Die Hamburger Datenschutzbehörde hält das Vorgehen der Gesichtssuchmaschine PimEyes für rechtswidrig und hat trotzdem fünf Jahre lang nichts unternommen. Das ist der Kern einer Klage, die die österreichische Datenschutzorganisation noyb am Ende 2026 gegen die Behörde eingereicht hat. Unterstützt wird die Klage vom Chaos Computer Club (CCC), der den Fall als Musterbeispiel für ein gefährliches Vollzugsdefizit im deutschen Datenschutz sieht.
PimEyes durchforstet das Internet systematisch nach Gesichtern, misst sie biometrisch aus und speichert die Ergebnisse in einer Datenbank mit Milliarden von Einträgen. Wer das Angebot nutzt, kann beliebige Fotos von Personen hochladen und erhält anschließend alle weiteren Bilder derselben Person angezeigt inkl. Links zu den Fundstellen. Gegen Aufpreis liefert der Dienst Wahrscheinlichkeitsangaben zur Identität. Das Unternehmen sitzt heute in Dubai und firmierte zuvor u. a. auf den Seychellen und in Belize. Die erste Beschwerde gegen PimEyes bei der Hamburger Behörde wurde bereits im Juli 2020 eingereicht.
Die Hamburger Behörde hat das Verfahren im November 2025 eingestellt – mit der Begründung, etwaige Maßnahmen seien gegen ein in Dubai ansässiges Unternehmen ohnehin nicht durchsetzbar. Für noyb und den CCC ist das keine tragfähige Begründung: Die DSGVO gilt nach dem Marktortprinzip für jeden, der Dienstleistungen an Menschen in der EU richtet, unabhängig davon, wo das Unternehmen seinen Sitz hat. PimEyes hat sein Angebot auch nach Bekanntwerden der DSGVO-Verstöße weiter auf EU-Nutzer:innen ausgerichtet. Beschwerdeführer Matthias Marx vom CCC kritisiert: Wenn Aufsichtsbehörden bei so klaren Verstößen nicht einschreiten, werde Grundrechtsschutz optional.
Mit der Klage will noyb das Verwaltungsgericht dazu bringen, die Hamburger Behörde zum Handeln zu verpflichten. Konkret fordert die NGO, dass die Behörde wirksame Durchsetzungsmaßnahmen gegen PimEyes einleitet oder zumindest nachvollziehbar begründet, warum das nicht möglich sein soll. Für Max Schrems, Vorsitzender von noyb, geht es um mehr als diesen Einzelfall: Die ungehinderte Ausbreitung von Gesichtserkennungstools gefährde die Privatsphäre europaweit. Wer erkannt werden kann, ohne es zu wollen, verliert einen Teil seiner Bewegungsfreiheit im öffentlichen Raum.
Das Verfahren hat auch eine rechtspolitische Dimension: Der CCC weist darauf hin, dass die jahrelange Duldung solcher Dienste durch Aufsichtsbehörden biometrische Überwachungspraktiken normalisiert. Wer selbst von einer unrechtmäßigen Datenverarbeitung betroffen ist oder wissen möchte, wann ein DSGVO-Verstoß vorliegt und welche Rechte Betroffene haben, findet weiterführende Informationen auf www.advomare.de.
(Bild: sh99 – stock.adobe.com)
