Indignatie redactie 
De controversiële gezichtszoekmachine PimEyes kan voor het eerst een boete krijgen. Ironisch genoeg opent de gegevensbeschermingsautoriteit van Baden-Württemberg nu ’s werelds eerste boeteprocedure tegen het bedrijf, dat nu in het Caribisch gebied is gevestigd. Maar het is verre van duidelijk of PimEyes daadwerkelijk moet betalen.
Het is een nuchter persbericht dat het huis van Stefan Brink vanmorgen heeft verstuurd, maar de inhoud ervan zal waarschijnlijk internationaal worden geregistreerd. Kort voor het einde van zijn ambtstermijn neemt de functionaris voor gegevensbescherming van Baden-Württemberg nog steeds een bedrijf in dienst dat enkele jaren geleden plotseling wereldberoemd werd door berichtgeving op netzpolitik.org : de gezichtszoekmachine PimEyes.
Het bedrijf scant massa’s foto’s van gezichten op internet en registreert hun biometrische kenmerken, zoals de afstand tussen de ogen. Als u een foto uploadt, biedt PimEyes links naar identieke gezichten voor betalende klanten. Voor sommigen markeert PimEyes het einde van de anonimiteit in de openbare ruimte.
De autoriteiten van Brink maakten vanmorgen bekend dat ze een boeteprocedure zouden starten tegen PimEyes . Het is een schending van de Europese regels voor gegevensbescherming (AVG), die het gebruik van biometrische gegevens om personen te identificeren verbieden. Maar dat is precies wat PimEyes doet, aldus Brink. De zoekmachine van het bedrijf is ook bijna wereldwijd beschikbaar voor alle gebruikers – in tegenstelling tot vergelijkbare tools die voorbehouden zijn aan veiligheidsautoriteiten. Omdat het nog onduidelijk is hoe PimEyes überhaupt met de verzamelde gegevens omgaat, is nu de toezichthouder uit de Ländle actief geworden.
Van Baden-Württemberg voor de hele wereld
Formeel is Brink verantwoordelijk voor de bescherming van de gegevens van een relatief kleine groep mensen: de inwoners van Baden-Württemberg. Maar legaal kan hij profiteren van een zwak punt van PimEyes: de programma’s waarmee PimEyes automatisch het netwerk doorzoekt op gezichten, kunnen niet onderscheiden uit welk land of zelfs deelstaat een persoon afkomstig is. Ze verzamelen klakkeloos alle gezichten die ze online vinden op openbare sites: op blogs, sociale media of in online fora. Dit is al de ondergang geweest van zijn concurrent Clearview, die in verschillende EU-landen al miljoenenboetes heeft gekregen.
En iedereen, dat betekent: mensen uit Baden-Württemberg kunnen ook worden getroffen. Ook hun rechten lopen gevaar, zegt Brink, als foto’s van hen online worden vergeleken zonder dat ze het weten en zo hun identiteit kan worden vastgesteld – waar Brink vervolgens actie op kan ondernemen. “De aanpak van het bedrijf roept vanuit het oogpunt van de Algemene Verordening Gegevensbescherming grote vragen op”, zegt Brink. “We willen dit nu verduidelijken in het belang van de burgers.”
Het is dus niet een van de nationale gegevensbeschermingsautoriteiten uit Frankrijk, Italië of Polen die ’s werelds eerste dergelijke procedure tegen PimEyes start, maar de kleine autoriteit uit Zuid-Duitsland.
Het proces is al anderhalf jaar aan de gang
Het gezag van Brink had al anderhalf jaar een procedure tegen PimEyes aangespannen nadat uit onder meer netzpolitik.org naar buiten kwam dat PimEyes massa’s biometrische gegevens op internet verzamelt en opslaat. Het bedrijf, oorspronkelijk opgericht in Polen en momenteel gevestigd in Belize, reageerde aanvankelijk niet op een vragenlijst van de autoriteit.
Toen, eerder dit jaar, werd onthuld dat PimEyes een nieuwe eigenaar had, een 34-jarige beveiligingsonderzoeker uit Georgië genaamd Giorgi Gobronidze. In een interview met de New York Times destijds zei Gobronidze dat hij niets van de Duitse autoriteiten had gehoord, maar graag alle vragen beantwoordde die ze hadden. Tegelijkertijd vertelden de autoriteiten van Brink ons dat ze PimEyes niet konden bereiken. “Mocht onze brief van vorig jaar het bedrijf niet hebben bereikt, dan sturen we de heer Gobronidze graag nog eens onze vragen en opmerkingen door. Brink wilde onder meer het businessmodel van PimEyes aan hem laten uitleggen en ook weten hoe de aanbieder heeft klaarblijkelijk misbruik voorkomen.
