Meta hat heimlich funktionierenden Code zur Gesichtserkennung in Millionen von Ray-Ban Meta Smart Glasses integriert - Code, der vom Threat Lab der EFF durch statische Analyse bestätigt und von unabhängigen Forschern verifiziert wurde. Die Funktion ist für Verbraucher noch nicht aktiviert, erfordert aber nichts weiter als eine Änderung des Server-Flags. Kein Update. Keine Vorankündigung. Keine Zustimmung.
Was EFF und Wired über Metas Gesichtserkennung herausfanden
Die Enthüllung erfolgte am 5. Juni 2026, als Wired eine Untersuchung basierend auf dem Reverse-Engineering der Meta View Companion-App veröffentlichte. Das Threat Lab der EFF bestätigte den Fund unabhängig: Ein voll funktionsfähiger Code zur Gesichtserkennung ist in der Anwendung eingebettet und aktiv. Das System ist kein Prototyp - es ist eine eingesetzte Infrastruktur, die nur auf das Umlegen eines einzigen Remote-Schalters wartet.
Ein unabhängiger Forscher ging noch weiter: Indem er ein Telefon im Debug-Modus anschloss und der App-Datenbank mit wenigen Befehlen ein Gesicht hinzufügte, begannen die Brillen, dieses Gesicht in Echtzeit zu erkennen. Wenn jemand mit der Brille den Testprobanden ansah, glich die Brille ihn mit dem gespeicherten Gesichtsabdruck ab. Die Pipeline von der Erfassung bis zur Identifizierung ist voll funktionsfähig.
Meta bestätigte die Existenz des Codes, erklärte jedoch, die Funktion sei "für Verbraucher noch nicht aktiviert worden". Das Unternehmen gab weder an, wie viele Nutzer betroffen sein könnten, wenn sie aktiviert wird, noch legte es einen Zeitplan vor oder verpflichtete sich, sie nicht zu aktivieren.
Wie Ray-Ban Meta Brillen Gesichter in der Öffentlichkeit scannen
Das Gesichtserkennungssystem wandelt jedes erkannte Gesicht in einen Gesichtsabdruck um - eine mathematische Darstellung, die als eine Reihe von 2.048 Zahlen gespeichert wird und die einzigartige Positionierung der Gesichtszüge kodiert. Diese Zahlen werden verarbeitet und mit Gesichtsabdrücken verglichen, die bereits in der Datenbank des Nutzers gespeichert sind.
Wenn die Funktion aktiviert ist, muss die Brille keine Prominenten oder Personen des öffentlichen Lebens erkennen. Der Mechanismus ist persönlich: Ein Nutzer fügt Gesichter von Personen hinzu, die er verfolgen möchte - Freunde, Kollegen oder Fremde - und die Brille warnt ihn lautlos, sobald diese Gesichter im Sichtfeld der Kamera erscheinen. Der Träger sieht die Erkennung; die erkannte Person bemerkt nichts.
Die Smart Glasses sind Always-on-Kameras. Sie zeichnen auf, ohne dass für die Zielperson sichtbare Warnleuchten aufleuchten. Gepaart mit Gesichtserkennung verwandeln sie ein Verbraucher-Accessoire in ein persönliches Identifikationsgerät, das Personen in öffentlichen Räumen ohne deren Wissen oder Zustimmung markieren kann.
Metas Vorgeschichte macht die Massenidentifikation noch schlimmer
Dies ist nicht Metas erste Erfahrung mit Gesichtserkennung im großen Stil. Im Jahr 2021 legte Meta eine Sammelklage nach dem Biometric Information Privacy Act (BIPA) des US-Bundesstaates Illinois für 650 Millionen US-Dollar bei - die damals größte Datenschutzvereinbarung in der US-Geschichte -, da das Unternehmen automatisch Gesichter auf bei Facebook hochgeladenen Fotos gescannt und Datenbanken mit Gesichtsabdrücken ohne Zustimmung der Nutzer erstellt hatte. Das Unternehmen schaltete die Funktion daraufhin ab.
Die Parallelen sind direkt. Meta baute ohne Zustimmung eine Datenbank zur massenhaften Gesichtserkennung auf, zahlte 650 Millionen Dollar, schaltete sie ab - und hat nun die Infrastruktur für eine noch invasivere Version geschaffen, die in ein tragbares Gerät eingebettet ist und im öffentlichen Raum statt auf hochgeladenen Fotos funktioniert. Das Ausmaß der potenziellen Exposition ist qualitativ anders: Dieses System kann Gesichter von Menschen erfassen, die nie mit Meta interagiert haben, nie den Nutzungsbedingungen zugestimmt haben und nie auch nur ein einziges Foto hochgeladen haben.
