Personensuche mit Fotos: Warum Bilder, Gesichtserkennung und Metadaten zum Datenschutzrisiko werden
Auf dem eigenen Smartphone ist es praktisch: Die Foto-App erkennt Gesichter und filtert aus Tausenden Bildern genau die Personen heraus, die man sucht. Für private Erinnerungen ist das bequem. In anderen Zusammenhängen kann dieselbe Technik aber schnell zum Datenschutz- und Sicherheitsrisiko werden.
Denn Fotos zeigen nicht nur Menschen. Sie können auch Aufenthaltsorte, Gewohnheiten, Beziehungen, Arbeitsumgebungen und technische Zusatzinformationen verraten. Genau deshalb sollten Unternehmen und Mitarbeitende bewusster mit Bildern umgehen.
 |
| Fotos können mehr verraten als den sichtbaren Bildinhalt – Gesichtserkennung und Metadaten machen sie zum Datenschutz- und Sicherheitsrisiko. |
Fotos sind mehr als Momentaufnahmen: Gesichtserkennung und Metadaten können zusätzliche Informationen über Personen und Orte preisgeben.
Warum die Personensuche mit Fotos so tückisch ist
Die Technik wirkt harmlos, weil sie im privaten Alltag längst normal ist. Viele Smartphones gruppieren Fotos automatisch nach Personen. Das hilft beim Sortieren und Wiederfinden. Im privaten oder familiären Bereich ist das in der Regel unproblematisch.
Problematisch wird es dort, wo Fotos öffentlich, geschäftlich oder in größerem Umfang genutzt werden. Dann geht es nicht mehr nur um Bequemlichkeit, sondern um Persönlichkeitsrechte, Datenschutz und mögliche Sicherheitsrisiken.
Google Lens zeigt das Grundprinzip
Wer eine unbekannte Pflanze fotografiert und das Bild mit Google Lens analysiert, erhält häufig passende Ergebnisse. Das technische Prinzip funktioniert bei Objekten, Produkten, Pflanzen oder Sehenswürdigkeiten sehr gut.
Bei Personen ist die Lage anders. Google schränkt die Personensuche über Bilder deutlich ein. Das liegt nicht daran, dass eine solche Suche technisch grundsätzlich unmöglich wäre. Der Grund ist vielmehr der Schutz von Privatsphäre und Persönlichkeitsrechten. Nutzer sollen nicht einfach mit einem Foto weitere Bilder oder Informationen zu einer beliebigen Person finden können. Hinweise auf diese Einschränkung finden sich auch in Google-Supportdiskussionen zur Meldung „Results for people are limited“.
Gesichtserkennung kann weit mehr als viele denken
Andere Anbieter und Spezialdienste zeigen, dass Gesichtssuche technisch deutlich weitergehen kann. Besonders bekannt ist Clearview AI. Das Unternehmen steht seit Jahren wegen der massenhaften Sammlung öffentlich verfügbarer Bilder und der Nutzung für Gesichtserkennung in der Kritik. Datenschutzbehörden in Europa haben Clearview AI bereits mehrfach mit Bußgeldern und Verboten belegt; 2024 verhängte die niederländische Datenschutzaufsicht ein Bußgeld von 30,5 Millionen Euro.
Für Unternehmen ist daraus vor allem eines wichtig: Nur weil Bilder öffentlich im Internet verfügbar sind, dürfen sie nicht automatisch beliebig für Gesichtserkennung, Profilbildung oder Personensuche genutzt werden.
Private Fotosammlung ist nicht dasselbe wie geschäftliche Nutzung
Wer im privaten Bereich Fotos nach Personen sortiert, bewegt sich regelmäßig in einem anderen rechtlichen Rahmen. Die EU-DSGVO gilt nicht für Verarbeitungen durch natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten. Das ist die sogenannte Haushaltsausnahme nach Art. 2 Abs. 2 lit. c EU-DSGVO.