Mening laat vragen onbeantwoord
Dat is intussen blijkbaar gelukt. Op 1 november is er een verklaring binnengekomen van PimEyes, schrijft de autoriteit van Brink. Maar men in Baden-Württemberg was niet tevreden met de antwoorden. PimEyes stelt dat het alleen openbaar beschikbare beelden verwerkt, schrijft de autoriteit, en dat het deze niet kan toewijzen aan individuele personen. Er is dus geen sprake van verwerking van persoonsgegevens. Daarnaast ziet PimEyes zich in haar gelijk omdat zij de gegevens verwerkt “in het kader van een publieke taak of ter bescherming van de vitale belangen van de betrokkene”.
De autoriteit spreekt beide uitspraken tegen: elke foto waarop een persoon wordt getoond, is een persoonsgegeven. Als biometrische gegevens ook worden gebruikt voor identificatie, is dit uitdrukkelijk verboden. Tenzij er een expliciete toestemming is van de persoon – die PimEyes niet krijgt als het massa’s foto’s op het net verzamelt. En een algemeen belang of de bescherming van individuen? PimEyes kon dit alleen valideren als het daartoe opdracht kreeg van een overheidsinstantie – wat ook niet het geval is.
PimEyes probeert momenteel zichzelf te rebranden: weg van het beeld als hulpmiddel voor stalkers naar een hulpmiddel dat kwetsbare mensen kunnen gebruiken om zichzelf te beschermen tegen stalkers of ongewenste verspreiding van hun afbeeldingen. In een interview met netzpolitik.org noemde Gobronidze vrouwen, homo’s en sekswerkers als nieuwe doelgroepen voor zijn betaalde dienst.
Maar bij Brink gaan deze argumenten niet op. “We moeten ervoor zorgen dat persoonlijke foto’s hun bescherming niet verliezen, zelfs niet in het digitale tijdperk van massale beeldverwerking”, zegt hij. “Wie ons probeert te overtuigen dat het verlies aan anonimiteit een noodzakelijk gevolg is van digitalisering, wil uiteindelijk alleen maar zijn economische belangen laten prevaleren boven de bescherming van onze persoonsgegevens.” Elke deelname aan demo’s, elk bezoek aan een gebedshuis of gewoon shoppen voor wijn en groenten in de supermarkt kunnen bij twijfel door derden worden gefotografeerd en op internet worden vergeleken. “De gevolgen hiervan zijn gevaarlijk voor onze democratie. Het is tijd om hier duidelijkheid te scheppen.” Daarom opent zijn gezag nu de voorbeeldboeteprocedure.
Strafschop mogelijk, uitkomst onduidelijk
De aankondiging van Brink zou nu voor opschudding moeten zorgen. Theoretisch zou hij PimEyes een boete kunnen geven van maximaal 20 miljoen euro. Maar dat er een procedure is gestart, betekent niet dat PimEyes uiteindelijk een boete krijgt – of zelfs betaalt. Ervaring met soortgelijke gevallen leert dat het uiterst moeilijk is om sancties en dwangbevelen af te dwingen voor inbreuken op de gegevensbescherming wanneer bedrijven buiten de EU zijn gevestigd. Volgens haar privacybeleid is PimEyes momenteel geregistreerd in het Caribische land Belize.
Dat is de autoriteit van Brink ook duidelijk. “Procedures tegen een verantwoordelijke instantie buiten de EU zijn in principe moeilijker te voeren dan binnen de EU”, schrijft een woordvoerder. “Allereerst is het voor ons belangrijk om de procedure uit te voeren. Het resultaat van de procedure is voor ons op dit moment van secundair belang.” Op de vraag of ook de symboliek in het spel is, zegt hij: “Onze fijne procedures hebben altijd een voorbeeldig karakter, het gaat hier om de toetsing van de gegevensbescherming van de gezichtsherkenning zonder oorzaak.”
Het bedrijf heeft nu vier weken de tijd om te reageren en opheldering te geven. Het gezag van Brink beslist vervolgens of en welke rechten zijn geschonden en kan een boete opleggen.
