Tückische Personensuche mit Fotos: Was KI aus Ihrem Bild lesen kann

Datensicherheit & Datenschutz

Tückische Personensuche mit Fotos

Ein einziges Bild reicht, um Namen, Wohnort, Arbeitgeber und Social-Media-Profile aufzudecken. Was KI-gestützte Gesichtserkennung heute kann – und was das für Unternehmen und Privatpersonen bedeutet.

Stellen Sie sich vor: Jemand fotografiert Sie auf einer Messe, lädt das Bild in eine KI-Suchmaschine – und erhält innerhalb von Sekunden Ihren vollständigen Namen, Ihren LinkedIn-Account, Ihren Arbeitgeber und womöglich Ihre Privatadresse. Was nach Science-Fiction klingt, ist heute Realität. Tools wie PimEyes, Google Lens oder FaceCheck.ID machen die Bildrückwärtssuche so leistungsfähig wie nie zuvor.

Für Unternehmen entstehen daraus ernste Fragen: Sind Fotos von Mitarbeitern auf der Website datenschutzkonform? Was passiert mit Bildern, die auf Unternehmensveranstaltungen entstehen? Und welche Pflichten haben Arbeitgeber gegenüber den abgebildeten Personen?

Wie funktioniert die Bildrückwärtssuche?

Bei der klassischen Bildrückwärtssuche – etwa bei Google Bilder oder TinEye – wird ein Foto nach visuell ähnlichen Bildern im Web durchsucht. Die Technologie vergleicht Farben, Formen und Muster. Das ist nützlich, um die Quelle eines Bildes zu finden, aber nicht spezifisch für Personen.

Deutlich mächtiger sind KI-gestützte Gesichtserkennung-Dienste. Sie extrahieren aus einem Gesichtsfoto einen mathematischen „Fingerabdruck“ – einen sogenannten biometrischen Vektor. Dieser wird mit Millionen öffentlich zugänglicher Bilder aus sozialen Netzwerken, Nachrichtenartikeln, Unternehmenswebsites und Foren abgeglichen.

🔍  Google Lens / Google Bilder

Kostenlos, weit verbreitet. Findet identische oder ähnliche Bilder im Web. Gut für Quellenrecherche, aber keine dedizierte Gesichtserkennung.

👤  PimEyes

Spezialisiert auf Gesichtserkennung. Durchsucht Milliarden öffentlicher Webseiten. Findet Personen selbst über verschiedene Fotos hinweg. Teils kostenpflichtig.

🎯  FaceCheck.ID

Kostenloser Dienst mit KI-Gesichtserkennung. Durchsucht Social Media, Nachrichtenseiten und öffentliche Datenbanken. Liefert direkte Profillinks.

🔗  TinEye

Ältester Reverse-Image-Dienst. Fokus auf Bildquelle und Copyright-Recherche. Keine biometrische Analyse, aber nützlich für identische Bildkopien.

Was ein einziges Foto über Sie verraten kann

Die Kombination aus Gesichtserkennung und öffentlich verfügbaren Daten ermöglicht heute ein erschreckendes Ausmaß an Informationsgewinnung – ohne dass die betroffene Person davon wissen muss:

✗  Vollständiger Name – aus LinkedIn, Xing, Unternehmenswebsites oder Presseartikeln

✗  Arbeitgeber und Position – über berufliche Netzwerke und Firmen-Teamseiten

✗  Social-Media-Profile – Instagram, Facebook, Twitter/X, TikTok

✗  Aufenthaltsort – durch georeferenzierte Bilder oder regionale Medienberichte

✗  Familienmitglieder – über geteilte Fotos und Verknüpfungen

✗  Frühere Arbeitgeber und Lebensläufe – aus archivierten Seiten und älteren Profilen

✗  Politische oder religiöse Zugehörigkeit – durch Fotos von Veranstaltungen oder Gruppen

„Biometrische Daten, zu denen auch Gesichtsbilder gehören, unterliegen nach Art. 9 DSGVO einem besonders strengen Schutz. Ihre Verarbeitung ist grundsätzlich verboten – es sei denn, es liegt eine ausdrückliche Einwilligung vor.“

— Europäischer Datenschutzausschuss (EDPB)

Was das Datenschutzrecht dazu sagt

Gesichtsbilder sind nach der DSGVO biometrische Daten – sofern sie zur eindeutigen Identifizierung einer natürlichen Person verarbeitet werden. Das gilt explizit auch für die maschinelle Analyse durch KI-Systeme (Art. 4 Nr. 14 DSGVO).

Für Unternehmen bedeutet das konkret: Wer Fotos von Mitarbeitern, Kunden oder Veranstaltungsteilnehmern veröffentlicht, übernimmt Verantwortung. Werden diese Bilder durch Dritte zur Gesichtserkennung genutzt, liegt zwar keine eigene Datenschutzverletzung vor – aber das Unternehmen hat durch die Veröffentlichung die Voraussetzung geschaffen.

