PimEyes – eine gefährliche Gesichts-Suchmaschine

27.5.22 13:34 von Lars Sobiraj Lesezeit: 6 Min.

PimEyes. Die New York Times bestätigt mit aktuellen Tests, wie gefährlich dieser kostenpflichtige wie umstrittene Online-Dienst wirklich ist.

Ob das Angebot von PimEyes in Europa legal ist, bleibt weiter umstritten. Die Bildersuchmaschine mit integrierter Gesichtserkennung sucht das Internet nach allen verfügbaren Fotos ab. Es kann die Fotos einzelnen Personen mit hoher Genauigkeit zuordnen. Man selbst sieht sich als reinen und somit neutralen „Tool-Anbieter„.

PimEyes floh auf die Seychellen

Nachdem europäische Datenschutzbeauftragte anfingen, drängende Fragen an den einst polnischen Anbieter zu schicken, eröffnete man einen Briefkasten auf den Seychellen. Sitz der Face Recognition Solutions Ltd. ist jetzt House of Francis, Room 303, Ile Du Port, Mahe auf den Seychellen. Die beiden wichtigsten Entwickler leben und arbeiten wahrscheinlich weiterhin in Polen. Doch der Wechsel des Sitzes geschah ganz eindeutig, um gültigem EU-Recht zu entrinnen.

Hintergrund. PimEyes ist ein kostenpflichtiger Dienst, der Fotos einer Person aus dem gesamten Internet findet. Darunter übrigens auch solche, die die betroffene Person vielleicht gar nicht veröffentlicht sehen möchte. PimEyes durchsucht dabei auch öffentlich einsehbare Datenbanken und PDF-Dokumente. Vor ein paar Monaten hat man die Preise für die Zugänge um fast ein Drittel erhöht. Die bisherige Berichterstattung trug mit Sicherheit zur Preissteigerung bei. Monatlich kostet der Open Plus Plan 34,44 Euro. Dafür darf man pro Tag 25 Fotos hochladen, um die Personen im Web zu suchen und zu identifizieren.

Schon die Bilder-Rückwärtssuche von TinEye, ein kostenloser Konkurrent, der keine Gesichtserkennung integriert hat, ist erschreckend genau. PimEyes ist noch viel weiter entwickelt. Die Rückwärtssuche im Web dauert auch dort nur wenige Sekunden. Laut der NYT bringt es nichts, eine Sonnenbrille zu tragen oder auf dem Foto das Gesicht zum großen Teil weggedreht zu haben. Bei einem Test fand die Redaktion der New York Times Fotos von Redakteuren, die sie selbst noch nie zu Gesicht bekommen haben. Im Unterschied zu Clearview AI, einem vergleichbarn Gesichtserkennungs-Dienst, der nur für Strafverfolgungsbehörden verfügbar war, greift PimEyes nicht mehr auf Social-Media-Quellen zu. Nur wenige Treffer der Rückwärtssuche waren falsch, darunter solche von Streaming-Portalen mit explizit pornografischen Inhalten.

Die meisten Treffer waren beim Test korrekt

Unter den Kunden sind Personen, die PimEyes missbrauchen, um die Identität von lästigen Personen auf Twitter ausfindig zu machen oder die nach expliziten Fotos aus ihrem Bekanntenkreis suchen. Zu welchem Zweck, ist nicht bekannt. Der aktuelle Eigentümer, Giorgi Gobronidze, bezeichnet PimEyes als Werkzeug für das Gute. Es würde den Menschen dabei helfen, ihren Ruf im Web im Auge zu behalten. In einem Gespräch sagte er, er verlasse sich darauf, dass seine Kunden sein Online-Tool „ethisch“ korrekt einsetzen würden. Doch es kontrolliert niemand, ob man nach seinem eigenen Gesicht oder dem einer fremden Person sucht. Ella Jakubowska von der Datenschutz-NGO European Digital Rights (EDRi) bezeichnet PimEyes hingegen als reine „StalkerWare„.

Im Jahr 2017 nahm Gobronidze an einem Austauschprogramm teil und unterrichtete an einer Universität in Polen. Einer seiner Studenten stellte ihm zwei „Hacker“ namens Lucasz Kowalczyk und Denis Tatina vor. Diese arbeiteten schon damals an einer eigenen Online-Suchmaschine für Gesichter. Sie waren „brillante Vordenker„, sagte der Student, aber „absolute Introvertierte„, die nicht an öffentlicher Aufmerksamkeit interessiert waren. Aus ihrem Projekt entstand später PimEyes. Ihre Suchmaschine arbeitet mithilfe neuronaler Netze, die Merkmale eines Gesichts abbildet, um es mit Gesichtern mit ähnlichen biometrischen Eigenschaften abzugleichen. Das Programm ist sogar dazu in der Lage, diese Angleichung eigenständig zu optimieren. Für Gobronidze klangen die Pläne der beiden polnischen Studenten wie Motive aus einem Science-Fiction Roman.

