face recognition
face recognition
Bildquelle: Maksim Chernishev, thx!, Lizenz

PimEyes – eine gefährliche Gesichts-Suchmaschine

PimEyes. Die New York Times bestätigt mit aktuellen Tests, wie gefährlich dieser kostenpflichtige wie umstrittene Online-Dienst wirklich ist.

Ob das Angebot von PimEyes in Europa legal ist, bleibt weiter umstritten. Die Bildersuchmaschine mit integrierter Gesichtserkennung sucht das Internet nach allen verfügbaren Fotos ab. Es kann die Fotos einzelnen Personen mit hoher Genauigkeit zuordnen. Man selbst sieht sich als reinen und somit neutralen „Tool-Anbieter„.

PimEyes floh auf die Seychellen

Nachdem europäische Datenschutzbeauftragte anfingen, drängende Fragen an den einst polnischen Anbieter zu schicken, eröffnete man einen Briefkasten auf den Seychellen. Sitz der Face Recognition Solutions Ltd. ist jetzt House of Francis, Room 303, Ile Du Port, Mahe auf den Seychellen. Die beiden wichtigsten Entwickler leben und arbeiten wahrscheinlich weiterhin in Polen. Doch der Wechsel des Sitzes geschah ganz eindeutig, um gültigem EU-Recht zu entrinnen.

Hintergrund. PimEyes ist ein kostenpflichtiger Dienst, der Fotos einer Person aus dem gesamten Internet findet. Darunter übrigens auch solche, die die betroffene Person vielleicht gar nicht veröffentlicht sehen möchte. PimEyes durchsucht dabei auch öffentlich einsehbare Datenbanken und PDF-Dokumente. Vor ein paar Monaten hat man die Preise für die Zugänge um fast ein Drittel erhöht. Die bisherige Berichterstattung trug mit Sicherheit zur Preissteigerung bei. Monatlich kostet der Open Plus Plan 34,44 Euro. Dafür darf man pro Tag 25 Fotos hochladen, um die Personen im Web zu suchen und zu identifizieren.

Schon die Bilder-Rückwärtssuche von TinEye, ein kostenloser Konkurrent, der keine Gesichtserkennung integriert hat, ist erschreckend genau. PimEyes ist noch viel weiter entwickelt. Die Rückwärtssuche im Web dauert auch dort nur wenige Sekunden. Laut der NYT bringt es nichts, eine Sonnenbrille zu tragen oder auf dem Foto das Gesicht zum großen Teil weggedreht zu haben. Bei einem Test fand die Redaktion der New York Times Fotos von Redakteuren, die sie selbst noch nie zu Gesicht bekommen haben. Im Unterschied zu Clearview AI, einem vergleichbarn Gesichtserkennungs-Dienst, der nur für Strafverfolgungsbehörden verfügbar war, greift PimEyes nicht mehr auf Social-Media-Quellen zu. Nur wenige Treffer der Rückwärtssuche waren falsch, darunter solche von Streaming-Portalen mit explizit pornografischen Inhalten.

Die meisten Treffer waren beim Test korrekt

Unter den Kunden sind Personen, die PimEyes missbrauchen, um die Identität von lästigen Personen auf Twitter ausfindig zu machen oder die nach expliziten Fotos aus ihrem Bekanntenkreis suchen. Zu welchem Zweck, ist nicht bekannt. Der aktuelle Eigentümer, Giorgi Gobronidze, bezeichnet PimEyes als Werkzeug für das Gute. Es würde den Menschen dabei helfen, ihren Ruf im Web im Auge zu behalten. In einem Gespräch sagte er, er verlasse sich darauf, dass seine Kunden sein Online-Tool „ethisch“ korrekt einsetzen würden. Doch es kontrolliert niemand, ob man nach seinem eigenen Gesicht oder dem einer fremden Person sucht. Ella Jakubowska von der Datenschutz-NGO European Digital Rights (EDRi) bezeichnet PimEyes hingegen als reine „StalkerWare„.