Kritisch zu bewerten sind insbesondere:

✗  Teamfotos auf der Unternehmenswebsite ohne informierte Einwilligung der Mitarbeitenden

✗  Veranstaltungsfotos auf Social Media mit erkennbaren Personen ohne Zustimmung

✗  Pressemitteilungen mit Personenfotos, die dauerhaft im Web indexiert bleiben

✓  Datenschutzkonforme Lösung: Nur Fotos mit ausdrücklicher Einwilligung + Dokumentation

✓  Alternative: Illustrationen, Icons oder absichtlich unscharf dargestellte Personen

Konkrete Risiken für Unternehmen

Die Gefahren beschränken sich nicht auf den Datenschutz. Reverse-Image-Search und Gesichtserkennung werden aktiv für kriminelle Zwecke eingesetzt:

🎭  Social Engineering

Angreifer identifizieren gezielt Mitarbeitende aus Führungspositionen, um glaubwürdige Phishing-Mails oder Telefon-Scams zu konstruieren (CEO-Fraud).

🕵️  Spionage & Wettbewerb

Konkurrenten analysieren Messeauftritte, Konferenzfotos oder Social Media, um Projektteams, neue Mitarbeitende oder strategische Partnerschaften zu erkennen.

💼  Personalabwerbung

Recruiter nutzen Fotos, um Spezialisten über alle Plattformen hinweg zu identifizieren – auch wenn die Person kein öffentliches Profil pflegt.

📰  Reputationsrisiken

Veröffentlichte Mitarbeiterfotos können ohne Zustimmung in Fake-Profilen, Deepfakes oder irreführenden Kampagnen weiterverwendet werden.

Was Sie konkret tun können

Vollständiger Schutz ist in einer vernetzten Welt schwer erreichbar – aber gezielte Maßnahmen reduzieren die Angriffsfläche erheblich:

01  Foto-Policy im Unternehmen einführen — Legen Sie fest, welche Personenfotos für welche Zwecke veröffentlicht werden dürfen. Holen Sie schriftliche Einwilligungen ein und dokumentieren Sie diese.

02  Bestehende Fotos prüfen und bereinigen — Inventarisieren Sie alle öffentlich zugänglichen Personenfotos auf Ihrer Website und in Social-Media-Profilen. Prüfen Sie, ob Einwilligungen vorliegen.

03  Metadaten aus Fotos entfernen — EXIF-Daten in Fotos enthalten Aufnahmedatum, GPS-Koordinaten und Geräteinformationen. Entfernen Sie diese vor der Veröffentlichung mit Tools wie ExifTool.

04  Mitarbeitende sensibilisieren — Schulen Sie Ihr Team darin, welche Informationen öffentlich sichtbar sein sollten – besonders in beruflichen Netzwerken wie LinkedIn und Xing.

05  Eigenes Bild-Monitoring einrichten — Führen Sie regelmäßig selbst eine Reverse-Image-Suche mit Unternehmens- und Mitarbeiterfotos durch, um unerwünschte Verwendungen frühzeitig zu erkennen.

BSI Bundesamt für Sicherheit in der Informationstechnik

Weiterführende Informationen

BSI: Sichere Nutzung von KI-Diensten

Das Bundesamt für Sicherheit in der Informationstechnik gibt Empfehlungen zum sicheren Umgang mit KI-gestützten Anwendungen und biometrischen Daten. Besonders relevant für Unternehmen, die mit personenbezogenen Bildmaterialien arbeiten.

Zum BSI-Artikel →

Fazit: Ein Foto ist mehr als ein Bild

Die Verbreitung von KI-gestützter Gesichtserkennung hat die Spielregeln grundlegend verändert. Was früher mühsame Recherche war, dauert heute Sekunden. Unternehmen, die Personenfotos veröffentlichen, ohne datenschutzrechtliche Grundlagen zu schaffen, setzen sich nicht nur rechtlichen Risiken aus – sie gefährden auch das Vertrauen ihrer Mitarbeitenden und Kunden.

Das Mindestmaß: Einwilligungen dokumentieren, Fotos regelmäßig prüfen, Metadaten entfernen und Mitarbeitende sensibilisieren. TBCS IT GmbH unterstützt Sie dabei, diese Maßnahmen systematisch in Ihre Datenschutz- und Sicherheitsstrategie zu integrieren.

Ihre Datenschutzstrategie auf dem Prüfstand?

Unsere Experten analysieren Ihre aktuelle Foto- und Datenpublikationsstrategie und zeigen Ihnen, wo Handlungsbedarf besteht.

Jetzt Kontakt aufnehmen →