noyb hat heute Klage gegen die Hamburger Datenschutzaufsicht eingereicht, weil die Behörde im Fall PimEyes zwar selbst von einer rechtswidrigen Datenverarbeitung ausgeht, daraus aber bislang keine wirksamen Folgen gezogen hat. Genau darin steckt der eigentliche Nachrichtenwert dieses Falls. Es geht nicht nur um eine umstrittene Gesichtssuchmaschine, sondern um die Frage, was von der DSGVO übrig bleibt, wenn eine Aufsicht einen schweren Verstoß erkennt und am Ende doch nur ein Informationsschreiben verschickt.

Laut der heutigen noyb-Mitteilung sammelt PimEyes seit Jahren massenhaft Fotos von Gesichtern aus dem offenen Netz und macht sie über eine biometrische Suchfunktion auffindbar. Wer ein Bild einer Person hochlädt, kann sich ähnliche oder identische Treffer samt Fundstellen anzeigen lassen. Für Datenschutzjuristen ist das keine bloße Komfortfunktion. Sobald Gesichter automatisiert analysiert, abgeglichen und einer Person zugeordnet werden, geht es um biometrische Daten und damit um einen besonders sensiblen Bereich des Datenschutzrechts.

Die Ausgangsbeschwerde in diesem Fall liegt bereits fast sechs Jahre zurück. Wie die noyb-Fallseite C042 dokumentiert, wurde sie schon im Juli 2020 eingereicht. Die Hamburger Behörde entschied nach dieser Chronologie erst am 7. November 2025 und kam dabei laut noyb zu dem Schluss, dass PimEyes rechtswidrig gehandelt habe und auf Auskunfts- und Löschbegehren hätte reagieren müssen. Gerade deshalb wirkt der heutige Schritt so brisant. Wenn die rechtliche Bewertung klar ist, der Vollzug aber ausbleibt, verschiebt sich das Problem von der materiellen Rechtslage zur praktischen Durchsetzung.

Der Streit dreht sich inzwischen um Vollzug statt nur um Technik

noyb beschreibt den Hamburger Kurs als faktisches Nicht-Einschreiten. Die Behörde habe sich darauf zurückgezogen, dass PimEyes aus Dubai operiere und auf Anfragen nicht reagiere. Daraus leitete sie nach Darstellung der Organisation ab, keine konkreten Maßnahmen ergreifen zu müssen, die den fortlaufenden Rechtsverstoß tatsächlich stoppen würden. WELT griff die Klage gegen die Hamburger Datenschutzbehörde am selben Morgen ebenfalls auf und macht damit sichtbar, dass der Fall weit über die Spezialszene des Datenschutzrechts hinaus wahrgenommen wird.

Genau hier wird der Fall für Unternehmen und Behörden interessant. Die DSGVO ist nicht dafür gebaut, nur Papierbefunde zu produzieren. Sie soll Betroffenen effektiven Rechtsschutz verschaffen und Verantwortliche dazu zwingen, unzulässige Datenverarbeitung zu beenden. Wenn eine Aufsicht zwar eine Rechtswidrigkeit annimmt, aber mangels greifbarer Adressierung oder grenzüberschreitender Komplexität keine wirksamen Instrumente nutzt, entsteht ein gefährliches Signal. Es lautet dann sinngemäß, dass hochriskante Datenmodelle mit genügend Distanz, wechselnden Zuständigkeiten oder unklaren Standorten praktisch weiterlaufen können.

Das ist auch deshalb relevant, weil PimEyes kein Randphänomen beschreibt. Solche Dienste übersetzen massenhaft verfügbare Bilder in identifizierbare Profile und machen Rückverfolgung für Dritte leicht. noyb verweist in seiner heutigen Mitteilung nicht zufällig auf Clearview AI. Der Vergleich zeigt, dass biometrische Suchsysteme längst als europäisches Durchsetzungsthema behandelt werden und andere Behörden in ähnlichen Konstellationen durchaus zu spürbaren Maßnahmen gegriffen haben.

Biometrische Gesichtssuche macht aus offenen Bildern ein neues Risiko

Oft wird argumentiert, die zugrunde liegenden Bilder seien doch irgendwo öffentlich sichtbar gewesen. Genau dieses Denken greift zu kurz. Ein frei auffindbares Einzelbild ist etwas anderes als eine Suchmaschine, die Gesichter massenhaft extrahiert, verknüpft und sekundenschnell wieder zusammenführt. Der qualitative Sprung liegt in der neuen Verwendbarkeit. Aus verstreuten Spuren wird ein Identifikationswerkzeug. Aus Sicht des Datenschutzes ist das kein technisches Detail, sondern der Kern des Problems.

Der heutige Hamburger Streitfall zeigt zugleich, wie eng Biometrie und Governance zusammenhängen. Sobald ein Anbieter mit sensiblen Daten arbeitet, reichen klassische Reaktionsmuster nicht mehr aus. Ein freundliches Anschreiben, eine lange Verfahrensdauer oder die Hoffnung, dass sich Zuständigkeitsfragen irgendwann auflösen, passen nicht zu einem Modell, das fortlaufend Daten sammelt und verwertbar hält. noyb argumentiert deshalb, dass auch gegen Drittstaaten-Anbieter effektive Schritte denkbar seien, etwa über Dienstleister, Vermögenswerte oder andere Anknüpfungspunkte in Europa. Ob genau diese Wege tragen, müssen Gerichte und Behörden klären. Entscheidend ist aber schon heute die Grundfrage, ob Untätigkeit als akzeptable Antwort gelten darf.

Was Unternehmen aus dem Fall jetzt mitnehmen sollten

Für Unternehmen liegt die wichtigste Lehre nicht darin, ob sie selbst biometrische Suchtechnik einsetzen. Wichtiger ist der operative Maßstab, den dieser Fall sichtbar macht. Wer mit sensiblen Daten, schwer kontrollierbaren Dienstleistern oder grenzüberschreitenden Setups arbeitet, sollte nicht nur die materielle Rechtslage prüfen, sondern auch die Durchsetzbarkeit der eigenen Schutzmechanismen. Kann ein Löschanspruch praktisch umgesetzt werden? Ist ein Anbieter tatsächlich greifbar? Welche Hebel bestehen, wenn ein Dienstleister nicht kooperiert? Und wie lange würde es dauern, bis aus einem erkannten Risiko eine wirksame Gegenmaßnahme wird?

Der PimEyes-Fall zeigt, dass sich Aufsichtsrisiken nicht allein aus dem eigentlichen Verstoß ergeben, sondern auch aus der Organisation des Vollzugs. Genau das macht ihn zum relevanten DSGVOSCAN-Thema des Tages. Wenn biometrische Massenverarbeitung auf behördliche Langsamkeit trifft, wird Datenschutz nicht nur zur Rechtsfrage, sondern zur Glaubwürdigkeitsprobe für die gesamte Durchsetzung. Für Unternehmen ist das eine Erinnerung daran, sensible Datenverarbeitung nie nur nach dem Motto zu bewerten, was theoretisch erlaubt sein könnte. Mindestens ebenso wichtig ist, ob ein Setup in der Praxis kontrollierbar, dokumentierbar und im Konfliktfall wirklich stoppbar bleibt.

Bildquelle: Pexels

Quellen: noyb, „No action taken against PimEyes: noyb lawsuit against Hamburg DPA“; noyb, Fallseite „C042 PimEyes“; WELT, „KI-Gesichtserkennung: Bürgerrechtler verklagen Hamburger Datenschutzbehörde“.