Das interne Dokument: Geplant für einen Zeitpunkt, an dem niemand hinsieht
Was die Enthüllung besonders alarmierend macht, ist eine weitere Erkenntnis: Ein internes Meta-Dokument weist darauf hin, dass das Unternehmen ausdrücklich plante, die Gesichtserkennungsfunktion "während eines dynamischen politischen Umfelds einzuführen, in dem viele zivilgesellschaftliche Gruppen, von denen wir Angriffe erwarten, ihre Ressourcen auf andere Anliegen konzentrieren würden".
Dies ist kein Plan, die Funktion einzuführen, sobald sie fertig ist. Es ist ein Plan, sie dann einzuführen, wenn die Aufsichtskapazität am schwächsten ist. Datenschützer, Journalisten und Aufsichtsbehörden, die durch andere Krisen stark beansprucht sind, sind genau das Publikum, das Meta bei der Einführung einer Funktion vermeiden wollte, von der das Unternehmen wusste, dass sie intensive Prüfungen nach sich ziehen würde. Das Dokument offenbart, dass Meta die datenschutzrechtlichen Auswirkungen seiner Entwicklung versteht - und seine Strategie zur Offenlegung entsprechend geplant hat.
Ein verteiltes Überwachungsnetzwerk in 2 Millionen Brillen
Die EFF hat die Auswirkungen präzise beschrieben: Meta "macht Kunden zu einer verteilten Überwachungsmaschine". Die 2 Millionen Ray-Ban Meta-Brillen, die derzeit im Umlauf sind, stellen 2 Millionen potenzielle Gesichtserkennungsknoten dar, von denen jeder in der Lage ist, Personen im öffentlichen Raum lautlos zu identifizieren. Im Gegensatz zu zentralisierten Überwachungskameras - bei denen zumindest eine gewisse Erwartung institutioneller Aufsicht besteht - legt dieses System die Identifikationsfähigkeit in die Hände jeder Einzelperson, die ein solches Paar kauft.
Die Asymmetrie beim Datenschutz ist drastisch. Ein VPN schützt Ihre Daten bei der Übertragung; es schützt Sie nicht vor einer Kamera, die Ihr Gesicht identifiziert, bevor Sie sich überhaupt mit etwas verbinden. Traditionelle digitale Datenschutztools - Verschlüsselung, Anonymisierung, Schutz auf Netzwerkebene - sind strukturell irrelevant gegenüber einem Überwachungsvektor, der im physischen Raum, in Echtzeit und ohne Ihre Beteiligung agiert.
Für datenschutzbewusste Nutzer besteht die angemessene Reaktion darin, tragbaren Kameraprodukten großer Technologieunternehmen mit der gleichen Skepsis zu begegnen, die auch bei jedem anderen Datenerfassungsgerät angewendet wird. Die Funktion ist noch nicht live. Wenn es soweit ist, wird es wahrscheinlich keine Ankündigung geben, die laut genug ist, um zu garantieren, dass Sie davon erfahren, bevor jemand, den Sie kennen - oder ein Fremder auf der Straße - eine Brille trägt, die Ihr Gesicht erkennt.
Was als Nächstes für die Privatsphäre von Smart Glasses ansteht
Die EFF hat erklärt, sie werde "beobachten, ob diese Funktion für die Öffentlichkeit eingeführt wird". Mehrere US-Bundesstaaten mit Gesetzen zum biometrischen Datenschutz - Illinois (BIPA), Texas und Washington - könnten eine rechtliche Grundlage für Anfechtungen bieten, falls Meta die Funktion ohne sinnvolle Zustimmungsmechanismen aktiviert. Die DSGVO und das KI-Gesetz der EU stufen die Gesichtserkennung in die Kategorie mit dem höchsten Risiko ein, was strenge Anforderungen an die Transparenz und die Rechtsgrundlage mit sich bringt.
Ob diese rechtlichen Rahmenbedingungen schneller greifen als Metas serverseitiger Schalter, ist die offene Frage. Meta hat bereits bewiesen, dass es zuerst die Infrastruktur einsetzt und die rechtlichen Grenzen im Nachhinein verhandelt. Der 650-Millionen-Dollar-BIPA-Vergleich war in diesem Kontext ein Geschäftskostenfaktor - keine Abschreckung.
Die Funktion ist nur ein Server-Flag davon entfernt, auf 2 Millionen Paar Ray-Ban Meta Smart Glasses, die bereits seit Monaten im Umlauf sind, live zu gehen. Der Code für die Gesichtserkennung ist da. Der Datenbankmechanismus ist da. Das Einzige, was zwischen dem aktuellen Zustand und dem massenhaften Einsatz für Verbraucher steht, ist eine Entscheidung, von der Meta bereits gezeigt hat, dass sie jederzeit getroffen werden kann.
