Freikarte für biometrische Identifizierung. Verfahren gegen einzelne Anbieter (LfDI Baden-Württemberg hat gegen PimEyes ein Bußgeldverfahren eröffnet) drehen sich regelmäßig um fehlende Rechtsgrundlagen, mangelnde Transparenz, Zweckverfehlung und fehlende Schutzmaßnahmen. Die Botschaft ist deutlich: Wer Gesichter massenhaft crawlt und identifiziert, trägt die volle DSGVO-Last, inklusive Dokumentation, DSFA und technischer Sicherungen. Die grundsätzliche Praxis der Aufsichtsbehörden ist damit gesetzt, auch wenn einzelne Verfahren noch laufen. Beispielsweise belegte die italienische Aufsichtsbehörde Clearview AI mit einem Bußgeld i.H.v. 20 Mio. € (siehe Bericht) und untersagte die weitere Verarbeitung. Dies sind deutliche Warnsignale für das massenhafte Einsammeln und Abgleichen von Gesichtern.
- Öffentliche Stellen: Am schärfsten ist die Debatte beim polizeilichen Einsatz, insbesondere bei Live-Erkennung. Rechtlich treffen hier hohe Eingriffstiefen auf mitunter dünne Grundlagen. Analysen und Stellungnahmen kommen seit Jahren zur gleichen Tendenz: Ohne klare gesetzliche Basis bleibt der produktive Einsatz in Deutschland unzulässig. Testläufe und Pilotprojekte sorgen daher regelmäßig für Kritik der Aufsicht und für Zurückhaltung in der Praxis.
Der Markt drängt, die Aufsicht bremst, der AI Act (EU KI-Verordnung) setzt eine klare rote Linie. Für Betroffene bleibt das Opt-out ein Pflaster, jedoch kein Heilmittel. Für Unternehmen und Behörden gilt: Ohne tragfähige DSGVO-Grundlage, DSFA und Alternativen ohne Biometrie sind datenschutzrechtliche Grenzen schnell erreicht.
Risiken und Hintergründe
Ein privates Foto kann – durch Gesichtssuchdienste – zum Identifikator werden, der über Plattformen, Kontexte und Jahre hinweg Verknüpfungen erleichtert. Das ist bequem für Suchende, birgt aber Risiken für Betroffene, u. a. Fehlzuordnungen (False Positives).
Der rechtliche Schutz ist da, aber setzt Eigeninitiative voraus. Wer betroffen ist, sollte Screenshots sichern, falls notwendig parallele Anfragen stellen (Auskunft, Löschung, Widerspruch) und bei Bedarf die Aufsichtsbehörde einschalten. Ein Opt-out kann helfen, ersetzt aber keine Löschung. Auch die Auslistung bei Suchmaschinen bleibt sinnvoll, vor allem bei sensiblen Inhalten.
Was heißt eigentlich „Opt-out“?
Kurz gesagt: Opt-out heißt, dass ein Verarbeitungsvorgang standardmäßig aktiv ist und die betroffene Person aktiv widersprechen/abbestellen muss, wenn sie dies nicht will. Das Gegenteil des Opt-outs ist ein "Opt-in", das heißt die Verarbeitung ist erst aktiv, wenn man einwilligt.
Übertragen auf Gesichtssuche bedeutet dies Folgendes: Ein Opt-out ist der Antrag, bestimmte personenbezogene Inhalte nicht mehr in den Ergebnislisten eines einzelnen Dienstes anzuzeigen. Das betrifft ausschließlich die Darstellung beim jeweiligen Anbieter. Die Inhalte selbst bleiben weiterhin online, sofern sie nicht separat gelöscht wurden. Andere Suchmaschinen oder Dienste können die gleichen Bilder weiter anzeigen.
Ein Opt-out ersetzt daher keine Löschung, sondern wirkt nur punktuell auf die Anzeige innerhalb eines konkreten Dienstes.
Fazit
„Gesicht = Suchbegriff“ ist technisch schnell umgesetzt, rechtlich schwer und für Betroffene folgenschwer. Vor diesem Hintergrund ist der Einsatz von Gesichtssuchmaschinen ist mit hohen datenschutzrechtlichen Anforderungen verbunden und setzt robuste technische und organisatorische Schutzmaßnahmen voraus.
Wer nicht gefunden werden will, hat korrespondierende Rechte und sollte sie nutzen.
Wenn Sie betroffen sind, prüfen wir Ihren Fall und unterstützen Sie bei der Geltendmachung Ihrer Rechte, insbesondere bei Auslistungsanträgen, Löschungsverlangen und Opt-out-Verfahren. Auch bei wiederholten Treffern oder internationalen Anbietern begleiten wir das abgestimmte Vorgehen gegenüber Plattform, Suchmaschine und Host. Melden Sie sich über das Kontaktformular oder telefonisch bei uns!
Sind Sie der Anbieter von entsprechenden Diensten und benötigen rechtliche Unterstützung? Wir beraten Sie gern zu den Anforderungen der DSGVO, KI-VO & Co.
Hinweis: Dieser Blogbeitrag ersetzt keine Rechtsberatung.
Werkstudentin Legal bei der Doğan | Pfahler Rechtsanwälte GbR
Rechtsanwalt und Fachanwalt für Informationstechnologierecht (IT-Recht)
Partner bei der Doğan | Pfahler Rechtsanwälte GbR