Hat PimEyes oder wir das Recht am eigenen Bild?

Die alles entscheidende Frage ist, ob wir als Personen ein Recht auf die Kontrolle der Fotos haben, auf denen wir zu sehen sind. Denn wer bei PimEyes nicht gefunden werden will, wird zur Kasse gebeten. Für den Schutz vor einer Aufdeckung der eigenen Identität verlangt das Unternehmen eine monatliche Gebühr. Der PROtect Plan fängt bei 91.84 Euro monatlich an. Abzüglich eines Nachlasses will PimEyes pro Jahr 920.27 € dafür in Rechnung stellen. Gerechtfertigte Gebühr oder gar Online-Erpressung? Das ist hier die Frage.

Mit dem PROtect-Dienst erhält man zudem die Hilfe von PimEyes-Support-Mitarbeitern bei der Entfernung von Fotos von externen Websites. Auf Anfrage der NYT gab der CEO bekannt, es gebe zudem ein kostenloses Tool zur Löschung von Ergebnissen. Doch das muss man erst mal finden, so schlecht auffindbar dieses auf ihrer Website untergebracht wurde. Zufall oder Absicht?

Wer verhindern will, dass die eigenen Fotos zugeordnet werden können, muss dem Unternehmen Kopien des Ausweises zuschicken. Tja, oder eben bezahlen, denn PimEyes löscht sonst nur die Verbindung zu diesem einen Foto und nicht zu allen, die der Dienst schon im Internet ausfindig gemacht hat. Und PimEyes ist ja nur eine Firma von vielen. Bleibt fraglich, wie viel man bezahlen muss, um all diese Unternehmen für eine begrenzte Zeit dazu zu bekommen, online nicht mehr auffindbar zu sein. Die Liste der Konkurrenten ist lang, nur finden sie unterschiedlich viele Fotos bzw. können die Fotos teilweise sehr viel schlechter der Identität eines Menschen zuordnen.

Eine deutsche Datenschutzbehörde kündigte 2021 eine Untersuchung gegen PimEyes wegen möglicher Verstöße gegen das europäische Datenschutzrecht an. Es geht konkret um den überaus lockeren Umgang des Unternehmens mit den biometrischen Daten von unzähligen EU-Bürgern.

Wer vergessen werden will, muss bezahlen!

CEO Gobronidze behauptet, er habe diesbezüglich noch gar keine Mitteilung erhalten. Er würde sich deswegen auch keine Sorgen machen. Das Unternehmen speichere keine Fotos oder individuelle Gesichtsvorlagen, sondern nur die URLs für einzelne Bilder, die mit den darin enthaltenen Gesichtsmerkmalen verknüpft sind. Das Material sei sowieso öffentlich. PimEyes weise die Nutzer außerdem an, nur nach ihren eigenen Gesichtern zu suchen. Ob dieser architektonische Unterschied für die Aufsichtsbehörden von Bedeutung ist, müssen sie noch klären.

Eine FRITZ!Box 7590 vor einem blauen Hintergrund

Externe Zugriffsversuche auf FRITZ!Box nehmen zu

Externe Zugriffsversuche auf FRITZ!Boxen. Wer seine Box so eingestellt hat, dass sie über das Internet erreichbar ist, sollte jetzt handeln!

Joseph Scipilliti: versuchter Identitätsdiebstahl mit angeblicher Erbschaft

Nach der Anwerbung per Telegram meldete sich der 2015 verstorbene Joseph Scipilliti, um Erbwillige um Scans ihrer Ausweise zu bitten.

low-tech Gesichtserkennung in Verkaufsautomaten

Möchten Sie Gesichtserkennung zu Ihren M&Ms?

Verkaufsautomaten an einer kanadischen Universität verfügen über ein Modul zur Gesichtserkennung. Der Hersteller agiert auch in Deutschland.

Perfect Privacy: Uns betrifft der Crimemarket-Bust nicht!

Nach einigen merkwürdigen Gerüchten, die aufgetaucht sind, teilte uns Perfect Privacy mit, sie seien vom Crimemarket-Bust nicht betroffen.

Hacker mit Smartphone vor digitalem Hintergrund mit Binärcode

Spione im Smartphone: In-App-Browser sind eine Bedrohung

Spione im Smartphone! Eine neue Studie enthüllt die potenziellen Gefahren von In-App-Browsern auf unseren Smartphones.

Firebase falsch konfiguriert: Millionen von Passwörtern öffentlich sichtbar

Ein Albtraum für den Datenschutz. Eine fehlerhafte Konfiguration von Google-Firebase ermöglicht den Zugriff auf Millionen von Passwörtern.