Diese Ausnahme endet aber dort, wo Fotos öffentlich, geschäftlich oder für organisatorische Zwecke eines Unternehmens genutzt werden. Ein Fotoalbum auf dem privaten Handy ist deshalb anders zu bewerten als eine Mitarbeitergalerie, ein Social-Media-Beitrag, ein Eventfoto auf der Unternehmenswebsite oder eine automatisierte Gesichtserkennung im Betrieb.
Metadaten: Das unsichtbare Risiko in Fotos
Fotos enthalten oft mehr Informationen als das sichtbare Bild. In sogenannten EXIF-Daten können technische Zusatzinformationen gespeichert sein: Zeitpunkt der Aufnahme, Kamera- oder Smartphone-Modell, Einstellungen und teilweise sogar GPS-Koordinaten.
Diese Informationen sind für die private Sortierung nützlich. Im Unternehmenskontext können sie aber riskant werden. Wer Fotos ungeprüft veröffentlicht, kann unbeabsichtigt Standorte, Arbeitsorte, Reiserouten oder technische Informationen preisgeben. Sicherheitsfachleute weisen genau darauf hin: EXIF-Metadaten können für Aufklärung, Profilbildung und Angriffsplanung missbraucht werden.
Warum das auch ein Thema für Geschäftsführung und Informationssicherheit ist
Viele Unternehmen behandeln Fotos als reines Marketing- oder Social-Media-Thema. Das ist zu kurz gedacht. Sobald Bilder Personen, Standorte, Zutritte, Arbeitsplätze, Maschinen, Bildschirme oder Kundensituationen zeigen, sind Datenschutz und Informationssicherheit betroffen.
Für Managementsysteme wie ISO 27001, TISAX oder Anforderungen aus NIS2 ist nicht entscheidend, ob das Foto „schön“ aussieht. Entscheidend ist, ob geregelt ist, wer Bilder veröffentlichen darf, welche Freigaben erforderlich sind, ob Metadaten entfernt werden und ob sensible Informationen im Bild sichtbar sind.
Was Unternehmen konkret regeln sollten
Unternehmen sollten den Umgang mit Fotos nicht dem Zufall überlassen. Sinnvoll sind klare Regeln für Mitarbeitende, Marketing, HR, Vertrieb und Führungskräfte.
- Vor Veröffentlichung prüfen, ob Personen erkennbar sind.
- Einwilligungen und Rechtsgrundlagen sauber klären.
- Metadaten vor Veröffentlichung entfernen.
- Fotos auf sichtbare Bildschirme, Dokumente, Ausweise, Zutrittskarten oder Kundendaten prüfen.
- Keine automatisierte Gesichtserkennung ohne klare rechtliche Prüfung einsetzen.
- Social-Media-Posts vor Veröffentlichung nach Datenschutz- und Sicherheitsrisiken bewerten.
Passend dazu lesen Sie auch unseren Beitrag Cyberbetrug hat viele Gesichter und den Beitrag Sind Sie Teil eines Datenlecks?.
Fazit: Fotos sind keine harmlosen Dateien
Fotos wirken alltäglich. Genau das macht sie tückisch. Sie können Personen identifizierbar machen, Bewegungsmuster verraten, sensible Unternehmensinformationen zeigen und über Metadaten zusätzliche Details preisgeben.
Für private Erinnerungen ist die automatische Gruppierung von Personen praktisch. Für Unternehmen ist der Umgang mit Fotos jedoch ein Thema für Datenschutz, Awareness und Informationssicherheit.
Sie möchten den Umgang mit Fotos, Metadaten und Veröffentlichungen in Ihrem Unternehmen sauber regeln?
Wir unterstützen Unternehmen dabei, praxistaugliche Regeln für Datenschutz, Informationssicherheit und Awareness zu entwickeln – verständlich, umsetzbar und passend zum Alltag.
Jetzt Kontakt aufnehmen
