Eine Code-Analyse von WIRED zeigt: In Metas KI-App schlummert eine vollständige Gesichtserkennung für die Ray-Ban-Brillen, fertig auf Millionen Geräten. Offiziell denkt Meta „noch darüber nach“. Für Unternehmen im DACH-Raum wird die Technik trotzdem schon jetzt zum DSGVO-Problem.
drweb.de als bevorzugte Quelle auf Google hinzufügenQualitätsgeprüfte Inhalte direkt in Google News & DiscoverJetzt hinzufügen
Die Gesichtserkennung für Metas Smart Glasses liegt längst auf den Handys von über 50 Millionen Menschen, ohne dass jemand davon wusste. Stellen Sie sich vor, ein Fremder im Zug sieht Sie an, und seine Brille flüstert ihm Ihren Namen ins Ohr. Genau dieses System steckt fertig verdrahtet in einer längst ausgelieferten App.
Das Wichtigste in Kürze
- Die Gesichtserkennung „NameTag“ sitzt fertig in Metas KI-App, ihre drei KI-Modelle laufen komplett auf dem Gerät.
- Die App rechnet jedes Gesicht in einen 2.048-stelligen Faceprint um und gleicht ihn lokal per Cosinus-Ähnlichkeit ab.
- Nicht erkannte Gesichter landen zugeschnitten in einem Ordner namens „NameTagsPending“.
- Unter DSGVO Artikel 9 und dem EU AI Act ist diese Verarbeitung biometrischer Daten ohne Einwilligung hochriskant.
Was steckt wirklich im Code?
Die eigentliche Nachricht ist nicht das Feature, sondern die Architektur. Vollständige Pipeline: Der unabhängige Forscher Buchodi und die EFF fanden in der App drei fertige KI-Modelle mit rund 100 Megabyte, wie die Code-Analyse von WIRED belegt. Ein Modell findet Gesichter, ein zweites schneidet sie zu, ein drittes verwandelt jedes in einen 2.048-stelligen Zahlenvektor.
Der Abgleich passiert komplett auf dem Telefon. Lokaler Index: Eine kleine Datenbank mit Vektorsuche vergleicht jeden neuen Faceprint per Cosinus-Distanz mit den gespeicherten. Erkennt das System niemanden, wandert das zugeschnittene Gesicht samt Fingerabdruck in den Ordner „NameTagsPending“. Nur die App kann ihn lesen, und selbst ein Neustart löscht ihn nicht.
Warum spricht Meta von „keiner zentralen Datenbank“?
Meta-Sprecher Ryan Daniels betont, man baue „keine zentrale Gesichtsdatenbank“. Technisch stimmt das, und genau darin liegt der Kniff. Verteilte Überwachung: Weil der Abgleich auf jedem Gerät einzeln läuft und die Faceprints laut WIRED von Metas Servern auf die Telefone wandern sollen, entsteht keine zentrale Datenbank, sondern eine, die sich über 50 Millionen Handys verteilt.
Trotz Milliarden guter Gründe dagegen hat Meta die Fähigkeit geschaffen, seine Kunden in eine verteilte Überwachungsmaschine zu verwandeln.
— Michael Dobler, Herausgeber Dr. Web
Neu ist das Muster nicht. Wiederholungstäter: 2021 löschte Meta über eine Milliarde Faceprints und zahlte 650 Millionen Dollar an Nutzer aus Illinois, 2024 folgten 1,4 Milliarden Dollar für Texas. Schon der Meta-KI-Vorfall um gekaperte Konten zeigte, wie weit der Konzern Grenzen austestet.
Dezentral heißt nicht harmlos. Ob mein biometrisches Profil auf Metas Server liegt oder auf dem Handy eines Fremden neben mir, einwilligen durfte ich in beides nie.
— Michael Dobler, Herausgeber Dr. Web
Was bedeutet das für Unternehmen im DACH-Raum?
Die Ray-Ban-Meta-Brillen verkaufen sich auch in Deutschland, der Bundesdatenschutzbeauftragte warnt bereits vor den Risiken. Sensible Daten: Ein Faceprint zählt nach DSGVO Artikel 9 zu den besonders geschützten biometrischen Daten. Ihre Verarbeitung bleibt verboten, solange keine ausdrückliche Einwilligung vorliegt, und die kann ein gefilmter Passant nie geben.
Der EU AI Act verschärft das seit dem 2. Februar 2025. Rote Linie: Das ungezielte Sammeln von Gesichtern zum Aufbau von Erkennungsdatenbanken ist ausnahmslos verboten, und der Ordner „NameTagsPending“ fällt ziemlich genau darunter. Dass alles „nur auf dem Gerät“ läuft, half schon Clearview AI nicht, das in Italien, Frankreich und den Niederlanden rund 100 Millionen Euro Bußgeld kassierte. Wie schnell so etwas zur Gewohnheit wird, zeigt auch Südkoreas KI-Bildscan.
Drei Schritte: Regeln Sie das Tragen smarter Brillen in Ihren Räumen per Hausordnung, bevor sich ein Kunde beschwert. Prüfen Sie bei jedem Anbieter, der mit „läuft lokal“ wirbt, trotzdem die Rechtsgrundlage nach Artikel 9. Und behalten Sie die Hamburger Datenschutzbehörde im Blick, die für Meta in Deutschland zuständig ist.
Mehr Newshunger?