Im Jahr 2017 nahm Gobronidze an einem Austauschprogramm teil und unterrichtete an einer Universität in Polen. Einer seiner Studenten stellte ihm zwei „Hacker“ namens Lucasz Kowalczyk und Denis Tatina vor. Diese arbeiteten schon damals an einer eigenen Online-Suchmaschine für Gesichter. Sie waren „brillante Vordenker„, sagte der Student, aber „absolute Introvertierte„, die nicht an öffentlicher Aufmerksamkeit interessiert waren. Aus ihrem Projekt entstand später PimEyes. Ihre Suchmaschine arbeitet mithilfe neuronaler Netze, die Merkmale eines Gesichts abbildet, um es mit Gesichtern mit ähnlichen biometrischen Eigenschaften abzugleichen. Das Programm ist sogar dazu in der Lage, diese Angleichung eigenständig zu optimieren. Für Gobronidze klangen die Pläne der beiden polnischen Studenten wie Motive aus einem Science-Fiction Roman.

Hat PimEyes oder wir das Recht am eigenen Bild?

Die alles entscheidende Frage ist, ob wir als Personen ein Recht auf die Kontrolle der Fotos haben, auf denen wir zu sehen sind. Denn wer bei PimEyes nicht gefunden werden will, wird zur Kasse gebeten. Für den Schutz vor einer Aufdeckung der eigenen Identität verlangt das Unternehmen eine monatliche Gebühr. Der PROtect Plan fängt bei 91.84 Euro monatlich an. Abzüglich eines Nachlasses will PimEyes pro Jahr 920.27 € dafür in Rechnung stellen. Gerechtfertigte Gebühr oder gar Online-Erpressung? Das ist hier die Frage.

Mit dem PROtect-Dienst erhält man zudem die Hilfe von PimEyes-Support-Mitarbeitern bei der Entfernung von Fotos von externen Websites. Auf Anfrage der NYT gab der CEO bekannt, es gebe zudem ein kostenloses Tool zur Löschung von Ergebnissen. Doch das muss man erst mal finden, so schlecht auffindbar dieses auf ihrer Website untergebracht wurde. Zufall oder Absicht?

pimeyes

Wer verhindern will, dass die eigenen Fotos zugeordnet werden können, muss dem Unternehmen Kopien des Ausweises zuschicken. Tja, oder eben bezahlen, denn PimEyes löscht sonst nur die Verbindung zu diesem einen Foto und nicht zu allen, die der Dienst schon im Internet ausfindig gemacht hat. Und PimEyes ist ja nur eine Firma von vielen. Bleibt fraglich, wie viel man bezahlen muss, um all diese Unternehmen für eine begrenzte Zeit dazu zu bekommen, online nicht mehr auffindbar zu sein. Die Liste der Konkurrenten ist lang, nur finden sie unterschiedlich viele Fotos bzw. können die Fotos teilweise sehr viel schlechter der Identität eines Menschen zuordnen.

Eine deutsche Datenschutzbehörde kündigte 2021 eine Untersuchung gegen PimEyes wegen möglicher Verstöße gegen das europäische Datenschutzrecht an. Es geht konkret um den überaus lockeren Umgang des Unternehmens mit den biometrischen Daten von unzähligen EU-Bürgern.

Wer vergessen werden will, muss bezahlen!

CEO Gobronidze behauptet, er habe diesbezüglich noch gar keine Mitteilung erhalten. Er würde sich deswegen auch keine Sorgen machen. Das Unternehmen speichere keine Fotos oder individuelle Gesichtsvorlagen, sondern nur die URLs für einzelne Bilder, die mit den darin enthaltenen Gesichtsmerkmalen verknüpft sind. Das Material sei sowieso öffentlich. PimEyes weise die Nutzer außerdem an, nur nach ihren eigenen Gesichtern zu suchen. Ob dieser architektonische Unterschied für die Aufsichtsbehörden von Bedeutung ist, müssen sie noch klären.

Tarnkappe.info


Lars Sobiraj

Über

Lars Sobiraj fing im Jahr 2000 an, als Quereinsteiger für verschiedene Computerzeitschriften tätig zu sein. 2006 kamen neben gulli.com noch zahlreiche andere Online-Magazine dazu. Er ist der Gründer von Tarnkappe.info. Außerdem bringt Ghandy, wie er sich in der Szene nennt, seit 2014 an verschiedenen Hochschulen und Fortbildungseinrichtungen den Teilnehmern bei, wie das Internet funktioniert.