Datenleck bei Microsoft: Interne Passwörter öffentlich zugänglich

Enthüllung einer schwerwiegenden Sicherheitslücke bei Microsoft: Interne Passwörter und Anmeldedaten waren lange Zeit öffentlich zugänglich.

hide.me lässt die Preise purzeln!

Statt bunten Eiern gibt es von hide.me echt winzige Preise! Der 2-Jahres-Tarif kostet pro Monat nur schlappe 2,59€ ! Plus 3 Monate für lau!

EU will Chatkontrolle im Juni unverändert durchwinken

Nun wurde ein neuer als auch fertiger Vorschlag der EU zur Einführung der Chatkontrolle veröffentlicht, den man schon im Juni umsetzen will.

GlobalProtect von Palo Alto Networks anfällig für Hacker

Palo Alto Networks. Die IT-Sicherheitsfirma Volexity entdeckte kürzlich den kritischen CVSS 10-Fehler in PAN-OS der VPN-Lösung GlobalProtect.

PimEyes: Polnische Gesichtsdatenbank beseitigt Anonymität

PimEyes ist eine Suchmaschine für Gesichter. Politiker fordern eine drastische Regulierung, Aber auch Google und Facebook gehen dagegen vor

WordPress und Tumblr verkaufen Nutzerdaten, um KI-Tools zu trainieren

Tumblr und WordPress bereiten sich darauf vor, Nutzerdaten an KI-Unternehmen wie Midjourney und OpenAI zu verkaufen.

Cubbit: Der neue Standard für Cloud-Speicher in Unternehmen

Was zeichnet Cubbit auf dem Markt für beruflich genutzte Cloud-Speicher aus? Cubbit kann gleich mehrere neue Partnerschaften abschließen.

Online-Dating: Wie man sich vor Abzocke schützen kann

Online-Dating: Worauf muss man achten, um nicht abgezockt zu werden? Das Geschäft mit der Einsamkeit brummt. Den Suchenden werden viele Fallen aufgestellt.

Gesundheitsdaten: Zugriff bald EU-weit möglich

Gesundheitsdaten können laut dem nun vereinbarten Deal EU-weit abgerufen werden. Doch leider nicht nur von Krankenhäusern und Ärzten.

Facebook- und Netflix-Apps auf einem Smartphone-Bildschirm auf einer Tastatur und Geldscheinen

Liest Netflix Facebook-Nachrichten mit? Kartellverfahren enthüllt Schockierendes

Liest Netflix unsere Facebook-Nachrichten? Eine Kartellklage enthüllt Details über den Datenaustausch zwischen Facebook und Netflix.

North Face Shop in einem Einkaufszentrum.

Kundendaten von Modemarken gestohlen: 35 Millionen Kunden betroffen

Alarmierender Cyber-Angriff auf bekannte Modemarken: Sensible Kundendaten wurden gestohlen. 35 Millionen Kunden sind betroffen.

Datenpanne bei Europol: Sensible Unterlagen verschwunden

Europol in der Krise. Eine riesige Datenpanne erschüttert die europäische Strafverfolgungsbehörde mit Sitz in Den Haag.

Theo Tenzer im Interview zum Thema Verschlüsselung

Unser Gesprächspartner Theo Tenzer betreibt Erwachsenenbildung. Er ist Journalist und Autor mehrerer Bücher zum Thema Kryptographie.

Geheime Überwachung in Deutschland: Digitale Fahndung bleibt im Verborgenen

Geheime Überwachung in Deutschland: Eine Kontroverse entfacht neue Debatten über Datenschutz und Bürgerrechte.

Sichere Investitionen in der digitalen Ära: Tipps für Online-Sicherheit

Dieser Ratgeber zum Thema Online-Sicherheit bietet einige Tipps, mit denen man digitale Geldanlagen deutlich sicherer machen kann.

Profile über QR-Codes teilen: Mastodon revolutioniert die Nutzererfahrung

QR-Codes ermöglichen jetzt das einfache Teilen von Mastodon-Profilen. Ein praktisches Feature für den schnellen Datenaustausch.

Stay Informed: Kita-App-Daten standen offen im Netz

Datenleck bei Stay Informed. Daten von Tausenden Nutzern, darunter auch Minderjährige, wurden aufgrund einer Sicherheitslücke offengelegt.

Ein FBI-Agent mit einem Smartphone, das mit der neuesten Augmented-Reality-Technologie ausgestattet ist

Push-Benachrichtigungen häufig genutzt, um Verbrecher zu fassen

Egal ob Google, Apple oder auch Facebook - das FBI setzt Push-Benachrichtigungen gerne ein, um Kriminelle erfolgreich zu überführen.