Googles KI-Assistent Gemini bekommt Zugriff auf private Fotobibliotheken – und ermöglicht damit personalisierte Bildgenerierung auf einem bisher unerreichten Niveau. Doch die Funktion wirft grundlegende Fragen zum Umgang mit biometrischen Daten auf, besonders für Unternehmen im europäischen Rechtsraum.
Gemini greift auf Google Photos zu: Personalisierte KI-Bildgenerierung mit Datenschutzfragen
Google hat eine neue Funktion für seinen KI-Assistenten Gemini eingeführt, die es dem System erlaubt, auf die persönliche Fotobibliothek der Nutzer in Google Photos zuzugreifen, um personalisierte Bilder zu generieren. Die Funktion läuft intern unter dem Codenamen „Nano Banana” und ist zunächst für englischsprachige Nutzer verfügbar. Für Unternehmen und Privatpersonen, die Google-Dienste intensiv nutzen, stellen sich damit neue Fragen zum Umgang mit persönlichen Bilddaten.
Funktionsweise: KI trifft persönliche Bilddaten
Die Integration ermöglicht es Gemini, auf in Google Photos gespeicherte Fotos zuzugreifen und diese als Referenzmaterial für die KI-gestützte Bildgenerierung zu verwenden. Konkret bedeutet das: Nutzer können Gemini anweisen, neue Bilder zu erstellen, die auf ihren eigenen Fotos basieren – etwa Porträts in bestimmten Stilen oder Szenerien, in denen die eigene Person abgebildet wird. Das Modell analysiert dabei Gesichtsmerkmale und andere visuelle Eigenschaften aus dem persönlichen Foto-Archiv.
Technisch greift Gemini dabei nicht dauerhaft auf die gesamte Fotobibliothek zu, sondern Nutzer müssen den Zugriff aktiv erlauben und können spezifische Fotos auswählen.
Google betont, dass die Bilder nicht zum Training zukünftiger Modelle verwendet werden – zumindest nicht ohne gesonderte Einwilligung.
Datenschutzrechtliche Einordnung
Aus europäischer und insbesondere deutscher Perspektive ist diese Funktion kritisch zu betrachten. Die Verarbeitung biometrischer Daten – zu denen Gesichtsmerkmale aus Fotos zählen – unterliegt nach der Datenschutz-Grundverordnung (DSGVO) besonders strengen Anforderungen gemäß Artikel 9. Eine wirksame Einwilligung muss informiert, freiwillig und unmissverständlich erteilt werden.
Hinzu kommt die Frage der Datenspeicherung und -verarbeitung: Wo genau werden die Fotodaten verarbeitet, wenn Gemini auf sie zugreift? Google betreibt Rechenzentren innerhalb der EU, allerdings bleibt unklar, ob die für diese Funktion relevanten Verarbeitungsschritte ausschließlich auf europäischer Infrastruktur stattfinden.
Risiken für den Unternehmenseinsatz
Für Unternehmen, die Google Workspace einsetzen, ergibt sich eine weitere Dimension: Wenn Mitarbeitende über ihre dienstlichen Google-Konten auf solche Funktionen zugreifen, könnten personenbezogene Bilddaten in Unternehmensverantwortung geraten.
Arbeitgeber sind nach DSGVO mitverantwortlich für die Datenverarbeitung durch eingesetzte Tools – auch dann, wenn die Verarbeitung über Drittanbieter-KI-Dienste erfolgt.
Datenschutzbeauftragte in deutschen Unternehmen sollten prüfen, ob und unter welchen Bedingungen solche Funktionen im beruflichen Kontext genutzt werden dürfen. Eine klare interne Richtlinie zu KI-gestützten Bildwerkzeugen, die auf personenbezogene Fotos zugreifen, ist dringend empfehlenswert.
Wettbewerb um personalisierte KI-Erfahrungen
Google ist nicht der erste Anbieter, der persönliche Fotos als Eingabe für KI-Bildgenerierung nutzt:
- Apple nutzt Bilddaten auf dem Gerät für ähnliche Funktionen und betont dabei die lokale Verarbeitung als Datenschutzmerkmal.
- OpenAI hat mit ChatGPT ebenfalls Bild-Upload-Funktionen eingeführt.
Der Wettbewerb um möglichst personalisierte KI-Erlebnisse setzt alle großen Plattformanbieter unter Druck, tiefer in persönliche Datenspeicher zu integrieren – mit entsprechenden Konsequenzen für Nutzerrechte und regulatorische Compliance.
Fazit: Klärungsbedarf für den professionellen Einsatz
Für deutsche Unternehmen und ihre Datenschutzbeauftragten gilt: Die Funktion dürfte in ihrer aktuellen Form für den professionellen Einsatz in EU-regulierten Umgebungen noch erheblichen Klärungsbedarf mit sich bringen. Wer Google-Dienste im Unternehmenskontext einsetzt, sollte die Rollout-Kommunikation von Google genau verfolgen und prüfen, ob entsprechende Einwilligungsmechanismen und Verarbeitungsverträge den europäischen Anforderungen genügen – bevor Mitarbeitende Zugang zu dieser Funktion erhalten.
Quelle: Ars Technica AI